聚焦openssL致命“心血”漏洞内网安全.pdfVIP

2014年第O5期 2014(第五届)中国物联网大会 2们4可信计算高峰论坛 隆重开幕 在京举办 4Y]1日，2014(第五届)中国物联网大会暨国际物联网博览会在 4月22Et，由全国信息全国信息安全标准化技 北京闰际会议中心隆重开幕。本届大会由工业和信息化部 、中国科学 术委员会可信计算工作组主办，町信计算组织 大 技术协会指导，中国电子学会主办，中国电子学会物联网专家委员会 中华区工作组协办的2014可信计算高峰论坛 (20l4 承办。中国电子学会名誉理事长吴基传 ，中国电子学会副理事长、工 TrustedComputingSummit)在京顺利召开。本次会 业和信息化部总经济师周子学，中国电子学会副理事长、中国工程院 议由全国信息安全标准化技术委员会可信计算工作 院士、中国电子学会物联网专家委员会主任邬贺铨，中国工程院院士 组组长 刘经南，中国电子学会副理事长 、中国科学院院士李未 ，中国电子学 卿斯汉教授主持 ，邀请了来 自TCG、lntel、 会副理事长刘汝林 ，中国科学技术协会学会学术部副部长刘兴平出帘 Microsoft、华为、杭州华三、国民技术、l【{1电集团 了大会。周子学总经济师、刘汝林副理事长分别为本次大会致辞。中 信息安全研究院、武汉大学、中围电子科技集团公 国电子学会秘书长徐晓兰主持会议。 司第三十研究所等单位的知名专家进行 厂主题演 本次大会还设有 “可穿戴计算产业发展之路圆桌论坛及可穿戴 讲。随着可信计算的技术E1臻成熟，可信计算的应 计算产业发展高峰论坛”、 “智慧生态园区建设”、 物“联网应用与 用也不断发展和普及，同时可信汁算所带来的安全 标准化论坛”、 物“联网与传统行业的融合”、 物“联网人才培养工 问题也成为安全领域的热点问题，也是可信计算是 作会议”等五大专题论坛，分别在物联网政策、技术、应用 、商业模 否能够广泛应用的关键因素之一。 式 、人才培养和投融资等方面为业内人士搭建 了交流与合作的平台。 聚焦openssL致命 I~‘‘nn’’漏洞内 近期，伴随OpenSS1 “心脏出血”这一致命漏洞细节暴露而引发的全球互联网安全 “地震”影响深远 重大漏洞，各大瓦联网公司、甲方、乙方、白帽子甚至央视等媒体全都行动起来，同仇敌忾，竞相测试， 传……，大家 得不亦乐乎。一阵喧嚣之后，大家以为尘埃落地，可以归于平静了，但事实远非如此。 安恒信息风暴中心监测发现该漏洞的 余“震”仍在持续发酵，与沸沸扬扬的互联网安全相 比，物理隔绝的企业、政府等封 闭网络似乎显得静悄悄，据国家互联网响应中心报告，我国面临大量境外地址攻击威胁，一旦被黑客利用，将引发更大的安全事 故，而内网也在他们的攻击 目标中，甚至是重点攻击 目标。例如 心“血漏洞”，互联网上已经出现了多个针对该漏洞的攻击利用 代码，造成的损失仍会继续扩大。目前，各大安全网站都已经推出r在线检测系统，能够在线榆查出应用系统使用的OpenSSL版 本是否存在 “心脏出血”漏洞，但这些在线漏洞检测网页仅适用于外网公开服务的应用系统的检测。 就像猫和老鼠的共同进化一样，封闭网络的防护也不可能没有 “天敌”。封闭网络应该对照已公开的漏洞，对其进行弥补， 这是封闭网络安全的底线。遗憾的是，现实中有的封闭网络可能连这条底线都无法满足 ，因为缺乏审查和考验的私有设计更不值 得信任。基于此，安恒信息建议为了保证企业内网的安全性 ，请关注如下建议： 1)使用安恒信息明鉴~Web应用弱点扫描器 (WebScan6．0)的用户可以在线更新策略后输入单个或多个内网目标系统进行 漏洞检测 。 2)需要对 内网中数量庞杂