新華網(wǎng)北京4月9日電(記者南婷、程士華)8日，常用於電商、網(wǎng)銀等安全性極高網(wǎng)站的網(wǎng)路安全協(xié)議Open　SLL被曝出存在安全漏洞，危及全球包括銀行、電商在內(nèi)關(guān)鍵部門(mén)和普通用戶財(cái)産和資訊安全。這一漏洞一旦被惡意利用，意味著用戶登錄這些電商、網(wǎng)銀的賬戶、密碼等關(guān)鍵資訊都將洩露。

　　北京知道創(chuàng)宇資訊技術(shù)有限公司研究部總監(jiān)鐘晨鳴表示，此次漏洞會(huì)影響為數(shù)眾多的使用https的網(wǎng)站，包括公眾熟知並且經(jīng)常訪問(wèn)的微信、淘寶、各個(gè)網(wǎng)銀、社交、門(mén)戶等知名網(wǎng)站，而且越是知名的大網(wǎng)站，越是容易受到不法分子利用漏洞進(jìn)行的攻擊。

　　據(jù)南京翰海源資訊技術(shù)有限公司創(chuàng)始人方興介紹，通俗來(lái)講，通過(guò)這個(gè)漏洞，可以洩露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資産如網(wǎng)銀隱私數(shù)據(jù)被盜取；三是伺服器配置和源碼，伺服器可以被攻破；四是伺服器掛掉不能提供服務(wù)。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次後，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　這一漏洞被曝出後，全球的駭客與安全保衛(wèi)者們展開(kāi)了競(jìng)賽。駭客在不停地試探各類伺服器，試圖從漏洞中抓取到儘量多的用戶數(shù)據(jù)；安全保衛(wèi)者則在盡可能短的時(shí)間裏升級(jí)系統(tǒng)、彌補(bǔ)漏洞，實(shí)在來(lái)不及實(shí)施的則暫時(shí)關(guān)閉某些服務(wù)。

　　鐘晨鳴説，這個(gè)漏洞實(shí)際上出現(xiàn)于2012年，至今兩年多，誰(shuí)也不知道是否已經(jīng)有駭客利用漏洞獲取了用戶資料；而且由於該漏洞即使被入侵也不會(huì)在伺服器日誌中留下痕跡，所以目前還沒(méi)有辦法確認(rèn)哪些伺服器被入侵，也就沒(méi)法定位損失、確認(rèn)洩露資訊，從而通知用戶進(jìn)行補(bǔ)救。

　　國(guó)家應(yīng)急中心直到9日才開(kāi)始聯(lián)動(dòng)，響應(yīng)並不及時(shí)。該中心一名專家坦陳，從2003年，國(guó)家應(yīng)急中心就試圖建立漏洞觸發(fā)的相關(guān)應(yīng)急工作和能力，但是這一領(lǐng)域的工作到現(xiàn)在也不夠清晰，需要新的能力架構(gòu)設(shè)計(jì)。“純事件觸發(fā)有時(shí)太晚太被動(dòng)，2001年至2004年有很多教訓(xùn)，技術(shù)上存在適當(dāng)前移的可能。”

　　業(yè)內(nèi)人士建議，需從頂層設(shè)計(jì)著手，在政策層面明確導(dǎo)向資訊安全與資訊化的一體性質(zhì)，以及安全與建設(shè)的全週期結(jié)合。從規(guī)劃角度，要導(dǎo)向政企單位建立綜合的資訊安全能力，要強(qiáng)調(diào)資訊安全的體系化建設(shè)，把離散的等級(jí)保護(hù)要求推動(dòng)到下一步的整體建設(shè)中。