『壹』 汽車數據安全如何保障
監管亟待加強。國信證券分析師認為,當前政策層面對於網路安全的重視程度空前,數據已成為核心生產要素。
當下,在智能汽車發展的同時安全問題依舊是第一位的,智能汽車的數據安全性是車聯網發展道路上的重中之重。
規定
7月12日工信部等三部門印發了《網路產品安全漏洞管理規定》,《規定》提出,網路產品提供者應當確保其產品安全漏洞得到及時修補和合理發布;工信部網路安全威脅和漏洞信息共享平台同步向國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心通報相關漏洞信息。
『貳』 阿里雲未及時通報重大網路安全漏洞,會帶來什麼後果
【文/觀察者網 呂棟】
這事緣起於一個月前。當時,阿里雲團隊的一名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟體基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網路安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麼漏洞?阿里雲沒有及時通報會造成什麼後果?國內企業在發現安全漏洞後應該走什麼程序通報?觀察者網帶著這些問題采訪了一些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網路領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、列印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網路服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:一是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內部網路,竊取信息、植入惡意軟體和刪除關鍵信息等。
阿里雲官網截圖
然而,阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後,並沒有按照《網路產品安全漏洞管理規定》第七條要求,在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息,而只是向阿帕奇軟體基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟體基金會(Apache)於1999年成立於美國,是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟體產品都遵循Apache許可證(Apache License)。
12月10日,在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後,中國國家信息安全漏洞共享平台才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時採取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞共享平台官網截圖
事實上,國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人注冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞共享披露)是國際非盈利組織,全球通用漏洞共享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台,由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。
上述業內人士認為,阿里這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的共識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿里安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網路產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平台提交。
由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理,根據工信部最新通報,工信部網路安全管理局研究後,決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿里,其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的,一是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。
『叄』 工業互聯網網路安全公共服務平台是做什麼用的
工業互聯網網路安全公共服務平台是由浙江鵬信信息科技股份有限公司、中國聯合網路通信有限公司浙江分公司、浙江省電子信息產品檢驗研究院、浙江工業大學聯合體共同建設和運營。
平台包含安全防護、入侵防禦、安全檢測、風險預警、數據保護、風險診斷、專家研判、應急處置等安全服務全能力。支持雲服務企業為租戶提供網路安全增值服務。
具備提供工業互聯網安全漏洞、威脅信息、通用安全工具、標准規范、解決方案實踐等信息資源共享等功能。提供在線測試和防護等全流程服務能力,面向工業互聯網企業提供微服務和應用檢測、系統檢測評估、租戶動態許可權保護、數據安全保護、風險診斷與研判、應急處置等安全公共服務。
『肆』 網路安全態勢感知平台總體功能除了平台安全功能及平台介面,還有哪些
網路安全態勢感知平台是一個用於實時監控、分析和預警網路安全威脅的綜合性系統。除了平台安全功能和平台介面,網路安全態勢感知平台還包括以下總體功能:
數據採集與整合:平台需要從各種來源收集大量網路安全數據,包括但不限於網路流量、系統日誌、威脅情報、漏洞信息等。數據採集模塊負責實時監控這些數據源,並將數據整合到統一的數據存儲中心。
數據分析與處理:平台需要對收集到的數據進行深入分析,以識別潛在的安全威脅和漏洞。分析模塊通常包括基於規則的引擎、機器學習演算法、沙箱技術等,以識別惡意行為、異常流量或未知威脅。
威脅評估與情報共享:平台需要評估識別到的威脅的等級和影響,以便優先處理。此外,平台還需要將威脅情報與其他安全組織共享,以提高整個行業的安全防護能力。
可視化與報表:平台需要提供可視化工具和報表功能,以便用戶直觀地了解網路安全狀況。可視化模塊可以包括實時態勢地圖、統計圖表、儀錶板等,方便用戶查看和分析安全事件。
預警與響應:平台需要實時旦攜監控安全事件,對高風險威脅進行預警,並提供自動化或人工響應措施。響應模塊可以包括生成告警信息、阻斷惡意流量、隔離受影響系統等功能。
合規與審計:平台需要提供合規和審計功能,以確保企業遵守相關的法規和政策。審計模塊可以包括日誌管理、配置審查、合規報告等,幫助企業滿足監管要求。
系統管理與維護:平台需要具備系統管理和模薯伏維護功能,以確保平台的穩定運行。管理模塊可以包括用戶權手岩限管理、系統配置、軟體更新、故障排查等功能。
這些功能共同支持網路安全態勢感知平台的有效運行,幫助企業及時發現並應對網路安全威脅。
『伍』 工業和信息化部近日印發《網路產品安全漏洞收集平台備案管理辦法》,自( )起施
為規范網路產品安全漏洞收集平台備案管理,含灶工業和信息化部近日印發《網路產品安全漏洞收集平台備案管理辦法》。辦法規定,漏洞收集平台備案通過工業和信息化部網路安全威脅和漏洞信息共享平台開展,採用網上備案方式進行。
辦法所稱網路哪老橋產品安全漏洞收集平台,是指相關組織或者個人設立的收集非自身網路產品安全漏洞的公共互聯網平台,僅用於修補自身網路產品、網路和系統安全漏洞用途的除外。辦法明確,擬設立漏洞收李猛集平台的組織或個人,應當通過工業和信息化部網路安全威脅和漏洞信息共享平台如實填報網路產品安全漏洞收集平台備案登記信息。辦法自2023年1月1日起施行。
『陸』 導致阿里雲被暫停合作的漏洞 究竟是什麼
新京報貝殼 財經 訊(記者 羅亦丹)因發現安全漏洞後的處理問題,近日阿里雲引發了一波輿論。
據媒體報道,11月24日,阿里雲安全團隊向美國開源社區Apache(阿帕奇)報告了其所開發的組件存在安全漏洞。12月22日,因發現Apache Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。
12月23日,阿里雲在官方微信公號表示,其一名研發工程師發現Log4j2 組件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助,「隨後,該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。」
「之前發現這樣的漏洞都是直接通知軟體開發方,這確實屬於行業慣例,但是《網路產品安全漏洞管理規定》出台後,要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長,我覺得漏洞的發現者,最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說,這個處理不算冤,但處罰其實也沒有那麼嚴格,一不罰錢,二不影響做業務。」」某安全公司技術總監鄭陸(化名)告訴貝殼 財經 記者。
漏洞影響有多大?
