阿里云未及時將“超級漏洞”上報工信部被處罰

阿里云未及時將“超級漏洞”上報工信部被處罰

十多年的善右網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。網(wǎng)絡(luò)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整善右建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)公司從事“善右網(wǎng)站設(shè)計”,“善右網(wǎng)站推廣”以來，每個客戶項目都認(rèn)真落實執(zhí)行。

阿里云未及時將“超級漏洞”上報工信部被處罰，阿里云發(fā)現(xiàn)這個可能是“計算機(jī)歷史上最大的漏洞”后，并未及時向中國工信部通報相關(guān)信息。阿里云未及時將“超級漏洞”上報工信部被處罰。

阿里云未及時將“超級漏洞”上報工信部被處罰1

近日，有媒體報道，阿里云發(fā)現(xiàn)阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。因此，暫停阿里云作為上述合作單位 6 個月。

原本一個技術(shù)圈子的事情因此成為社會熱議話題。一時間網(wǎng)友分化為了兩個圈子——

非技術(shù)圈的人說：感覺阿里云只報給阿帕奇這個技術(shù)社區(qū)，不上報組織，是沒把國家安全放心上。

技術(shù)圈層說：當(dāng)然是誰寫的bug報給誰，阿帕奇的安全漏洞，報給阿帕奇是應(yīng)該的，不能上綱上線。

23日晚間，阿里云就log4j2漏洞發(fā)布了說明，誠懇認(rèn)錯，表示要強(qiáng)化漏洞報告管理、提升合規(guī)意識，積極協(xié)同各方共同做好網(wǎng)絡(luò)安全防范工作。

回顧這個非常技術(shù)的話題，有諸多事實需要厘清。

首先，阿帕奇開源社區(qū)是什么？Log4j2組件是什么？

阿帕奇是國際上比較有影響力的一個開源社區(qū)。官網(wǎng)上顯示，華為、騰訊、阿里等中國公司是這個開源社區(qū)的主要貢獻(xiàn)者，另外也包括谷歌、微軟等美國企業(yè)。全球的軟件工程師，在這里共建一些基礎(chǔ)的軟件部件，相互迭代、提高公共效率，是軟件產(chǎn)業(yè)的一個特有現(xiàn)象。

本次發(fā)現(xiàn)漏洞的Log4j2 就是開源社區(qū)阿帕奇旗下的開源日志組件，很多企業(yè)都會會用這個組件來開發(fā)自己的系統(tǒng)。在阿里云的工程師發(fā)現(xiàn)這個組件有問題的時候，就郵件詢問了阿帕奇，請社區(qū)確認(rèn)這是否是一個漏洞、評估影響范圍。

而后阿帕奇確認(rèn)這是一個漏洞，并通知開發(fā)者們修補(bǔ)這個漏洞。于是，出現(xiàn)了天涯共此時，一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個官方上報平臺，僅僅按業(yè)界的慣例向以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。

其次，工信部暫停阿里云6個月合作單位資格，意味著什么？

據(jù)工信微報——「12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險預(yù)警?！?/p>

媒體報道的暫停6個月合作單位資格，并未出現(xiàn)在公開渠道。據(jù)業(yè)內(nèi)人士分析，這并不是一個嚴(yán)格意義上的“處罰”，否則不可能不公開通報。其次，網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺是一個收集、通報網(wǎng)絡(luò)安全漏洞的平臺，暫停這個平臺的合作資質(zhì)并不對業(yè)務(wù)造成影響。

工信部關(guān)于Log4j2漏洞的風(fēng)險提示

但此次事件，從側(cè)面體現(xiàn)了計算機(jī)行業(yè)中普遍存在的意識疏漏。在國內(nèi)計算機(jī)行業(yè)幾十年的發(fā)展過程中，大量從業(yè)人員、組織養(yǎng)成了與開源社區(qū)合作的工作習(xí)慣，但對更高層面的安全意識、合規(guī)意識，在思想上、制度上都有所不足。阿里云的'漏報行為，也是這一意識疏漏的一次具體體現(xiàn)。

