阿里雲被暫停工信部網路安全威脅

Ⅰ 阿里雲未及時通報重大網路安全漏洞，會帶來什麼後果

【文/觀察者網 呂棟】

這事緣起於一個月前。當時，阿里雲團隊的一名成員發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞後，隨即向位於美國的阿帕奇軟體基金會通報，但並沒有按照規定向中國工信部通報。事發半個月後，中國工信部收到網路安全專業機構的報告，才發現阿帕奇組件存在嚴重安全漏洞。

阿帕奇組件存在的到底是什麼漏洞？阿里雲沒有及時通報會造成什麼後果？國內企業在發現安全漏洞後應該走什麼程序通報？觀察者網帶著這些問題采訪了一些業內人士。

漏洞銀行聯合創始人、CTO張雪松向觀察者網指出，Log4j2組件應用極其廣泛，漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞，直接造成國內相關機構處於被動地位。

關於Log4j2組件在計算機網路領域的關鍵作用，有國外網友用漫畫形式做了形象說明。按這個圖片解讀，如果沒有Log4j2組件的支撐，所有現代數字基礎設施都存在倒塌的危險。

國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下：

根據公開資料，此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具，控制Java類系統日誌信息生成、列印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用於各種應用程序和網路服務。

有資深業內人士告訴觀察者網，Log4j2組件出現安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統中應用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細節被公開，由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴散並迅速傳播到各個行業領域。

簡單來說，這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。

這並非危言聳聽。美聯社等外媒在獲取消息後評論稱，這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進入內部網路，竊取信息、植入惡意軟體和刪除關鍵信息等。

阿里雲官網截圖

然而，阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後，並沒有按照《網路產品安全漏洞管理規定》第七條要求，在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息，而只是向阿帕奇軟體基金會通報了相關信息。

觀察者網查詢公開資料發現，阿帕奇軟體基金會（Apache）於1999年成立於美國，是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發行的軟體產品都遵循Apache許可證（Apache License）。

12月10日，在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後，中國國家信息安全漏洞共享平台才獲得相關信息，並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》，稱阿帕奇官方已發布補丁修復該漏洞，並建議受影響用戶立即更新至最新版本，同時採取防範性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平台官網截圖

事實上，國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹，業界通用的漏洞報送流程是，成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台（CNVD） CVE 中國信息安全測評中心 > 國家信息安全漏洞庫（CNNVD）> 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協調企業修復解決安全問題，由於最早由美國發起該漏洞技術委員會，所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台，由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。

上述業內人士認為，阿里這次因為漏洞影響較大，所以被當做典型通報。在CNVD建立之前以及最近幾年，國內安全人員對CVE的共識、認可度和普及程度更高，發現漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認為是個人技術成果的事情，上報國際組織協調修復即可。

但根據最新發布的《網路產品安全漏洞管理規定》，國內安全研究人員發現漏洞之後報送CNVD即可，CNVD會發起向CVE報送流程，協調廠商和企業修復安全漏洞，不允許直接向國外漏洞平台提交。

由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理，根據工信部最新通報，工信部網路安全管理局研究後，決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

業內人士向觀察者網指出，工信部這次針對是阿里，其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網獨家稿件，未經授權，不得轉載。

Ⅱ 安全工信部通報阿里雲，未及時上報重大漏洞，國資雲建設刻不容緩

中科院雲計算中心分布式存儲聯合實驗室特訊： 近期，工信部網路安全管理局通報，暫停阿里雲公司作為工信部網路安全威脅信息共享平台合作單位6個月。此次事件源自阿里雲發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患報告不及時， 再次為國家數據安全敲響警鍾，國資雲建設刻不容緩、勢在必行。

近期，工業和信息化部網路安全管理局通報稱，阿里雲計算有限公司（簡稱「阿里雲」）是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇嚴重安全漏洞的時間線：

