最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
阿里云服務(wù)器漏洞披露報告 阿里云服務(wù)器會泄露文件嗎

導(dǎo)致阿里云被暫停合作的漏洞 究竟是什么?

新京報貝殼 財經(jīng) 訊(記者 羅亦丹)因發(fā)現(xiàn)安全漏洞后的處理問題,近日阿里云引發(fā)了一波輿論。

十余年的東方網(wǎng)站建設(shè)經(jīng)驗,針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù),響應(yīng)快,48小時及時工作處理。成都營銷網(wǎng)站建設(shè)的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動調(diào)整東方建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計,從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)公司從事“東方網(wǎng)站設(shè)計”,“東方網(wǎng)站推廣”以來,每個客戶項目都認真落實執(zhí)行。

據(jù)媒體報道,11月24日,阿里云安全團隊向美國開源社區(qū)Apache(阿帕奇)報告了其所開發(fā)的組件存在安全漏洞。12月22日,因發(fā)現(xiàn)Apache Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,阿里云被暫停作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

12月23日,阿里云在官方微信公號表示,其一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug,遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助,“隨后,該漏洞被外界證實為一個全球性的重大漏洞。阿里云因在早期未意識到該漏洞的嚴(yán)重性,未及時共享漏洞信息。”

“之前發(fā)現(xiàn)這樣的漏洞都是直接通知軟件開發(fā)方,這確實屬于行業(yè)慣例,但是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》出臺后,要求漏洞要同時通報給國家主管部門。由于上述法案頒布的時間不是很長,我覺得漏洞的發(fā)現(xiàn)者,最開始也未必能評估到漏洞影響的范圍這么大。所以嚴(yán)格來說,這個處理不算冤,但處罰其實也沒有那么嚴(yán)格,一不罰錢,二不影響做業(yè)務(wù)?!薄蹦嘲踩炯夹g(shù)總監(jiān)鄭陸(化名)告訴貝殼 財經(jīng) 記者。

漏洞影響有多大?

那么,如何理解Log4j2漏洞的嚴(yán)重程度呢?

安全公司奇安信將Apache Log4j2漏洞的CERT風(fēng)險等級定為“高?!保姘残琶枋龇Q,Apache Log4j 是 Apache 的一個開源項目,通過定義每一條日志信息的級別,能夠更加細致地控制日志生成過程,“Log4j2中存在JNDI注入漏洞,當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進行日志記錄時,即可觸發(fā)此漏洞,成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。”

安域云防護的監(jiān)測數(shù)據(jù)顯示,截至12月10日中午12點,已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為。據(jù)了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標(biāo)輸入一段代碼,不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞,使攻擊者可以遠程控制受害者服務(wù)器,90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響。

“Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關(guān)注,不僅在于其易于利用,更在于它巨大的潛在危害性。當(dāng)前幾乎所有的技術(shù)巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。”奇安信安全專家對貝殼 財經(jīng) 記者表示。

“這個漏洞嚴(yán)重性在于兩點,一是log4j作為java日志的基礎(chǔ)組件使用相當(dāng)廣泛,Apache和90%以上的java應(yīng)用受到影響。二是這個漏洞的利用入口非常多,幾乎達到了(只要)是這個漏洞影響的范圍,只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設(shè)備名稱等等,以及一些其他來源的被攻擊者污染的數(shù)據(jù)來源比如網(wǎng)上一些頁面等等。”從事多年漏洞挖掘的安全行業(yè)老兵,網(wǎng)友“yuange1975”在微博發(fā)文稱。

“簡而言之,該漏洞算是這幾年來最大的漏洞了?!编嶊懕硎?。

在“yuange1975”看來,該漏洞出來后,因為影響太廣泛,IT圈都在加班加點修補漏洞。不過,一些圈子里發(fā)文章為了說明這個漏洞的嚴(yán)重性,又有點用了過高評價這個漏洞的詞語,“我不否認這個漏洞很嚴(yán)重,肯定是排名很靠前的漏洞,但是要說是有史以來最大的網(wǎng)絡(luò)漏洞,就是說目前所有已經(jīng)發(fā)現(xiàn)公布的漏洞里排第一,這顯然有點夸大了?!?/p>

