阿里云服務(wù)器代碼會(huì)漏露嗎 阿里云服務(wù)器常用命令

阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰

阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰

十多年的善右網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。網(wǎng)絡(luò)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整善右建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)公司從事“善右網(wǎng)站設(shè)計(jì)”,“善右網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰，阿里云發(fā)現(xiàn)這個(gè)可能是“計(jì)算機(jī)歷史上最大的漏洞”后，并未及時(shí)向中國(guó)工信部通報(bào)相關(guān)信息。阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰。

阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰1

近日，有媒體報(bào)道，阿里云發(fā)現(xiàn)阿帕奇Log4j2組件有安全漏洞，但未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。因此，暫停阿里云作為上述合作單位 6 個(gè)月。

原本一個(gè)技術(shù)圈子的事情因此成為社會(huì)熱議話題。一時(shí)間網(wǎng)友分化為了兩個(gè)圈子——

非技術(shù)圈的人說：感覺阿里云只報(bào)給阿帕奇這個(gè)技術(shù)社區(qū)，不上報(bào)組織，是沒把國(guó)家安全放心上。

技術(shù)圈層說：當(dāng)然是誰寫的bug報(bào)給誰，阿帕奇的安全漏洞，報(bào)給阿帕奇是應(yīng)該的，不能上綱上線。

23日晚間，阿里云就log4j2漏洞發(fā)布了說明，誠(chéng)懇認(rèn)錯(cuò)，表示要強(qiáng)化漏洞報(bào)告管理、提升合規(guī)意識(shí)，積極協(xié)同各方共同做好網(wǎng)絡(luò)安全防范工作。

回顧這個(gè)非常技術(shù)的話題，有諸多事實(shí)需要厘清。

首先，阿帕奇開源社區(qū)是什么？Log4j2組件是什么？

阿帕奇是國(guó)際上比較有影響力的一個(gè)開源社區(qū)。官網(wǎng)上顯示，華為、騰訊、阿里等中國(guó)公司是這個(gè)開源社區(qū)的主要貢獻(xiàn)者，另外也包括谷歌、微軟等美國(guó)企業(yè)。全球的軟件工程師，在這里共建一些基礎(chǔ)的軟件部件，相互迭代、提高公共效率，是軟件產(chǎn)業(yè)的一個(gè)特有現(xiàn)象。

本次發(fā)現(xiàn)漏洞的Log4j2 就是開源社區(qū)阿帕奇旗下的開源日志組件，很多企業(yè)都會(huì)會(huì)用這個(gè)組件來開發(fā)自己的系統(tǒng)。在阿里云的工程師發(fā)現(xiàn)這個(gè)組件有問題的時(shí)候，就郵件詢問了阿帕奇，請(qǐng)社區(qū)確認(rèn)這是否是一個(gè)漏洞、評(píng)估影響范圍。

而后阿帕奇確認(rèn)這是一個(gè)漏洞，并通知開發(fā)者們修補(bǔ)這個(gè)漏洞。于是，出現(xiàn)了天涯共此時(shí)，一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個(gè)官方上報(bào)平臺(tái)，僅僅按業(yè)界的慣例向以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請(qǐng)求幫助。

其次，工信部暫停阿里云6個(gè)月合作單位資格，意味著什么？

據(jù)工信微報(bào)——「12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險(xiǎn)分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警?！?/p>

媒體報(bào)道的暫停6個(gè)月合作單位資格，并未出現(xiàn)在公開渠道。據(jù)業(yè)內(nèi)人士分析，這并不是一個(gè)嚴(yán)格意義上的“處罰”，否則不可能不公開通報(bào)。其次，網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)是一個(gè)收集、通報(bào)網(wǎng)絡(luò)安全漏洞的平臺(tái)，暫停這個(gè)平臺(tái)的合作資質(zhì)并不對(duì)業(yè)務(wù)造成影響。

