安讯奔有关“如何避免Heartbleed或类似SSL相关漏洞”的深入见解

亚太地区领先的身份识别、证书和访问管理解决方案提供商安讯奔科技（i-Sprint Innovations，简称“i-Sprint”）提供了有关较新发现的OpenSSL加密漏洞Heartbleed以及如何避免该漏洞和其他类似SSL相关漏洞的深入见解。

Heartbleed漏洞的出现再一次提醒了我们所持续面临的安全威胁。Heartbleed漏洞允许互联网上的任何人读取由存在漏洞的OpenSSL软件版本所保护的系统内存。这会危及用于识别服务提供商身份的密钥以及用于加密流量、用户名、用户密码和实际内容的密钥。攻击者可以利用这一漏洞窃听通信，直接从用户和用户所使用的服务中窃取数据，或者冒充用户身份。

这一漏洞已经在制作软件中存在了两年多时间，被领先的安全专家称作一场“灾难”。眼下的解决方案是找出受影响的系统，采取修补措施，并更新SSL证书。还需要通知用户修改密码，并追踪已经暴露信息的滥用情况。

即便现在已经修补了这一漏洞，也无法保证类似的漏洞不会再次出现，或者仍然隐藏在软件内尚未发现。拥有类似影响的此类漏洞在未来可能在其他的SSL库或应用产品内出现。

这引发了如下问题：安全套接层(SSL)是否足以保护机密数据和在线交易安全？企业如何通过网络服务来管理未来的数据泄露风险并让客户相信他们的数据没有遭到窃听？是否已经可以采取某些措施来规避此类事件的风险？

如果想防止敏感数据的暴露风险（即便是在SSL加密遭到破坏的情况下），企业需要一种强大的数据保护解决方案，例如端到端加密(E2EE)解决方案，来保护密码和敏感的交易数据。E2EE可确保敏感数据保持加密状况，甚至在脆弱的网络或应用服务器的内存内。该解决方案可提供针对Heartbleed同类漏洞的保护，防止软件开发人员或DBA等内部人员无意或故意泄露敏感数据。实际上，新加坡金融管理局(MAS)和香港金融管理局(HKMA)已经强制要求金融机构采用E2EE来保护密码和电子银行网站的关键交易数据。

与很多金融机构一样，公司组织也应该在SSL保护之外采用同样的较佳实践方法，加密并通过通信渠道发送加密的密码和敏感数据。通过使用用于数据加密的加密库和密钥数据，在数据提交至服务器之前，在入口点（用户台式机/智能手机）完成加密保护。数据可在到达网络服务器甚至应用服务器的全程保持加密状态。数据可能在应用服务器解密，但是就密码而言，它们将保持加密状态，并在硬件安全模块(HSM)内进行验证。HSM是一种满足FIPS标准、使用防篡改硬件的密码设备。因此，密码可从输入点到对照点全程保持加密状态。除了对抗Heartbleed类型的漏洞外，这样还能确保内部网络中没有人可以在传输和存储过程中获取密码，从而防御内部欺诈行为。

总的来说，有效的密码保护需要组合使用分层的安全解决方案和适当的流程。公司组织不能仅依靠SSL保护，而应该在应用层上实施E2EE解决方案，保护他们的机密信息免遭下一次网络服务器漏洞的影响。

如果存在有关Heartbleed以及如何对抗该漏洞的疑问，请访问www.i-sprint.com或联系i-Sprint安讯奔，电邮：enquiry@i-sprint.com。

相关阅读:

• ...2013/04/12 10:03·i-Sprint 安讯奔解决方案协助中银香港增强网上银行服务
• ...2013/04/12 09:57·安讯奔AccessMatrix™ 系列解决方案荣获2013年第九届安全行业全球卓越大奖(银奖&铜奖)