导航:首页 > 网络设置 > 阿里网络安全事件处罚

阿里网络安全事件处罚

发布时间:2023-08-10 04:39:50

❶ 阿里云未及时通报重大网络安全漏洞,会带来什么后果

【文/观察者网 吕栋】

这事缘起于一个月前。当时,阿里云团队的一名成员发现阿帕奇(Apache)Log4j2组件严重安全漏洞后,随即向位于美国的阿帕奇软件基金会通报,但并没有按照规定向中国工信部通报。事发半个月后,中国工信部收到网络安全专业机构的报告,才发现阿帕奇组件存在严重安全漏洞。

阿帕奇组件存在的到底是什么漏洞?阿里云没有及时通报会造成什么后果?国内企业在发现安全漏洞后应该走什么程序通报?观察者网带着这些问题采访了一些业内人士。

漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。

关于Log4j2组件在计算机网络领域的关键作用,有国外网友用漫画形式做了形象说明。按这个图片解读,如果没有Log4j2组件的支撑,所有现代数字基础设施都存在倒塌的危险。

国外社交媒体用户以漫画的形式,说明Log4j2的重要性

观察者网梳理此次阿帕奇严重安全漏洞的时间线如下:

根据公开资料,此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具,控制Java类系统日志信息生成、打印输出、格式配置等,大量的业务框架都使用了该组件,因此被广泛应用于各种应用程序和网络服务。

有资深业内人士告诉观察者网,Log4j2组件出现安全漏洞主要有两方面影响:一是Log4j2本身在java类系统中应用极其广泛,全球Java框架几乎都有使用。二是漏洞细节被公开,由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低,所以影响立即扩散并迅速传播到各个行业领域。

简单来说,这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

这并非危言耸听。美联社等外媒在获取消息后评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”,甚至犯罪分子、间谍乃至编程新手,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。

阿里云官网截图

然而,阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后,并没有按照《网络产品安全漏洞管理规定》第七条要求,在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息,而只是向阿帕奇软件基金会通报了相关信息。

观察者网查询公开资料发现,阿帕奇软件基金会(Apache)于1999年成立于美国,是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中,所发行的软件产品都遵循Apache许可证(Apache License)。

12月10日,在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后,中国国家信息安全漏洞共享平台才获得相关信息,并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》,称阿帕奇官方已发布补丁修复该漏洞,并建议受影响用户立即更新至最新版本,同时采取防范性措施避免漏洞攻击威胁。

中国国家信息安全漏洞共享平台官网截图

事实上,国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍,业界通用的漏洞报送流程是,成员单位>工业和信息化部网络安全管理局 >国家信息安全漏洞共享平台(CNVD) CVE 中国信息安全测评中心 > 国家信息安全漏洞库(CNNVD)> 国际非盈利组织CVE;非成员单位或个人注册提交CNVD或CNNVD。

根据公开资料,CVE(通用漏洞共享披露)是国际非盈利组织,全球通用漏洞共享披露协调企业修复解决安全问题,由于最早由美国发起该漏洞技术委员会,所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台,由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

上述业内人士认为,阿里这次因为漏洞影响较大,所以被当做典型通报。在CNVD建立之前以及最近几年,国内安全人员对CVE的共识、认可度和普及程度更高,发现漏洞安全研究人员惯性会提交CVE,虽然最近两年国家建立了CNVD,但普及程度不够,估计阿里安全研究员提交漏洞的时候,认为是个人技术成果的事情,上报国际组织协调修复即可。

但根据最新发布的《网络产品安全漏洞管理规定》,国内安全研究人员发现漏洞之后报送CNVD即可,CNVD会发起向CVE报送流程,协调厂商和企业修复安全漏洞,不允许直接向国外漏洞平台提交。

由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理,根据工信部最新通报,工信部网络安全管理局研究后,决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。

业内人士向观察者网指出,工信部这次针对是阿里,其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的,一是没有踢出成员单位,只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告,只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。

本文系观察者网独家稿件,未经授权,不得转载。

❷ 阿里云未及时通报重大漏洞,会造成什么后果

阿里云发布关于开源社区Apache log4j2漏洞情况的说明。阿里云表示,Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。

工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。

2021财年(2020年4月1日至2021年3月31日跨年度),阿里云营收达601亿元,比上一财年400亿元收入大幅增长50%,在阿里集团财年总营收7173亿元总营收比例为8.38%。600亿元总收入,超过多数上市公司年度总收入。

❸ 安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓

中科院云计算中心分布式存储联合实验室特讯: 近期,工信部网络安全管理局通报,暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。


近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。


Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线:


11月24日

阿里云在阿帕奇(Apache)开放基金会下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。



12月9日

中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。


12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。


12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。


12月10日

阿里云在官网公告披露,安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。


12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。


12月22日

工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中,日志组件是应用程序中不可缺少的部分。而其中Apache(阿帕奇)的开源项目log4j是一个功能强大的日志组件,被广泛应用。


由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。即 攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得最高权限,控制对方服务器。通俗说,黑客通过这个普遍存在的漏洞,可以在服务器上做任何事。


有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分,IT 通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、网络,网易、新浪以及特斯拉等全球大厂,悉数中招,众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞,可以说相当贴切。


据工信部官网消息,今年9月1日,工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到,根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中,作为我国云计算服务的头部供应商的阿里云,11月24日发现计算机史上最大的漏洞,是先向国外的Apache基金会报告,而未及时向主管部门报送漏洞信息。工信部得知情况,已经是12月9日,中间已经过了15天。这十五天,中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞,在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台,更加应以谨慎的心态承担起保障网络安全的责任。