工信部關(guān)于Log4j2漏洞的風(fēng)險(xiǎn)提示

但此次事件，從側(cè)面體現(xiàn)了計(jì)算機(jī)行業(yè)中普遍存在的意識(shí)疏漏。在國(guó)內(nèi)計(jì)算機(jī)行業(yè)幾十年的發(fā)展過程中，大量從業(yè)人員、組織養(yǎng)成了與開源社區(qū)合作的工作習(xí)慣，但對(duì)更高層面的安全意識(shí)、合規(guī)意識(shí)，在思想上、制度上都有所不足。阿里云的'漏報(bào)行為，也是這一意識(shí)疏漏的一次具體體現(xiàn)。

整體而言，此次事件對(duì)行業(yè)的影響是正面的，這是一次警示、也是一次示范。阿里云是行業(yè)領(lǐng)先的IT企業(yè)，這也是能夠率先發(fā)現(xiàn)全球重大安全漏洞的原因，而此次事件的發(fā)生，無疑將會(huì)增強(qiáng)計(jì)算機(jī)行業(yè)的安全合規(guī)意識(shí)，可以想見，無論是阿里云、還是其他諸多科技企業(yè)，都將在企業(yè)和組織內(nèi)部增強(qiáng)合規(guī)培訓(xùn)和流程規(guī)范。

阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰2

近期，工信部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報(bào)指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

觀察者網(wǎng)日前曾對(duì)該事件做過詳細(xì)報(bào)道，11月24日，阿里云發(fā)現(xiàn)這個(gè)可能是“計(jì)算機(jī)歷史上最大的漏洞”后，率先向阿帕奇軟件基金會(huì)披露了這一漏洞，但并未及時(shí)向中國(guó)工信部通報(bào)相關(guān)信息。這一漏洞的存在，可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

工信部通報(bào)阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞，并將漏洞情況告知阿帕奇軟件基金會(huì)。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級(jí)組件版本。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局將持續(xù)組織開展漏洞處置工作，防范網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)，維護(hù)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。

阿里云未及時(shí)將“超級(jí)漏洞”上報(bào)工信部被處罰3

12月23日晚間，阿里云計(jì)算有限公司（以下簡(jiǎn)稱“阿里云”）對(duì)發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告的事件進(jìn)行了回應(yīng)，阿里云表示，阿里云因在早期未意識(shí)到該漏洞的嚴(yán)重性，未及時(shí)共享漏洞信息。阿里云將強(qiáng)化漏洞報(bào)告管理、提升合規(guī)意識(shí)，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作。

阿里云表示，近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個(gè)安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請(qǐng)求幫助。Apache開源社區(qū)確認(rèn)這是一個(gè)安全漏洞，并向全球發(fā)布修復(fù)補(bǔ)丁。隨后，該漏洞被外界證實(shí)為一個(gè)全球性的重大漏洞。Log4j2 是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。

此前，阿里云因此事被罰。12月22日，工信部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

12月9日，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險(xiǎn)分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級(jí)組件版本。

阿里云在中國(guó)云市場(chǎng)上占據(jù)著重要地位，此前，Canalys發(fā)布中國(guó)云計(jì)算市場(chǎng)2021年第三季度報(bào)告。報(bào)告顯示，2021年第三季度中國(guó)云計(jì)算市場(chǎng)整體同比增長(zhǎng)43%，達(dá)到72億美元。阿里云在2021年第三季度以38.3%的份額領(lǐng)先中國(guó)大陸市場(chǎng)，33.3%的年收入增長(zhǎng)主要受互聯(lián)網(wǎng)、金融服務(wù)和零售行業(yè)的推動(dòng)。

安全工信部通報(bào)阿里云，未及時(shí)上報(bào)重大漏洞，國(guó)資云建設(shè)刻不容緩

中科院云計(jì)算中心分布式存儲(chǔ)聯(lián)合實(shí)驗(yàn)室特訊： 近期，工信部網(wǎng)絡(luò)安全管理局通報(bào)，暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。此次事件源自阿里云發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患報(bào)告不及時(shí)， 再次為國(guó)家數(shù)據(jù)安全敲響警鐘，國(guó)資云建設(shè)刻不容緩、勢(shì)在必行。

近期，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱，阿里云計(jì)算有限公司（簡(jiǎn)稱“阿里云”）是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇嚴(yán)重安全漏洞的時(shí)間線：