那麼,如何理解Log4j2漏洞的嚴重程度呢?
安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」,奇安信描述稱,Apache Log4j 是 Apache 的一個開源項目,通過定義每一條日誌信息的級別,能夠更加細致地控制日誌生成過程,「Log4j2中存在JNDI注入漏洞,當程序將用戶輸入的數據進行日誌記錄時,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意代碼。」
安域雲防護的監測數據顯示,截至12月10日中午12點,已發現近1萬次利用該漏洞的攻擊行為。據了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標輸入一段代碼,不需要用戶執行任何多餘操作即可觸發該漏洞,使攻擊者可以遠程式控制制受害者伺服器,90%以上基於java開發的應用平台都會受到影響。
「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注,不僅在於其易於利用,更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。」奇安信安全專家對貝殼 財經 記者表示。
「這個漏洞嚴重性在於兩點,一是log4j作為java日誌的基礎組件使用相當廣泛,Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多,幾乎達到了(只要)是這個漏洞影響的范圍,只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等,以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵,網友「yuange1975」在微博發文稱。
「簡而言之,該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。
在「yuange1975」看來,該漏洞出來後,因為影響太廣泛,IT圈都在加班加點修補漏洞。不過,一些圈子裡發文章為了說明這個漏洞的嚴重性,又有點用了過高評價這個漏洞的詞語,「我不否認這個漏洞很嚴重,肯定是排名很靠前的漏洞,但是要說是有史以來最大的網路漏洞,就是說目前所有已經發現公布的漏洞里排第一,這顯然有點誇大了。」
「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足,這個應用的范圍以及漏洞觸發路徑,我相信一直到阿里雲上報完漏洞,恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性,有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。
9月1日起施行新規 專家:對於維護國家網路安全具有重大意義
據了解,業界的開源條例遵循的是《負責任的安全漏洞披露流程》,這份文件將漏洞披露分為5個階段,依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商,是業內常見的程序漏洞披露的做法。
貝殼 財經 記者觀察到,白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道,把漏洞報給原廠商而不是平台方,也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵,「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體,都會公開致謝。「對於安全研究人員而言,這種名聲也會讓他們非常在意。
不過,今年9月1日後,這一行業「常見程序」就要發生變化。
7月13日,工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》,要求任何組織或者個人設立的網路產品安全漏洞收集平台,應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。
值得注意的是,《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示,發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬於其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。第七條第七款則表示,不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。
奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示,《網路產品安全漏洞管理規定》釋放了一個重要信號:我國將首次以產品視角來管理漏洞,通過對網路產品漏洞的收集、研判、追蹤、溯源,立足於供應鏈全鏈條,對網路產品進行全周期的漏洞風險跟蹤,實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下,《規定》對於維護國家網路安全,保護網路產品和重要網路系統的安全穩定運行,具有重大意義。
張卓表示,《規定》第十條指出,任何組織或者個人設立的網路產品安全漏洞收集平台,應當向工業和信息化部備案。同時在第六條中指出,鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞,還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為,有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。