11月24日

阿里雲在阿帕奇（Apache）開放基金會下的開源日誌組件Log4j2內，發現重大漏洞Log4Shell，然後向總部位於美國的阿帕奇軟體基金會報告。

獲得消息後，奧地利和紐西蘭官方計算機應急小組立即對這一漏洞進行預警。紐西蘭方面聲稱，該漏洞正在被「積極利用」，並且概念驗證代碼也已被發布。

12月9日

中國工信部收到有關網路安全專業機構報告，發現阿帕奇Log4j2組件存在嚴重安全漏洞，立即召集阿里雲、網路安全企業、網路安全專業機構等開展研判，並向行業單位進行風險預警。

12月9日

阿帕奇官方發布緊急安全更新以修復遠程代碼執行漏洞，漏洞利用細節公開，但更新後的Apache Log4j2.15.0-rc1版本被發現仍存在漏洞繞過。

12月10日

中國國家信息安全漏洞共享平台收錄Apache Log4j2遠程代碼執行漏洞；阿帕奇官方再度發布log4j-2.15.0-rc2版本修復漏洞。

12月10日

阿里雲在官網公告披露，安全團隊發現Apache Log4j2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，並向用戶介紹該漏洞的具體背景及相應的修復方案。

12月14日

中國國家信息安全漏洞共享平台發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》，供相關單位、企業及個人參考。

12月22日

工信部通報，由於阿里雲發現阿帕奇嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理，決定暫停該公司作為工信部網路安全威脅信息共享平台合作單位6個月。

在伺服器的組件中，日誌組件是應用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項目log4j是一個功能強大的日誌組件，被廣泛應用。

由於Apache Log4j存在遞歸解析功能，未取得身份認證的用戶，可以從遠程發送數據請求輸入數據日誌，輕松觸發漏洞，最終在目標上執行任意代碼。即 攻擊者只要提交一段代碼，就可以進入對方伺服器，而且可以獲得最高許可權，控制對方伺服器。通俗說，黑客通過這個普遍存在的漏洞，可以在伺服器上做任何事。

有關報道顯示，黑客在72小時內利用Log4j2漏洞，向全球發起了超過84萬次的攻擊。利用這個漏洞，攻擊者幾乎可以獲得無限的權利——比如他們可以 提取敏感數據、將文件上傳到伺服器、刪除數據、安裝勒索軟體、或進一步散播到其它伺服器。

國外網友以漫畫說明Log4j2的重要性

該漏洞CVSS評分達到了滿分10分，IT 通信（互聯網）、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及，全球互聯網大廠、 游戲 公司、電商平台等都有被影響的風險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、網路，網易、新浪以及特斯拉等全球大廠，悉數中招，眾多媒體將這個漏洞形容成「史詩級」「核彈級」漏洞，可以說相當貼切。

據工信部官網消息，今年9月1日，工業和信息化部網路安全威脅和漏洞信息共享平台正式上線運行。其中提到，根據《網路產品安全漏洞管理規定》，網路產品提供者應當及時向平台報送相關漏洞信息，鼓勵漏洞收集平台和其他發現漏洞的組織或個人向平台報送漏洞信息。

此次事件中，作為我國雲計算服務的頭部供應商的阿里雲，11月24日發現計算機史上最大的漏洞，是先向國外的Apache基金會報告，而未及時向主管部門報送漏洞信息。工信部得知情況，已經是12月9日，中間已經過了15天。這十五天，中國的互聯網簡直是在裸奔。這期間已經有黑客掌握了這個漏洞，在利用這個漏洞進行網路攻擊。作為新基建重要一環的雲計算平台，更加應以謹慎的心態承擔起保障網路安全的責任。

國資雲建設 安全自主可控為上

互聯網時代，國家安全自然延伸到了網路。各個國家，都在想辦法堵自己漏洞，找別人家的漏洞，甚至是隱藏的後門。同樣的漏洞，那就是看誰率先掌握。國外的開源軟體層出不窮的漏洞，隱沒難尋的後門，應用於國家重要機構或事關 社會 民生的部門，其潛在危害難以估量。我們除了想方設法被動收集修復漏洞，還要大力發展和利用自主安全可控的技術，才能在互聯網領域尋求戰略平衡，保障國家安全。

所以說，阿里雲的這次行動足以為戒，忽視國家各項數據安全法律法規，國家安全責任意識淡漠，將國家網路安全置於巨大的危機之中。試問這樣的第三方雲服務商，如何讓國家機構、央企國企放心將數據業務託管？

