网络安全领域发现漏洞

‘壹’ 什么不会导致网络安全漏洞

网速不快，常常掉线。网络安全漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。网速不快，常常掉线不会导致网络安全漏洞，不会导致感染木马程序。

‘贰’ 网络安全的漏洞有哪些

网络安全漏洞有个人敏感信息随意外泄、密码过于简单或所有账户使用同一密码、使用没有密码的公共Wi-Fi、放松对熟人钓鱼邮件的警惕、扫描来路不明的网站或软件上的二维码。

一张照片就能泄露全部家庭成员信息，容易给不法人员创造行骗、行窃的机会，尤其是老人、小孩的信息，更要注意保护，包括姓名、幼儿园和学校的地址等。有些爱晒孩子的家长没有关掉微信中附近的人这个设置，骗子通过微信搜索附近的人，轻易就能获取孩子的信息。

对于密码我们都不陌生，每当我们登录论坛、邮箱、网站、网上银行或在银行取款时都需要输入密码，密码的安全与否直接关系到我们的工作资料、个人隐私及财产安全。公共Wi-Fi虽然方便，却也有不少安全隐患。黑客们喜欢在公共Wi-Fi里设置埋伏，网民一不小心就会中招，轻则损失钱财，重则个人信息全泄露。

网络安全注意事项：

1、不要随意点击不明邮件中的链接、图片和文件。使用邮箱地址作为网站注册的用户名时，应设置与原邮箱登录密码不相同的网站密码。如果有初始密码，应修改密码，适当设置找回密码的提示问题。当收到与个人信息和金钱相关的邮件时要提高警惕，不打开陌生的邮件，不随便打开邮件中的附件，即使那邮件是你的朋友发来的。

2、不要在网吧、宾馆等公共电脑上登录个人账号或进行金融业务等。尽量访问正规的大型网站，通过查询网站备案信息等方式核实网站资质的真伪，不访问包含不良信息的网站。

3、及时举报类似谣言信息。不造谣，不信谣，不传谣。要注意辨别信息的来源和可靠度，要通过经第三方可信网站认证的网站获取信息。要注意打着发财致富、普及科学、传授新技术等幌子的信息。在获得信息后，应先去函或去电与当地工商、质检等部门联系，核实情况。

‘叁’ 网络安全漏洞是如何产生的

网络安全漏洞主要是因提供网络服务而产生的，例如，FTP服务可以允许远程网络用户通过FTP的方式进行数据传输。但是如果FTP用户名和口令失窃，那么网络服务器(如利用Windows XP架设的FTP服务器)就会遭到入侵，甚至是彻底的崩溃--最高权限的FTP非法用户可以为所欲为地删除任何文件。

‘肆’ 网络安全领域把已经发现但相关软件厂商还没有进行修复的漏洞叫做

0day漏洞。网络安全领域是指计算机网络安全，国家安全中心将该领域中把已经发现但相关软件厂商还没有进行修复的漏洞叫做0day漏洞，这些信息会发送至软件商的后台数据中，提醒软件厂商抓紧时间进行修复。

‘伍’ 安全工信部通报阿里云，未及时上报重大漏洞，国资云建设刻不容缓

中科院云计算中心分布式存储联合实验室特讯： 近期，工信部网络安全管理局通报，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患报告不及时， 再次为国家数据安全敲响警钟，国资云建设刻不容缓、势在必行。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线：

11月24日

阿里云在阿帕奇（Apache）开放基金会下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露，安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月22日

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中，日志组件是应用程序中不可缺少的部分。而其中Apache（阿帕奇）的开源项目log4j是一个功能强大的日志组件，被广泛应用。

由于Apache Log4j存在递归解析功能，未取得身份认证的用户，可以从远程发送数据请求输入数据日志，轻松触发漏洞，最终在目标上执行任意代码。即 攻击者只要提交一段代码，就可以进入对方服务器，而且可以获得最高权限，控制对方服务器。通俗说，黑客通过这个普遍存在的漏洞，可以在服务器上做任何事。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分，IT 通信（互联网）、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及，全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、网络，网易、新浪以及特斯拉等全球大厂，悉数中招，众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞，可以说相当贴切。