“l(fā)og4j漏洞發(fā)現(xiàn)者恐怕發(fā)現(xiàn)漏洞時對這個漏洞認識不足,這個應(yīng)用的范圍以及漏洞觸發(fā)路徑,我相信一直到阿里云上報完漏洞,恐怕漏洞發(fā)現(xiàn)者都沒完全明白這個漏洞的真正嚴(yán)重性,有可能當(dāng)成了Apache下一個普通插件的一個漏洞?!眣uange1975表示。

9月1日起施行新規(guī) 專家:對于維護國家網(wǎng)絡(luò)安全具有重大意義

據(jù)了解,業(yè)界的開源條例遵循的是《負責(zé)任的安全漏洞披露流程》,這份文件將漏洞披露分為5個階段,依次是發(fā)現(xiàn)、通告、確認、修復(fù)和發(fā)布。發(fā)現(xiàn)漏洞并上報給原廠商,是業(yè)內(nèi)常見的程序漏洞披露的做法。

貝殼 財經(jīng) 記者觀察到,白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法一度在圈內(nèi)流行。根據(jù)《 財經(jīng) 天下》的報道,把漏洞報給原廠商而不是平臺方,也會有潛在的好處。包括微軟、蘋果和谷歌在內(nèi)的廠商對報告漏洞的人往往會有獎勵,“最高的能給到十幾萬美元”。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體,都會公開致謝?!皩τ诎踩芯咳藛T而言,這種名聲也會讓他們非常在意。

不過,今年9月1日后,這一行業(yè)“常見程序”就要發(fā)生變化。

7月13日,工信部、國家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,要求任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺,應(yīng)當(dāng)在兩日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。該規(guī)定自2021年9月1日起施行。

值得注意的是,《規(guī)定》中也有漏洞發(fā)現(xiàn)者需要向產(chǎn)品相關(guān)提供者通報的條款。如《規(guī)定》第七條第一款顯示,發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,應(yīng)當(dāng)立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產(chǎn)品或者組件存在的安全漏洞,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。第七條第七款則表示,不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應(yīng)平臺主任張卓在接受新京報貝殼 財經(jīng) 記者采訪時表示,《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》釋放了一個重要信號:我國將首次以產(chǎn)品視角來管理漏洞,通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源,立足于供應(yīng)鏈全鏈條,對網(wǎng)絡(luò)產(chǎn)品進行全周期的漏洞風(fēng)險跟蹤,實現(xiàn)對我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護。在供應(yīng)鏈安全威脅日益嚴(yán)重的全球形勢下,《規(guī)定》對于維護國家網(wǎng)絡(luò)安全,保護網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行,具有重大意義。

張卓表示,《規(guī)定》第十條指出,任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺,應(yīng)當(dāng)向工業(yè)和信息化部備案。同時在第六條中指出,鼓勵相關(guān)組織和個人向網(wǎng)絡(luò)產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞,還“鼓勵網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎勵機制,對發(fā)現(xiàn)并通報所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人給予獎勵。”這兩條規(guī)定規(guī)范了漏洞收集平臺和白帽子的行為,有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的 社會 價值。

阿里又出事了!發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞,不上報工信部,卻通知外國機構(gòu)

突發(fā)!工信部宣布暫停與阿里云信息共享平臺合作。這是怎么回事?阿里云犯了什么事?要了解這些疑問,首先我們要知道阿帕奇 Log4j2組件。

據(jù)悉,阿帕奇 Log4j2組件是基于Java語言的開源日志框架,被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。而在11月24日,阿里云發(fā)現(xiàn)阿帕奇(Apache) Log4j2存在安全漏洞。但阿里云沒第一時間向工信部報告,反而率先向阿帕奇軟件基金會披露該漏洞。

而阿帕奇軟件基金會是專門為支持開源軟件項目而成立的一個非盈利性組織,于1999年6月在美國特拉華州注冊成立。

在阿里向他們披露漏洞后,奧地利和新西蘭官方的計算機應(yīng)急小組率先對這一漏洞進行預(yù)警,而中國工信部是在收到網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告后,才發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。

