工信部網路安全威脅信息共享

① 網上受到威脅在哪裡報警

可以明確肯定的是報警處理沒毛病，警察叔叔應當管

為積極應對嚴峻復雜的網路安全形勢，進一步健全公共互聯網網路安全威脅監測與處置機制，維護公民、法人和其他組織的合法權益，工信部根據《中華人民共和國網路安全法》等有關法律法規，制定了《公共互聯網網路安全威脅監測與處置辦法》（以下簡稱《辦法》），並於日前印發。《辦法》自2018年1月1日起實施。《木馬和僵屍網路監測與處置機制》《移動互聯網惡意程序監測與處置機制》同時廢止。
《辦法》提出，公共互聯網網路安全威脅是指公共互聯網上存在或傳播的、可能或已經對公眾造成危害的網路資源、惡意程序、安全隱患或安全事件。工信部負責組織開展全國公共互聯網網路安全威脅監測與處置工作。各省、自治區、直轄市通信管理局負責組織開展本行政區域內公共互聯網網路安全威脅監測與處置工作。
《辦法》明確，相關專業機構、基礎電信企業、網路安全企業、互聯網企業、域名注冊管理和服務機構等應當加強網路安全威脅監測與處置工作，明確責任部門、責任人和聯系人，加強相關技術手段建設。監測發現網路安全威脅後，屬於本單位自身問題的，應當立即進行處置，涉及其他主體的，應當及時將有關信息按照規定的內容要素和格式提交至工信部和相關省、自治區、直轄市通信管理局。
《辦法》提出，工信部建立網路安全威脅信息共享平台，統一匯集、存儲、分析、通報、發布網路安全威脅信息；制定相關介面規范，與相關單位網路安全監測平台實現對接。國家計算機網路應急技術處理協調中心負責平台建設和運行維護工作。
《辦法》明確，電信主管部門對專業機構的認定和處置意見進行審查後，可以對網路安全威脅採取以下一項或多項處置措施：
一是通知基礎電信企業、互聯網企業、域名注冊管理和服務機構等，由其對惡意IP地址（或寬頻接入賬號）、惡意域名、惡意URL、惡意電子郵件賬號或惡意手機號碼等，採取停止服務或屏蔽等措施。
二是通知網路服務提供者，由其清除本單位網路、系統或網站中存在的可能傳播擴散的惡意程序。
三是通知存在漏洞、後門或已經被非法入侵、控制、篡改的網路服務和產品的提供者，由其採取整改措施，消除安全隱患；對涉及黨政機關和關鍵信息基礎設施的，同時通報其上級主管單位和網信部門。
四是其他可以消除、制止或控制網路安全威脅的技術措施。

② 阿里雲回應被工信部嚴懲

阿里雲回應被工信部嚴懲

阿里雲回應被工信部嚴懲，此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲回應被工信部嚴懲。

阿里雲回應被工信部嚴懲1

12月23日晚間，阿里雲計算有限公司（以下簡稱「阿里雲」）對發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了回應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網路安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，並向全球發布修復補丁。隨後，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網路安全管理局通報稱，阿里雲是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里雲在中國雲市場上占據著重要地位，此前，Canalys發布中國雲計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。

阿里雲回應被工信部嚴懲2

近日，有媒體報道，阿里雲發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。因此，暫停阿里雲作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞發布了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網路安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社區是什麼？Log4j2組件是什麼？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟體工程師，在這里共建一些基礎的軟體部件，相互迭代、提高公共效率，是軟體產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件，很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響范圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平台，僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味著什麼？

據工信微報——「12月9日，工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的「處罰」，否則不可能不公開通報。其次，網路安全威脅和漏洞信息共享平台是一個收集、通報網路安全漏洞的平台，暫停這個平台的合作資質並不對業務造成影響。

工信部關於Log4j2漏洞的風險提示

但此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中，大量從業人員、組織養成了與開源社區合作的工作習慣，但對更高層面的`安全意識、合規意識，在思想上、制度上都有所不足。阿里雲的漏報行為，也是這一意識疏漏的一次具體體現。

整體而言，此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲是行業領先的IT企業，這也是能夠率先發現全球重大安全漏洞的原因，而此次事件的發生，無疑將會增強計算機行業的安全合規意識，可以想見，無論是阿里雲、還是其他諸多科技企業，都將在企業和組織內部增強合規培訓和流程規范。

