阿里云服务器案件阿里云个人域名备案流程

近日，工信部一则关于阿帕奇（Apache）组件漏洞的风险提示引起了多方注意，该提示涉及到阿里云，更有消息称阿里云因此事而“被暂停工信部网络安全威胁信息共享平台合作单位6个月”。

12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。

工信部组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

在风险提示中表示：近日，阿里云计算有限公司发现阿帕奇Log4j2组件严重安全漏洞隐患，并将漏洞情况告知阿帕奇软件基金会。

在说明中，阿里云承认其先向开源社区汇报安全漏洞，未及时告知工信部合作平台。因在早期未意识到该漏洞的严重性，未及时共享漏洞信息，将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

阿里云表示，近日，阿里云一名研发工程师发现Log4j2组件的一个安全漏洞，遂按业界惯例以邮件方式向软件开发方阿帕奇开源社区报告这一问题请求帮助。阿帕奇开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

据悉，Log4j2是开源社区阿帕奇旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

工信部发布的风险提示中提到，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，工信部提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

Log4j是一套基于Java语言的日志库，在2001年由软件开发者CekiGulcu设计开发。不久后，Log4j加入专门运作开源软件项目的非营利组织阿帕奇。在此后的软件迭代升级中，阿帕奇在Log4j的基础上推出了新开源项目Log4j2，在保留原本特性的同时加入了控制日志信息输出目的地、输出格式、定义信息级别等功能，并很快因为其简易便捷、功能强大的特征，作为基本集成模块广泛应用于各类使用Java开源系统中。

有资深业内人士表示，Log4j2组件出现安全漏洞主要有两方面影响：一是Log4j2本身在Java类系统中应用极其广泛，全球Java框架几乎都有使用。二是漏洞细节被公开，由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低，所以影响立即扩散并迅速传播到各个行业领域。

简单来说，就是这一漏洞可以让网络攻击者无需密码就能访问网络服务器。这并非危言耸听。有媒体在获取消息后评论称，“这一漏洞可能是近年来发现的最严重的计算机漏洞。”

Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

这个漏洞的发现，在全球网络安全界掀起了一场大震荡。美国国家安全局、德国电信CERT、中国国家互联网应急中心（CERT/CC）等多国安全机构，相继发出警告。包括苹果、亚马逊、特斯拉、谷歌、百度、腾讯、网易、京东、Twitter、Steam等平台在内的服务器都证实了有被攻击的风险。

《网络安全法》第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《网络产品安全漏洞管理规定》第七条也规定，网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织验证，评估其危害程度和影响范围，并在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者；对于需要产品用户（含下游厂商）采取软件、固件升级等措施的应及时告知并提供必要的技术支持。

《数据安全法》第二十九条同样规定，数据处理者发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

无论是从法律法规角度，还是从行业自律角度来说，作为市场占有率第一的云计算公司，数据安全理当作为工作的重中之重。根据信通院数据，2020年我国2091亿元规模的云计算市场中，阿里云等企业处于领先地位；据IDC数据，阿里云在工业云市场、数字政府市场、金融云市场均排名市场第
一。而在Canalys发布的中国云计算市场2021年第三季度报告中，阿里云市场份额排名第
一，份额达38.3%。

此次涉及到开源软件的安全漏洞，其引发的后果可能带来巨大的涟漪效应。未及时通报相关情况给主管部门，暴露了阿里云在信息安全上存在的一些问题。

阿里云的说明文件中提到，“阿里云将强化漏洞报告管理、提升合规意识，积极协同各方做好网络安全风险防范工作。”然而，除了后续的弥补工作，做好前期预防工作也许更加重要。

据了解，开源软件自身开放共享的特性也可能助推漏洞的传播，这可能导致漏洞带来的影响持续长达5年，甚至更久。必须认可的是，开源软件确实提高了开发效率、加速了互联网应用的普及，但同时也引入了较多的安全风险。公开数据显示，84%的攻击发生在应用程序，其中又有70%源于各种开源软件。根据国家计算机网络应急中心的统计数据，开源软件的漏洞数呈逐年递增趋势。

目前，我国现有大量的系统、软件都是基于开源架构，但是国内对于开源软件的风险还不够重视。所以，未来在基于开源架构打造软件、构建系统的同时，应该进一步考虑如何更好地保障系统安全、防范和控制软件风险，更好地利用和使用开源架构。（综合编辑）

Notice:Thecontentabove(includingthepicturesandvideosifany)isuploadedandpostedbyauserofNetEaseHao,whichisasocialmediaplatformandonlyprovidesinformationstorageservices.