風險就在那裡，警告從未缺席。國資雲以安全自主可控、平穩可靠運行為上，才能確保國家安全，盡到 社會 責任。第三方雲服務商難以超越企業自身的穩健盈利，更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資雲的建設將第三方雲服務商排除在外，是互聯網競爭環境的使然，也是數據安全責任的擔當，更是時代賦予的使命。

「國資雲」建設 大勢所趨

經過深入研究分析，北京交通大學信息管理理論與技術國際研究中心（ICIR）認為， 「國資雲」建設是大勢所趨，原因主要有以下三方面：

一是「國資雲」建設是國有資產管理的需要。國企數據資源屬於國有資產，應納入國資監管和統一管理，保護國有數據資產安全是建設國資雲的核心目的；

二是「國資雲」建設是保障國家重要數據安全的需要。近期，《關鍵信息基礎設施安全保護條例》、《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》相繼頒布實施，將數據安全提升到前所未有的高度，而國有企業的許多數據事關國家關鍵信息基礎設施安全；

三是「國資雲」建設是信創工程落地的重要抓手。在「國資雲」數據中心逐步加大CPU、操作系統、存儲、資料庫、中間件等國產信創產品比重，並鼓勵國產信創業務系統與「國資雲」數據中心基礎設施適配應用，從基礎到應用全方位推進信創工程步伐。

因此，「國資雲」建設的重要意義在業界已達成高度共識。

國資雲賦能雲上安全 G-Cloud增強國企競爭力

國有企業是中國特色 社會 主義的重要物質基礎和政治基礎，是我們黨執政興國的重要支柱和依靠力量，國有企業不僅具有鮮明的政治屬性，也具有強烈的經濟屬性和物質屬性，堅定不移地將國有企業做強做大做優是黨和人民對國有企業的基本要求。因此，國有企業更需要資產不斷保值增值，規模不斷發展壯大，盈利水平不斷提高，這就要求國有企業必需使用最先進的生產工具，創造出最先進的生產力，保持在國際國內市場中的競爭力。

而雲計算平台就是當前最先進的生產工具。雲計算平台中除了計算、存儲、網路、虛擬化等Iaas服務相對比較成熟外，在Paas、Saas層面的技術創新速度非常快，產品迭代周期不斷縮短，不同的廠商提供的雲平台服務在技術領先性、服務穩定性、用戶覆蓋面等方面具有非常大的差異。

在激烈的市場競爭中，企業選擇了什麼類型、什麼廠商的雲服務，在一定程度上意味著企業使用了什麼工具和武器，在很大程度上決定了企業的生產效率、管理效率和市場效率，也就決定了企業的競爭力。

國資雲賦能雲上安全，打造排除第三方雲服務商的行業專屬私有雲。 中科院雲計算中心自主研發的G-Cloud雲操作系統，首要勝在安全。 其次G-Cloud在智慧城市、智慧醫療、智慧教育、智慧交通等領域的成功案例，將有助於充分激活國企強勁的競爭力、影響力、帶動力。

2021年11月， 國資雲平台中科雲（東莞） 科技 有限公司正式成立，由中科院、東莞市政府等多方投資的上市企業國雲 科技 控股，國資背景加持，官方認可，國內頂尖 科技 機構技術背書，使用國內首個自主產權、安全可控的G-Cloud雲操作系統，建設「國資雲」， 賦能千行百業數字化轉型升級，最大化優化國有資本布局，提高國有資本運營效能、產業互聯和商業創新！

中科雲凝聚服務政企信息化、數字化建設的核心團隊， 聯合產學研用各方力量，融合大數據、雲計算、物聯網等新一代信息技術，在政府、醫療、教育、交通、智能製造等多行業、多領域提供新型基礎設施建設、數據分布式存儲服務，助力國資國企規模和實力的持續增長，實現高質量發展。