根據(jù)工信部、國家網(wǎng)信辦、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在2日內(nèi)向工信部報送相關(guān)漏洞信息,而工信部12月9日發(fā)現(xiàn)上述漏洞,距阿里云首次發(fā)現(xiàn)已經(jīng)過去15天。

值得注意的是:這次的漏洞被認為是“計算機 歷史 上最大的漏洞”。多名云計算業(yè)內(nèi)人士指出,這是一個非?;A(chǔ)的日志庫漏洞。由于組件使用量很大,幾乎所有的java程序都會涉及,所以影響面很大。

工信部指出,這一漏洞可能導(dǎo)致設(shè)備遠程受控,進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害,屬于高危漏洞。有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時升級組件版本,以降低網(wǎng)絡(luò)安全風(fēng)險。

看完上述,相信大家都知道阿里云犯了什么事了吧!根據(jù)工信部要求,網(wǎng)絡(luò)產(chǎn)品提供者發(fā)現(xiàn)漏洞,應(yīng)當(dāng)在2日內(nèi)向工信部報送相關(guān)漏洞信息。

有此要求是因為通常情況下,發(fā)現(xiàn)的早,知道的快,能及時防備、解決漏洞,避免造成損失。反之,知道得越晚,損失越大。

此次的阿帕奇 Log4j2漏洞,幾乎影響全球,原本我國本應(yīng)該能在11月24日就應(yīng)對的,最后卻滯后了15天,15天有多少設(shè)備受到了“入侵”呢?

所以,也難怪工信部宣布暫停與阿里云信息共享平臺合作。工信部稱,阿里云公司發(fā)現(xiàn)阿帕奇 Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據(jù)阿里云公司整改情況,研究恢復(fù)其上述合作單位。

安全工信部通報阿里云,未及時上報重大漏洞,國資云建設(shè)刻不容緩

中科院云計算中心分布式存儲聯(lián)合實驗室特訊: 近期,工信部網(wǎng)絡(luò)安全管理局通報,暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。此次事件源自阿里云發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患報告不及時, 再次為國家數(shù)據(jù)安全敲響警鐘,國資云建設(shè)刻不容緩、勢在必行。

近期,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱,阿里云計算有限公司(簡稱“阿里云”)是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日,阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據(jù)阿里云公司整改情況,研究恢復(fù)其上述合作單位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇嚴(yán)重安全漏洞的時間線:

11月24日

阿里云在阿帕奇(Apache)開放基金會下的開源日志組件Log4j2內(nèi),發(fā)現(xiàn)重大漏洞Log4Shell,然后向總部位于美國的阿帕奇軟件基金會報告。

獲得消息后,奧地利和新西蘭官方計算機應(yīng)急小組立即對這一漏洞進行預(yù)警。新西蘭方面聲稱,該漏洞正在被“積極利用”,并且概念驗證代碼也已被發(fā)布。

12月9日

中國工信部收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告,發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞,立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判,并向行業(yè)單位進行風(fēng)險預(yù)警。

12月9日

阿帕奇官方發(fā)布緊急安全更新以修復(fù)遠程代碼執(zhí)行漏洞,漏洞利用細節(jié)公開,但更新后的Apache Log4j2.15.0-rc1版本被發(fā)現(xiàn)仍存在漏洞繞過。

12月10日

中國國家信息安全漏洞共享平臺收錄Apache Log4j2遠程代碼執(zhí)行漏洞;阿帕奇官方再度發(fā)布log4j-2.15.0-rc2版本修復(fù)漏洞。

12月10日

阿里云在官網(wǎng)公告披露,安全團隊發(fā)現(xiàn)Apache Log4j2.15.0-rc1版本存在漏洞繞過,要求用戶及時更新版本,并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日

中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠程代碼執(zhí)行漏洞排查及修復(fù)手冊》,供相關(guān)單位、企業(yè)及個人參考。

12月22日

工信部通報,由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理,決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

在服務(wù)器的組件中,日志組件是應(yīng)用程序中不可缺少的部分。而其中Apache(阿帕奇)的開源項目log4j是一個功能強大的日志組件,被廣泛應(yīng)用。

