這幾天大家聽說了，一個名為CVE-2014-0160的漏洞(也被稱為“Heartbleed”)已經(jīng)對超級流行的開源OpenSSL軟件包造成了嚴重威脅，Heartbleed漏洞所衍生的危害是獨一無二前所未有的。

Heartbleed暴露了開源安全組件不為人知的黑暗面：在過去一旦發(fā)現(xiàn)這種“驚天動地”的漏洞，總會有一個供應商為該漏洞所造成的所有損失負責�？稍诖舜蔚拈_源漏洞事件當中，誰又會對相關損失負責呢?恐怕這次需要OpenSSL的用戶自己埋單了。

Heartbleed安全漏洞的爆出對NIST、FIPS 140-2審計實驗室以及FIPS認證市場倡導者而言，無疑也是一個沉重打擊。OpenSSL是第一個通過FIPS 140-2驗證的開源模塊。毫無疑問，就強健性和安全性而言，F(xiàn)IPS 140-2是最令人信服的象征。然而，Heartbleed漏洞的爆出有可能會招致用戶對FIPS安全認證的懷疑，正如曾經(jīng)的Target漏洞引發(fā)了用戶對PCI安全性的質(zhì)疑一樣。

作為全球領先的應用安全和網(wǎng)絡安全解決方案提供商，Radware密切關注行業(yè)內(nèi)的重大安全事件，此次Heartbleed漏洞一經(jīng)曝出，Radware安全專家就為企業(yè)安全專家應如何應對此次漏洞攻擊提出了幾點建議：

· 做好安全預算規(guī)劃：與商業(yè)化或專有解決方案相比，應考慮加入開源安全解決方案會增加企業(yè)的安全風險與成本，同時企業(yè)也很可能要因為由開源漏洞帶來的危害而付出額外代價。基于此項目的TCO和ROI也可能會因此受到影響。

· 進行安全審查：企業(yè)安全專家千萬不要被第三方審計、合規(guī)性及認證方法所迷惑。企業(yè)安全專家一定要非常了解已知的風險，構建適合企業(yè)的安全體系架構，并進行入侵測試。企業(yè)安全專家們一定要切記，在該過程中沒有免費午餐，一定不要因小失大。

· 做好下一步防護措施：企業(yè)安全專家還需要對企業(yè)的安全架構進行審查。不可否認的是，無論企業(yè)安全架構如何，安全專家總能找到可以完善的地方。企業(yè)安全專家或許也曾考慮過Web應用防火墻、IPS解決方案或DLP解決方案，但是不可否認的是，這三個解決方案沒有一個是完美無缺的，唯有采用多層方法才能幫助企業(yè)轉危為安。

Radware安全專家提醒用戶謹記一點，千萬不要把所有的雞蛋放在一個籃子里。用戶在進行網(wǎng)絡安全規(guī)劃時，一定要采用多層技術來確保數(shù)據(jù)的安全。用戶可以利用OpenSSL對敏感數(shù)據(jù)進行加密保護，但同時需要安裝Web應用防火墻，以便企業(yè)攔截來自網(wǎng)站的攻擊和防止數(shù)據(jù)泄露。