近日，信息安全圈的最大新聞莫過(guò)于Open SSL的心臟出血(Heartbleed)漏洞。由于OpenSSL在諸如Apache、Nginx等開源軟件上的廣泛應(yīng)用，該漏洞給整個(gè)互聯(lián)網(wǎng)行業(yè)帶來(lái)了嚴(yán)峻挑戰(zhàn)。漏洞發(fā)生在OpenSSL對(duì)TLS的心跳擴(kuò)展(RFC6520)的實(shí)現(xiàn)代碼中，由于遺漏了一處邊界檢查，使攻擊者無(wú)需任何特權(quán)信息或身份驗(yàn)證，就能夠從服務(wù)器內(nèi)存中讀取請(qǐng)求存儲(chǔ)位置之外的多達(dá)64 KB的數(shù)據(jù)，可能包含證書私鑰、用戶名與密碼、聊天消息、電子郵件以及重要的商業(yè)文檔和通信等數(shù)據(jù)。目前，可能受到該漏洞影響的著名網(wǎng)站包括支付寶、淘寶、雅虎、微信等。

當(dāng)大型互聯(lián)網(wǎng)公司的攻城師、專業(yè)安全廠商的白帽子以及不見光領(lǐng)域的黑客們加班加點(diǎn)不斷打補(bǔ)丁、發(fā)預(yù)警通知、升級(jí)系統(tǒng)、漏洞攻擊測(cè)試、攻擊擴(kuò)展推衍時(shí)，缺乏技術(shù)力量支撐的企業(yè)及政府用戶不禁要問(wèn)，我們?cè)撛趺醋?很明顯，傳統(tǒng)的安全防護(hù)手段是難以奏效的，傳統(tǒng)的安全產(chǎn)品如UTM、NIPS、 NGFW等完全不對(duì)SSL流量進(jìn)行檢測(cè)，而打補(bǔ)丁升級(jí)的方式需要對(duì)OpenSSL庫(kù)進(jìn)行重編譯，甚至是對(duì)整個(gè)系統(tǒng)進(jìn)行較大的升級(jí)調(diào)整。

有沒(méi)有簡(jiǎn)單可行的解決方案?答案是有。太一星晨推出的T-Force應(yīng)用交付產(chǎn)品，支持基于硬件的SSL卸載和加速，通過(guò)完整HTTP代理模式，可將原本由服務(wù)器進(jìn)行的SSL加解密的工作完全接管。而在T-Force應(yīng)用交付產(chǎn)品中，采用了經(jīng)過(guò)專門安全加固的SSL協(xié)議棧和最高性能達(dá)20Gbps的ASIC硬件加速卡，不但完全避免了Heartbleed漏洞的影響，而且可以大幅提升整個(gè)業(yè)務(wù)系統(tǒng)的SSL處理能力。同時(shí)，采用太一星晨T-Force方案時(shí)，用戶的業(yè)務(wù)系統(tǒng)無(wú)需做任何升級(jí)，大幅提升了部署速度。

目前，太一星晨已協(xié)助部分用戶進(jìn)行了配置更新，以快速解決Heartbleed的威脅。