11月24日

阿里云在阿帕奇（Apache）開放基金會(huì)下的開源日志組件Log4j2內(nèi)，發(fā)現(xiàn)重大漏洞Log4Shell，然后向總部位于美國(guó)的阿帕奇軟件基金會(huì)報(bào)告。

獲得消息后，奧地利和新西蘭官方計(jì)算機(jī)應(yīng)急小組立即對(duì)這一漏洞進(jìn)行預(yù)警。新西蘭方面聲稱，該漏洞正在被“積極利用”，并且概念驗(yàn)證代碼也已被發(fā)布。

12月9日

中國(guó)工信部收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

12月9日

阿帕奇官方發(fā)布緊急安全更新以修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞，漏洞利用細(xì)節(jié)公開，但更新后的Apache Log4j2.15.0-rc1版本被發(fā)現(xiàn)仍存在漏洞繞過。

12月10日

中國(guó)國(guó)家信息安全漏洞共享平臺(tái)收錄Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞；阿帕奇官方再度發(fā)布log4j-2.15.0-rc2版本修復(fù)漏洞。

12月10日

阿里云在官網(wǎng)公告披露，安全團(tuán)隊(duì)發(fā)現(xiàn)Apache Log4j2.15.0-rc1版本存在漏洞繞過，要求用戶及時(shí)更新版本，并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日

中國(guó)國(guó)家信息安全漏洞共享平臺(tái)發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊(cè)》，供相關(guān)單位、企業(yè)及個(gè)人參考。

12月22日

工信部通報(bào)，由于阿里云發(fā)現(xiàn)阿帕奇嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，決定暫停該公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。

在服務(wù)器的組件中，日志組件是應(yīng)用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項(xiàng)目log4j是一個(gè)功能強(qiáng)大的日志組件，被廣泛應(yīng)用。

由于Apache Log4j存在遞歸解析功能，未取得身份認(rèn)證的用戶，可以從遠(yuǎn)程發(fā)送數(shù)據(jù)請(qǐng)求輸入數(shù)據(jù)日志，輕松觸發(fā)漏洞，最終在目標(biāo)上執(zhí)行任意代碼。即 攻擊者只要提交一段代碼，就可以進(jìn)入對(duì)方服務(wù)器，而且可以獲得最高權(quán)限，控制對(duì)方服務(wù)器。通俗說，黑客通過這個(gè)普遍存在的漏洞，可以在服務(wù)器上做任何事。

有關(guān)報(bào)道顯示，黑客在72小時(shí)內(nèi)利用Log4j2漏洞，向全球發(fā)起了超過84萬次的攻擊。利用這個(gè)漏洞，攻擊者幾乎可以獲得無限的權(quán)利——比如他們可以 提取敏感數(shù)據(jù)、將文件上傳到服務(wù)器、刪除數(shù)據(jù)、安裝勒索軟件、或進(jìn)一步散播到其它服務(wù)器。

國(guó)外網(wǎng)友以漫畫說明Log4j2的重要性

該漏洞CVSS評(píng)分達(dá)到了滿分10分，IT 通信（互聯(lián)網(wǎng)）、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運(yùn)營(yíng)商等各行各業(yè)都將受到波及，全球互聯(lián)網(wǎng)大廠、 游戲 公司、電商平臺(tái)等都有被影響的風(fēng)險(xiǎn)。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度，網(wǎng)易、新浪以及特斯拉等全球大廠，悉數(shù)中招，眾多媒體將這個(gè)漏洞形容成“史詩級(jí)”“核彈級(jí)”漏洞，可以說相當(dāng)貼切。

據(jù)工信部官網(wǎng)消息，今年9月1日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)正式上線運(yùn)行。其中提到，根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)及時(shí)向平臺(tái)報(bào)送相關(guān)漏洞信息，鼓勵(lì)漏洞收集平臺(tái)和其他發(fā)現(xiàn)漏洞的組織或個(gè)人向平臺(tái)報(bào)送漏洞信息。