Ⅲ 阿里雲因未及時報告嚴重漏洞被處罰

阿里雲因未及時報告嚴重漏洞被處罰

阿里雲因未及時報告嚴重漏洞被處罰，阿里雲在中國雲市場上占據著重要地位，阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，阿里雲因未及時報告嚴重漏洞被處罰。

阿里雲因未及時報告嚴重漏洞被處罰1

近期，工信部網路安全管理局通報稱，阿里雲計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。

通報指出，阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究，工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是「計算機歷史上最大的漏洞」後，率先向阿帕奇軟體基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。這一漏洞的存在，可以讓網路攻擊者無需密碼就能訪問網路伺服器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業和信息化部網路安全管理局將持續組織開展漏洞處置工作，防範網路產品安全漏洞風險，維護公共互聯網網路安全。

阿里雲因未及時報告嚴重漏洞被處罰2

12月23日晚間，阿里雲計算有限公司（以下簡稱「阿里雲」）對發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了回應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網路安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，並向全球發布修復補丁。隨後，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網路安全管理局通報稱，阿里雲是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里雲在中國雲市場上占據著重要地位，此前，Canalys發布中國雲計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。

阿里雲因未及時報告嚴重漏洞被處罰3

近日，有媒體報道，阿里雲發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。因此，暫停阿里雲作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的'安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞發布了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網路安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社區是什麼？Log4j2組件是什麼？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟體工程師，在這里共建一些基礎的軟體部件，相互迭代、提高公共效率，是軟體產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件，很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響范圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平台，僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味著什麼？

據工信微報——「12月9日，工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的「處罰」，否則不可能不公開通報。其次，網路安全威脅和漏洞信息共享平台是一個收集、通報網路安全漏洞的平台，暫停這個平台的合作資質並不對業務造成影響。

工信部關於Log4j2漏洞的風險提示

但此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中，大量從業人員、組織養成了與開源社區合作的工作習慣，但對更高層面的安全意識、合規意識，在思想上、制度上都有所不足。阿里雲的漏報行為，也是這一意識疏漏的一次具體體現。

整體而言，此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲是行業領先的IT企業，這也是能夠率先發現全球重大安全漏洞的原因，而此次事件的發生，無疑將會增強計算機行業的安全合規意識，可以想見，無論是阿里雲、還是其他諸多科技企業，都將在企業和組織內部增強合規培訓和流程規范。

Ⅳ 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。

Ⅳ 阿里又被重罰，這回做錯了什麼

公眾號：大樹鄉長

昨天，阿里雲因為未依法及時向工信部報告發現的安全漏洞信息，被工信部決定暫停6個月阿里雲的工信部網路安全威脅信息共享平台合作單位。

隨即，阿里美股暴跌4.21%，預計接下來還將繼續下跌。

就在今天，阿里雲發布說明，表示將強化漏洞管理、提升合規意識，積極協同各方做好網路安全風險規范工作。

事情發生後，已經有很多人寫了些文章，小鎮也看到朋友轉發的，具體不點名了，多數還是老一套，就喜歡用流量思維動輒把一件事上升到危害國家安全、中美對抗、中國網路安全裸奔等等。

首先，阿里雲確實做錯了，但不要過度誇張，更不要急著喊打喊殺。

雲計算對人類發展非常重要。相比傳統的分散式，雲計算大大降低了成本、擴展性極強，由於設備在雲端，大大提高了整個信息系統的可靠性和穩定性，避免因為伺服器發生故障導致的損失，而且可以不斷保持更新升級，大大增加了工作的流動性。

因此，雲計算帶來的種種變化是革命性的，也因此成為大國之爭的關鍵領域之一，當然說白了還是中美兩國。

在雲計算領域，世界前五大雲計算廠商，美國3個中國2個，只不過美國占據第一、第二的實力近乎壓倒性的，尤其是第一的亞馬遜，2020年的時候全球市場份額超過40%，第二的微軟市場佔比也達到了19.7%，然後就是阿里雲，全球佔比9.5%，華為雲位居第五，全球佔比4.2%，整體同第四的谷歌雲接近。

