阿里云被暂停工信部网络安全威胁

Ⅰ 阿里云未及时通报重大网络安全漏洞，会带来什么后果

【文/观察者网 吕栋】

这事缘起于一个月前。当时，阿里云团队的一名成员发现阿帕奇（Apache）Log4j2组件严重安全漏洞后，随即向位于美国的阿帕奇软件基金会通报，但并没有按照规定向中国工信部通报。事发半个月后，中国工信部收到网络安全专业机构的报告，才发现阿帕奇组件存在严重安全漏洞。

阿帕奇组件存在的到底是什么漏洞？阿里云没有及时通报会造成什么后果？国内企业在发现安全漏洞后应该走什么程序通报？观察者网带着这些问题采访了一些业内人士。

漏洞银行联合创始人、CTO张雪松向观察者网指出，Log4j2组件应用极其广泛，漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。

关于Log4j2组件在计算机网络领域的关键作用，有国外网友用漫画形式做了形象说明。按这个图片解读，如果没有Log4j2组件的支撑，所有现代数字基础设施都存在倒塌的危险。

国外社交媒体用户以漫画的形式，说明Log4j2的重要性

观察者网梳理此次阿帕奇严重安全漏洞的时间线如下：

根据公开资料，此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具，控制Java类系统日志信息生成、打印输出、格式配置等，大量的业务框架都使用了该组件，因此被广泛应用于各种应用程序和网络服务。

有资深业内人士告诉观察者网，Log4j2组件出现安全漏洞主要有两方面影响：一是Log4j2本身在java类系统中应用极其广泛，全球Java框架几乎都有使用。二是漏洞细节被公开，由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低，所以影响立即扩散并迅速传播到各个行业领域。

简单来说，这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

这并非危言耸听。美联社等外媒在获取消息后评论称，这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

阿里云官网截图

然而，阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后，并没有按照《网络产品安全漏洞管理规定》第七条要求，在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息，而只是向阿帕奇软件基金会通报了相关信息。

观察者网查询公开资料发现，阿帕奇软件基金会（Apache）于1999年成立于美国，是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中，所发行的软件产品都遵循Apache许可证（Apache License）。

12月10日，在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后，中国国家信息安全漏洞共享平台才获得相关信息，并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》，称阿帕奇官方已发布补丁修复该漏洞，并建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

中国国家信息安全漏洞共享平台官网截图

事实上，国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍，业界通用的漏洞报送流程是，成员单位>工业和信息化部网络安全管理局 >国家信息安全漏洞共享平台（CNVD） CVE 中国信息安全测评中心 > 国家信息安全漏洞库（CNNVD）> 国际非盈利组织CVE；非成员单位或个人注册提交CNVD或CNNVD。

根据公开资料，CVE（通用漏洞共享披露）是国际非盈利组织，全球通用漏洞共享披露协调企业修复解决安全问题，由于最早由美国发起该漏洞技术委员会，所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台，由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

上述业内人士认为，阿里这次因为漏洞影响较大，所以被当做典型通报。在CNVD建立之前以及最近几年，国内安全人员对CVE的共识、认可度和普及程度更高，发现漏洞安全研究人员惯性会提交CVE，虽然最近两年国家建立了CNVD，但普及程度不够，估计阿里安全研究员提交漏洞的时候，认为是个人技术成果的事情，上报国际组织协调修复即可。

但根据最新发布的《网络产品安全漏洞管理规定》，国内安全研究人员发现漏洞之后报送CNVD即可，CNVD会发起向CVE报送流程，协调厂商和企业修复安全漏洞，不允许直接向国外漏洞平台提交。

由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理，根据工信部最新通报，工信部网络安全管理局研究后，决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

业内人士向观察者网指出，工信部这次针对是阿里，其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的，一是没有踢出成员单位，只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告，只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。

本文系观察者网独家稿件，未经授权，不得转载。

Ⅱ 安全工信部通报阿里云，未及时上报重大漏洞，国资云建设刻不容缓

中科院云计算中心分布式存储联合实验室特讯： 近期，工信部网络安全管理局通报，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患报告不及时， 再次为国家数据安全敲响警钟，国资云建设刻不容缓、势在必行。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线：

11月24日

阿里云在阿帕奇（Apache）开放基金会下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露，安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月22日