此次事件中，作為我國(guó)云計(jì)算服務(wù)的頭部供應(yīng)商的阿里云，11月24日發(fā)現(xiàn)計(jì)算機(jī)史上最大的漏洞，是先向國(guó)外的Apache基金會(huì)報(bào)告，而未及時(shí)向主管部門報(bào)送漏洞信息。工信部得知情況，已經(jīng)是12月9日，中間已經(jīng)過了15天。這十五天，中國(guó)的互聯(lián)網(wǎng)簡(jiǎn)直是在裸奔。這期間已經(jīng)有黑客掌握了這個(gè)漏洞，在利用這個(gè)漏洞進(jìn)行網(wǎng)絡(luò)攻擊。作為新基建重要一環(huán)的云計(jì)算平臺(tái)，更加應(yīng)以謹(jǐn)慎的心態(tài)承擔(dān)起保障網(wǎng)絡(luò)安全的責(zé)任。

國(guó)資云建設(shè) 安全自主可控為上

互聯(lián)網(wǎng)時(shí)代，國(guó)家安全自然延伸到了網(wǎng)絡(luò)。各個(gè)國(guó)家，都在想辦法堵自己漏洞，找別人家的漏洞，甚至是隱藏的后門。同樣的漏洞，那就是看誰率先掌握。國(guó)外的開源軟件層出不窮的漏洞，隱沒難尋的后門，應(yīng)用于國(guó)家重要機(jī)構(gòu)或事關(guān) 社會(huì) 民生的部門，其潛在危害難以估量。我們除了想方設(shè)法被動(dòng)收集修復(fù)漏洞，還要大力發(fā)展和利用自主安全可控的技術(shù)，才能在互聯(lián)網(wǎng)領(lǐng)域?qū)で髴?zhàn)略平衡，保障國(guó)家安全。

所以說，阿里云的這次行動(dòng)足以為戒，忽視國(guó)家各項(xiàng)數(shù)據(jù)安全法律法規(guī)，國(guó)家安全責(zé)任意識(shí)淡漠，將國(guó)家網(wǎng)絡(luò)安全置于巨大的危機(jī)之中。試問這樣的第三方云服務(wù)商，如何讓國(guó)家機(jī)構(gòu)、央企國(guó)企放心將數(shù)據(jù)業(yè)務(wù)托管？

風(fēng)險(xiǎn)就在那里，警告從未缺席。國(guó)資云以安全自主可控、平穩(wěn)可靠運(yùn)行為上，才能確保國(guó)家安全，盡到 社會(huì) 責(zé)任。第三方云服務(wù)商難以超越企業(yè)自身的穩(wěn)健盈利，更不要說將國(guó)家安全、公共利益、億萬民眾福祉放在首位。國(guó)資云的建設(shè)將第三方云服務(wù)商排除在外，是互聯(lián)網(wǎng)競(jìng)爭(zhēng)環(huán)境的使然，也是數(shù)據(jù)安全責(zé)任的擔(dān)當(dāng)，更是時(shí)代賦予的使命。

“國(guó)資云”建設(shè) 大勢(shì)所趨

經(jīng)過深入研究分析，北京交通大學(xué)信息管理理論與技術(shù)國(guó)際研究中心（ICIR）認(rèn)為， “國(guó)資云”建設(shè)是大勢(shì)所趨，原因主要有以下三方面：

一是“國(guó)資云”建設(shè)是國(guó)有資產(chǎn)管理的需要。國(guó)企數(shù)據(jù)資源屬于國(guó)有資產(chǎn)，應(yīng)納入國(guó)資監(jiān)管和統(tǒng)一管理，保護(hù)國(guó)有數(shù)據(jù)資產(chǎn)安全是建設(shè)國(guó)資云的核心目的；

二是“國(guó)資云”建設(shè)是保障國(guó)家重要數(shù)據(jù)安全的需要。近期，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)數(shù)據(jù)安全法》相繼頒布實(shí)施，將數(shù)據(jù)安全提升到前所未有的高度，而國(guó)有企業(yè)的許多數(shù)據(jù)事關(guān)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全；