從整體規模上，2020年美國3大廠商全球市場佔比高達66.6%，中國兩大廠商是13.7%，其他一切企業加起來佔19.7%。

力量對比很明顯，也正說明數字經濟時代，中美已經成為了唯二的角逐者，在其他各領域也都類似。

站在國家的角度，阿里雲和華為雲都是中國的企業。縱然它們有些這樣那樣的缺點，可只要不是跟某些企業那樣無可救葯、不思進取地沉迷於賺快錢，肯定還是要支持的，畢竟這是自家的高 科技 競爭力。

當然，錯了還是要敲打下、教訓下，但這就是小懲大戒。

小懲大戒的前提確實是沒造成多大危害，這就要回到這件事本身。

第二：從技術角度，阿里雲程序員的做法沒什麼問題。

必須強調一件事，阿帕奇基金會絕不是某些自媒體渲染的是一個多麼「邪惡」的外國勢力，實際上這就是一個管理開源軟體項目的非營利組織，這次出問題的log4j項目是阿帕奇基金會下一個開源項目。

在程序員的世界裡，開放始終是互聯網世界的底色，全人類在虛擬世界面臨的許多共同問題，需要凝聚所有程序員的力量共同解決，於是就有了各種開源項目。

各開源項目的程序員來自全世界，阿帕奇基金會只是作為開源項目的管理方，並不參與具體的代碼開發。既然項目是開源的，源代碼向全世界公開，程序員又來自全世界，所以從根本上就不存在美國政府通過種種手段脅迫阿帕奇基金會的情況，更不可能去要求這家基金會或者開源項目隱藏漏洞，從而讓美國人任意妄為。

道理很簡單。

開源的基本就是源代碼向全世界開放，任何人都可以通過閱讀源代碼進行操作或者開發，換言之，只要一個水平過關的程序員，通過認真閱讀源代碼，就完全可以發現這個號稱核彈級別的log4j漏洞。

log4j作為一個開源的日誌組件，本來就是免費的，按照開源協議，發現漏洞後本就是需要報告到作為開源項目管理方的阿帕奇基金會，在此之前也要求不能泄露給任何第三方，避免漏洞被利用。

這也是為什麼我們國家要求發現之後2日內報告，而沒有要求必須第一時間優先報告，也有這方面的考慮。

而上報的漏洞，也已經同步更新在開源社區，按照常規，各國、大企業還有很多程序員都會緊跟技術發展，登錄這類開源社區進行查看、學習是日常習慣，正常來說，一般在漏洞上報後一兩天，就能夠發現這件事，並且開始處理。

分散在各公司的程序員們並不是只有當接收到工信部要求後才開始填補漏洞，他們的工作本身就要求迅速反應。

當然這裡面有一個疏漏點，就是可能有的機構需要等工信部這類官方下令才會進行處理，又或者有的機構的程序員缺少主動工作的動力，一些領導者也可能不懂甚至漠視風險。

但是僅僅從程序員本身，優先向開源項目管理方報告沒什麼錯，換成別的國家、別的公司，也都大致如此處理。

只不過這次有三個非常不同的點：

第一：發現者是阿里雲，是一個大平台，而且正處於加大監管的大環境下；

第二：發現的log4j漏洞確實太離譜；

第三：上報15天後，阿里雲仍然沒有主動上報，國內竟然沒有人發現並且補位上報，以至於等第四方國家吵起來才知道，結果這時候發現，竟然是中國人第一個發現。

種種原因疊加，也就有了工信部對阿里雲的懲罰。

第三：阿里雲錯在內部管理和溝通

在互聯網大公司，由於組織龐大，內部溝通常常出現問題，內耗極為嚴重，有的大平台，內部機構復雜到內部人都搞不明白，更別說協同了。

各部門也存在諸多不同或者說優劣勢。

而負責對接政府的政府事務或者公共事務部門，基本上技術肯定是不懂的，多數人對政策也了解不怎麼樣，別看很多本來就是公務員，有的在中央部委干到處級，但認知水平其實也就那樣。

這些人去了企業，往往就是通過自己在體制內呆久了、認識些人，在公司和政府之間來回要挾，有過就躲、有功就搶，拿著政府要求逼迫業務和技術部門，拿著平台資源去找政府等等；還有的在公司里成長起來的，連對體制的感覺也比較缺乏。

