阿里云被罚:安全漏洞先报美国,不报工信部
文|林卉
可以说阿里云已经成为了阿里巴巴集团不可多得的内生动力。
工信部12月17日的一则通报引起了舆论广泛关注。
工信部网络安全管理局在这则通报中称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为网络安全威胁信息共享平台合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
引发轩然大波的这个网络安全漏洞“非常大”,被曝光后,业内称其为“过去十年内最大也是最关键的单一漏洞”。
这个漏洞存在于Log4j2组件,这个组件的应用非常广泛,如果失去它的支撑,所有现代数字基础设施都面临倒塌的风险。而由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。
根据目前披露的信息,阿里云11月24日就发现了这个漏洞,漏洞名为Log4Shell,并立即向总部位于美国的阿帕奇软件基金会报告。
而直到12月9日,中国工信部才收到了有关网络安全专业机构——而不是来自阿里云——的报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。
而按照《网络产品安全漏洞管理规定》第七条要求,合作企业发现此类漏洞后,应在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息。
也就是说,中国的阿里云,发现重大安全漏洞后,未向原本对之负有及时告知义务的中国工信部报告,而是向美国有关方面进行报告,继而这条消息在全球开始扩散,被某家网络安全专业机构获知并向工信部报告。
需要说明的是,阿里云向阿帕奇基金会报告漏洞没有问题,问题在于没有首先向工信部报告此事。且从阿里云发现这条漏洞到工信部被动获知并向行业单位进行风险预警,中间已经过去了整整15天之久!
网友:阿里巴巴的国家安全观念何其薄弱
在某新闻网站,这条新闻的热评第一是:“从阿里的这个举动就能看出,阿里内部的管理存在重大的偏差。企业虽在中国,员工虽是中国人,但这些人的国家安全观念竟然如此薄弱,这样的阿里如何能让国人放心?它们自身已经是中国国家安全的潜在威胁了。”
说阿里巴巴是“中国国家安全的潜在威胁”也许只算是网友的一家之言,然而“国家安全意识薄弱”确实是阿里云甚至阿里巴巴集团难以辩驳的事实,否则,何以解释阿里云将重大安全漏洞先报美国,不报告给安全部这件事呢?
国家安全无小事,而网络安全在当今世界的重要性不言而喻,根据目前网上众多相关技术人员的解读,Log4j2组件的应用极其广泛,而本次漏洞的利用条件极低,且几乎没有技术门槛,目前影响已经迅速传播到了各个行业领域,而这个漏洞的功能就是,让黑客无需密码直接访问网络服务器。
而在漏洞被阿里云发现并报告给美国阿帕奇基金会,到工信部提出预警的这半个月时间空档期内,漏洞到底对我国的网络安全乃至国家安全造成了多大损失目前虽难以衡量,但可以肯定的是,该漏洞确实可以造成相关的重大损失。
而如果阿里云及时按规定向工信部报告,就可以最大限度地避免可能的损失。
根据IDC的调研,今年一季度,中国公有云市场规模达46.32亿美元,阿里云以40%的市场份额排名第一,第二到第五名分别是腾讯云、华为云、中国电信天翼云、AWS,但份额都和阿里云相差甚远。
且阿里云去年第四季度首次实现了盈利,并且营收达200亿元,已占阿里巴巴集团总营收10%,增速也达到了33%,可以说阿里云已经成为了阿里巴巴集团不可多得的内生动力。
“技术有没有国界我不知道,阿里云的技术在业界也确实是一流的,但不管技术人员还是企业,一定是有国界的,何况阿里云的服务器和客户都在国内,祖国才是阿里云最大的衣食父母。”有网友如此评论称。
图片新闻
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论