由于Apache Log4j存在遞歸解析功能,未取得身份認證的用戶,可以從遠程發(fā)送數(shù)據(jù)請求輸入數(shù)據(jù)日志,輕松觸發(fā)漏洞,最終在目標(biāo)上執(zhí)行任意代碼。即 攻擊者只要提交一段代碼,就可以進入對方服務(wù)器,而且可以獲得最高權(quán)限,控制對方服務(wù)器。通俗說,黑客通過這個普遍存在的漏洞,可以在服務(wù)器上做任何事。

有關(guān)報道顯示,黑客在72小時內(nèi)利用Log4j2漏洞,向全球發(fā)起了超過84萬次的攻擊。利用這個漏洞,攻擊者幾乎可以獲得無限的權(quán)利——比如他們可以 提取敏感數(shù)據(jù)、將文件上傳到服務(wù)器、刪除數(shù)據(jù)、安裝勒索軟件、或進一步散播到其它服務(wù)器。

國外網(wǎng)友以漫畫說明Log4j2的重要性

該漏洞CVSS評分達到了滿分10分,IT 通信(互聯(lián)網(wǎng))、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運營商等各行各業(yè)都將受到波及,全球互聯(lián)網(wǎng)大廠、 游戲 公司、電商平臺等都有被影響的風(fēng)險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度,網(wǎng)易、新浪以及特斯拉等全球大廠,悉數(shù)中招,眾多媒體將這個漏洞形容成“史詩級”“核彈級”漏洞,可以說相當(dāng)貼切。

據(jù)工信部官網(wǎng)消息,今年9月1日,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺正式上線運行。其中提到,根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)及時向平臺報送相關(guān)漏洞信息,鼓勵漏洞收集平臺和其他發(fā)現(xiàn)漏洞的組織或個人向平臺報送漏洞信息。

此次事件中,作為我國云計算服務(wù)的頭部供應(yīng)商的阿里云,11月24日發(fā)現(xiàn)計算機史上最大的漏洞,是先向國外的Apache基金會報告,而未及時向主管部門報送漏洞信息。工信部得知情況,已經(jīng)是12月9日,中間已經(jīng)過了15天。這十五天,中國的互聯(lián)網(wǎng)簡直是在裸奔。這期間已經(jīng)有黑客掌握了這個漏洞,在利用這個漏洞進行網(wǎng)絡(luò)攻擊。作為新基建重要一環(huán)的云計算平臺,更加應(yīng)以謹(jǐn)慎的心態(tài)承擔(dān)起保障網(wǎng)絡(luò)安全的責(zé)任。

國資云建設(shè) 安全自主可控為上

互聯(lián)網(wǎng)時代,國家安全自然延伸到了網(wǎng)絡(luò)。各個國家,都在想辦法堵自己漏洞,找別人家的漏洞,甚至是隱藏的后門。同樣的漏洞,那就是看誰率先掌握。國外的開源軟件層出不窮的漏洞,隱沒難尋的后門,應(yīng)用于國家重要機構(gòu)或事關(guān) 社會 民生的部門,其潛在危害難以估量。我們除了想方設(shè)法被動收集修復(fù)漏洞,還要大力發(fā)展和利用自主安全可控的技術(shù),才能在互聯(lián)網(wǎng)領(lǐng)域?qū)で髴?zhàn)略平衡,保障國家安全。

所以說,阿里云的這次行動足以為戒,忽視國家各項數(shù)據(jù)安全法律法規(guī),國家安全責(zé)任意識淡漠,將國家網(wǎng)絡(luò)安全置于巨大的危機之中。試問這樣的第三方云服務(wù)商,如何讓國家機構(gòu)、央企國企放心將數(shù)據(jù)業(yè)務(wù)托管?