三是“國(guó)資云”建設(shè)是信創(chuàng)工程落地的重要抓手。在“國(guó)資云”數(shù)據(jù)中心逐步加大CPU、操作系統(tǒng)、存儲(chǔ)、數(shù)據(jù)庫、中間件等國(guó)產(chǎn)信創(chuàng)產(chǎn)品比重，并鼓勵(lì)國(guó)產(chǎn)信創(chuàng)業(yè)務(wù)系統(tǒng)與“國(guó)資云”數(shù)據(jù)中心基礎(chǔ)設(shè)施適配應(yīng)用，從基礎(chǔ)到應(yīng)用全方位推進(jìn)信創(chuàng)工程步伐。

因此，“國(guó)資云”建設(shè)的重要意義在業(yè)界已達(dá)成高度共識(shí)。

國(guó)資云賦能云上安全 G-Cloud增強(qiáng)國(guó)企競(jìng)爭(zhēng)力

國(guó)有企業(yè)是中國(guó)特色 社會(huì) 主義的重要物質(zhì)基礎(chǔ)和政治基礎(chǔ)，是我們黨執(zhí)政興國(guó)的重要支柱和依靠力量，國(guó)有企業(yè)不僅具有鮮明的政治屬性，也具有強(qiáng)烈的經(jīng)濟(jì)屬性和物質(zhì)屬性，堅(jiān)定不移地將國(guó)有企業(yè)做強(qiáng)做大做優(yōu)是黨和人民對(duì)國(guó)有企業(yè)的基本要求。因此，國(guó)有企業(yè)更需要資產(chǎn)不斷保值增值，規(guī)模不斷發(fā)展壯大，盈利水平不斷提高，這就要求國(guó)有企業(yè)必需使用最先進(jìn)的生產(chǎn)工具，創(chuàng)造出最先進(jìn)的生產(chǎn)力，保持在國(guó)際國(guó)內(nèi)市場(chǎng)中的競(jìng)爭(zhēng)力。

而云計(jì)算平臺(tái)就是當(dāng)前最先進(jìn)的生產(chǎn)工具。云計(jì)算平臺(tái)中除了計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、虛擬化等Iaas服務(wù)相對(duì)比較成熟外，在Paas、Saas層面的技術(shù)創(chuàng)新速度非?？欤a(chǎn)品迭代周期不斷縮短，不同的廠商提供的云平臺(tái)服務(wù)在技術(shù)領(lǐng)先性、服務(wù)穩(wěn)定性、用戶覆蓋面等方面具有非常大的差異。

在激烈的市場(chǎng)競(jìng)爭(zhēng)中，企業(yè)選擇了什么類型、什么廠商的云服務(wù)，在一定程度上意味著企業(yè)使用了什么工具和武器，在很大程度上決定了企業(yè)的生產(chǎn)效率、管理效率和市場(chǎng)效率，也就決定了企業(yè)的競(jìng)爭(zhēng)力。

國(guó)資云賦能云上安全，打造排除第三方云服務(wù)商的行業(yè)專屬私有云。 中科院云計(jì)算中心自主研發(fā)的G-Cloud云操作系統(tǒng)，首要?jiǎng)僭诎踩? 其次G-Cloud在智慧城市、智慧醫(yī)療、智慧教育、智慧交通等領(lǐng)域的成功案例，將有助于充分激活國(guó)企強(qiáng)勁的競(jìng)爭(zhēng)力、影響力、帶動(dòng)力。

2021年11月， 國(guó)資云平臺(tái)中科云（東莞） 科技 有限公司正式成立，由中科院、東莞市政府等多方投資的上市企業(yè)國(guó)云 科技 控股，國(guó)資背景加持，官方認(rèn)可，國(guó)內(nèi)頂尖 科技 機(jī)構(gòu)技術(shù)背書，使用國(guó)內(nèi)首個(gè)自主產(chǎn)權(quán)、安全可控的G-Cloud云操作系統(tǒng)，建設(shè)“國(guó)資云”， 賦能千行百業(yè)數(shù)字化轉(zhuǎn)型升級(jí)，最大化優(yōu)化國(guó)有資本布局，提高國(guó)有資本運(yùn)營(yíng)效能、產(chǎn)業(yè)互聯(lián)和商業(yè)創(chuàng)新！