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中，日志组件是应用程序中不可缺少的部分。而其中Apache（阿帕奇）的开源项目log4j是一个功能强大的日志组件，被广泛应用。

由于Apache Log4j存在递归解析功能，未取得身份认证的用户，可以从远程发送数据请求输入数据日志，轻松触发漏洞，最终在目标上执行任意代码。即 攻击者只要提交一段代码，就可以进入对方服务器，而且可以获得最高权限，控制对方服务器。通俗说，黑客通过这个普遍存在的漏洞，可以在服务器上做任何事。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分，IT 通信（互联网）、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及，全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、网络，网易、新浪以及特斯拉等全球大厂，悉数中招，众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞，可以说相当贴切。

据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中，作为我国云计算服务的头部供应商的阿里云，11月24日发现计算机史上最大的漏洞，是先向国外的Apache基金会报告，而未及时向主管部门报送漏洞信息。工信部得知情况，已经是12月9日，中间已经过了15天。这十五天，中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞，在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台，更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代，国家安全自然延伸到了网络。各个国家，都在想办法堵自己漏洞，找别人家的漏洞，甚至是隐藏的后门。同样的漏洞，那就是看谁率先掌握。国外的开源软件层出不穷的漏洞，隐没难寻的后门，应用于国家重要机构或事关 社会 民生的部门，其潜在危害难以估量。我们除了想方设法被动收集修复漏洞，还要大力发展和利用自主安全可控的技术，才能在互联网领域寻求战略平衡，保障国家安全。

所以说，阿里云的这次行动足以为戒，忽视国家各项数据安全法律法规，国家安全责任意识淡漠，将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商，如何让国家机构、央企国企放心将数据业务托管？

风险就在那里，警告从未缺席。国资云以安全自主可控、平稳可靠运行为上，才能确保国家安全，尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利，更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外，是互联网竞争环境的使然，也是数据安全责任的担当，更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析，北京交通大学信息管理理论与技术国际研究中心（ICIR）认为， “国资云”建设是大势所趋，原因主要有以下三方面：

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产，应纳入国资监管和统一管理，保护国有数据资产安全是建设国资云的核心目的；

二是“国资云”建设是保障国家重要数据安全的需要。近期，《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施，将数据安全提升到前所未有的高度，而国有企业的许多数据事关国家关键信息基础设施安全；

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重，并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用，从基础到应用全方位推进信创工程步伐。

因此，“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础，是我们党执政兴国的重要支柱和依靠力量，国有企业不仅具有鲜明的政治属性，也具有强烈的经济属性和物质属性，坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此，国有企业更需要资产不断保值增值，规模不断发展壮大，盈利水平不断提高，这就要求国有企业必需使用最先进的生产工具，创造出最先进的生产力，保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外，在Paas、Saas层面的技术创新速度非常快，产品迭代周期不断缩短，不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中，企业选择了什么类型、什么厂商的云服务，在一定程度上意味着企业使用了什么工具和武器，在很大程度上决定了企业的生产效率、管理效率和市场效率，也就决定了企业的竞争力。

国资云赋能云上安全，打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统，首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例，将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月， 国资云平台中科云（东莞） 科技 有限公司正式成立，由中科院、东莞市政府等多方投资的上市企业国云 科技 控股，国资背景加持，官方认可，国内顶尖 科技 机构技术背书，使用国内首个自主产权、安全可控的G-Cloud云操作系统，建设“国资云”， 赋能千行百业数字化转型升级，最大化优化国有资本布局，提高国有资本运营效能、产业互联和商业创新！

中科云凝聚服务政企信息化、数字化建设的核心团队， 联合产学研用各方力量，融合大数据、云计算、物联网等新一代信息技术，在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务，助力国资国企规模和实力的持续增长，实现高质量发展。

Ⅲ 阿里云因未及时报告严重漏洞被处罚

阿里云因未及时报告严重漏洞被处罚

阿里云因未及时报告严重漏洞被处罚，阿里云在中国云市场上占据着重要地位，阿里云在2021年第三季度以38.3%的份额领先中国大陆市场，阿里云因未及时报告严重漏洞被处罚。

阿里云因未及时报告严重漏洞被处罚1

近期，工信部网络安全管理局通报称，阿里云计算有限公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

观察者网日前曾对该事件做过详细报道，11月24日，阿里云发现这个可能是“计算机历史上最大的漏洞”后，率先向阿帕奇软件基金会披露了这一漏洞，但并未及时向中国工信部通报相关信息。这一漏洞的存在，可以让网络攻击者无需密码就能访问网络服务器。