風(fēng)險就在那里,警告從未缺席。國資云以安全自主可控、平穩(wěn)可靠運行為上,才能確保國家安全,盡到 社會 責(zé)任。第三方云服務(wù)商難以超越企業(yè)自身的穩(wěn)健盈利,更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資云的建設(shè)將第三方云服務(wù)商排除在外,是互聯(lián)網(wǎng)競爭環(huán)境的使然,也是數(shù)據(jù)安全責(zé)任的擔(dān)當(dāng),更是時代賦予的使命。

“國資云”建設(shè) 大勢所趨

經(jīng)過深入研究分析,北京交通大學(xué)信息管理理論與技術(shù)國際研究中心(ICIR)認為, “國資云”建設(shè)是大勢所趨,原因主要有以下三方面:

一是“國資云”建設(shè)是國有資產(chǎn)管理的需要。國企數(shù)據(jù)資源屬于國有資產(chǎn),應(yīng)納入國資監(jiān)管和統(tǒng)一管理,保護國有數(shù)據(jù)資產(chǎn)安全是建設(shè)國資云的核心目的;

二是“國資云”建設(shè)是保障國家重要數(shù)據(jù)安全的需要。近期,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《中華人民共和國個人信息保護法》、《中華人民共和國數(shù)據(jù)安全法》相繼頒布實施,將數(shù)據(jù)安全提升到前所未有的高度,而國有企業(yè)的許多數(shù)據(jù)事關(guān)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全;

三是“國資云”建設(shè)是信創(chuàng)工程落地的重要抓手。在“國資云”數(shù)據(jù)中心逐步加大CPU、操作系統(tǒng)、存儲、數(shù)據(jù)庫、中間件等國產(chǎn)信創(chuàng)產(chǎn)品比重,并鼓勵國產(chǎn)信創(chuàng)業(yè)務(wù)系統(tǒng)與“國資云”數(shù)據(jù)中心基礎(chǔ)設(shè)施適配應(yīng)用,從基礎(chǔ)到應(yīng)用全方位推進信創(chuàng)工程步伐。

因此,“國資云”建設(shè)的重要意義在業(yè)界已達成高度共識。

國資云賦能云上安全 G-Cloud增強國企競爭力

國有企業(yè)是中國特色 社會 主義的重要物質(zhì)基礎(chǔ)和政治基礎(chǔ),是我們黨執(zhí)政興國的重要支柱和依靠力量,國有企業(yè)不僅具有鮮明的政治屬性,也具有強烈的經(jīng)濟屬性和物質(zhì)屬性,堅定不移地將國有企業(yè)做強做大做優(yōu)是黨和人民對國有企業(yè)的基本要求。因此,國有企業(yè)更需要資產(chǎn)不斷保值增值,規(guī)模不斷發(fā)展壯大,盈利水平不斷提高,這就要求國有企業(yè)必需使用最先進的生產(chǎn)工具,創(chuàng)造出最先進的生產(chǎn)力,保持在國際國內(nèi)市場中的競爭力。

而云計算平臺就是當(dāng)前最先進的生產(chǎn)工具。云計算平臺中除了計算、存儲、網(wǎng)絡(luò)、虛擬化等Iaas服務(wù)相對比較成熟外,在Paas、Saas層面的技術(shù)創(chuàng)新速度非常快,產(chǎn)品迭代周期不斷縮短,不同的廠商提供的云平臺服務(wù)在技術(shù)領(lǐng)先性、服務(wù)穩(wěn)定性、用戶覆蓋面等方面具有非常大的差異。

在激烈的市場競爭中,企業(yè)選擇了什么類型、什么廠商的云服務(wù),在一定程度上意味著企業(yè)使用了什么工具和武器,在很大程度上決定了企業(yè)的生產(chǎn)效率、管理效率和市場效率,也就決定了企業(yè)的競爭力。

國資云賦能云上安全,打造排除第三方云服務(wù)商的行業(yè)專屬私有云。 中科院云計算中心自主研發(fā)的G-Cloud云操作系統(tǒng),首要勝在安全。 其次G-Cloud在智慧城市、智慧醫(yī)療、智慧教育、智慧交通等領(lǐng)域的成功案例,將有助于充分激活國企強勁的競爭力、影響力、帶動力。

2021年11月, 國資云平臺中科云(東莞) 科技 有限公司正式成立,由中科院、東莞市政府等多方投資的上市企業(yè)國云 科技 控股,國資背景加持,官方認可,國內(nèi)頂尖 科技 機構(gòu)技術(shù)背書,使用國內(nèi)首個自主產(chǎn)權(quán)、安全可控的G-Cloud云操作系統(tǒng),建設(shè)“國資云”, 賦能千行百業(yè)數(shù)字化轉(zhuǎn)型升級,最大化優(yōu)化國有資本布局,提高國有資本運營效能、產(chǎn)業(yè)互聯(lián)和商業(yè)創(chuàng)新!