国资云建设 安全自主可控为上

互联网时代,国家安全自然延伸到了网络。各个国家,都在想办法堵自己漏洞,找别人家的漏洞,甚至是隐藏的后门。同样的漏洞,那就是看谁率先掌握。国外的开源软件层出不穷的漏洞,隐没难寻的后门,应用于国家重要机构或事关 社会 民生的部门,其潜在危害难以估量。我们除了想方设法被动收集修复漏洞,还要大力发展和利用自主安全可控的技术,才能在互联网领域寻求战略平衡,保障国家安全。


所以说,阿里云的这次行动足以为戒,忽视国家各项数据安全法律法规,国家安全责任意识淡漠,将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商,如何让国家机构、央企国企放心将数据业务托管?


风险就在那里,警告从未缺席。国资云以安全自主可控、平稳可靠运行为上,才能确保国家安全,尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利,更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外,是互联网竞争环境的使然,也是数据安全责任的担当,更是时代赋予的使命。


“国资云”建设 大势所趋

经过深入研究分析,北京交通大学信息管理理论与技术国际研究中心(ICIR)认为, “国资云”建设是大势所趋,原因主要有以下三方面:



一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产,应纳入国资监管和统一管理,保护国有数据资产安全是建设国资云的核心目的;



二是“国资云”建设是保障国家重要数据安全的需要。近期,《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施,将数据安全提升到前所未有的高度,而国有企业的许多数据事关国家关键信息基础设施安全;



三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重,并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用,从基础到应用全方位推进信创工程步伐。

因此,“国资云”建设的重要意义在业界已达成高度共识。


国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础,是我们党执政兴国的重要支柱和依靠力量,国有企业不仅具有鲜明的政治属性,也具有强烈的经济属性和物质属性,坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此,国有企业更需要资产不断保值增值,规模不断发展壮大,盈利水平不断提高,这就要求国有企业必需使用最先进的生产工具,创造出最先进的生产力,保持在国际国内市场中的竞争力。


而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外,在Paas、Saas层面的技术创新速度非常快,产品迭代周期不断缩短,不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。


在激烈的市场竞争中,企业选择了什么类型、什么厂商的云服务,在一定程度上意味着企业使用了什么工具和武器,在很大程度上决定了企业的生产效率、管理效率和市场效率,也就决定了企业的竞争力。

国资云赋能云上安全,打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统,首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例,将有助于充分激活国企强劲的竞争力、影响力、带动力。


2021年11月, 国资云平台中科云(东莞) 科技 有限公司正式成立,由中科院、东莞市政府等多方投资的上市企业国云 科技 控股,国资背景加持,官方认可,国内顶尖 科技 机构技术背书,使用国内首个自主产权、安全可控的G-Cloud云操作系统,建设“国资云”, 赋能千行百业数字化转型升级,最大化优化国有资本布局,提高国有资本运营效能、产业互联和商业创新!


中科云凝聚服务政企信息化、数字化建设的核心团队, 联合产学研用各方力量,融合大数据、云计算、物联网等新一代信息技术,在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务,助力国资国企规模和实力的持续增长,实现高质量发展。

❹ 未及时上报安全漏洞 阿里云被工信部通报 业内人士:错在没有重视流程

通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究, 现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位

据了解,Apache Log4j2作为阿帕奇软件基金会旗下的一款日志纪录工具,是基于Java语言的开源日志框架,被广泛用于业务系统开发。

工信部网络安全管理局曾在17日发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。其中指出, 阿里云在近日发现阿帕奇Log4j2组件存在远程代码执行漏洞 ,并将漏洞情况告知阿帕奇软件基金会。 12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告 ,阿帕奇Log4j2组件存在严重安全漏洞。

随后,工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。

“目前来看,是阿里更早发现了这个漏洞,并将问题反馈给了Apache基金会,之后Apache为Log4j发布了新版补丁修复。但是,阿里云没有及时去向工信部申报。主要错误在于没有重视上报流程和申报漏洞。”有业内人士表示。

根据今年9月1日施行的工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》, 网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息 ,并及时进行修补,将修补方式告知可能受影响的产品用户。

据此前报道,阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。而根据公告,工信部是12月9日才收到上述漏洞的报告,距离阿里云首次发现已经过去了2个星期。

阅读全文

与阿里网络安全事件处罚相关的资料

热点内容
网络共享中心没有网卡 浏览:483
电脑无法检测到网络代理 浏览:1341
笔记本电脑一天会用多少流量 浏览:468
苹果电脑整机转移新机 浏览:1343
突然无法连接工作网络 浏览:952
联通网络怎么设置才好 浏览:1180
小区网络电脑怎么连接路由器 浏览:923
p1108打印机网络共享 浏览:1178
怎么调节台式电脑护眼 浏览:596
深圳天虹苹果电脑 浏览:834
网络总是异常断开 浏览:575
中级配置台式电脑 浏览:888
中国网络安全的战士 浏览:597
同志网站在哪里 浏览:1370
版观看完整完结免费手机在线 浏览:1424
怎样切换默认数据网络设置 浏览:1072
肯德基无线网无法访问网络 浏览:1246
光纤猫怎么连接不上网络 浏览:1367
神武3手游网络连接 浏览:930
局网打印机网络共享 浏览:966