網路安全領域發現漏洞

『壹』 什麼不會導致網路安全漏洞

網速不快，常常掉線。網路安全漏洞是指在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷。網速不快，常常掉線不會導致網路安全漏洞，不會導致感染木馬程序。

『貳』 網路安全的漏洞有哪些

網路安全漏洞有個人敏感信息隨意外泄、密碼過於簡單或所有賬戶使用同一密碼、使用沒有密碼的公共Wi-Fi、放鬆對熟人釣魚郵件的警惕、掃描來路不明的網站或軟體上的二維碼。

一張照片就能泄露全部家庭成員信息，容易給不法人員創造行騙、行竊的機會，尤其是老人、小孩的信息，更要注意保護，包括姓名、幼兒園和學校的地址等。有些愛曬孩子的家長沒有關掉微信中附近的人這個設置，騙子通過微信搜索附近的人，輕易就能獲取孩子的信息。

對於密碼我們都不陌生，每當我們登錄論壇、郵箱、網站、網上銀行或在銀行取款時都需要輸入密碼，密碼的安全與否直接關繫到我們的工作資料、個人隱私及財產安全。公共Wi-Fi雖然方便，卻也有不少安全隱患。黑客們喜歡在公共Wi-Fi里設置埋伏，網民一不小心就會中招，輕則損失錢財，重則個人信息全泄露。

網路安全注意事項：

1、不要隨意點擊不明郵件中的鏈接、圖片和文件。使用郵箱地址作為網站注冊的用戶名時，應設置與原郵箱登錄密碼不相同的網站密碼。如果有初始密碼，應修改密碼，適當設置找回密碼的提示問題。當收到與個人信息和金錢相關的郵件時要提高警惕，不打開陌生的郵件，不隨便打開郵件中的附件，即使那郵件是你的朋友發來的。

2、不要在網吧、賓館等公共電腦上登錄個人賬號或進行金融業務等。盡量訪問正規的大型網站，通過查詢網站備案信息等方式核實網站資質的真偽，不訪問包含不良信息的網站。

3、及時舉報類似謠言信息。不造謠，不信謠，不傳謠。要注意辨別信息的來源和可靠度，要通過經第三方可信網站認證的網站獲取信息。要注意打著發財致富、普及科學、傳授新技術等幌子的信息。在獲得信息後，應先去函或去電與當地工商、質檢等部門聯系，核實情況。

『叄』 網路安全漏洞是如何產生的

網路安全漏洞主要是因提供網路服務而產生的，例如，FTP服務可以允許遠程網路用戶通過FTP的方式進行數據傳輸。但是如果FTP用戶名和口令失竊，那麼網路伺服器(如利用Windows XP架設的FTP伺服器)就會遭到入侵，甚至是徹底的崩潰--最高許可權的FTP非法用戶可以為所欲為地刪除任何文件。

『肆』 網路安全領域把已經發現但相關軟體廠商還沒有進行修復的漏洞叫做

0day漏洞。網路安全領域是指計算機網路安全，國家安全中心將該領域中把已經發現但相關軟體廠商還沒有進行修復的漏洞叫做0day漏洞，這些信息會發送至軟體商的後台數據中，提醒軟體廠商抓緊時間進行修復。

『伍』 安全工信部通報阿里雲，未及時上報重大漏洞，國資雲建設刻不容緩

中科院雲計算中心分布式存儲聯合實驗室特訊： 近期，工信部網路安全管理局通報，暫停阿里雲公司作為工信部網路安全威脅信息共享平台合作單位6個月。此次事件源自阿里雲發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患報告不及時， 再次為國家數據安全敲響警鍾，國資雲建設刻不容緩、勢在必行。

近期，工業和信息化部網路安全管理局通報稱，阿里雲計算有限公司（簡稱「阿里雲」）是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇嚴重安全漏洞的時間線：

11月24日

阿里雲在阿帕奇（Apache）開放基金會下的開源日誌組件Log4j2內，發現重大漏洞Log4Shell，然後向總部位於美國的阿帕奇軟體基金會報告。

獲得消息後，奧地利和紐西蘭官方計算機應急小組立即對這一漏洞進行預警。紐西蘭方面聲稱，該漏洞正在被「積極利用」，並且概念驗證代碼也已被發布。

12月9日

中國工信部收到有關網路安全專業機構報告，發現阿帕奇Log4j2組件存在嚴重安全漏洞，立即召集阿里雲、網路安全企業、網路安全專業機構等開展研判，並向行業單位進行風險預警。

