突然被工信部重罰！阿里云到底干了啥？（文末送書）

來源：擴(kuò)展迷EXTFANS

12月9日晚，被全球廣泛應(yīng)用的組件Apache Log4j被曝出一個已存在在野利用的“史詩級/核彈級漏洞”。

網(wǎng)絡(luò)安全專家認(rèn)為，這一漏洞潛在危害極大，甚至可能是“計算機(jī)歷史上最大的漏洞”。

簡單來說，就是攻擊者可以利用漏洞遠(yuǎn)程執(zhí)行代碼，最終獲得服務(wù)器的最高權(quán)限，相當(dāng)于“我在你家想干什么就干什么”。

業(yè)內(nèi)人士稱，Log4j 2是近十年來可以排到top3的漏洞，影響面極廣，包括大部分線上業(yè)務(wù)、我們平時使用的網(wǎng)站以及有網(wǎng)絡(luò)外聯(lián)功能的硬件產(chǎn)品。

Steam、三星、蘋果、微軟等科技巨頭的云服務(wù)均受到了影響，推特和亞馬遜也遭到了攻擊，百度搜索、360搜索等都出現(xiàn)了問題。

事件發(fā)酵后，全球各大社交平臺上，從事開發(fā)和網(wǎng)絡(luò)安全的網(wǎng)友一片哀嚎，無數(shù)開發(fā)者通宵“補(bǔ)鍋”，Github趨勢榜也被Log4j漏洞相內(nèi)容霸占。

據(jù)了解，Apache Log4j2是一個基于Java的日志記錄工具，是目前最優(yōu)秀的Java日志框架之一。

作為一個開源的底層組件，Log4j2被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄程序輸入輸出日志信息。

它的用戶有不少是體量極大的互聯(lián)網(wǎng)公司，諸如谷歌、蘋果和亞馬遜等。

實(shí)際上，早在11月24日，阿里云安全團(tuán)隊就向Apache官方報告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。

12月7日，Apache Log4j官方發(fā)布2.15.0-rc1版本以修復(fù)漏洞。

但不知道出于何種原因，阿里云并未向國內(nèi)電信主管部門及時上報。

這導(dǎo)致中國工信部是在收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告后，才發(fā)現(xiàn)Log4j2組件存在嚴(yán)重安全漏洞。

12月22日，據(jù)21世紀(jì)經(jīng)濟(jì)報道消息，近期，工信部網(wǎng)絡(luò)安全管理局通報稱，阿里云計算有限公司（下稱：阿里云）發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

根據(jù)工信部、國家網(wǎng)信辦、公安部聯(lián)合印發(fā)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)在2日內(nèi)向工信部報送相關(guān)漏洞信息。

而工信部12月9日發(fā)現(xiàn)上述漏洞，距阿里云首次發(fā)現(xiàn)已經(jīng)過去15天。

12月17日，工信部網(wǎng)絡(luò)安全管理局才發(fā)布《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險提示》。

要知道，今年9月1日，為落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，工信部網(wǎng)絡(luò)安全管理局組織建設(shè)的工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺正式上線運(yùn)行。

其中，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條明確指出：

網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行下列網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時修補(bǔ)和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶采取防范措施：

（一）發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗(yàn)證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

（二）應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。報送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等。

（三）應(yīng)當(dāng)及時組織對網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補(bǔ)，對于需要產(chǎn)品用戶（含下游廠商）采取軟件、固件升級等措施的，應(yīng)當(dāng)及時將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶，并提供必要的技術(shù)支持。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺同步向國家網(wǎng)絡(luò)與信息安全信息通報中心、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心通報相關(guān)漏洞信息。鼓勵網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎勵機(jī)制，對發(fā)現(xiàn)并通報所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人給予獎勵。