中科云凝聚服務(wù)政企信息化、數(shù)字化建設(shè)的核心團(tuán)隊(duì)， 聯(lián)合產(chǎn)學(xué)研用各方力量，融合大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)，在政府、醫(yī)療、教育、交通、智能制造等多行業(yè)、多領(lǐng)域提供新型基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)分布式存儲(chǔ)服務(wù)，助力國(guó)資國(guó)企規(guī)模和實(shí)力的持續(xù)增長(zhǎng)，實(shí)現(xiàn)高質(zhì)量發(fā)展。

我的阿里云服務(wù)器怎么能保證安全不被人攻擊啊

防止阿里云服務(wù)器不被攻擊：

首先系統(tǒng)內(nèi)部安全要做好，系統(tǒng)漏洞補(bǔ)丁要打好，防火墻的策略、開放那些端口訪問，允許那些IP訪問，這些基本的設(shè)置要做好。

使用一些專業(yè)的安全漏洞掃描工具，阿里云自己有一個(gè)安全分析工具叫態(tài)勢(shì)感知，利用工具可以分析發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊威脅。

使用一些管理工具管理阿里云主機(jī)，可以很方便的管理阿里云主機(jī)，可以設(shè)置管理成員的權(quán)限，防止管理混亂，減少對(duì)外端口開放，還附帶安全漏洞檢查。

遭遇到DDoS攻擊，需要購買第三方防DDoS攻擊的服務(wù)，阿里云市場(chǎng)里面有云盾DDoS、東軟、服務(wù)器安全加固及優(yōu)化等一些防攻擊的產(chǎn)品。

阿里云未及時(shí)通報(bào)重大網(wǎng)絡(luò)安全漏洞，會(huì)帶來什么后果？

【文/觀察者網(wǎng) 呂棟】

這事緣起于一個(gè)月前。當(dāng)時(shí)，阿里云團(tuán)隊(duì)的一名成員發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞后，隨即向位于美國(guó)的阿帕奇軟件基金會(huì)通報(bào)，但并沒有按照規(guī)定向中國(guó)工信部通報(bào)。事發(fā)半個(gè)月后，中國(guó)工信部收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的報(bào)告，才發(fā)現(xiàn)阿帕奇組件存在嚴(yán)重安全漏洞。

阿帕奇組件存在的到底是什么漏洞？阿里云沒有及時(shí)通報(bào)會(huì)造成什么后果？國(guó)內(nèi)企業(yè)在發(fā)現(xiàn)安全漏洞后應(yīng)該走什么程序通報(bào)？觀察者網(wǎng)帶著這些問題采訪了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個(gè)領(lǐng)域。由于阿里云未及時(shí)向中國(guó)主管部門報(bào)告相關(guān)漏洞，直接造成國(guó)內(nèi)相關(guān)機(jī)構(gòu)處于被動(dòng)地位。

關(guān)于Log4j2組件在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵作用，有國(guó)外網(wǎng)友用漫畫形式做了形象說明。按這個(gè)圖片解讀，如果沒有Log4j2組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都存在倒塌的危險(xiǎn)。

國(guó)外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網(wǎng)梳理此次阿帕奇嚴(yán)重安全漏洞的時(shí)間線如下：

根據(jù)公開資料，此次被阿里云安全團(tuán)隊(duì)發(fā)現(xiàn)漏洞的Apache Log4j2是一款開源的Java日志記錄工具，控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

有資深業(yè)內(nèi)人士告訴觀察者網(wǎng)，Log4j2組件出現(xiàn)安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統(tǒng)中應(yīng)用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細(xì)節(jié)被公開，由于利用條件極低幾乎沒有技術(shù)門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴(kuò)散并迅速傳播到各個(gè)行業(yè)領(lǐng)域。

簡(jiǎn)單來說，這一漏洞可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

這并非危言聳聽。美聯(lián)社等外媒在獲取消息后評(píng)論稱，這一漏洞可能是近年來發(fā)現(xiàn)的最嚴(yán)重的計(jì)算機(jī)漏洞。Log4j2在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。

阿里云官網(wǎng)截圖

然而，阿里云在發(fā)現(xiàn)這個(gè)“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”后，并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送信息，而只是向阿帕奇軟件基金會(huì)通報(bào)了相關(guān)信息。