12月9日

阿帕奇官方發布緊急安全更新以修復遠程代碼執行漏洞，漏洞利用細節公開，但更新後的Apache Log4j2.15.0-rc1版本被發現仍存在漏洞繞過。

12月10日

中國國家信息安全漏洞共享平台收錄Apache Log4j2遠程代碼執行漏洞；阿帕奇官方再度發布log4j-2.15.0-rc2版本修復漏洞。

12月10日

阿里雲在官網公告披露，安全團隊發現Apache Log4j2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，並向用戶介紹該漏洞的具體背景及相應的修復方案。

12月14日

中國國家信息安全漏洞共享平台發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》，供相關單位、企業及個人參考。

12月22日

工信部通報，由於阿里雲發現阿帕奇嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理，決定暫停該公司作為工信部網路安全威脅信息共享平台合作單位6個月。

在伺服器的組件中，日誌組件是應用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項目log4j是一個功能強大的日誌組件，被廣泛應用。

由於Apache Log4j存在遞歸解析功能，未取得身份認證的用戶，可以從遠程發送數據請求輸入數據日誌，輕松觸發漏洞，最終在目標上執行任意代碼。即 攻擊者只要提交一段代碼，就可以進入對方伺服器，而且可以獲得最高許可權，控制對方伺服器。通俗說，黑客通過這個普遍存在的漏洞，可以在伺服器上做任何事。

有關報道顯示，黑客在72小時內利用Log4j2漏洞，向全球發起了超過84萬次的攻擊。利用這個漏洞，攻擊者幾乎可以獲得無限的權利——比如他們可以 提取敏感數據、將文件上傳到伺服器、刪除數據、安裝勒索軟體、或進一步散播到其它伺服器。

國外網友以漫畫說明Log4j2的重要性

該漏洞CVSS評分達到了滿分10分，IT 通信（互聯網）、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及，全球互聯網大廠、 游戲 公司、電商平台等都有被影響的風險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、網路，網易、新浪以及特斯拉等全球大廠，悉數中招，眾多媒體將這個漏洞形容成「史詩級」「核彈級」漏洞，可以說相當貼切。

據工信部官網消息，今年9月1日，工業和信息化部網路安全威脅和漏洞信息共享平台正式上線運行。其中提到，根據《網路產品安全漏洞管理規定》，網路產品提供者應當及時向平台報送相關漏洞信息，鼓勵漏洞收集平台和其他發現漏洞的組織或個人向平台報送漏洞信息。

此次事件中，作為我國雲計算服務的頭部供應商的阿里雲，11月24日發現計算機史上最大的漏洞，是先向國外的Apache基金會報告，而未及時向主管部門報送漏洞信息。工信部得知情況，已經是12月9日，中間已經過了15天。這十五天，中國的互聯網簡直是在裸奔。這期間已經有黑客掌握了這個漏洞，在利用這個漏洞進行網路攻擊。作為新基建重要一環的雲計算平台，更加應以謹慎的心態承擔起保障網路安全的責任。

國資雲建設 安全自主可控為上

互聯網時代，國家安全自然延伸到了網路。各個國家，都在想辦法堵自己漏洞，找別人家的漏洞，甚至是隱藏的後門。同樣的漏洞，那就是看誰率先掌握。國外的開源軟體層出不窮的漏洞，隱沒難尋的後門，應用於國家重要機構或事關 社會 民生的部門，其潛在危害難以估量。我們除了想方設法被動收集修復漏洞，還要大力發展和利用自主安全可控的技術，才能在互聯網領域尋求戰略平衡，保障國家安全。

所以說，阿里雲的這次行動足以為戒，忽視國家各項數據安全法律法規，國家安全責任意識淡漠，將國家網路安全置於巨大的危機之中。試問這樣的第三方雲服務商，如何讓國家機構、央企國企放心將數據業務託管？

風險就在那裡，警告從未缺席。國資雲以安全自主可控、平穩可靠運行為上，才能確保國家安全，盡到 社會 責任。第三方雲服務商難以超越企業自身的穩健盈利，更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資雲的建設將第三方雲服務商排除在外，是互聯網競爭環境的使然，也是數據安全責任的擔當，更是時代賦予的使命。