整體而言，此次事件對行業(yè)的影響是正面的，這是一次警示、也是一次示范。阿里云是行業(yè)領(lǐng)先的IT企業(yè)，這也是能夠率先發(fā)現(xiàn)全球重大安全漏洞的原因，而此次事件的發(fā)生，無疑將會增強(qiáng)計算機(jī)行業(yè)的安全合規(guī)意識，可以想見，無論是阿里云、還是其他諸多科技企業(yè)，都將在企業(yè)和組織內(nèi)部增強(qiáng)合規(guī)培訓(xùn)和流程規(guī)范。

阿里云未及時將“超級漏洞”上報工信部被處罰2

近期，工信部網(wǎng)絡(luò)安全管理局通報稱，阿里云計算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

觀察者網(wǎng)日前曾對該事件做過詳細(xì)報道，11月24日，阿里云發(fā)現(xiàn)這個可能是“計算機(jī)歷史上最大的漏洞”后，率先向阿帕奇軟件基金會披露了這一漏洞，但并未及時向中國工信部通報相關(guān)信息。這一漏洞的存在，可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日，阿里云計算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局將持續(xù)組織開展漏洞處置工作，防范網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險，維護(hù)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。

阿里云未及時將“超級漏洞”上報工信部被處罰3

12月23日晚間，阿里云計算有限公司（以下簡稱“阿里云”）對發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告的事件進(jìn)行了回應(yīng)，阿里云表示，阿里云因在早期未意識到該漏洞的嚴(yán)重性，未及時共享漏洞信息。阿里云將強(qiáng)化漏洞報告管理、提升合規(guī)意識，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險防范工作。

阿里云表示，近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認(rèn)這是一個安全漏洞，并向全球發(fā)布修復(fù)補(bǔ)丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。

此前，阿里云因此事被罰。12月22日，工信部網(wǎng)絡(luò)安全管理局通報稱，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

12月9日，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里云在中國云市場上占據(jù)著重要地位，此前，Canalys發(fā)布中國云計算市場2021年第三季度報告。報告顯示，2021年第三季度中國云計算市場整體同比增長43%，達(dá)到72億美元。阿里云在2021年第三季度以38.3%的份額領(lǐng)先中國大陸市場，33.3%的年收入增長主要受互聯(lián)網(wǎng)、金融服務(wù)和零售行業(yè)的推動。

安全工信部通報阿里云，未及時上報重大漏洞，國資云建設(shè)刻不容緩

中科院云計算中心分布式存儲聯(lián)合實驗室特訊： 近期，工信部網(wǎng)絡(luò)安全管理局通報，暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。此次事件源自阿里云發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患報告不及時， 再次為國家數(shù)據(jù)安全敲響警鐘，國資云建設(shè)刻不容緩、勢在必行。

近期，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱，阿里云計算有限公司（簡稱“阿里云”）是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇嚴(yán)重安全漏洞的時間線：

11月24日

阿里云在阿帕奇（Apache）開放基金會下的開源日志組件Log4j2內(nèi)，發(fā)現(xiàn)重大漏洞Log4Shell，然后向總部位于美國的阿帕奇軟件基金會報告。

獲得消息后，奧地利和新西蘭官方計算機(jī)應(yīng)急小組立即對這一漏洞進(jìn)行預(yù)警。新西蘭方面聲稱，該漏洞正在被“積極利用”，并且概念驗證代碼也已被發(fā)布。

12月9日

中國工信部收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，并向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。

12月9日

阿帕奇官方發(fā)布緊急安全更新以修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞，漏洞利用細(xì)節(jié)公開，但更新后的Apache Log4j2.15.0-rc1版本被發(fā)現(xiàn)仍存在漏洞繞過。

12月10日

中國國家信息安全漏洞共享平臺收錄Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞；阿帕奇官方再度發(fā)布log4j-2.15.0-rc2版本修復(fù)漏洞。