据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中，作为我国云计算服务的头部供应商的阿里云，11月24日发现计算机史上最大的漏洞，是先向国外的Apache基金会报告，而未及时向主管部门报送漏洞信息。工信部得知情况，已经是12月9日，中间已经过了15天。这十五天，中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞，在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台，更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代，国家安全自然延伸到了网络。各个国家，都在想办法堵自己漏洞，找别人家的漏洞，甚至是隐藏的后门。同样的漏洞，那就是看谁率先掌握。国外的开源软件层出不穷的漏洞，隐没难寻的后门，应用于国家重要机构或事关 社会 民生的部门，其潜在危害难以估量。我们除了想方设法被动收集修复漏洞，还要大力发展和利用自主安全可控的技术，才能在互联网领域寻求战略平衡，保障国家安全。

所以说，阿里云的这次行动足以为戒，忽视国家各项数据安全法律法规，国家安全责任意识淡漠，将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商，如何让国家机构、央企国企放心将数据业务托管？

风险就在那里，警告从未缺席。国资云以安全自主可控、平稳可靠运行为上，才能确保国家安全，尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利，更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外，是互联网竞争环境的使然，也是数据安全责任的担当，更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析，北京交通大学信息管理理论与技术国际研究中心（ICIR）认为， “国资云”建设是大势所趋，原因主要有以下三方面：

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产，应纳入国资监管和统一管理，保护国有数据资产安全是建设国资云的核心目的；

二是“国资云”建设是保障国家重要数据安全的需要。近期，《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施，将数据安全提升到前所未有的高度，而国有企业的许多数据事关国家关键信息基础设施安全；

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重，并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用，从基础到应用全方位推进信创工程步伐。

因此，“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础，是我们党执政兴国的重要支柱和依靠力量，国有企业不仅具有鲜明的政治属性，也具有强烈的经济属性和物质属性，坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此，国有企业更需要资产不断保值增值，规模不断发展壮大，盈利水平不断提高，这就要求国有企业必需使用最先进的生产工具，创造出最先进的生产力，保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外，在Paas、Saas层面的技术创新速度非常快，产品迭代周期不断缩短，不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中，企业选择了什么类型、什么厂商的云服务，在一定程度上意味着企业使用了什么工具和武器，在很大程度上决定了企业的生产效率、管理效率和市场效率，也就决定了企业的竞争力。

国资云赋能云上安全，打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统，首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例，将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月， 国资云平台中科云（东莞） 科技 有限公司正式成立，由中科院、东莞市政府等多方投资的上市企业国云 科技 控股，国资背景加持，官方认可，国内顶尖 科技 机构技术背书，使用国内首个自主产权、安全可控的G-Cloud云操作系统，建设“国资云”， 赋能千行百业数字化转型升级，最大化优化国有资本布局，提高国有资本运营效能、产业互联和商业创新！

中科云凝聚服务政企信息化、数字化建设的核心团队， 联合产学研用各方力量，融合大数据、云计算、物联网等新一代信息技术，在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务，助力国资国企规模和实力的持续增长，实现高质量发展。

‘陆’ 网络安全领域，把已经被发现，但相关软件厂商还没有进行修复的漏洞叫什么漏洞

1、这种漏洞叫0day漏洞，0是阿拉伯数字零，是为字母O。
2、意思是零日漏洞。
3、这种漏洞比较危险。
希望可以帮到您，谢谢！

‘柒’ “网络大流感”Apache Log4j2漏洞来袭“云上企业”如何应对

对于大部分互联网用户而言，Apache（阿帕奇）Log4j2是个陌生的词汇。但在很多程序员眼中，它却是陪伴自己的好伙伴，每天用于记录日志。然而，恰恰是这个被无数程序员每天使用的组件出现漏洞了。这个漏洞危害之大，甚至可能超过“永恒之蓝”。

安恒信息高级应急响应总监季靖评价称：“（Apache Log4j2）降低了黑客攻击的成本，堪称网络安全领域20年以来史诗级的漏洞。”有业内人士还认为，这是“现代计算机 历史 上最大的漏洞”。

