本文作者赵红武，中国西电集团公司变压器板块CIO

曾几何时，业界广泛应用的OpenSSL协议让我们对信息在网络上的安全传输充满了信心，OpenSSL像把大锁一样牢牢地锁住了我们的机密信息。不知何时，这把大锁被人偷偷打开，神不知鬼不觉地偷窥我们的信息，而我们还像傻子一样被蒙在鼓里，高枕无忧地睡大觉。时至公元2014年4月8日，晴天一声霹雳，网络界爆发了一颗不小的核弹，大家突然发现魔鬼逃出了潘多拉的盒子，业界一片震惊！其实魔鬼早已逃出，并且不知道干了多少坏事，只不过我们才发现而已。

OpenSSL是什么呢？用到什么地方呢？对我们影响有多大呢？我们如何应对呢？且听我一一道来。

一、OpenSSL是什么

众所周知，互联网是一个open的平台，我们的大部分信息在网上明文传输，稍懂IT知识的技术人员可轻松地截取我们的机密信息。为了解决机密信息在互联网上的安全传输，网络安全大神们研发了各种信息加密手段，对信息进行加密传输，其中OpenSSL就是应用范围最广的信息加密手段。

二、OpenSSL协议应用范围

作为最为流行的网络加密协议，OpenSSL广泛应用于各大网银、电子商务、电子支付、电子政务、电子邮件、微博、微信、企业核心信息系统等领域，众多以https开头的网站，均采用OpenSSL加密手段。OpenSSL在电脑、PAD、手机及各种智能终端上有着非常广泛的应用，几乎和每个人有密切关系。

三、OpenSSL漏洞对我们的影响

利用OpenSSL协议进行数据通讯的两台电脑，通过心跳信息确认对方是否在线，一些恶意攻击者，利用这个机制发出恶意心跳信息，欺骗另一端电脑，即可获取另一端电脑64KB内存数据，其中包含用户名、密码等各种机密信息，这就是本次爆发的OpenSSL Heartbleed(心脏出血)漏洞技术原因。通过OpenSSL漏洞可以很轻松地获取我们的聊天软件用户名密码、邮件用户名密码、网购用户名密码、商务敏感信息、VPN、SSL证书私钥甚至网银用户名密码，可以进入企业内网系统进行任意操作，盗取核心机密数据。问题存在已久，有多少人偷偷打开过这把锁偷窥我们的信息，偷窥了多久，我们无从获知。OpenSSL漏洞几乎影响了我们日常使用的各大知名网站、各大知名系统，受影响的服务器3万多台，用户2亿多，影响到底大不大，我不说，你懂的。

四、我们的应对策略

信息安全刻不容缓，笔者经常通过各种途径提醒大家高度重视信息安全，但收效甚微。

亡羊补牢，为时不晚，立即采取措施，防患于未然，不能等发生血的教训，再回顾自己的信息安全问题。

1、在未明确得到OpenSSL漏洞修复信息前，暂缓使用网银、网购等包含用户机密信息的网站及软件系统。

2、安装网络安全公司的一些系统检测软件，实时对访问的网站进行OpenSSL漏洞扫描，发现漏洞后立即停止访问。

3、紧急对使用OpenSSL协议的系统进行升级修复，已发生OpenSSL漏洞的服务器需紧急更换新的证书。

习总书记指出，没有网络安全就没有国家安全，没有信息化就没有现代化。解决网络安全问题任重而道远，从政府到企业需高度重视信息安全问题，不吹牛，不忽悠，从头开始，在芯片、服务器、网络设备、操作系统、数据库、中间件等IT基础支撑方面进行国产化研究，才能从根本上解决信息高速公路的基础依赖于国外，信息安全不可控的被动局面。

且行且小心，愿我们在信息技术高速发展的时代一路走好！（文/赵红武）

注：由于最近事务繁忙，对于ITValue的约稿动笔较晚。时至4月中旬，虽然部分网站与软件系统已完成漏洞升级工作，但OpenSSL威胁仍非常严峻，我们仍需高度重视。