站务联系

主页 > 国内 > 内容

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

发布时间:2022-01-07   来源:网络整理    
字号:

事情概述

网络安全管理局通报称,是工信部网络安全威胁信息共享平台合作单位。

近日阿里云网络,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

经研究,现暂停阿里云公司作为上述合作单位6个月。

暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

阿里云做错了什么?

上文提到的“网络安全威胁信息共享平台合作单位”,并不是简简单单的挂名,是需要履行责任的。阿里云本次就是未履行作为网络安全漏洞收集平台的责任,所以才会被解除合作身份。

网上评论区,有很多人在为阿里打抱不平,他们觉得是开源社区,而且只有产品提供者才可以修,阿里云马上报给国家,对漏洞修复没有用等等言论。实际上,这是大错特错。

这里面阿里云有很多身份。

的确,作为漏洞发现、收集、披露等活动的组织或个人,阿里云首先发现了漏洞,是漏洞发现的组织。这个身份的义务是按规定规范流程来公开漏洞,且不能报送给除产品提供者的境外组织。阿里云遵守了漏洞发现组织的流程和义务。

阿里云,作为网络运营者和提供网络服务的网络运营者,这些网络服务可能使用了Log4j2从而出现安全漏洞。阿里云采取措施,对安全漏洞进行验证并完成修补,完成这个身份的义务也说得过去。

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

但如果根据《网络安全法》,网络服务方发现其网络产品、服务存在安全缺陷、漏洞,应当按照规定及时向有关主管部门报告。

而且,阿里云作为网络产品安全漏洞收集平台,阿里云是工信部网络安全威胁信息共享平台合作单位。在这个合作单位的身份下,阿里云“未有效支撑工信部开展网络安全和漏洞管理”,如果按照约定,阿里云应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞。而阿里云没有在约定时间报备。这才是阿里云这次被暂停信息共享平台的合作原因。

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

这件事情很严重

阿里云将该漏洞第一时间报给了美国,并未向我国工信部报备该漏洞,且间隔17天后,发布补丁才对公众公布此事。(一般公司产品漏洞的修复时间,及发布补丁不会超过3天,这次为何17天之久??)

这17天,如果利用漏洞发起攻击,影响的范围堪比2017年“永恒之蓝”病毒,当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,30万名用户中招。

目前中美形势十分紧张,美国对我国网络攻击持续渗透中,国安、部委正在排查我国资产是否受到境外攻击,造成信息被窃取或者服务器、系统被植入木马等损失。

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

Log4j2有多猛!72小时阿里云网络,84万次攻击!

有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利——比如他们可以提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

如果时光倒流

如果时光倒流,阿里云将此事首先报给国家,一切会不一样,国家会由被动变为主动。

作为一个企业,理应有社会责任感,有担当。希望阿里云引以为戒。

图说天下

×
织梦二维码生成器