工信部于2021年12月17日发文提示风险：“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。”

就连国家政府部门也中招了。2021年12月下旬，比利时国防部承认他们遭受了严重的网络攻击，该攻击基于Apache Log4j2相关漏洞，网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。

此漏洞“威力”之大，连国家信息安全也受到波及。那么普通企业，特别是采用云服务的企业应该如何应对呢？疫情发生以来，大量企业、机构加速数字化进程，成为“云上企业”。传统环境下，企业对自身的安全体系建设拥有更多掌控权，完成云迁移后，这些企业的云安全防护是否到位？

2021年12月9日深夜，Apache Log4j2远程代码执行漏洞攻击爆发，一时间各大互联网公司“风声鹤唳”，许多网络安全工程师半夜醒来，忙着修补漏洞。“听说各大厂程序员半夜被叫起来改，不改完不让下班。”相关论坛也对此事议论纷纷。

为何一个安全漏洞的影响力如此之大？安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为：“影响广泛、威胁程度高、攻击难度低，使得此次Apache Log4j2漏洞危机备受瞩目，造成了全球范围的影响。”

“Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发”，季靖表示，“据不完全统计，漏洞爆发后72小时之内，受影响的主流开发框架都超过70个。而这些框架，又被广泛使用在各个行业的数字化信息系统建设之中，比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架，因此阿帕奇Log4j2漏洞影响范围极大。”

除了应用广泛之外，Apache Log4j2漏洞被利用的成本相对而言也较低，攻击者可以在不需要认证登录这种强交互的前提下，构造出恶意的数据，通过远程代码对有漏洞的系统执行攻击。并且，它还可以获得服务器的最高权限，最终导致设备远程受控，进一步造成数据泄露，设备服务中断等危害。

不仅仅攻击成本低，而且技术门槛也不高。不像2017年爆发的“永恒之蓝”，攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者，可以利用很多现成的工具，稍微懂点技术便可以构造更新出一种恶意代码。

利用难度低、攻击成本低，意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间，这将是一场“网络安全大流感”。

传统模式下，安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式，“云上企业”使用的是云计算、云存储服务等，没有自己的机房和服务器。进入云环境，安全防护的“边界”不复存在，对底层主机的控制权限也没有本地那么多，同时还多一层虚拟化方面的攻击方式。

特别是疫情影响下，大量企业、机构开启数字化转型，从本地服务器迁徙到云服务器。短时间内完成云迁移，企业很可能缺乏对应的云安全管理能力成熟度；同时，往往也面临着安全能力不足、专业人手紧缺等情况。

面对这场史诗级的漏洞危机，“云上企业”应该如何应对呢？

在安恒信息高级产品专家盖文轩看来：“企业上云之后，传统的网络安全风险依然存在，此外，还会面临新的安全风险，比如用户与云平台之间安全责任边界划分等问题。另外，传统的硬件设备可能不适用于云环境，因此需要针对特殊情况部署相关安全服务。”

而在安永大中华区 科技 风险咨询服务合伙人赵剑澐看来：“面对快速上云，企业急需搭建满足自身业务发展与管理要求的安全保障体系。”

那么，对于这些“云上企业”，究竟是选择云服务商提供的原生安全服务，还是另寻第三方专业的安全服务商呢？

事实上，目前即使是高度自动化的云原生安全方案，也无法做到完全自主自治，仍然需要合格的云安全服务专业团队参与。高轶峰强调，对于中小型企业，选择满足资质的第三方专业安全机构，能够保证服务的独立性，保障工作顺利开展及服务质量。

每日经济新闻

‘捌’ 网络安全领域把已经被发现但相关软件厂商还没有进行修复的漏洞叫

0day 漏洞。0day 漏洞，是已经被发现 (有可能未被公开), 而官方还没有相关补丁的漏洞。信息安全意义上的 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。0Day 的概念最早用于软件和游戏破解，属于非盈利性和非商业化的组织行为，其基本内涵是 “即时性”。网络安全领域把已经被发现但相关软件厂商还没有进行修复的漏洞叫0day 漏洞。