12月10日

阿里云在官網(wǎng)公告披露，安全團(tuán)隊發(fā)現(xiàn)Apache Log4j2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日

中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》，供相關(guān)單位、企業(yè)及個人參考。

12月22日

工信部通報，由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

在服務(wù)器的組件中，日志組件是應(yīng)用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項目log4j是一個功能強(qiáng)大的日志組件，被廣泛應(yīng)用。

由于Apache Log4j存在遞歸解析功能，未取得身份認(rèn)證的用戶，可以從遠(yuǎn)程發(fā)送數(shù)據(jù)請求輸入數(shù)據(jù)日志，輕松觸發(fā)漏洞，最終在目標(biāo)上執(zhí)行任意代碼。即 攻擊者只要提交一段代碼，就可以進(jìn)入對方服務(wù)器，而且可以獲得最高權(quán)限，控制對方服務(wù)器。通俗說，黑客通過這個普遍存在的漏洞，可以在服務(wù)器上做任何事。

有關(guān)報道顯示，黑客在72小時內(nèi)利用Log4j2漏洞，向全球發(fā)起了超過84萬次的攻擊。利用這個漏洞，攻擊者幾乎可以獲得無限的權(quán)利——比如他們可以 提取敏感數(shù)據(jù)、將文件上傳到服務(wù)器、刪除數(shù)據(jù)、安裝勒索軟件、或進(jìn)一步散播到其它服務(wù)器。

國外網(wǎng)友以漫畫說明Log4j2的重要性

該漏洞CVSS評分達(dá)到了滿分10分，IT 通信（互聯(lián)網(wǎng)）、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運營商等各行各業(yè)都將受到波及，全球互聯(lián)網(wǎng)大廠、 游戲 公司、電商平臺等都有被影響的風(fēng)險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度，網(wǎng)易、新浪以及特斯拉等全球大廠，悉數(shù)中招，眾多媒體將這個漏洞形容成“史詩級”“核彈級”漏洞，可以說相當(dāng)貼切。

據(jù)工信部官網(wǎng)消息，今年9月1日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺正式上線運行。其中提到，根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)及時向平臺報送相關(guān)漏洞信息，鼓勵漏洞收集平臺和其他發(fā)現(xiàn)漏洞的組織或個人向平臺報送漏洞信息。

此次事件中，作為我國云計算服務(wù)的頭部供應(yīng)商的阿里云，11月24日發(fā)現(xiàn)計算機(jī)史上最大的漏洞，是先向國外的Apache基金會報告，而未及時向主管部門報送漏洞信息。工信部得知情況，已經(jīng)是12月9日，中間已經(jīng)過了15天。這十五天，中國的互聯(lián)網(wǎng)簡直是在裸奔。這期間已經(jīng)有黑客掌握了這個漏洞，在利用這個漏洞進(jìn)行網(wǎng)絡(luò)攻擊。作為新基建重要一環(huán)的云計算平臺，更加應(yīng)以謹(jǐn)慎的心態(tài)承擔(dān)起保障網(wǎng)絡(luò)安全的責(zé)任。

國資云建設(shè) 安全自主可控為上

互聯(lián)網(wǎng)時代，國家安全自然延伸到了網(wǎng)絡(luò)。各個國家，都在想辦法堵自己漏洞，找別人家的漏洞，甚至是隱藏的后門。同樣的漏洞，那就是看誰率先掌握。國外的開源軟件層出不窮的漏洞，隱沒難尋的后門，應(yīng)用于國家重要機(jī)構(gòu)或事關(guān) 社會 民生的部門，其潛在危害難以估量。我們除了想方設(shè)法被動收集修復(fù)漏洞，還要大力發(fā)展和利用自主安全可控的技術(shù)，才能在互聯(lián)網(wǎng)領(lǐng)域?qū)で髴?zhàn)略平衡，保障國家安全。

