工信部突然宣布:暂停与阿里云合作

新闻 4周前 admin
34 0 0
工信部突然宣布:暂停与阿里云合作

 

阿里云是中国最大的云计算公司,今年第三季度中国云计算市场份额达到了38.3%,与国内一半以上的上市公司都有合作。

长期以来都为国内安全网络提供很高的防护便利,但是这一次阿里云却险些酿下网络安全大错,并因此被工信部暂停合作。发生了什么?阿里这个过错影响有多大?

01阿里云未及时报告安全漏洞,被工信部暂停合作

相信12月份中上旬是很多开发者,程序员们的噩梦,即便是下班回家了也被老板连夜叫起来。客户火急火燎发布通知,要求检查系统。

几乎所有的互联网大厂都在这段时间处理同一个问题,那就是Apache Log4j存在严重的远程代码执行漏洞。如果黑客利用这项漏洞的话,很容易入侵到某些互联网公司,重要单位机构的服务器,后台系统。

原本Apache Log4j是被广泛使用的Java 日志框架,常用于记录日志信息,但是这一组件却被发现了严重漏洞,而且是高危级别,有可能导致设备被远程控制,服务中断。

看起来和普通用户没什么关系,只是一些互联网大厂自己的事,如果这么想的话就大错特错了。若入侵者随意访问服务器,将意味着可以修改或者远程操控用户的设备,窃取重要信息,对信息文件进行加密处理。

在大数据时代的今天,如果出现了这样的网络安全问题,结果可想而知,造成的损失恐怕难以估量。很多互联网大厂的应急响应中心都暂不接收Apache Log4j远程代码执行漏洞。

说起来这项漏洞还是被阿里云及时发现的,在11月24日阿里云发现了这一问题,并将漏洞信息反馈给了国外的Apache,此后Apache官方也发布了相关补丁尝试进行漏洞修复,可是并没有什么太大用处,反而开始有人利用这个漏洞进行攻击。

到了这一步,Apache Log4j远程代码执行漏洞的危险性才被引起重视。

需要注意的是,虽然阿里云是最早发现这一问题并提交反馈的,但阿里云并没有将漏洞信息上报给工信部,而是告诉了国外的Apache。

Apache作为美国的基金会,是世界上市场份额最大的Web服务器软件,所有的计算机软件几乎都寄托于Apache的Web服务器端。

阿里云把程序漏洞报告给了国外,这一点没什么问题。但问题在于阿里云没有及时将漏洞反馈给工信部,造成工信部信息接收不及时,和国外发现漏洞相差了十天半个月。因为这个原因,阿里云被工信部暂停合作了。

根据工信部表示,阿里云是工信部网络安全威胁信息共享平台合作单位,但阿里云未及时将漏洞信息通报给工信部,暂停合作6个月。

02阿里云冤枉吗?

这一次阿里云算是栽跟头了,那么阿里云被受到暂停合作半年的处罚,到底冤不冤枉呢?其实一点也不冤枉。

如果阿里云没有加入工信部的网络安全威胁信息共享平台,可能一切都还好说。这一单位平台从名字上就能知道是干什么的。

平台成立的主要目的就是及时进行网络安全威胁信息的共享,成员一旦发现了什么安全漏洞,不管事情有多大,都要将发现的问题及时报告,让所有的成员得知,也让工信部掌握相关情况,避免发生严重的网络安全事故。

而且根据平台规定,发现问题应当在2天内向平台进行报送。结果阿里云在向国外报送的同时,却忽略了国内信息安全反馈。基本上都是等漏洞被攻击利用时才发现,所以阿里云一点也不冤枉。

有网友用生动形象的比喻描述了这一事件,就好比自家的孩子发现家里起火灾了,结果孩子没有第一时间告诉家长处理,而是把火灾情况告诉了邻居。邻居会不会帮忙救火还不知道,但等家长发现的时候,可能事情已经晚了。

所以现在的情况就是要把这个孩子关进小黑屋进行反省。

阿里云的确该反省了,这已经不是阿里云第一次在网络安全事件上犯错误了。今年8月份,浙江通信管理局核实阿里云擅自将用户信息泄露给第三方公司,阿里云解释是2019年员工违规操作行为,已经进行了处置。

03总结

阿里云屡次犯错,要知道这些过错带来的影响不可小觑。就拿这一次发现的漏洞来说,若被国外黑客团队入侵国内的各大网络安全系统,各家公司的服务器并拿到了最高权限,那么相当于把底牌全部摆在别人面前。

阿里云作为国内最大的云计算平台公司,必须承担起相应的网络安全防护责任,更要保障用户信息安全。

版权声明:admin 发表于 2021年12月24日 下午12:19。
转载请注明:工信部突然宣布:暂停与阿里云合作 | 一个框导航网

相关文章

暂无评论

暂无评论...