工信部通报阿帕奇Log4j2组件重大安全漏洞

阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。

该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

工业和信息化部网络安全管理局将持续组织开展漏洞处置工作，防范网络产品安全漏洞风险，维护公共互联网网络安全。

阿里云因未及时报告严重漏洞被处罚2

12月23日晚间，阿里云计算有限公司（以下简称“阿里云”）对发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告的事件进行了回应，阿里云表示，阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

阿里云表示，近日，阿里云一名研发工程师发现Log4j2组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

此前，阿里云因此事被罚。12月22日，工信部网络安全管理局通报称，阿里云是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

阿里云在中国云市场上占据着重要地位，此前，Canalys发布中国云计算市场2021年第三季度报告。报告显示，2021年第三季度中国云计算市场整体同比增长43%，达到72亿美元。阿里云在2021年第三季度以38.3%的份额领先中国大陆市场，33.3%的年收入增长主要受互联网、金融服务和零售行业的推动。

阿里云因未及时报告严重漏洞被处罚3

近日，有媒体报道，阿里云发现阿帕奇Log4j2组件有安全漏洞，但未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。因此，暂停阿里云作为上述合作单位 6 个月。

原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——

非技术圈的人说：感觉阿里云只报给阿帕奇这个技术社区，不上报组织，是没把国家安全放心上。

技术圈层说：当然是谁写的bug报给谁，阿帕奇的'安全漏洞，报给阿帕奇是应该的，不能上纲上线。

23日晚间，阿里云就log4j2漏洞发布了说明，诚恳认错，表示要强化漏洞报告管理、提升合规意识，积极协同各方共同做好网络安全防范工作。

回顾这个非常技术的话题，有诸多事实需要厘清。

首先，阿帕奇开源社区是什么？Log4j2组件是什么？

阿帕奇是国际上比较有影响力的一个开源社区。官网上显示，华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者，另外也包括谷歌、微软等美国企业。全球的软件工程师，在这里共建一些基础的软件部件，相互迭代、提高公共效率，是软件产业的一个特有现象。

本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件，很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候，就邮件询问了阿帕奇，请社区确认这是否是一个漏洞、评估影响范围。

而后阿帕奇确认这是一个漏洞，并通知开发者们修补这个漏洞。于是，出现了天涯共此时，一起改漏洞的局面。

但阿里云遗漏了不久前上线的一个官方上报平台，仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。

其次，工信部暂停阿里云6个月合作单位资格，意味着什么？

据工信微报——“12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。”

媒体报道的暂停6个月合作单位资格，并未出现在公开渠道。据业内人士分析，这并不是一个严格意义上的“处罚”，否则不可能不公开通报。其次，网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台，暂停这个平台的合作资质并不对业务造成影响。

工信部关于Log4j2漏洞的风险提示

但此次事件，从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中，大量从业人员、组织养成了与开源社区合作的工作习惯，但对更高层面的安全意识、合规意识，在思想上、制度上都有所不足。阿里云的漏报行为，也是这一意识疏漏的一次具体体现。

整体而言，此次事件对行业的影响是正面的，这是一次警示、也是一次示范。阿里云是行业领先的IT企业，这也是能够率先发现全球重大安全漏洞的原因，而此次事件的发生，无疑将会增强计算机行业的安全合规意识，可以想见，无论是阿里云、还是其他诸多科技企业，都将在企业和组织内部增强合规培训和流程规范。

Ⅳ 导致阿里云被暂停合作的漏洞 究竟是什么

新京报贝壳 财经 讯（记者 罗亦丹）因发现安全漏洞后的处理问题，近日阿里云引发了一波舆论。

据媒体报道，11月24日，阿里云安全团队向美国开源社区Apache（阿帕奇）报告了其所开发的组件存在安全漏洞。12月22日，因发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。

12月23日，阿里云在官方微信公号表示，其一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助，“随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。”

“之前发现这样的漏洞都是直接通知软件开发方，这确实属于行业惯例，但是《网络产品安全漏洞管理规定》出台后，要求漏洞要同时通报给国家主管部门。由于上述法案颁布的时间不是很长，我觉得漏洞的发现者，最开始也未必能评估到漏洞影响的范围这么大。所以严格来说，这个处理不算冤，但处罚其实也没有那么严格，一不罚钱，二不影响做业务。””某安全公司技术总监郑陆（化名）告诉贝壳 财经 记者。