所以說，阿里云的這次行動足以為戒，忽視國家各項數(shù)據(jù)安全法律法規(guī)，國家安全責(zé)任意識淡漠，將國家網(wǎng)絡(luò)安全置于巨大的危機(jī)之中。試問這樣的第三方云服務(wù)商，如何讓國家機(jī)構(gòu)、央企國企放心將數(shù)據(jù)業(yè)務(wù)托管？

風(fēng)險就在那里，警告從未缺席。國資云以安全自主可控、平穩(wěn)可靠運行為上，才能確保國家安全，盡到 社會 責(zé)任。第三方云服務(wù)商難以超越企業(yè)自身的穩(wěn)健盈利，更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資云的建設(shè)將第三方云服務(wù)商排除在外，是互聯(lián)網(wǎng)競爭環(huán)境的使然，也是數(shù)據(jù)安全責(zé)任的擔(dān)當(dāng)，更是時代賦予的使命。

“國資云”建設(shè) 大勢所趨

經(jīng)過深入研究分析，北京交通大學(xué)信息管理理論與技術(shù)國際研究中心（ICIR）認(rèn)為， “國資云”建設(shè)是大勢所趨，原因主要有以下三方面：

一是“國資云”建設(shè)是國有資產(chǎn)管理的需要。國企數(shù)據(jù)資源屬于國有資產(chǎn)，應(yīng)納入國資監(jiān)管和統(tǒng)一管理，保護(hù)國有數(shù)據(jù)資產(chǎn)安全是建設(shè)國資云的核心目的；

二是“國資云”建設(shè)是保障國家重要數(shù)據(jù)安全的需要。近期，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《中華人民共和國個人信息保護(hù)法》、《中華人民共和國數(shù)據(jù)安全法》相繼頒布實施，將數(shù)據(jù)安全提升到前所未有的高度，而國有企業(yè)的許多數(shù)據(jù)事關(guān)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全；

三是“國資云”建設(shè)是信創(chuàng)工程落地的重要抓手。在“國資云”數(shù)據(jù)中心逐步加大CPU、操作系統(tǒng)、存儲、數(shù)據(jù)庫、中間件等國產(chǎn)信創(chuàng)產(chǎn)品比重，并鼓勵國產(chǎn)信創(chuàng)業(yè)務(wù)系統(tǒng)與“國資云”數(shù)據(jù)中心基礎(chǔ)設(shè)施適配應(yīng)用，從基礎(chǔ)到應(yīng)用全方位推進(jìn)信創(chuàng)工程步伐。

因此，“國資云”建設(shè)的重要意義在業(yè)界已達(dá)成高度共識。

國資云賦能云上安全 G-Cloud增強(qiáng)國企競爭力

國有企業(yè)是中國特色 社會 主義的重要物質(zhì)基礎(chǔ)和政治基礎(chǔ)，是我們黨執(zhí)政興國的重要支柱和依靠力量，國有企業(yè)不僅具有鮮明的政治屬性，也具有強(qiáng)烈的經(jīng)濟(jì)屬性和物質(zhì)屬性，堅定不移地將國有企業(yè)做強(qiáng)做大做優(yōu)是黨和人民對國有企業(yè)的基本要求。因此，國有企業(yè)更需要資產(chǎn)不斷保值增值，規(guī)模不斷發(fā)展壯大，盈利水平不斷提高，這就要求國有企業(yè)必需使用最先進(jìn)的生產(chǎn)工具，創(chuàng)造出最先進(jìn)的生產(chǎn)力，保持在國際國內(nèi)市場中的競爭力。

而云計算平臺就是當(dāng)前最先進(jìn)的生產(chǎn)工具。云計算平臺中除了計算、存儲、網(wǎng)絡(luò)、虛擬化等Iaas服務(wù)相對比較成熟外，在Paas、Saas層面的技術(shù)創(chuàng)新速度非?？?，產(chǎn)品迭代周期不斷縮短，不同的廠商提供的云平臺服務(wù)在技術(shù)領(lǐng)先性、服務(wù)穩(wěn)定性、用戶覆蓋面等方面具有非常大的差異。