觀察者網(wǎng)查詢公開資料發(fā)現(xiàn)，阿帕奇軟件基金會(huì)（Apache）于1999年成立于美國(guó)，是專門為支持開源軟件項(xiàng)目而辦的一個(gè)非營(yíng)利性組織。在它所支持的Apache項(xiàng)目與子項(xiàng)目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

12月10日，在阿里云向阿帕奇軟件基金會(huì)通報(bào)漏洞過去半個(gè)多月后，中國(guó)國(guó)家信息安全漏洞共享平臺(tái)才獲得相關(guān)信息，并發(fā)布《關(guān)于Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告》，稱阿帕奇官方已發(fā)布補(bǔ)丁修復(fù)該漏洞，并建議受影響用戶立即更新至最新版本，同時(shí)采取防范性措施避免漏洞攻擊威脅。

中國(guó)國(guó)家信息安全漏洞共享平臺(tái)官網(wǎng)截圖

事實(shí)上，國(guó)內(nèi)網(wǎng)絡(luò)漏洞報(bào)送存在清晰流程。業(yè)內(nèi)人士向觀察者網(wǎng)介紹，業(yè)界通用的漏洞報(bào)送流程是，成員單位工業(yè)和信息化部網(wǎng)絡(luò)安全管理局 國(guó)家信息安全漏洞共享平臺(tái)（CNVD） CVE 中國(guó)信息安全測(cè)評(píng)中心 國(guó)家信息安全漏洞庫（CNNVD） 國(guó)際非盈利組織CVE；非成員單位或個(gè)人注冊(cè)提交CNVD或CNNVD。

根據(jù)公開資料，CVE（通用漏洞共享披露）是國(guó)際非盈利組織，全球通用漏洞共享披露協(xié)調(diào)企業(yè)修復(fù)解決安全問題，由于最早由美國(guó)發(fā)起該漏洞技術(shù)委員會(huì)，所以組織管理機(jī)構(gòu)主要在美國(guó)。而CNVD是中國(guó)的信息安全漏洞信息共享平臺(tái)，由國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫。

上述業(yè)內(nèi)人士認(rèn)為，阿里這次因?yàn)槁┒从绊戄^大，所以被當(dāng)做典型通報(bào)。在CNVD建立之前以及最近幾年，國(guó)內(nèi)安全人員對(duì)CVE的共識(shí)、認(rèn)可度和普及程度更高，發(fā)現(xiàn)漏洞安全研究人員慣性會(huì)提交CVE，雖然最近兩年國(guó)家建立了CNVD，但普及程度不夠，估計(jì)阿里安全研究員提交漏洞的時(shí)候，認(rèn)為是個(gè)人技術(shù)成果的事情，上報(bào)國(guó)際組織協(xié)調(diào)修復(fù)即可。

但根據(jù)最新發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，國(guó)內(nèi)安全研究人員發(fā)現(xiàn)漏洞之后報(bào)送CNVD即可，CNVD會(huì)發(fā)起向CVE報(bào)送流程，協(xié)調(diào)廠商和企業(yè)修復(fù)安全漏洞，不允許直接向國(guó)外漏洞平臺(tái)提交。

由于阿里云這次的行為未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，根據(jù)工信部最新通報(bào)，工信部網(wǎng)絡(luò)安全管理局研究后，決定暫停阿里云作為上述合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

業(yè)內(nèi)人士向觀察者網(wǎng)指出，工信部這次針對(duì)是阿里，其實(shí)也是向國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)從業(yè)人員發(fā)出警示。從結(jié)果來看對(duì)阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個(gè)月。二是工信部沒有對(duì)這次事件的安全研究人員進(jìn)行個(gè)人行政處罰或警告，只是對(duì)直接向國(guó)外CVE報(bào)送的Log4j漏洞的那個(gè)安全專家點(diǎn)名批評(píng)。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

新聞標(biāo)題：阿里云服務(wù)器代碼會(huì)漏露嗎 阿里云服務(wù)器常用命令
文章URL：http://bm7419.com/article20/dohpeco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、手機(jī)網(wǎng)站建設(shè)、建站公司、網(wǎng)站收錄、、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)