漏洞影响有多大？

那么，如何理解Log4j2漏洞的严重程度呢？

安全公司奇安信将Apache Log4j2漏洞的CERT风险等级定为“高危”，奇安信描述称，Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程，“Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。”

安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。据了解，该漏洞影响范围大，利用方式简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制受害者服务器，90%以上基于java开发的应用平台都会受到影响。

“Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。”奇安信安全专家对贝壳 财经 记者表示。

“这个漏洞严重性在于两点，一是log4j作为java日志的基础组件使用相当广泛，Apache和90%以上的java应用受到影响。二是这个漏洞的利用入口非常多，几乎达到了（只要）是这个漏洞影响的范围，只要有输入的地方就受到影响。用户或者攻击者直接可以输入的地方比如登录用户名、查询信息、设备名称等等，以及一些其他来源的被攻击者污染的数据来源比如网上一些页面等等。”从事多年漏洞挖掘的安全行业老兵，网友“yuange1975”在微博发文称。

“简而言之，该漏洞算是这几年来最大的漏洞了。”郑陆表示。

在“yuange1975”看来，该漏洞出来后，因为影响太广泛，IT圈都在加班加点修补漏洞。不过，一些圈子里发文章为了说明这个漏洞的严重性，又有点用了过高评价这个漏洞的词语，“我不否认这个漏洞很严重，肯定是排名很靠前的漏洞，但是要说是有史以来最大的网络漏洞，就是说目前所有已经发现公布的漏洞里排第一，这显然有点夸大了。”

“log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足，这个应用的范围以及漏洞触发路径，我相信一直到阿里云上报完漏洞，恐怕漏洞发现者都没完全明白这个漏洞的真正严重性，有可能当成了Apache下一个普通插件的一个漏洞。”yuange1975表示。

9月1日起施行新规 专家：对于维护国家网络安全具有重大意义

据了解，业界的开源条例遵循的是《负责任的安全漏洞披露流程》，这份文件将漏洞披露分为5个阶段，依次是发现、通告、确认、修复和发布。发现漏洞并上报给原厂商，是业内常见的程序漏洞披露的做法。

贝壳 财经 记者观察到，白帽黑客建立漏洞发现与收集的平台并告知企业的做法一度在圈内流行。根据《 财经 天下》的报道，把漏洞报给原厂商而不是平台方，也会有潜在的好处。包括微软、苹果和谷歌在内的厂商对报告漏洞的人往往会有奖励，“最高的能给到十几万美元”。更重要的是名誉奖励。几乎每一家厂商对第一个报告漏洞的人或者集体，都会公开致谢。“对于安全研究人员而言，这种名声也会让他们非常在意。

不过，今年9月1日后，这一行业“常见程序”就要发生变化。

7月13日，工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》，要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。

值得注意的是，《规定》中也有漏洞发现者需要向产品相关提供者通报的条款。如《规定》第七条第一款显示，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。第七条第七款则表示，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

奇安信集团副总裁、补天漏洞响应平台主任张卓在接受新京报贝壳 财经 记者采访时表示，《网络产品安全漏洞管理规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪，实现对我国各行各业网络安全的有效防护。在供应链安全威胁日益严重的全球形势下，《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。

张卓表示，《规定》第十条指出，任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。同时在第六条中指出，鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为，有利于让白帽子在合法合规的条件下发挥更大的 社会 价值。

Ⅳ 阿里又被重罚，这回做错了什么

公众号：大树乡长

昨天，阿里云因为未依法及时向工信部报告发现的安全漏洞信息，被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。

随即，阿里美股暴跌4.21%，预计接下来还将继续下跌。

就在今天，阿里云发布说明，表示将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险规范工作。

事情发生后，已经有很多人写了些文章，小镇也看到朋友转发的，具体不点名了，多数还是老一套，就喜欢用流量思维动辄把一件事上升到危害国家安全、中美对抗、中国网络安全裸奔等等。

首先，阿里云确实做错了，但不要过度夸张，更不要急着喊打喊杀。

云计算对人类发展非常重要。相比传统的分散式，云计算大大降低了成本、扩展性极强，由于设备在云端，大大提高了整个信息系统的可靠性和稳定性，避免因为服务器发生故障导致的损失，而且可以不断保持更新升级，大大增加了工作的流动性。