在激烈的市場競爭中，企業(yè)選擇了什么類型、什么廠商的云服務(wù)，在一定程度上意味著企業(yè)使用了什么工具和武器，在很大程度上決定了企業(yè)的生產(chǎn)效率、管理效率和市場效率，也就決定了企業(yè)的競爭力。

國資云賦能云上安全，打造排除第三方云服務(wù)商的行業(yè)專屬私有云。 中科院云計算中心自主研發(fā)的G-Cloud云操作系統(tǒng)，首要勝在安全。 其次G-Cloud在智慧城市、智慧醫(yī)療、智慧教育、智慧交通等領(lǐng)域的成功案例，將有助于充分激活國企強(qiáng)勁的競爭力、影響力、帶動力。

2021年11月， 國資云平臺中科云（東莞） 科技 有限公司正式成立，由中科院、東莞市政府等多方投資的上市企業(yè)國云 科技 控股，國資背景加持，官方認(rèn)可，國內(nèi)頂尖 科技 機(jī)構(gòu)技術(shù)背書，使用國內(nèi)首個自主產(chǎn)權(quán)、安全可控的G-Cloud云操作系統(tǒng)，建設(shè)“國資云”， 賦能千行百業(yè)數(shù)字化轉(zhuǎn)型升級，最大化優(yōu)化國有資本布局，提高國有資本運營效能、產(chǎn)業(yè)互聯(lián)和商業(yè)創(chuàng)新！

中科云凝聚服務(wù)政企信息化、數(shù)字化建設(shè)的核心團(tuán)隊， 聯(lián)合產(chǎn)學(xué)研用各方力量，融合大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等新一代信息技術(shù)，在政府、醫(yī)療、教育、交通、智能制造等多行業(yè)、多領(lǐng)域提供新型基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)分布式存儲服務(wù)，助力國資國企規(guī)模和實力的持續(xù)增長，實現(xiàn)高質(zhì)量發(fā)展。

我的阿里云服務(wù)器怎么能保證安全不被人攻擊啊

防止阿里云服務(wù)器不被攻擊：

首先系統(tǒng)內(nèi)部安全要做好，系統(tǒng)漏洞補(bǔ)丁要打好，防火墻的策略、開放那些端口訪問，允許那些IP訪問，這些基本的設(shè)置要做好。

使用一些專業(yè)的安全漏洞掃描工具，阿里云自己有一個安全分析工具叫態(tài)勢感知，利用工具可以分析發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊威脅。

使用一些管理工具管理阿里云主機(jī)，可以很方便的管理阿里云主機(jī)，可以設(shè)置管理成員的權(quán)限，防止管理混亂，減少對外端口開放，還附帶安全漏洞檢查。

遭遇到DDoS攻擊，需要購買第三方防DDoS攻擊的服務(wù)，阿里云市場里面有云盾DDoS、東軟、服務(wù)器安全加固及優(yōu)化等一些防攻擊的產(chǎn)品。

阿里云未及時通報重大網(wǎng)絡(luò)安全漏洞，會帶來什么后果？

【文/觀察者網(wǎng) 呂棟】

這事緣起于一個月前。當(dāng)時，阿里云團(tuán)隊的一名成員發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞后，隨即向位于美國的阿帕奇軟件基金會通報，但并沒有按照規(guī)定向中國工信部通報。事發(fā)半個月后，中國工信部收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的報告，才發(fā)現(xiàn)阿帕奇組件存在嚴(yán)重安全漏洞。

阿帕奇組件存在的到底是什么漏洞？阿里云沒有及時通報會造成什么后果？國內(nèi)企業(yè)在發(fā)現(xiàn)安全漏洞后應(yīng)該走什么程序通報？觀察者網(wǎng)帶著這些問題采訪了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個領(lǐng)域。由于阿里云未及時向中國主管部門報告相關(guān)漏洞，直接造成國內(nèi)相關(guān)機(jī)構(gòu)處于被動地位。

