本文作者趙紅武，中國西電集團公司變壓器板塊CIO

曾幾何時，業界廣泛應用的OpenSSL協議讓我們對信息在網絡上的安全傳輸充滿了信心，OpenSSL像把大鎖一樣牢牢地鎖住了我們的機密信息。不知何時，這把大鎖被人偷偷打開，神不知鬼不覺地偷窺我們的信息，而我們還像傻子一樣被蒙在鼓里，高枕無憂地睡大覺。時至公元2014年4月8日，晴天一聲霹靂，網絡界爆發了一顆不小的核彈，大家突然發現魔鬼逃出了潘多拉的盒子，業界一片震驚！其實魔鬼早已逃出，并且不知道干了多少壞事，只不過我們才發現而已。

OpenSSL是什么呢？用到什么地方呢？對我們影響有多大呢？我們如何應對呢？且聽我一一道來。

一、OpenSSL是什么

眾所周知，互聯網是一個open的平臺，我們的大部分信息在網上明文傳輸，稍懂IT知識的技術人員可輕松地截取我們的機密信息。為了解決機密信息在互聯網上的安全傳輸，網絡安全大神們研發了各種信息加密手段，對信息進行加密傳輸，其中OpenSSL就是應用范圍最廣的信息加密手段。

二、OpenSSL協議應用范圍

作為最為流行的網絡加密協議，OpenSSL廣泛應用于各大網銀、電子商務、電子支付、電子政務、電子郵件、微博、微信、企業核心信息系統等領域，眾多以https開頭的網站，均采用OpenSSL加密手段。OpenSSL在電腦、PAD、手機及各種智能終端上有著非常廣泛的應用，幾乎和每個人有密切關系。

三、OpenSSL漏洞對我們的影響

利用OpenSSL協議進行數據通訊的兩臺電腦，通過心跳信息確認對方是否在線，一些惡意攻擊者，利用這個機制發出惡意心跳信息，欺騙另一端電腦，即可獲取另一端電腦64KB內存數據，其中包含用戶名、密碼等各種機密信息，這就是本次爆發的OpenSSL Heartbleed(心臟出血)漏洞技術原因。通過OpenSSL漏洞可以很輕松地獲取我們的聊天軟件用戶名密碼、郵件用戶名密碼、網購用戶名密碼、商務敏感信息、VPN、SSL證書私鑰甚至網銀用戶名密碼，可以進入企業內網系統進行任意操作，盜取核心機密數據。問題存在已久，有多少人偷偷打開過這把鎖偷窺我們的信息，偷窺了多久，我們無從獲知。OpenSSL漏洞幾乎影響了我們日常使用的各大知名網站、各大知名系統，受影響的服務器3萬多臺，用戶2億多，影響到底大不大，我不說，你懂的。

四、我們的應對策略

信息安全刻不容緩，筆者經常通過各種途徑提醒大家高度重視信息安全，但收效甚微。

亡羊補牢，為時不晚，立即采取措施，防患于未然，不能等發生血的教訓，再回顧自己的信息安全問題。

1、在未明確得到OpenSSL漏洞修復信息前，暫緩使用網銀、網購等包含用戶機密信息的網站及軟件系統。

2、安裝網絡安全公司的一些系統檢測軟件，實時對訪問的網站進行OpenSSL漏洞掃描，發現漏洞后立即停止訪問。

3、緊急對使用OpenSSL協議的系統進行升級修復，已發生OpenSSL漏洞的服務器需緊急更換新的證書。

習總書記指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。解決網絡安全問題任重而道遠，從政府到企業需高度重視信息安全問題，不吹牛，不忽悠，從頭開始，在芯片、服務器、網絡設備、操作系統、數據庫、中間件等IT基礎支撐方面進行國產化研究，才能從根本上解決信息高速公路的基礎依賴于國外，信息安全不可控的被動局面。

且行且小心，愿我們在信息技術高速發展的時代一路走好！（文/趙紅武）

注：由于最近事務繁忙，對于ITValue的約稿動筆較晚。時至4月中旬，雖然部分網站與軟件系統已完成漏洞升級工作，但OpenSSL威脅仍非常嚴峻，我們仍需高度重視。