因此，云计算带来的种种变化是革命性的，也因此成为大国之争的关键领域之一，当然说白了还是中美两国。

在云计算领域，世界前五大云计算厂商，美国3个中国2个，只不过美国占据第一、第二的实力近乎压倒性的，尤其是第一的亚马逊，2020年的时候全球市场份额超过40%，第二的微软市场占比也达到了19.7%，然后就是阿里云，全球占比9.5%，华为云位居第五，全球占比4.2%，整体同第四的谷歌云接近。

从整体规模上，2020年美国3大厂商全球市场占比高达66.6%，中国两大厂商是13.7%，其他一切企业加起来占19.7%。

力量对比很明显，也正说明数字经济时代，中美已经成为了唯二的角逐者，在其他各领域也都类似。

站在国家的角度，阿里云和华为云都是中国的企业。纵然它们有些这样那样的缺点，可只要不是跟某些企业那样无可救药、不思进取地沉迷于赚快钱，肯定还是要支持的，毕竟这是自家的高 科技 竞争力。

当然，错了还是要敲打下、教训下，但这就是小惩大戒。

小惩大戒的前提确实是没造成多大危害，这就要回到这件事本身。

第二：从技术角度，阿里云程序员的做法没什么问题。

必须强调一件事，阿帕奇基金会绝不是某些自媒体渲染的是一个多么“邪恶”的外国势力，实际上这就是一个管理开源软件项目的非营利组织，这次出问题的log4j项目是阿帕奇基金会下一个开源项目。

在程序员的世界里，开放始终是互联网世界的底色，全人类在虚拟世界面临的许多共同问题，需要凝聚所有程序员的力量共同解决，于是就有了各种开源项目。

各开源项目的程序员来自全世界，阿帕奇基金会只是作为开源项目的管理方，并不参与具体的代码开发。既然项目是开源的，源代码向全世界公开，程序员又来自全世界，所以从根本上就不存在美国政府通过种种手段胁迫阿帕奇基金会的情况，更不可能去要求这家基金会或者开源项目隐藏漏洞，从而让美国人任意妄为。

道理很简单。

开源的基本就是源代码向全世界开放，任何人都可以通过阅读源代码进行操作或者开发，换言之，只要一个水平过关的程序员，通过认真阅读源代码，就完全可以发现这个号称核弹级别的log4j漏洞。

log4j作为一个开源的日志组件，本来就是免费的，按照开源协议，发现漏洞后本就是需要报告到作为开源项目管理方的阿帕奇基金会，在此之前也要求不能泄露给任何第三方，避免漏洞被利用。

这也是为什么我们国家要求发现之后2日内报告，而没有要求必须第一时间优先报告，也有这方面的考虑。

而上报的漏洞，也已经同步更新在开源社区，按照常规，各国、大企业还有很多程序员都会紧跟技术发展，登录这类开源社区进行查看、学习是日常习惯，正常来说，一般在漏洞上报后一两天，就能够发现这件事，并且开始处理。

分散在各公司的程序员们并不是只有当接收到工信部要求后才开始填补漏洞，他们的工作本身就要求迅速反应。

当然这里面有一个疏漏点，就是可能有的机构需要等工信部这类官方下令才会进行处理，又或者有的机构的程序员缺少主动工作的动力，一些领导者也可能不懂甚至漠视风险。

但是仅仅从程序员本身，优先向开源项目管理方报告没什么错，换成别的国家、别的公司，也都大致如此处理。

只不过这次有三个非常不同的点：

第一：发现者是阿里云，是一个大平台，而且正处于加大监管的大环境下；

第二：发现的log4j漏洞确实太离谱；

第三：上报15天后，阿里云仍然没有主动上报，国内竟然没有人发现并且补位上报，以至于等第四方国家吵起来才知道，结果这时候发现，竟然是中国人第一个发现。

种种原因叠加，也就有了工信部对阿里云的惩罚。

第三：阿里云错在内部管理和沟通

在互联网大公司，由于组织庞大，内部沟通常常出现问题，内耗极为严重，有的大平台，内部机构复杂到内部人都搞不明白，更别说协同了。

各部门也存在诸多不同或者说优劣势。

而负责对接政府的政府事务或者公共事务部门，基本上技术肯定是不懂的，多数人对政策也了解不怎么样，别看很多本来就是公务员，有的在中央部委干到处级，但认知水平其实也就那样。