「國資雲」建設 大勢所趨

經過深入研究分析，北京交通大學信息管理理論與技術國際研究中心（ICIR）認為， 「國資雲」建設是大勢所趨，原因主要有以下三方面：

一是「國資雲」建設是國有資產管理的需要。國企數據資源屬於國有資產，應納入國資監管和統一管理，保護國有數據資產安全是建設國資雲的核心目的；

二是「國資雲」建設是保障國家重要數據安全的需要。近期，《關鍵信息基礎設施安全保護條例》、《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》相繼頒布實施，將數據安全提升到前所未有的高度，而國有企業的許多數據事關國家關鍵信息基礎設施安全；

三是「國資雲」建設是信創工程落地的重要抓手。在「國資雲」數據中心逐步加大CPU、操作系統、存儲、資料庫、中間件等國產信創產品比重，並鼓勵國產信創業務系統與「國資雲」數據中心基礎設施適配應用，從基礎到應用全方位推進信創工程步伐。

因此，「國資雲」建設的重要意義在業界已達成高度共識。

國資雲賦能雲上安全 G-Cloud增強國企競爭力

國有企業是中國特色 社會 主義的重要物質基礎和政治基礎，是我們黨執政興國的重要支柱和依靠力量，國有企業不僅具有鮮明的政治屬性，也具有強烈的經濟屬性和物質屬性，堅定不移地將國有企業做強做大做優是黨和人民對國有企業的基本要求。因此，國有企業更需要資產不斷保值增值，規模不斷發展壯大，盈利水平不斷提高，這就要求國有企業必需使用最先進的生產工具，創造出最先進的生產力，保持在國際國內市場中的競爭力。

而雲計算平台就是當前最先進的生產工具。雲計算平台中除了計算、存儲、網路、虛擬化等Iaas服務相對比較成熟外，在Paas、Saas層面的技術創新速度非常快，產品迭代周期不斷縮短，不同的廠商提供的雲平台服務在技術領先性、服務穩定性、用戶覆蓋面等方面具有非常大的差異。

在激烈的市場競爭中，企業選擇了什麼類型、什麼廠商的雲服務，在一定程度上意味著企業使用了什麼工具和武器，在很大程度上決定了企業的生產效率、管理效率和市場效率，也就決定了企業的競爭力。

國資雲賦能雲上安全，打造排除第三方雲服務商的行業專屬私有雲。 中科院雲計算中心自主研發的G-Cloud雲操作系統，首要勝在安全。 其次G-Cloud在智慧城市、智慧醫療、智慧教育、智慧交通等領域的成功案例，將有助於充分激活國企強勁的競爭力、影響力、帶動力。

2021年11月， 國資雲平台中科雲（東莞） 科技 有限公司正式成立，由中科院、東莞市政府等多方投資的上市企業國雲 科技 控股，國資背景加持，官方認可，國內頂尖 科技 機構技術背書，使用國內首個自主產權、安全可控的G-Cloud雲操作系統，建設「國資雲」， 賦能千行百業數字化轉型升級，最大化優化國有資本布局，提高國有資本運營效能、產業互聯和商業創新！

中科雲凝聚服務政企信息化、數字化建設的核心團隊， 聯合產學研用各方力量，融合大數據、雲計算、物聯網等新一代信息技術，在政府、醫療、教育、交通、智能製造等多行業、多領域提供新型基礎設施建設、數據分布式存儲服務，助力國資國企規模和實力的持續增長，實現高質量發展。

『陸』 網路安全領域，把已經被發現，但相關軟體廠商還沒有進行修復的漏洞叫什麼漏洞

1、這種漏洞叫0day漏洞，0是阿拉伯數字零，是為字母O。
2、意思是零日漏洞。
3、這種漏洞比較危險。
希望可以幫到您，謝謝！

『柒』 「網路大流感」Apache Log4j2漏洞來襲「雲上企業」如何應對

對於大部分互聯網用戶而言，Apache（阿帕奇）Log4j2是個陌生的詞彙。但在很多程序員眼中，它卻是陪伴自己的好夥伴，每天用於記錄日誌。然而，恰恰是這個被無數程序員每天使用的組件出現漏洞了。這個漏洞危害之大，甚至可能超過「永恆之藍」。