關(guān)于Log4j2組件在計算機(jī)網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵作用，有國外網(wǎng)友用漫畫形式做了形象說明。按這個圖片解讀，如果沒有Log4j2組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都存在倒塌的危險。

國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網(wǎng)梳理此次阿帕奇嚴(yán)重安全漏洞的時間線如下：

根據(jù)公開資料，此次被阿里云安全團(tuán)隊發(fā)現(xiàn)漏洞的Apache Log4j2是一款開源的Java日志記錄工具，控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

有資深業(yè)內(nèi)人士告訴觀察者網(wǎng)，Log4j2組件出現(xiàn)安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統(tǒng)中應(yīng)用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細(xì)節(jié)被公開，由于利用條件極低幾乎沒有技術(shù)門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴(kuò)散并迅速傳播到各個行業(yè)領(lǐng)域。

簡單來說，這一漏洞可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

這并非危言聳聽。美聯(lián)社等外媒在獲取消息后評論稱，這一漏洞可能是近年來發(fā)現(xiàn)的最嚴(yán)重的計算機(jī)漏洞。Log4j2在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。

阿里云官網(wǎng)截圖

然而，阿里云在發(fā)現(xiàn)這個“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”后，并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送信息，而只是向阿帕奇軟件基金會通報了相關(guān)信息。

觀察者網(wǎng)查詢公開資料發(fā)現(xiàn)，阿帕奇軟件基金會（Apache）于1999年成立于美國，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

12月10日，在阿里云向阿帕奇軟件基金會通報漏洞過去半個多月后，中國國家信息安全漏洞共享平臺才獲得相關(guān)信息，并發(fā)布《關(guān)于Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告》，稱阿帕奇官方已發(fā)布補(bǔ)丁修復(fù)該漏洞，并建議受影響用戶立即更新至最新版本，同時采取防范性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平臺官網(wǎng)截圖

事實上，國內(nèi)網(wǎng)絡(luò)漏洞報送存在清晰流程。業(yè)內(nèi)人士向觀察者網(wǎng)介紹，業(yè)界通用的漏洞報送流程是，成員單位工業(yè)和信息化部網(wǎng)絡(luò)安全管理局 國家信息安全漏洞共享平臺（CNVD） CVE 中國信息安全測評中心 國家信息安全漏洞庫（CNNVD） 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據(jù)公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協(xié)調(diào)企業(yè)修復(fù)解決安全問題，由于最早由美國發(fā)起該漏洞技術(shù)委員會，所以組織管理機(jī)構(gòu)主要在美國。而CNVD是中國的信息安全漏洞信息共享平臺，由國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫。

上述業(yè)內(nèi)人士認(rèn)為，阿里這次因為漏洞影響較大，所以被當(dāng)做典型通報。在CNVD建立之前以及最近幾年，國內(nèi)安全人員對CVE的共識、認(rèn)可度和普及程度更高，發(fā)現(xiàn)漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認(rèn)為是個人技術(shù)成果的事情，上報國際組織協(xié)調(diào)修復(fù)即可。

但根據(jù)最新發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，國內(nèi)安全研究人員發(fā)現(xiàn)漏洞之后報送CNVD即可，CNVD會發(fā)起向CVE報送流程，協(xié)調(diào)廠商和企業(yè)修復(fù)安全漏洞，不允許直接向國外漏洞平臺提交。

由于阿里云這次的行為未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，根據(jù)工信部最新通報，工信部網(wǎng)絡(luò)安全管理局研究后，決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

業(yè)內(nèi)人士向觀察者網(wǎng)指出，工信部這次針對是阿里，其實也是向國內(nèi)網(wǎng)絡(luò)安全行業(yè)從業(yè)人員發(fā)出警示。從結(jié)果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進(jìn)行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網(wǎng)獨家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

新聞標(biāo)題：阿里云服務(wù)器代碼會漏露嗎 阿里云服務(wù)器常用命令
文章URL：http://jinyejixie.com/article20/dohpeco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、手機(jī)網(wǎng)站建設(shè)、建站公司、網(wǎng)站收錄、、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)