‘玖’ 网络安全领域，把已经被发现，但相关软件厂商还没有进行修复的漏洞叫什么漏洞

这种漏洞叫0day漏洞，0是阿拉伯数字零，0day特指被攻击者掌握却未被软件厂商修复的漏洞，由于没有官方补丁，攻击者可以利用0day漏洞对目标为所欲为。

‘拾’ 阿里云未及时通报重大网络安全漏洞，会带来什么后果

【文/观察者网 吕栋】

这事缘起于一个月前。当时，阿里云团队的一名成员发现阿帕奇（Apache）Log4j2组件严重安全漏洞后，随即向位于美国的阿帕奇软件基金会通报，但并没有按照规定向中国工信部通报。事发半个月后，中国工信部收到网络安全专业机构的报告，才发现阿帕奇组件存在严重安全漏洞。

阿帕奇组件存在的到底是什么漏洞？阿里云没有及时通报会造成什么后果？国内企业在发现安全漏洞后应该走什么程序通报？观察者网带着这些问题采访了一些业内人士。

漏洞银行联合创始人、CTO张雪松向观察者网指出，Log4j2组件应用极其广泛，漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。

关于Log4j2组件在计算机网络领域的关键作用，有国外网友用漫画形式做了形象说明。按这个图片解读，如果没有Log4j2组件的支撑，所有现代数字基础设施都存在倒塌的危险。

国外社交媒体用户以漫画的形式，说明Log4j2的重要性

观察者网梳理此次阿帕奇严重安全漏洞的时间线如下：

根据公开资料，此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具，控制Java类系统日志信息生成、打印输出、格式配置等，大量的业务框架都使用了该组件，因此被广泛应用于各种应用程序和网络服务。

有资深业内人士告诉观察者网，Log4j2组件出现安全漏洞主要有两方面影响：一是Log4j2本身在java类系统中应用极其广泛，全球Java框架几乎都有使用。二是漏洞细节被公开，由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低，所以影响立即扩散并迅速传播到各个行业领域。

简单来说，这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

这并非危言耸听。美联社等外媒在获取消息后评论称，这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

阿里云官网截图

然而，阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后，并没有按照《网络产品安全漏洞管理规定》第七条要求，在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息，而只是向阿帕奇软件基金会通报了相关信息。

观察者网查询公开资料发现，阿帕奇软件基金会（Apache）于1999年成立于美国，是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中，所发行的软件产品都遵循Apache许可证（Apache License）。

12月10日，在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后，中国国家信息安全漏洞共享平台才获得相关信息，并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》，称阿帕奇官方已发布补丁修复该漏洞，并建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

中国国家信息安全漏洞共享平台官网截图

事实上，国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍，业界通用的漏洞报送流程是，成员单位>工业和信息化部网络安全管理局 >国家信息安全漏洞共享平台（CNVD） CVE 中国信息安全测评中心 > 国家信息安全漏洞库（CNNVD）> 国际非盈利组织CVE；非成员单位或个人注册提交CNVD或CNNVD。

根据公开资料，CVE（通用漏洞共享披露）是国际非盈利组织，全球通用漏洞共享披露协调企业修复解决安全问题，由于最早由美国发起该漏洞技术委员会，所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台，由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

上述业内人士认为，阿里这次因为漏洞影响较大，所以被当做典型通报。在CNVD建立之前以及最近几年，国内安全人员对CVE的共识、认可度和普及程度更高，发现漏洞安全研究人员惯性会提交CVE，虽然最近两年国家建立了CNVD，但普及程度不够，估计阿里安全研究员提交漏洞的时候，认为是个人技术成果的事情，上报国际组织协调修复即可。

但根据最新发布的《网络产品安全漏洞管理规定》，国内安全研究人员发现漏洞之后报送CNVD即可，CNVD会发起向CVE报送流程，协调厂商和企业修复安全漏洞，不允许直接向国外漏洞平台提交。

由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理，根据工信部最新通报，工信部网络安全管理局研究后，决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

业内人士向观察者网指出，工信部这次针对是阿里，其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的，一是没有踢出成员单位，只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告，只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。

本文系观察者网独家稿件，未经授权，不得转载。