安恆信息高級應急響應總監季靖評價稱：「（Apache Log4j2）降低了黑客攻擊的成本，堪稱網路安全領域20年以來史詩級的漏洞。」有業內人士還認為，這是「現代計算機 歷史 上最大的漏洞」。

工信部於2021年12月17日發文提示風險：「阿帕奇Log4j2組件存在嚴重安全漏洞……該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。」

就連國家政府部門也中招了。2021年12月下旬，比利時國防部承認他們遭受了嚴重的網路攻擊，該攻擊基於Apache Log4j2相關漏洞，網路攻擊導致比利時國防部包括郵件系統在內的一些業務癱瘓。

此漏洞「威力」之大，連國家信息安全也受到波及。那麼普通企業，特別是採用雲服務的企業應該如何應對呢？疫情發生以來，大量企業、機構加速數字化進程，成為「雲上企業」。傳統環境下，企業對自身的安全體系建設擁有更多掌控權，完成雲遷移後，這些企業的雲安全防護是否到位？

2021年12月9日深夜，Apache Log4j2遠程代碼執行漏洞攻擊爆發，一時間各大互聯網公司「風聲鶴唳」，許多網路安全工程師半夜醒來，忙著修補漏洞。「聽說各大廠程序員半夜被叫起來改，不改完不讓下班。」相關論壇也對此事議論紛紛。

為何一個安全漏洞的影響力如此之大？安永大中華區網路安全與隱私保護咨詢服務主管合夥人高軼峰認為：「影響廣泛、威脅程度高、攻擊難度低，使得此次Apache Log4j2漏洞危機備受矚目，造成了全球范圍的影響。」

「Log4j2是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發」，季靖表示，「據不完全統計，漏洞爆發後72小時之內，受影響的主流開發框架都超過70個。而這些框架，又被廣泛使用在各個行業的數字化信息系統建設之中，比如金融、醫療、互聯網等等。由於許多耳熟能詳的互聯網公司都在使用該框架，因此阿帕奇Log4j2漏洞影響范圍極大。」

除了應用廣泛之外，Apache Log4j2漏洞被利用的成本相對而言也較低，攻擊者可以在不需要認證登錄這種強交互的前提下，構造出惡意的數據，通過遠程代碼對有漏洞的系統執行攻擊。並且，它還可以獲得伺服器的最高許可權，最終導致設備遠程受控，進一步造成數據泄露，設備服務中斷等危害。

不僅僅攻擊成本低，而且技術門檻也不高。不像2017年爆發的「永恆之藍」，攻擊工具利用上相對復雜。基於Apache Log4j2漏洞的攻擊者，可以利用很多現成的工具，稍微懂點技術便可以構造更新出一種惡意代碼。

利用難度低、攻擊成本低，意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續一段時間，這將是一場「網路安全大流感」。

傳統模式下，安全人員可以在本地檢測、打補丁、修復漏洞。相對於傳統模式，「雲上企業」使用的是雲計算、雲存儲服務等，沒有自己的機房和伺服器。進入雲環境，安全防護的「邊界」不復存在，對底層主機的控制許可權也沒有本地那麼多，同時還多一層虛擬化方面的攻擊方式。

特別是疫情影響下，大量企業、機構開啟數字化轉型，從本地伺服器遷徙到雲伺服器。短時間內完成雲遷移，企業很可能缺乏對應的雲安全管理能力成熟度；同時，往往也面臨著安全能力不足、專業人手緊缺等情況。

面對這場史詩級的漏洞危機，「雲上企業」應該如何應對呢？

在安恆信息高級產品專家蓋文軒看來：「企業上雲之後，傳統的網路安全風險依然存在，此外，還會面臨新的安全風險，比如用戶與雲平台之間安全責任邊界劃分等問題。另外，傳統的硬體設備可能不適用於雲環境，因此需要針對特殊情況部署相關安全服務。」

而在安永大中華區 科技 風險咨詢服務合夥人趙劍澐看來：「面對快速上雲，企業急需搭建滿足自身業務發展與管理要求的安全保障體系。」

那麼，對於這些「雲上企業」，究竟是選擇雲服務商提供的原生安全服務，還是另尋第三方專業的安全服務商呢？

事實上，目前即使是高度自動化的雲原生安全方案，也無法做到完全自主自治，仍然需要合格的雲安全服務專業團隊參與。高軼峰強調，對於中小型企業，選擇滿足資質的第三方專業安全機構，能夠保證服務的獨立性，保障工作順利開展及服務質量。