中科云凝聚服務(wù)政企信息化、數(shù)字化建設(shè)的核心團隊, 聯(lián)合產(chǎn)學(xué)研用各方力量,融合大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等新一代信息技術(shù),在政府、醫(yī)療、教育、交通、智能制造等多行業(yè)、多領(lǐng)域提供新型基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)分布式存儲服務(wù),助力國資國企規(guī)模和實力的持續(xù)增長,實現(xiàn)高質(zhì)量發(fā)展。

阿里云未及時將“超級漏洞”上報工信部被處罰

阿里云未及時將“超級漏洞”上報工信部被處罰

阿里云未及時將“超級漏洞”上報工信部被處罰,阿里云發(fā)現(xiàn)這個可能是“計算機歷史上最大的漏洞”后,并未及時向中國工信部通報相關(guān)信息。阿里云未及時將“超級漏洞”上報工信部被處罰。

阿里云未及時將“超級漏洞”上報工信部被處罰1

近日,有媒體報道,阿里云發(fā)現(xiàn)阿帕奇Log4j2組件有安全漏洞,但未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。因此,暫停阿里云作為上述合作單位 6 個月。

原本一個技術(shù)圈子的事情因此成為社會熱議話題。一時間網(wǎng)友分化為了兩個圈子——

非技術(shù)圈的人說:感覺阿里云只報給阿帕奇這個技術(shù)社區(qū),不上報組織,是沒把國家安全放心上。

技術(shù)圈層說:當(dāng)然是誰寫的bug報給誰,阿帕奇的安全漏洞,報給阿帕奇是應(yīng)該的,不能上綱上線。

23日晚間,阿里云就log4j2漏洞發(fā)布了說明,誠懇認錯,表示要強化漏洞報告管理、提升合規(guī)意識,積極協(xié)同各方共同做好網(wǎng)絡(luò)安全防范工作。

回顧這個非常技術(shù)的話題,有諸多事實需要厘清。

首先,阿帕奇開源社區(qū)是什么?Log4j2組件是什么?

阿帕奇是國際上比較有影響力的一個開源社區(qū)。官網(wǎng)上顯示,華為、騰訊、阿里等中國公司是這個開源社區(qū)的主要貢獻者,另外也包括谷歌、微軟等美國企業(yè)。全球的軟件工程師,在這里共建一些基礎(chǔ)的軟件部件,相互迭代、提高公共效率,是軟件產(chǎn)業(yè)的一個特有現(xiàn)象。

本次發(fā)現(xiàn)漏洞的Log4j2 就是開源社區(qū)阿帕奇旗下的開源日志組件,很多企業(yè)都會會用這個組件來開發(fā)自己的系統(tǒng)。在阿里云的工程師發(fā)現(xiàn)這個組件有問題的時候,就郵件詢問了阿帕奇,請社區(qū)確認這是否是一個漏洞、評估影響范圍。

而后阿帕奇確認這是一個漏洞,并通知開發(fā)者們修補這個漏洞。于是,出現(xiàn)了天涯共此時,一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個官方上報平臺,僅僅按業(yè)界的慣例向以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。

其次,工信部暫停阿里云6個月合作單位資格,意味著什么?

