亞太地區(qū)領先的身份識別、證書和訪問管理解決方案提供商安訊奔科技（i-Sprint Innovations，簡稱“i-Sprint”）提供了有關較新發(fā)現(xiàn)的OpenSSL加密漏洞Heartbleed以及如何避免該漏洞和其他類似SSL相關漏洞的深入見解。

Heartbleed漏洞的出現(xiàn)再一次提醒了我們所持續(xù)面臨的安全威脅。Heartbleed漏洞允許互聯(lián)網(wǎng)上的任何人讀取由存在漏洞的OpenSSL軟件版本所保護的系統(tǒng)內(nèi)存。這會危及用于識別服務提供商身份的密鑰以及用于加密流量、用戶名、用戶密碼和實際內(nèi)容的密鑰。攻擊者可以利用這一漏洞竊聽通信，直接從用戶和用戶所使用的服務中竊取數(shù)據(jù)，或者冒充用戶身份。

這一漏洞已經(jīng)在制作軟件中存在了兩年多時間，被領先的安全專家稱作一場“災難”。眼下的解決方案是找出受影響的系統(tǒng)，采取修補措施，并更新SSL證書。還需要通知用戶修改密碼，并追蹤已經(jīng)暴露信息的濫用情況。

即便現(xiàn)在已經(jīng)修補了這一漏洞，也無法保證類似的漏洞不會再次出現(xiàn)，或者仍然隱藏在軟件內(nèi)尚未發(fā)現(xiàn)。擁有類似影響的此類漏洞在未來可能在其他的SSL庫或應用產(chǎn)品內(nèi)出現(xiàn)。

這引發(fā)了如下問題：安全套接層(SSL)是否足以保護機密數(shù)據(jù)和在線交易安全？企業(yè)如何通過網(wǎng)絡服務來管理未來的數(shù)據(jù)泄露風險并讓客戶相信他們的數(shù)據(jù)沒有遭到竊聽？是否已經(jīng)可以采取某些措施來規(guī)避此類事件的風險？

如果想防止敏感數(shù)據(jù)的暴露風險（即便是在SSL加密遭到破壞的情況下），企業(yè)需要一種強大的數(shù)據(jù)保護解決方案，例如端到端加密(E2EE)解決方案，來保護密碼和敏感的交易數(shù)據(jù)。E2EE可確保敏感數(shù)據(jù)保持加密狀況，甚至在脆弱的網(wǎng)絡或應用服務器的內(nèi)存內(nèi)。該解決方案可提供針對Heartbleed同類漏洞的保護，防止軟件開發(fā)人員或DBA等內(nèi)部人員無意或故意泄露敏感數(shù)據(jù)。實際上，新加坡金融管理局(MAS)和香港金融管理局(HKMA)已經(jīng)強制要求金融機構(gòu)采用E2EE來保護密碼和電子銀行網(wǎng)站的關鍵交易數(shù)據(jù)。

與很多金融機構(gòu)一樣，公司組織也應該在SSL保護之外采用同樣的較佳實踐方法，加密并通過通信渠道發(fā)送加密的密碼和敏感數(shù)據(jù)。通過使用用于數(shù)據(jù)加密的加密庫和密鑰數(shù)據(jù)，在數(shù)據(jù)提交至服務器之前，在入口點（用戶臺式機/智能手機）完成加密保護。數(shù)據(jù)可在到達網(wǎng)絡服務器甚至應用服務器的全程保持加密狀態(tài)。數(shù)據(jù)可能在應用服務器解密，但是就密碼而言，它們將保持加密狀態(tài)，并在硬件安全模塊(HSM)內(nèi)進行驗證。HSM是一種滿足FIPS標準、使用防篡改硬件的密碼設備。因此，密碼可從輸入點到對照點全程保持加密狀態(tài)。除了對抗Heartbleed類型的漏洞外，這樣還能確保內(nèi)部網(wǎng)絡中沒有人可以在傳輸和存儲過程中獲取密碼，從而防御內(nèi)部欺詐行為。

總的來說，有效的密碼保護需要組合使用分層的安全解決方案和適當?shù)牧鞒獭９�司組織不能僅依靠SSL保護，而應該在應用層上實施E2EE解決方案，保護他們的機密信息免遭下一次網(wǎng)絡服務器漏洞的影響。

如果存在有關Heartbleed以及如何對抗該漏洞的疑問，請訪問www.i-sprint.com或聯(lián)系i-Sprint安訊奔，電郵：enquiry@i-sprint.com。