上周路透社披露Versign在2011年10月发给美国证卷交易委员会(Securities and Exchange Commission)的报告中承认其在2010年遭到不止一次的安全攻击。

Verisign在2010年遭到数次数据盗窃的安全攻击，但它并未说明什么数据被盗，只是宣称公司支持的DNS网络并未受到影响。至于被窃取的信息是否会危及Verisign的客户，鉴于Verisign一直对此事保持沉默，只是说它并不知道被窃的数据是否已经被利用，这些都不确定。

Verisign遭到攻击意味着什么？

Verisign控制着互联网13个根DNS服务器，所以，最糟的情况是，如果它们被攻破并感染了其他服务器，这将使网络用户无法键入URL和访问网页。

此外，Verisign还发布SSL数据证书以保证互联网用户在确保安全连接的情况下能够访问其目标服务器。如果系统被攻破，罪犯能够使用假证书伪装成合法的网站窃取受害者的个人信息。

去年证书机构Comodo和DigiNotar也发生了类似的事件，而且直接导致了NigiNotar的破产。那么，该事件是否会使Versign遭遇相似的结果？Verisign公司曾告诉SEC：“如果我们遭到安全攻击，我们将面临负债，并且我们的信誉和业务也将面临危机。”

如此重要的事件，2010年遭到攻击为何现在才被披露？

攻击发生的准确时间是在2010年8月9日，也就是赛门铁克收购Verisign部分业务之前。赛门铁克表示攻击在其收购这些资产后，并未发生攻击。

而Verisign直至2011年的秋季才向美国证卷交易委员会(SEC)报告此事。美国证卷交易委员会新规定中要求上市公司需要报告此类遭到攻击的事件，新规定在2011年10月生效。Verisign对此的解释是知道此事的员工直到2011年9月才向其上级主管报告此事，Verisign称“此次攻击事件并没有充分的报告给公司的管理层”。

而路透社由于正在调查新规定要求什么样的文件需要提交，才牵出该事件。

美国SEC对于多严重的攻击事件需要向SEC报告这一问题并没有详细的说明，但上面写着“如果这些事件包含会导致公司投资风险的非常关键的要素，注册人应该报告其网络攻击事件的危险”。

证交会的指导方针很长但包括“…如果网络攻击窃取了相关知识产权，并且被窃的效果类似于物质性的失窃，那么注册人应该说明被窃的财产及其给运营、流动资产和财务状况带来的影响，以及攻击是否会导致被报道的财务信息不会成为未来经营业绩或财务状况的指标。”

Verisign采取了什么样的安全措施？

根据其向SEC递交的文件，公司“需要投入一定的时间和金钱来威胁或提升其设备和基础设施的安全性”。即便如此，该公司或将成为其他攻击的牺牲品，公司在该文件中写到，“很有可能我们还需要投入额外的金融和其他资源用于解决这些问题”。

而Verisign的用户或许还被蒙在鼓里。至于Verisign的用户应该采取什么样的措施来保证安全？目前主要有两种情况：相信Verisign一旦发现存在严重的问题一定会告知他们的用户目前并没有采取任何行动;而另外的用户则做了最坏打算并弃用了Verisign。由于不知道具体什么样的信息遭到窃取，因此没办法确定什么是最好的解决办法。或许比起公司告知媒体的信息，如果直接问Verisign会从他们那获得更多信息，正如RSA去年遭到攻击的时候也是如此。

赛门铁克官方博客发声明：赛门铁克并未被攻击

鉴于Verisign公司只是表示其遭受的攻击并未影响其DNS网络，且攻击发生在赛门铁克收购Verisign部分业务之前。

赛门铁克也对Verisign遭到攻击的事件发表了声明：“赛门铁克非常重视其解决方案的安全及功能。赛门铁克收购的可信性服务(SSL)、用户认证(VIP, PKI, FDS)和其他的产品系统并未因Verisign在给SEC提交的季报中提及的网络攻击事件而收到攻击损害。”（http://www.symantec.com/connect/blogs/verisign-inc-breach-update-symantec-not-compromised）

的确，很多人将Verisign遭到的攻击与其被赛门铁克收购的SSL身份认证品牌联系在一起，因此质疑该产品的安全性。但是赛门铁克的这一声明，无疑给SSL的用户吃下一颗定心丸。

(责任编辑：)