每日經濟新聞

『捌』 網路安全領域把已經被發現但相關軟體廠商還沒有進行修復的漏洞叫

0day 漏洞。0day 漏洞，是已經被發現 (有可能未被公開), 而官方還沒有相關補丁的漏洞。信息安全意義上的 0Day 是指在系統商在知曉並發布相關補丁前就被掌握或者公開的漏洞信息。0Day 的概念最早用於軟體和游戲破解，屬於非盈利性和非商業化的組織行為，其基本內涵是 「即時性」。網路安全領域把已經被發現但相關軟體廠商還沒有進行修復的漏洞叫0day 漏洞。

『玖』 網路安全領域，把已經被發現，但相關軟體廠商還沒有進行修復的漏洞叫什麼漏洞

這種漏洞叫0day漏洞，0是阿拉伯數字零，0day特指被攻擊者掌握卻未被軟體廠商修復的漏洞，由於沒有官方補丁，攻擊者可以利用0day漏洞對目標為所欲為。

『拾』 阿里雲未及時通報重大網路安全漏洞，會帶來什麼後果

【文/觀察者網 呂棟】

這事緣起於一個月前。當時，阿里雲團隊的一名成員發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞後，隨即向位於美國的阿帕奇軟體基金會通報，但並沒有按照規定向中國工信部通報。事發半個月後，中國工信部收到網路安全專業機構的報告，才發現阿帕奇組件存在嚴重安全漏洞。

阿帕奇組件存在的到底是什麼漏洞？阿里雲沒有及時通報會造成什麼後果？國內企業在發現安全漏洞後應該走什麼程序通報？觀察者網帶著這些問題采訪了一些業內人士。

漏洞銀行聯合創始人、CTO張雪松向觀察者網指出，Log4j2組件應用極其廣泛，漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞，直接造成國內相關機構處於被動地位。

關於Log4j2組件在計算機網路領域的關鍵作用，有國外網友用漫畫形式做了形象說明。按這個圖片解讀，如果沒有Log4j2組件的支撐，所有現代數字基礎設施都存在倒塌的危險。

國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下：

根據公開資料，此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具，控制Java類系統日誌信息生成、列印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用於各種應用程序和網路服務。

有資深業內人士告訴觀察者網，Log4j2組件出現安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統中應用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細節被公開，由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴散並迅速傳播到各個行業領域。

簡單來說，這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。

這並非危言聳聽。美聯社等外媒在獲取消息後評論稱，這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進入內部網路，竊取信息、植入惡意軟體和刪除關鍵信息等。

阿里雲官網截圖

然而，阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後，並沒有按照《網路產品安全漏洞管理規定》第七條要求，在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息，而只是向阿帕奇軟體基金會通報了相關信息。

觀察者網查詢公開資料發現，阿帕奇軟體基金會（Apache）於1999年成立於美國，是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發行的軟體產品都遵循Apache許可證（Apache License）。

12月10日，在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後，中國國家信息安全漏洞共享平台才獲得相關信息，並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》，稱阿帕奇官方已發布補丁修復該漏洞，並建議受影響用戶立即更新至最新版本，同時採取防範性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平台官網截圖

事實上，國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹，業界通用的漏洞報送流程是，成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台（CNVD） CVE 中國信息安全測評中心 > 國家信息安全漏洞庫（CNNVD）> 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協調企業修復解決安全問題，由於最早由美國發起該漏洞技術委員會，所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台，由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。

上述業內人士認為，阿里這次因為漏洞影響較大，所以被當做典型通報。在CNVD建立之前以及最近幾年，國內安全人員對CVE的共識、認可度和普及程度更高，發現漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認為是個人技術成果的事情，上報國際組織協調修復即可。

但根據最新發布的《網路產品安全漏洞管理規定》，國內安全研究人員發現漏洞之後報送CNVD即可，CNVD會發起向CVE報送流程，協調廠商和企業修復安全漏洞，不允許直接向國外漏洞平台提交。

由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理，根據工信部最新通報，工信部網路安全管理局研究後，決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

業內人士向觀察者網指出，工信部這次針對是阿里，其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網獨家稿件，未經授權，不得轉載。