■年終專稿

　　2014年，網路安全問題受到了空前的關注，諸多的網路安全事件讓用戶知道了網路資訊所面臨的威脅。

　　2014年，隨著中央網路安全和資訊化領導小組成立、首屆國家網路安全宣傳周、首屆世界網際網路大會在浙江烏鎮召開，資訊安全上升到了國家戰略高度。

　　同時，隨著政府把網路安全提到了國家安全這一高度，也使得網路安全走進了大眾的視野。

　　面對眾多的網路安全事件，不禁對網路安全的本質問題和原有的防護手段進行反思，國家提出的自主可控、安全可信的戰略更加堅定了解決網路安全問題的決心，而這其中可信計算是一個重要途徑。

　　當前，網路空間已被視為繼陸、海、空、天之後的“第五空間”，網路空間已經變為主權空間。我們要建成網路強國，就必須有可控的網路技術。

　　1、微軟Windows XP停維事件

　　今年4月，微軟正式停止為WindowsXP提供安全更新，服役13年的WindowsXP系統就此“退休”。但是在中國大陸XP系統用戶仍高達57.8%，XP的退出將讓許多仍在使用這一系統的用戶無法升級系統修復補丁，會導致PC的安全問題變得更加嚴峻。XP服役多年，已經超過了一般系統的生命週期，XP的退役也帶來了相關産業的獲益。作為中國電子製造業界的“國家隊”，中國電子資訊産業集團有限公司（以下簡稱中國電子）自然不會袖手旁觀。4月3日，中國電子旗下中電長城網際和北京可信華泰資訊技術有限公司在北京上地舉辦新聞發佈會，正式向社會發佈新品“白細胞”作業系統免疫平臺，標誌著我國自主創新的基於可信技術的新一代網路安全技術路線實現産業化。

　　2、OpenSSL心臟滴血

　　來自OpenSSL的緊急安全警告：OpenSSL出現“Heartbleed”安全漏洞。這一漏洞讓任何人都能讀取系統的運作記憶體。雖然已經有了一個緊急補丁，但在安裝它之前，成千上萬的伺服器都處於危險之中。

　　該漏洞在網際網路又稱為“heartbleed bug”，中文名稱叫做“心臟出血”、“擊穿心臟”等。Heartbleed漏洞，這項嚴重缺陷(CVE-2014-0160)的産生是由於未能在memcpy()調用受害用戶輸入內容作為長度參數之前正確進行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB暫存、將超出必要範圍的字節資訊複製到暫存當中再返回暫存內容，這樣一來受害者的記憶體內容就會以每次64KB的速度進行洩露。

　　Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程師發現的，並提交給相關管理機構，隨後官方很快發佈了漏洞的修復方案。2014年4月7號，程式員Sean Cassidy則在自己的部落格上詳細描述了這個漏洞的機制。

　　2014年4月9日，Heartbleed（意為“心臟出血”）的重大安全漏洞被曝光，一位安全行業人士在知乎上透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次後，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

　　3、eBay數據的大泄漏

　　2014年5月22日，eBay要求近1.28億活躍用戶全部重新設置密碼，此前這家零售網站透露駭客能從該網站獲取密碼、電話號碼、地址及其他個人數據。該公司表示，對這次網路攻擊的調查顯示，“沒有證據”表明駭客攻破了該集團旗下的PayPal線上支付服務——PayPal的客戶數據與eBay的客戶數據是分開存儲和加密的。

　　該公司表示，駭客得手的eBay數據庫不包含客戶任何財務資訊——比如信用卡號碼之類的資訊。eBay表示該公司會就重設密碼一事聯繫用戶。這次泄密事件發生在今年2月底和3月初，eBay是在大約兩周前發現這一泄密事件的。該公司並未説明有多少用戶受到此次事件的影響。eBay還表示，駭客獲取了“少數”員工登錄授權，令他們能夠訪問該公司的企業網路。

　　4、中國網際網路DNS大劫難

　　1月21日下午3點10分左右，國內通用頂級域的根伺服器忽然出現異常，導致眾多知名網站出現DNS解析故障，用戶無法正常訪問。雖然國內訪問根伺服器很快恢復，但由於DNS暫存問題，部分地區用戶“斷網”現象仍將持續數個小時，至少有2/3的國內網站受到影響。微網志調查顯示，“1·21全國DNS大劫難”影響空前。事故發生期間，超過85%的用戶遭遇了DNS故障，引發網速變慢和打不開網站的情況。（李國敏）