據(jù)工信微報——「12月9日,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告,阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)開展漏洞風(fēng)險分析,召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業(yè)單位進行風(fēng)險預(yù)警?!?/p>

媒體報道的暫停6個月合作單位資格,并未出現(xiàn)在公開渠道。據(jù)業(yè)內(nèi)人士分析,這并不是一個嚴(yán)格意義上的“處罰”,否則不可能不公開通報。其次,網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺是一個收集、通報網(wǎng)絡(luò)安全漏洞的平臺,暫停這個平臺的合作資質(zhì)并不對業(yè)務(wù)造成影響。

工信部關(guān)于Log4j2漏洞的風(fēng)險提示

但此次事件,從側(cè)面體現(xiàn)了計算機行業(yè)中普遍存在的意識疏漏。在國內(nèi)計算機行業(yè)幾十年的發(fā)展過程中,大量從業(yè)人員、組織養(yǎng)成了與開源社區(qū)合作的工作習(xí)慣,但對更高層面的安全意識、合規(guī)意識,在思想上、制度上都有所不足。阿里云的'漏報行為,也是這一意識疏漏的一次具體體現(xiàn)。

整體而言,此次事件對行業(yè)的影響是正面的,這是一次警示、也是一次示范。阿里云是行業(yè)領(lǐng)先的IT企業(yè),這也是能夠率先發(fā)現(xiàn)全球重大安全漏洞的原因,而此次事件的發(fā)生,無疑將會增強計算機行業(yè)的安全合規(guī)意識,可以想見,無論是阿里云、還是其他諸多科技企業(yè),都將在企業(yè)和組織內(nèi)部增強合規(guī)培訓(xùn)和流程規(guī)范。

阿里云未及時將“超級漏洞”上報工信部被處罰2

近期,工信部網(wǎng)絡(luò)安全管理局通報稱,阿里云計算有限公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報指出,阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。經(jīng)研究,工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后,根據(jù)阿里云整改情況,研究恢復(fù)其上述合作單位。

觀察者網(wǎng)日前曾對該事件做過詳細報道,11月24日,阿里云發(fā)現(xiàn)這個可能是“計算機歷史上最大的漏洞”后,率先向阿帕奇軟件基金會披露了這一漏洞,但并未及時向中國工信部通報相關(guān)信息。這一漏洞的存在,可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇(Apache)Log4j2組件是基于Java語言的開源日志框架,被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日,阿里云計算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠程代碼執(zhí)行漏洞,并將漏洞情況告知阿帕奇軟件基金會。

該漏洞可能導(dǎo)致設(shè)備遠程受控,進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害,屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險,提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時升級組件版本。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局將持續(xù)組織開展漏洞處置工作,防范網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險,維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。

阿里云未及時將“超級漏洞”上報工信部被處罰3

12月23日晚間,阿里云計算有限公司(以下簡稱“阿里云”)對發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告的事件進行了回應(yīng),阿里云表示,阿里云因在早期未意識到該漏洞的嚴(yán)重性,未及時共享漏洞信息。阿里云將強化漏洞報告管理、提升合規(guī)意識,積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險防范工作。

阿里云表示,近日,阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個安全bug,遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認這是一個安全漏洞,并向全球發(fā)布修復(fù)補丁。隨后,該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區(qū)阿帕奇(Apache)旗下的開源日志組件,被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。

此前,阿里云因此事被罰。12月22日,工信部網(wǎng)絡(luò)安全管理局通報稱,阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日,阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據(jù)阿里云公司整改情況,研究恢復(fù)其上述合作單位。

12月9日,工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告,阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)開展漏洞風(fēng)險分析,召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業(yè)單位進行風(fēng)險預(yù)警。

該漏洞可能導(dǎo)致設(shè)備遠程受控,進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害,屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險,提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時升級組件版本。

阿里云在中國云市場上占據(jù)著重要地位,此前,Canalys發(fā)布中國云計算市場2021年第三季度報告。報告顯示,2021年第三季度中國云計算市場整體同比增長43%,達到72億美元。阿里云在2021年第三季度以38.3%的份額領(lǐng)先中國大陸市場,33.3%的年收入增長主要受互聯(lián)網(wǎng)、金融服務(wù)和零售行業(yè)的推動。


網(wǎng)頁標(biāo)題:阿里云服務(wù)器漏洞披露報告 阿里云服務(wù)器會泄露文件嗎
當(dāng)前地址:http://fisionsoft.com.cn/article/ddsighh.html