OpenSSL漏洞险些一剑穿“心”

4月8日，一个代号“心脏出血”的重大互联网安全漏洞被国外黑客曝光。这次发生漏洞的是国际著名安全协议OpenSSL，目前世界上大概有三分之二的网络服务器正在使用，包括购物、网银、社交、邮箱等。OpenSSL，是为网络通信提供安全及数据完整性的一种安全协议，有人将其形容为“互联网上销量最大的锁”。这把锁出问题了，整个互联网可能都会坍塌掉。

随后，黑客们和网络安全漏洞的检测者们都度过了一个不眠之夜。而截止到4月10日，在全国3万多个存在漏洞的网站中，依然有近30%没有采取任何措施。

据统计，在4月7日~8日两天时间，共计约2亿网民访问了存在漏洞的网站。也就是说，他们登录服务器时显示的用户名、密码和信用卡等信息，很有可能会被人盗取。奇虎360副总裁兼首席隐私官谭晓生说：“我们对120万个网站进行扫描，这中间发现有一万多个网站其实是会受到这件事情的影响。” 9日上午，360网站卫士的OpenSSL漏洞检测平台发现，北京大学和清华大学某项网络服务也存在OpenSSL安全协议漏洞，同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测，360紧急通知清华大学和北京大学进行修复。

CFCA技术专家龚喜杰称，所幸的是，这次公布的漏洞对银行U盾没有影响，U盾完全可以放心使用。网民在这一重大网络安全事件面前没有太多处置的余地，唯一的有效措施就是及时修改登录密码，但前提是要确认所登录的网站已经对此次漏洞进行了修复。但是，大大小小的网站，包括京东、淘宝这样的大网站，自始至终都没有在网站中提及任何与漏洞相关的风险信息。

4月10日晚，在针对这一漏洞的《新闻1+1》专题新闻节目中，央视主持人白岩松发出了这样的疑问， 互联网快速走进我们的生活，带来新的巨大便利的同时，也带来新的巨大不安全感，从国家的战略和技术的层面上来说，怎样去防范这种非常新型的不安全？

相关机构发布的2013年网络安全报告显示，接近70%的网民对上网行为是否安全表示担心，有71%的网民最担心网银的账号一旦不安全就麻烦了，接下来是邮箱账号。网络安全应急技术国家工程实验室主任杜跃进表示，网络安全本身是一个动态调整的过程，没有一招制敌的方案，也不是哪一方可以独立解决的，最重要的是构建一个网络安全防范体系，包括体制机制设计、政策法律设计、技术能力、人员水平，等等。中国计算机学会信息安全专业委员会主任严明认为，国家互联网应急中心等机构有责任针对各种网络安全漏洞及时发布信息，通知有关用户来更新，同时提醒广大民众要注意这种威胁。

由于 OpenSSL软件本身就是一款著名的开源软件，OpenSSL漏洞也给了信息产业一个重要的警示，基于 Linux等开源项目开发的操作系统等国产软件，一定不能单打独斗，而是要加强协同，并尽量从机制上解决协同过程中的安全问题。正如ISC COO David Shearer所说，“开源软件开发里协作性所带来的安全问题是决定整个软件生命周期的重要因素之一。”

上海来谊电子CEO徐海光告诉《人民邮电》报记者，这次漏洞事件之所以影响巨大，问题出在小长假刚过，很多网站的网管人员来不及做出升级系统的反应，这给了黑客以可乘之机。而令人震惊的是，如果数以万计的网站都做不到及时的软件升级，这意味着我国互联网产业的整体安全现状是极其脆弱的。

徐海光表示，用户在互联网上享受着各种各样的服务，而互联网服务商由于技术、管理的不同，造成对漏洞响应和分享是有时间延迟的。比如2013年Adobe公司的用户信息泄露，造成超过290万的客户信息被盗，这些信息的披露延迟了两个多月，逐渐地波及到金融和其他行业。

如何能快速有效地应对身份信息的泄露风险？众多专家认为还是要着眼于技术的创新与进步。徐海光指出，在不改变现有在线服务商(银行、互联网公司)的安全体系基础上，附加第三方的双通道安全认证方式是可行的，比如目前OpenSLL漏洞造成的用户信息泄露，如果有了用户手上的设备作为第二把钥匙的保护，黑客即使获取了用户账号及密码，也无法冒名顶替通过身份认证。同时，第三方的服务方式，在技术反应时间上可以提供高效的安全保障，不存在时间延迟风险。在服务商系统快速完成升级后，用户再对账户密码进行修改，即可达到更高的安全水平。