四方云动 工信部处罚阿里表明了什么信号？

　　这几天，阿里巴巴掉进安全漏洞漩涡。工信部网络安全管理局通报称，阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

　　我们先来了解apache和log4j2。Apache软件基金会是专门为运作一个开源软件项目的Apache的团体提供支持的非盈利性组织，创建于1999年，但这个“Apache组织”在1999年以前就已经存在很长时间了，这个组织的开发爱好者们聚集在一起，在美国伊利诺斯大学超级计算机应用程序国家中心开发的网站服务器的基础上开发与维护了一个叫Apache的网站服务器。

　　Apache音译为阿帕奇，这个命名是根据北美当地的一支印第安部落而来，这支部落以高超的军事素养和超人的忍耐力著称，19世纪后半期对侵占他们领土的入侵者进行了反抗。为了对这支印第安部落表示敬仰之意，取该部落名称（Apache）作为服务器名。但一提到这个命名，这里还流传着一段有意思的故事。因为这个服务器是通过众人努力，不断地修正、打补丁（Patchy），被戏称为“A Patchy Server”（一个补丁服务器）。在这里，因为“Patchy”与“Apache”是谐音，故最后正式命名为“Apache Server”。

　　再说Apache Log4j也就是log for java的缩写，java版本的log组件，log4j2是从log4j一步步变过来的，是一个可靠、快速和灵活的日志框架。log4j开始于1996年初，当时它用作欧洲安全电子市场项目的应用程序接口，经过无数的增强和改进，最初的API就发展成为log4j，一种流行的Java日志包。日志包是用来记录系统或软件运行过程中的信息接口函数的集合，让开发软件的程序员调用来记录运行信息，如程序跑到哪一步了？运行过程中出现了什么错误？等等。日志记录模块是不跟普通用户打交道的，是给程序员调试用的。但它是软件开发的一个重要组成部分。编写良好的日志代码提供了快速调试、易于维护和结构化存储应用程序运行时信息的功能。不过，日志记录模块也有它的缺点。它会降低应用程序的速度。而log4j则被设计成可靠、快速和可扩展的的日志包，再加上是开源的，因此用的非常多。不过成也萧何，败也萧何，也正式因为应用广泛这个原因，log4j2的重要安全漏洞影响面也相应的很大，其漏洞利用复杂度低，一旦利用成功，可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，造成的危害和损失不可预估。

　　此次阿里云凭借过硬的技术实力，发现了阿帕奇Log4j2组件严重安全漏洞隐患。发现漏洞不是偶然，背后是技术实力的体现，阿里云向 Apche基金会上报了该漏洞，Apche作为一个开源软件基金会，也就是Log4j2项目的持有方，按照技术领域约定俗成的处理方式，确实应该第一时间提醒项目方该项目存在安全隐患。但是非常遗憾，阿里云忘记了自己的另一个身份——阿里云是工信部网络安全威胁信息共享平台合作单位，阿里云一方面享受着这个身份带来的好处，一方面又不履行这个身份的义务，这就是问题的关键。

　　球速体育

　　此次工信部处罚阿里，表明一个信号——国家在信息安全上的管理力度越来越强了！云计算作为信息社会新基建的基石，其重要性不言而喻，阿里云作为国内云技术执牛耳者，一直被政府所倚重，这次事件给阿里云提了个醒：搞云技术，不能光看技术，还得时刻把国家利益放在首位。自2021年9月1日正式施行的《网络产品安全漏洞管理规定》：不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。同时企业应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

　　没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。新时期数字经济时代，各类数字经济企业都要胸怀国之大者，筑牢网络安全防线，提高网络安全保障水平，强化关键信息基础设施防护，加大核心技术研发力度和市场化引导，加强网络安全预警监测，确保大数据安全，实现全天候全方位感知和有效防护。