當然一般情況下，經常做政府事務工作的，還是有一定敏銳性，如果接到技術部門的通報，多半還是會及時上報，但假如沒有形成一套完整、動態調整的機制呢。

比如：及時跟進解讀政策變化，將政策變化與公司內部相關部門同步，對應調整信息同步流程和內容等等，這樣的機制基本是欠缺的。

這裡面有組織太大、政策跟進不及時、內部跨部門溝通困難甚至還有些個人的問題等等。

說這些，是盡可能深入的剖析下這么一個離譜的錯誤是怎麼發生的，並非很多自媒體渲染的，阿里「賣國」等等。這其實就是種種機緣巧合之下疊加大組織病導致的。當然，其中也存在意識不足的問題。

說這些不是為了給阿里雲脫責，僅僅是提醒更多的企業好好想想如何解決。

有的公司想出了不是辦法的辦法，比如某大平台要求所有員工，不分職責，對於安全監管問題人人有責、人人補位，雖然導致工作量大增，但起碼也是個應急的辦法，所以這家公司就明顯少出現很多問題，股價也穩得多。

對於阿里，當然是要敲打的，一家如此大的平台，享受了中國巨大的發展紅利和政策優待，就理應擔負起與能力對應的責任，無論什麼理由，責任沒有盡到就是問題，就要罰。

就算是技術人員，遇到問題後也肯定上報了技術主管，技術主管有沒有上報?

我國也要求上了規模的公司要成立信息安全機構，由公司高層直接負責，這些問題理應上報到負責信息安全的高層，這裡面出現了什麼問題？

當然，阿里也付出了代價，整個阿里集團核心業務實際就是三駕馬車：電商、金融和阿里雲為首的 科技 產業。

金融不說了，電商今年受到嚴重沖擊，頭部主播被嚴查還將面臨一系列的稅收問題，本來今年阿里股價已經跌掉了三分之二，剩下的三分之一就是靠著阿里雲這樣的支柱撐著。

現在被工信部暫停6個月的合作夥伴資格，必然會影響到國內很多機構同阿里雲的合作，業績受挫是必然的了。

所以就出現了昨晚阿里美股暴跌，損失不可謂不慘重。

最後，還是要說一句：

阿里確實有錯，但錯不致死，畢竟還是中國自家的高 科技 競爭力，罰就罰了，沒必要上綱上線，更不能幹出來親者痛、仇者快的事，如果中國雲計算兩大支柱之一受重創，佔便宜的只有美國。

小懲大戒，以觀後效就好了。

阿里作為一家紮根中國的企業，不會真的不明白應該怎麼做，相信一定會積極整改。但是也得提醒很多企業，千萬不要輕視組織內部的溝通問題，安全更是紅線，否則阿里雲就是前車之鑒。

Ⅵ 阿里雲被工信部暫停信息共享平台合作，阿里雲出現了什麼問題

阿里雲目前出現的問題就是，系統出現了崩潰的情況，而且系統出現了bug，還出現了信息泄露的情況，電腦也出現了一些故障，所以才會停止合作。

Ⅶ 工信部暫停阿里雲信息共享平台合作，這是為什麼

原因是相關組件存在著安全漏洞，阿里集團並未向工信部報告該問題。

事實上，雲計算確實可以為各大平台帶來更高的收益，保證平台的正常運行。可是大型公司與工信部及其他部門進行合作時，更應該秉持著誠信合作的方案。當平台出現了眾多的安全漏洞時，相關公司就應該立刻向有關部門報告此事，減少安全漏洞對整個平台造成的影響。

除此之外，阿里雲和工信部展開合作後，相關平台的安全性一直得到了網友的重視。除此之外，共享信息平台的安全性比較重要，當某個平台出現安全漏洞時，隱瞞不報只會使雙方的合作告吹，或者阻礙雙方的進一步合作。

總的來說，既然阿里集團選擇與工信部進行合作，那麼阿里集團面對信息共享平台的組件安全漏洞時，更應該進行報告。 合作本都該呈現出互利共贏，隱瞞不報只會影響雙方合作。