原来“心脏”早已出血 论国际信息安全的暗斗

       前不久，一个名叫“心脏出血”的网络漏洞几乎震惊了整个互联网，原因就在于它涉及范围之广，潜伏之久。而这个漏洞带来似乎不光光是“现在进行式”的问题，由强国主导的国际信息安全似乎早已由于这个漏洞而“心脏出血”。究竟是怎么回事？如果这是真的，我们又该如何应对呢？下面就让信息安全领域的专家山丽网安来为您解答吧。

       美国大佬果然不是省油的灯 “心脏出血”也能被利用

       就在“心脏流血”漏洞还让互联网公司和普通用户人心慌慌之际，彭博社又向人们扔出了一记重磅炸弹。据悉，美国国家安全局早在2012年，也就是首次发现“心脏流血”时，就已经掌握了这一漏洞信息。遗憾的是，奥巴马政府并没有及时将这一消息公布。更让人难以接受的是，政府还将这个漏洞作为自己收集、监视用户网络数据的有利武器之一。

       SSL标准包含heartbeat选项，让SSL连接一端的计算机发出短信息（heartbeat)来确认另一台计算机仍处于联网状态并获得回复。研究人员发现，存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容，这些内容包含大量隐私信息，包括登录名甚至是密码等等。因此本次OpenSSL 漏洞被形象地描述为“心脏出血”(heart bleed)。

       在上述消息震惊世界后，美国国家安全局在Twitter上立马语气坚定地（以往常常是用词暧昧）做出回应：“安全局在业界披露心脏流血之前，并不了解这一漏洞。”

       对于政府的回应，分析人士普遍持怀疑态度。

       首先，NSA每年在数据收集和监听上的花费多达16亿美元，是OpenSSL开源项目的几千倍之多。作为一个互联网文件传输广泛使用的协议标准，存在如此严重的漏洞，政府专业组织不可能如此后知后觉。

       其次，《纽约时报》在上述消息报道不久后爆料称，奥巴马政府在今年1月通过了一条法案：国家安全局应该将其发现的网络漏洞等安全隐患公开告诉民众。但出于某些显而易见的需要抑或是保护国家安全的需要，政府可以对一些漏洞保持沉默，并加以合理使用。

       复杂的国际信息安全下 数据防护必须主动出击

       其实，美国政府这么做的目的其实早已被人所知，由于信息技术和网络技术的快速发展，敏感和核心数据正成为主导全球发展的关键，而作为世界大佬的美国自然不会在这方面落于人后。而随着更多国家对于这一领域的重视和关注，国际的信息安全形势将变得越发复杂。在这种情况下，最为终端用户的个人、企业甚至是政府机构本身，想要防护这些数据就必须主动出击，而采用加密技术则是最好的选择。

       加密直接作用于数据本身，通过改变数据原本内容的形式来达到安全防护的效果，而这种防护最大的特点就是即使数据和文档最终还是泄漏了，加密的防护依然存在，只要算法不被破译，数据仍旧是安全的。而随着现代加密算法和技术的发展，破译这件事也越来越变得“得不偿失”了。同时，为了适应现代多样的加密需求和安全环境，采用国际先进的多模加密技术则是其中最好的选择。

       多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

       信息时代，围绕敏感信息、核心数据的“战争”或许终有一天会爆发，但在这之前，信息安全的暗斗早已开始。不想被这种暗斗所波及并威胁到自身的数据安全，个人、企业必须主动出击，而采用灵活且具有针对性的加密软件进行防护或许是最好的选择！