■年終專(zhuān)稿

　　2014年，網(wǎng)絡(luò)安全問(wèn)題受到了空前的關(guān)注，諸多的網(wǎng)絡(luò)安全事件讓用戶知道了網(wǎng)絡(luò)信息所面臨的威脅。

　　2014年，隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立、首屆國(guó)家網(wǎng)絡(luò)安全宣傳周、首屆世界互聯(lián)網(wǎng)大會(huì)在浙江烏鎮(zhèn)召開(kāi)，信息安全上升到了國(guó)家戰(zhàn)略高度。

　　同時(shí)，隨著政府把網(wǎng)絡(luò)安全提到了國(guó)家安全這一高度，也使得網(wǎng)絡(luò)安全走進(jìn)了大眾的視野。

　　面對(duì)眾多的網(wǎng)絡(luò)安全事件，不禁對(duì)網(wǎng)絡(luò)安全的本質(zhì)問(wèn)題和原有的防護(hù)手段進(jìn)行反思，國(guó)家提出的自主可控、安全可信的戰(zhàn)略更加堅(jiān)定了解決網(wǎng)絡(luò)安全問(wèn)題的決心，而這其中可信計(jì)算是一個(gè)重要途徑。

　　當(dāng)前，網(wǎng)絡(luò)空間已被視為繼陸、海、空、天之后的“第五空間”，網(wǎng)絡(luò)空間已經(jīng)變?yōu)橹鳈?quán)空間。我們要建成網(wǎng)絡(luò)強(qiáng)國(guó)，就必須有可控的網(wǎng)絡(luò)技術(shù)。

　　1、微軟Windows XP停維事件

　　今年4月，微軟正式停止為WindowsXP提供安全更新，服役13年的WindowsXP系統(tǒng)就此“退休”。但是在中國(guó)大陸XP系統(tǒng)用戶仍高達(dá)57.8%，XP的退出將讓許多仍在使用這一系統(tǒng)的用戶無(wú)法升級(jí)系統(tǒng)修復(fù)補(bǔ)丁，會(huì)導(dǎo)致PC的安全問(wèn)題變得更加嚴(yán)峻。XP服役多年，已經(jīng)超過(guò)了一般系統(tǒng)的生命周期，XP的退役也帶來(lái)了相關(guān)產(chǎn)業(yè)的獲益。作為中國(guó)電子制造業(yè)界的“國(guó)家隊(duì)”，中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司（以下簡(jiǎn)稱(chēng)中國(guó)電子）自然不會(huì)袖手旁觀。4月3日，中國(guó)電子旗下中電長(zhǎng)城網(wǎng)際和北京可信華泰信息技術(shù)有限公司在北京上地舉辦新聞發(fā)布會(huì)，正式向社會(huì)發(fā)布新品“白細(xì)胞”操作系統(tǒng)免疫平臺(tái)，標(biāo)志著我國(guó)自主創(chuàng)新的基于可信技術(shù)的新一代網(wǎng)絡(luò)安全技術(shù)路線實(shí)現(xiàn)產(chǎn)業(yè)化。

　　2、OpenSSL心臟滴血

　　來(lái)自O(shè)penSSL的緊急安全警告：OpenSSL出現(xiàn)“Heartbleed”安全漏洞。這一漏洞讓任何人都能讀取系統(tǒng)的運(yùn)行內(nèi)存。雖然已經(jīng)有了一個(gè)緊急補(bǔ)丁，但在安裝它之前，成千上萬(wàn)的服務(wù)器都處于危險(xiǎn)之中。

　　該漏洞在互聯(lián)網(wǎng)又稱(chēng)為“heartbleed bug”，中文名稱(chēng)叫做“心臟出血”、“擊穿心臟”等。Heartbleed漏洞，這項(xiàng)嚴(yán)重缺陷(CVE-2014-0160)的產(chǎn)生是由于未能在memcpy()調(diào)用受害用戶輸入內(nèi)容作為長(zhǎng)度參數(shù)之前正確進(jìn)行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB緩存、將超出必要范圍的字節(jié)信息復(fù)制到緩存當(dāng)中再返回緩存內(nèi)容，這樣一來(lái)受害者的內(nèi)存內(nèi)容就會(huì)以每次64KB的速度進(jìn)行泄露。

　　Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的，并提交給相關(guān)管理機(jī)構(gòu)，隨后官方很快發(fā)布了漏洞的修復(fù)方案。2014年4月7號(hào)，程序員Sean Cassidy則在自己的博客上詳細(xì)描述了這個(gè)漏洞的機(jī)制。

　　2014年4月9日，Heartbleed（意為“心臟出血”）的重大安全漏洞被曝光，一位安全行業(yè)人士在知乎上透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　3、eBay數(shù)據(jù)的大泄漏

　　2014年5月22日，eBay要求近1.28億活躍用戶全部重新設(shè)置密碼，此前這家零售網(wǎng)站透露黑客能從該網(wǎng)站獲取密碼、電話號(hào)碼、地址及其他個(gè)人數(shù)據(jù)。該公司表示，對(duì)這次網(wǎng)絡(luò)攻擊的調(diào)查顯示，“沒(méi)有證據(jù)”表明黑客攻破了該集團(tuán)旗下的PayPal在線支付服務(wù)——PayPal的客戶數(shù)據(jù)與eBay的客戶數(shù)據(jù)是分開(kāi)存儲(chǔ)和加密的。

　　該公司表示，黑客得手的eBay數(shù)據(jù)庫(kù)不包含客戶任何財(cái)務(wù)信息——比如信用卡號(hào)碼之類(lèi)的信息。eBay表示該公司會(huì)就重設(shè)密碼一事聯(lián)系用戶。這次泄密事件發(fā)生在今年2月底和3月初，eBay是在大約兩周前發(fā)現(xiàn)這一泄密事件的。該公司并未說(shuō)明有多少用戶受到此次事件的影響。eBay還表示，黑客獲取了“少數(shù)”員工登錄授權(quán)，令他們能夠訪問(wèn)該公司的企業(yè)網(wǎng)絡(luò)。

　　4、中國(guó)互聯(lián)網(wǎng)DNS大劫難

　　1月21日下午3點(diǎn)10分左右，國(guó)內(nèi)通用頂級(jí)域的根服務(wù)器忽然出現(xiàn)異常，導(dǎo)致眾多知名網(wǎng)站出現(xiàn)DNS解析故障，用戶無(wú)法正常訪問(wèn)。雖然國(guó)內(nèi)訪問(wèn)根服務(wù)器很快恢復(fù)，但由于DNS緩存問(wèn)題，部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍將持續(xù)數(shù)個(gè)小時(shí)，至少有2/3的國(guó)內(nèi)網(wǎng)站受到影響。微博調(diào)查顯示，“1·21全國(guó)DNS大劫難”影響空前。事故發(fā)生期間，超過(guò)85%的用戶遭遇了DNS故障，引發(fā)網(wǎng)速變慢和打不開(kāi)網(wǎng)站的情況。（李國(guó)敏）