對于阿里云此次未及時上報的行為，網(wǎng)絡(luò)上眾說紛紜。

有網(wǎng)友認(rèn)為，“阿里云光想著獲得世界聲譽(yù)，沒把國內(nèi)安全當(dāng)回事?！?/span>

尤其是在阿里云還是工信部合作單位的前提下，如此大的漏洞竟然沒有上報，實(shí)在匪夷所思。

也有網(wǎng)友認(rèn)為，不必上升到這個地步，這次大概只是阿里云員工內(nèi)部培訓(xùn)疏忽了流程而已。

根據(jù)阿里最新發(fā)布財報顯示，今年三季度，阿里云營收達(dá)200億元。

在過去三年間，阿里云的海外市場規(guī)模增長了10倍以上，是亞洲規(guī)模最大的云計算平臺。

但是今年以來，阿里云在國內(nèi)便已被官方點(diǎn)名了3次（算上這次）。

今年8月，據(jù)浙江省通信管理局通報，經(jīng)調(diào)查核實(shí)，2019年11月11日阿里云計算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊信息泄露給第三方合作公司，已責(zé)令阿里云計算有限公司改正。

11月，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局、公安部刑事偵查局聯(lián)合約談阿里云、百度云兩家企業(yè)相關(guān)負(fù)責(zé)人。

通報了近期兩家企業(yè)在防范治理電信網(wǎng)絡(luò)詐騙工作中存在的接入涉詐網(wǎng)站數(shù)量居高不下等問題。

工信部等部門要求兩家企業(yè)切實(shí)對相關(guān)問題限期予以整改；拒不整改或整改不到位的，將依法依規(guī)從嚴(yán)懲處。

總而言之，工信部建立網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺的初衷，本就是維護(hù)國內(nèi)網(wǎng)絡(luò)安全。

阿里云作為合作單位，既然加入了這一平臺，就應(yīng)該擔(dān)負(fù)起自己的責(zé)任，為維護(hù)人民群眾財產(chǎn)安全與合法權(quán)益出力。

而這次驚心動魄的Log4j2漏洞事件，也無疑給全球開發(fā)者敲響了一記警鐘。

Python客棧聯(lián)合北京大學(xué)出版社送書啦~~

?

推薦理由：

（1）實(shí)戰(zhàn)技能：本書講解了Python編程從入門到精通可能涉及的100個關(guān)鍵技能。

（2）關(guān)鍵練習(xí)：100個關(guān)鍵技能，對應(yīng)100個關(guān)鍵練習(xí)，能學(xué)會用。

（3）重點(diǎn)視頻：重點(diǎn)、難點(diǎn)，都有視頻講解，降低了學(xué)習(xí)難度曲線。

推薦理由：

本書從最基礎(chǔ)的概率統(tǒng)計知識講起，逐步深入到機(jī)器學(xué)習(xí)以及深度學(xué)習(xí)的分類算法，并在最后配合深度學(xué)習(xí)的實(shí)戰(zhàn)案例，介紹了softmax回歸函數(shù)在手寫體圖像識別中的具體應(yīng)用。通過手動編輯代碼，讓讀者更深入地了解概率在人工智能領(lǐng)域的重大作用。

推薦理由：

本書分為3個部分：第1章和第2章是人工智能的數(shù)學(xué)基礎(chǔ)，主要介紹了機(jī)器學(xué)習(xí)的概念、Python開發(fā)環(huán)境的搭建、機(jī)器學(xué)習(xí)bibei的數(shù)學(xué)知識，以及線性代數(shù)和概率論的相關(guān)知識；第3~12章主要介紹了回歸模型、分類模型、聚類模型、半監(jiān)督模型的建立和相關(guān)算法的理論，以及如何使用sklearn具體實(shí)現(xiàn)相關(guān)算法模型的搭建；第13章介紹了Spark機(jī)器學(xué)習(xí)，筆者認(rèn)為對于機(jī)器學(xué)習(xí)，不能只限于Python中的sklearn的學(xué)習(xí)，還要緊跟大數(shù)據(jù)時代的發(fā)展。?

贈書規(guī)則：

活動截止時我們將從本文的留言中選出五位幸運(yùn)粉絲贈送書籍~

注意哦，每人每月僅限一本書籍~

活動截止時間：2021 年 12 月 27 日 16：00 整

兌獎截止時間：2021 年?12?月 28?日 16：00 整

往期推薦

1、下一代 IDE 來了？

2、神器 Typora 開始收費(fèi)！到底更新了啥？

3、沒有這個傳奇工程師，就沒有今天的Windows

4、欠債3000億，宣布破產(chǎn)！昔日民族品牌，為何總淪為反面教材？

5、桌面版 Linux 為什么打不過 Window？Linus 現(xiàn)身說法

點(diǎn)擊關(guān)注公眾號，閱讀更多精彩內(nèi)容