这些人去了企业，往往就是通过自己在体制内呆久了、认识些人，在公司和政府之间来回要挟，有过就躲、有功就抢，拿着政府要求逼迫业务和技术部门，拿着平台资源去找政府等等；还有的在公司里成长起来的，连对体制的感觉也比较缺乏。

当然一般情况下，经常做政府事务工作的，还是有一定敏锐性，如果接到技术部门的通报，多半还是会及时上报，但假如没有形成一套完整、动态调整的机制呢。

比如：及时跟进解读政策变化，将政策变化与公司内部相关部门同步，对应调整信息同步流程和内容等等，这样的机制基本是欠缺的。

这里面有组织太大、政策跟进不及时、内部跨部门沟通困难甚至还有些个人的问题等等。

说这些，是尽可能深入的剖析下这么一个离谱的错误是怎么发生的，并非很多自媒体渲染的，阿里“卖国”等等。这其实就是种种机缘巧合之下叠加大组织病导致的。当然，其中也存在意识不足的问题。

说这些不是为了给阿里云脱责，仅仅是提醒更多的企业好好想想如何解决。

有的公司想出了不是办法的办法，比如某大平台要求所有员工，不分职责，对于安全监管问题人人有责、人人补位，虽然导致工作量大增，但起码也是个应急的办法，所以这家公司就明显少出现很多问题，股价也稳得多。

对于阿里，当然是要敲打的，一家如此大的平台，享受了中国巨大的发展红利和政策优待，就理应担负起与能力对应的责任，无论什么理由，责任没有尽到就是问题，就要罚。

就算是技术人员，遇到问题后也肯定上报了技术主管，技术主管有没有上报?

我国也要求上了规模的公司要成立信息安全机构，由公司高层直接负责，这些问题理应上报到负责信息安全的高层，这里面出现了什么问题？

当然，阿里也付出了代价，整个阿里集团核心业务实际就是三驾马车：电商、金融和阿里云为首的 科技 产业。

金融不说了，电商今年受到严重冲击，头部主播被严查还将面临一系列的税收问题，本来今年阿里股价已经跌掉了三分之二，剩下的三分之一就是靠着阿里云这样的支柱撑着。

现在被工信部暂停6个月的合作伙伴资格，必然会影响到国内很多机构同阿里云的合作，业绩受挫是必然的了。

所以就出现了昨晚阿里美股暴跌，损失不可谓不惨重。

最后，还是要说一句：

阿里确实有错，但错不致死，毕竟还是中国自家的高 科技 竞争力，罚就罚了，没必要上纲上线，更不能干出来亲者痛、仇者快的事，如果中国云计算两大支柱之一受重创，占便宜的只有美国。

小惩大戒，以观后效就好了。

阿里作为一家扎根中国的企业，不会真的不明白应该怎么做，相信一定会积极整改。但是也得提醒很多企业，千万不要轻视组织内部的沟通问题，安全更是红线，否则阿里云就是前车之鉴。

Ⅵ 阿里云被工信部暂停信息共享平台合作，阿里云出现了什么问题

阿里云目前出现的问题就是，系统出现了崩溃的情况，而且系统出现了bug，还出现了信息泄露的情况，电脑也出现了一些故障，所以才会停止合作。

Ⅶ 工信部暂停阿里云信息共享平台合作，这是为什么

原因是相关组件存在着安全漏洞，阿里集团并未向工信部报告该问题。

事实上，云计算确实可以为各大平台带来更高的收益，保证平台的正常运行。可是大型公司与工信部及其他部门进行合作时，更应该秉持着诚信合作的方案。当平台出现了众多的安全漏洞时，相关公司就应该立刻向有关部门报告此事，减少安全漏洞对整个平台造成的影响。

除此之外，阿里云和工信部展开合作后，相关平台的安全性一直得到了网友的重视。除此之外，共享信息平台的安全性比较重要，当某个平台出现安全漏洞时，隐瞒不报只会使双方的合作告吹，或者阻碍双方的进一步合作。

总的来说，既然阿里集团选择与工信部进行合作，那么阿里集团面对信息共享平台的组件安全漏洞时，更应该进行报告。 合作本都该呈现出互利共赢，隐瞒不报只会影响双方合作。