阿里雲回應被工信部嚴懲3

近期，工信部網路安全管理局通報稱，阿里雲計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。

通報指出，阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究，工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是「計算機歷史上最大的漏洞」後，率先向阿帕奇軟體基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。這一漏洞的存在，可以讓網路攻擊者無需密碼就能訪問網路伺服器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業和信息化部網路安全管理局將持續組織開展漏洞處置工作，防範網路產品安全漏洞風險，維護公共互聯網網路安全。

③ 工信部暫停阿里雲信息共享平台合作，這是為什麼

原因是相關組件存在著安全漏洞，阿里集團並未向工信部報告該問題。

事實上，雲計算確實可以為各大平台帶來更高的收益，保證平台的正常運行。可是大型公司與工信部及其他部門進行合作時，更應該秉持著誠信合作的方案。當平台出現了眾多的安全漏洞時，相關公司就應該立刻向有關部門報告此事，減少安全漏洞對整個平台造成的影響。

除此之外，阿里雲和工信部展開合作後，相關平台的安全性一直得到了網友的重視。除此之外，共享信息平台的安全性比較重要，當某個平台出現安全漏洞時，隱瞞不報只會使雙方的合作告吹，或者阻礙雙方的進一步合作。

總的來說，既然阿里集團選擇與工信部進行合作，那麼阿里集團面對信息共享平台的組件安全漏洞時，更應該進行報告。 合作本都該呈現出互利共贏，隱瞞不報只會影響雙方合作。

④ 工信部暫停阿里雲信息共享平台合作，這背後的原因是什麼

工信部這次暫停阿里雲信息共享平台合作是因為阿里雲在Web伺服器阿帕奇下的開源日誌組件log4j中發現了重大漏洞時並沒有第一時間上報給工信部，而是上報了阿帕奇開源基金會。違反了工信部的規定將暫停阿里雲作為信息共享平台的合作單位六個月，期滿後根據阿里雲的整改情況，在決定是否需要恢復阿里雲合作單位的身份。log4j作為一款JAVA開發的開源日誌記錄工具，能夠有效的記錄程序在運行過程中產生的數據，對於分析系統存在的問題或者運行狀態具有很大的作用，正因為log4j功能強大，所以在全球的使用性極其廣泛。正因為其使用的范圍很廣，所以一旦出現問題，就會造成特別嚴重的後果。

你知道工信部暫停阿里雲信息共享平台合作，這背後的原因是什麼？ 歡迎留言討論。

⑤ 阿里雲被工信部暫停信息共享平台合作，阿里雲出現了什麼問題

阿里雲目前出現的問題就是，系統出現了崩潰的情況，而且系統出現了bug，還出現了信息泄露的情況，電腦也出現了一些故障，所以才會停止合作。

⑥ 公共互聯網網路安全威脅監測應該加強嗎

據報道，9月14日工信部制定印發《公共互聯網網路安全威脅監測與處置辦法》，對公共互聯網上存在或傳播的、可能或已經對公眾造成危害的網路資源等進行處置並建立網路安全威脅信息共享平台，集成合力維護網路安全。

據悉《公共互聯網網路安全威脅監測與處置辦法》自2018年1月1日起實施，最大限度消除安全隱患，制止攻擊行為，避免危害發生。

⑦ 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。

⑧ 阿里雲未及時通報重大漏洞，會造成什麼後果

阿里雲發布關於開源社區Apache log4j2漏洞情況的說明。阿里雲表示，Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

2021財年（2020年4月1日至2021年3月31日跨年度），阿里雲營收達601億元，比上一財年400億元收入大幅增長50%，在阿里集團財年總營收7173億元總營收比例為8.38%。600億元總收入，超過多數上市公司年度總收入。

⑨ 我國對公共互聯網網路安全威脅監測做了什麼處置

北京9月14日從工信部獲悉，工信部制定印發《公共互聯網網路安全威脅監測與處置辦法》，對公共互聯網上存在或傳播的、可能或已經對公眾造成危害的網路資源、惡意程序、安全隱患或安全事件監測處置，並建立網路安全威脅信息共享平台，集成合力維護網路安全。

工信部提出建立網路安全威脅信息共享平台，統一匯集、存儲、分析、通報、發布網路安全威脅信息，制定相關介面規范，與相關單位網路安全監測平台實現對接。

工信部網路安全管理局局長趙志國表示，工信部將完善危險監測處置、數據保護、新技術、新業務安全評估等政策，最大限度消除安全隱患，制止攻擊行為，避免危害發生。《公共互聯網網路安全威脅監測與處置辦法》自2018年1月1日起實施。

綠色平台構建和諧網路。