網路安全引發問題分析研判

① 阿里雲回應被工信部嚴懲

阿里雲回應被工信部嚴懲

阿里雲回應被工信部嚴懲，此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲回應被工信部嚴懲。

阿里雲回應被工信部嚴懲1

12月23日晚間，阿里雲計算有限公司（以下簡稱「阿里雲」）對發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了回應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網路安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，並向全球發布修復補丁。隨後，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網路安全管理局通報稱，阿里雲是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里雲在中國雲市場上占據著重要地位，此前，Canalys發布中國雲計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。

阿里雲回應被工信部嚴懲2

近日，有媒體報道，阿里雲發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。因此，暫停阿里雲作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞發布了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網路安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社區是什麼？Log4j2組件是什麼？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟體工程師，在這里共建一些基礎的軟體部件，相互迭代、提高公共效率，是軟體產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件，很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響范圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平台，僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味著什麼？

據工信微報——「12月9日，工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的「處罰」，否則不可能不公開通報。其次，網路安全威脅和漏洞信息共享平台是一個收集、通報網路安全漏洞的平台，暫停這個平台的合作資質並不對業務造成影響。

工信部關於Log4j2漏洞的風險提示

但此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中，大量從業人員、組織養成了與開源社區合作的工作習慣，但對更高層面的`安全意識、合規意識，在思想上、制度上都有所不足。阿里雲的漏報行為，也是這一意識疏漏的一次具體體現。

整體而言，此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲是行業領先的IT企業，這也是能夠率先發現全球重大安全漏洞的原因，而此次事件的發生，無疑將會增強計算機行業的安全合規意識，可以想見，無論是阿里雲、還是其他諸多科技企業，都將在企業和組織內部增強合規培訓和流程規范。

阿里雲回應被工信部嚴懲3

近期，工信部網路安全管理局通報稱，阿里雲計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。

通報指出，阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究，工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是「計算機歷史上最大的漏洞」後，率先向阿帕奇軟體基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。這一漏洞的存在，可以讓網路攻擊者無需密碼就能訪問網路伺服器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業和信息化部網路安全管理局將持續組織開展漏洞處置工作，防範網路產品安全漏洞風險，維護公共互聯網網路安全。

② 網路安全事件處理流程

網路安全事件處理流程分為三個步驟：事發緊急報告、事件處置、事後整改報告。

1、各單位網路與信息系統技術人員一旦發現發生安全事件，應根據實際情況第一時間採取顫判返斷網等有效措施進行處置，將損害和影響降到最小范圍，保留現場，並報告本單位主管領導及計算機網路中心協助處理。

6、各責任單位應指定專人負責每日定時對網站、應用系統的運行情況進行檢查，做到安全事件早發現、早報告、早控制、早解決。

③ 如何合理做好輿情處置

1、增強輿情預警意識。一是客觀認識網路輿論，認識輿情預警作用。要認識到網路既是社會危機的放大器也是社會情緒的減壓閥，不必把網路輿情視為洪水猛獸而反應過度，但也不能對潛在的負面輿情信息置之不理，釀成輿情危機。因此政府要認識到輿情預警的作用，通過利用一些輿情監測工具，比如多瑞科輿情數據分析站系統輿情監測系統，提高輿情預警能力，爭取輿情負面信息早發現早處理，防危機於未然；二是指導思想上從"堵"向"疏"轉變。當前，突發事件出現的機率較高，信息的傳播渠道很廣，把封鎖消息作為處理危機的基本方法，很容易把危機推向更糟糕的境地，唯有把這類事件視為一種常態和中性事件來疏導和處理，把處理危機看作政府正常職能的一部分，才能更有利於應對網路輿情。五是提高正確引導輿論的能力。通過學習、研究和培訓，不斷提高幹部運用網路與群眾溝通交流、科學把握輿論導向、正確引導社會熱點、有效化解社會矛盾的能力。
2、建立和完善網路輿論引導機制。一是完善政府信息公開機制。豐富信息公開形式，把傳統媒體與網路相結合，建立多層次、全方位的信息公開渠道，加快政府信息公開進程，讓謠言止於公開。二是建立網上新聞發言人和網評員機制。以新聞發布會等形式，公開正面客觀地說明事實，同時，又站在黨和政府的立場上對民眾情緒進行疏導，智慧地講真話，不說套話、假話，主動向社會提供新聞信息服務。
3、完善管理體制。一是加強組織領導。成立縣信息化工作領導小組，負責全縣信息化建設和電子政務的指導和管理，互聯網和網站的統一規劃和建設管理，網路輿情的監測、研判和應對。二是明確職責。建立一套靈活有效的工作機制，明確各成員單位的職責分工，盡量避免職能交叉、多頭管理問題的發生，搞好各部門之間的協調與配合，形成合力。三是建立虛假信息懲處機制，利用法律對製造謠言和擾亂網路秩序的惡意行為予以打擊。
4、正確引導網路輿情。一是充分發揮政府公權力、傳媒和知情方面的優勢，理性引導輿論。充分發揮政府信息優勢和宣傳部門媒體優勢，正確地引導輿論，營造網上主流輿論話語權。二是建立"網上統一戰線"。求同存異，在論壇、社區、博客、QQ群等載體中廣泛爭取支持者，使輿論向理性、可控的方向發展。三是加強政府網站建設。在政策、人力、財力上扶持政府網站，擴大主流網站在網民中的影響力和吸引力，使其真正成為能對本地網路輿論起主導作用的權威網站；同時，加強縣長信箱、在線訪談、留言板等政府和公眾溝通交流的互動欄目和政府信息公開欄目建設，將網上溝通作為了解民情、採集民意、匯聚民智的重要平台，真誠客觀及時回應網民訴求，使政府網站成為政府和民眾之間真情交流、溝通的橋梁。
5、尊重網民權力，打造誠信政府。一是尊重公民的知情權和監督權。允許和鼓勵網民對地方政府的施政缺失提出批評，進行輿論監督，同時通過積極溝通對話，幫助他們理解現代社會公共治理的復雜性，引導他們在最根本的問題上幫助地方政府，緩釋民間某些不滿情緒。二是及時發布真相，坦誠回應質疑。第一時間發布最新、最權威的信息，把事件真相、政府的措施和事情解決的進展等情況公布於眾，滿足網民對相關事件的知情權。三是快速及時地對事件做出調查處理。把著眼點放在事後的處理、原因的調查以及責任追究上，甚至可以邀請網民或人大代表參與事件的調查和處理，充分尊重公眾的參與權與監督權。