『柒』 安全工信部通報阿里雲,未及時上報重大漏洞,國資雲建設刻不容緩
中科院雲計算中心分布式存儲聯合實驗室特訊: 近期,工信部網路安全管理局通報,暫停阿里雲公司作為工信部網路安全威脅信息共享平台合作單位6個月。此次事件源自阿里雲發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患報告不及時, 再次為國家數據安全敲響警鍾,國資雲建設刻不容緩、勢在必行。
近期,工業和信息化部網路安全管理局通報稱,阿里雲計算有限公司(簡稱「阿里雲」)是工信部網路安全威脅信息共享平台合作單位。近日,阿里雲公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。經研究,現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
Apache Log4j 史上最大安全漏洞
先梳理一下阿帕奇嚴重安全漏洞的時間線:
11月24日
阿里雲在阿帕奇(Apache)開放基金會下的開源日誌組件Log4j2內,發現重大漏洞Log4Shell,然後向總部位於美國的阿帕奇軟體基金會報告。
獲得消息後,奧地利和紐西蘭官方計算機應急小組立即對這一漏洞進行預警。紐西蘭方面聲稱,該漏洞正在被「積極利用」,並且概念驗證代碼也已被發布。
12月9日
中國工信部收到有關網路安全專業機構報告,發現阿帕奇Log4j2組件存在嚴重安全漏洞,立即召集阿里雲、網路安全企業、網路安全專業機構等開展研判,並向行業單位進行風險預警。
12月9日
阿帕奇官方發布緊急安全更新以修復遠程代碼執行漏洞,漏洞利用細節公開,但更新後的Apache Log4j2.15.0-rc1版本被發現仍存在漏洞繞過。
12月10日
中國國家信息安全漏洞共享平台收錄Apache Log4j2遠程代碼執行漏洞;阿帕奇官方再度發布log4j-2.15.0-rc2版本修復漏洞。
12月10日
阿里雲在官網公告披露,安全團隊發現Apache Log4j2.15.0-rc1版本存在漏洞繞過,要求用戶及時更新版本,並向用戶介紹該漏洞的具體背景及相應的修復方案。
12月14日
中國國家信息安全漏洞共享平台發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》,供相關單位、企業及個人參考。
12月22日
工信部通報,由於阿里雲發現阿帕奇嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理,決定暫停該公司作為工信部網路安全威脅信息共享平台合作單位6個月。
在伺服器的組件中,日誌組件是應用程序中不可缺少的部分。而其中Apache(阿帕奇)的開源項目log4j是一個功能強大的日誌組件,被廣泛應用。
由於Apache Log4j存在遞歸解析功能,未取得身份認證的用戶,可以從遠程發送數據請求輸入數據日誌,輕松觸發漏洞,最終在目標上執行任意代碼。即 攻擊者只要提交一段代碼,就可以進入對方伺服器,而且可以獲得最高許可權,控制對方伺服器。通俗說,黑客通過這個普遍存在的漏洞,可以在伺服器上做任何事。
有關報道顯示,黑客在72小時內利用Log4j2漏洞,向全球發起了超過84萬次的攻擊。利用這個漏洞,攻擊者幾乎可以獲得無限的權利——比如他們可以 提取敏感數據、將文件上傳到伺服器、刪除數據、安裝勒索軟體、或進一步散播到其它伺服器。
國外網友以漫畫說明Log4j2的重要性
該漏洞CVSS評分達到了滿分10分,IT 通信(互聯網)、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及,全球互聯網大廠、 游戲 公司、電商平台等都有被影響的風險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、網路,網易、新浪以及特斯拉等全球大廠,悉數中招,眾多媒體將這個漏洞形容成「史詩級」「核彈級」漏洞,可以說相當貼切。
據工信部官網消息,今年9月1日,工業和信息化部網路安全威脅和漏洞信息共享平台正式上線運行。其中提到,根據《網路產品安全漏洞管理規定》,網路產品提供者應當及時向平台報送相關漏洞信息,鼓勵漏洞收集平台和其他發現漏洞的組織或個人向平台報送漏洞信息。
此次事件中,作為我國雲計算服務的頭部供應商的阿里雲,11月24日發現計算機史上最大的漏洞,是先向國外的Apache基金會報告,而未及時向主管部門報送漏洞信息。工信部得知情況,已經是12月9日,中間已經過了15天。這十五天,中國的互聯網簡直是在裸奔。這期間已經有黑客掌握了這個漏洞,在利用這個漏洞進行網路攻擊。作為新基建重要一環的雲計算平台,更加應以謹慎的心態承擔起保障網路安全的責任。
國資雲建設 安全自主可控為上
互聯網時代,國家安全自然延伸到了網路。各個國家,都在想辦法堵自己漏洞,找別人家的漏洞,甚至是隱藏的後門。同樣的漏洞,那就是看誰率先掌握。國外的開源軟體層出不窮的漏洞,隱沒難尋的後門,應用於國家重要機構或事關 社會 民生的部門,其潛在危害難以估量。我們除了想方設法被動收集修復漏洞,還要大力發展和利用自主安全可控的技術,才能在互聯網領域尋求戰略平衡,保障國家安全。
所以說,阿里雲的這次行動足以為戒,忽視國家各項數據安全法律法規,國家安全責任意識淡漠,將國家網路安全置於巨大的危機之中。試問這樣的第三方雲服務商,如何讓國家機構、央企國企放心將數據業務託管?
風險就在那裡,警告從未缺席。國資雲以安全自主可控、平穩可靠運行為上,才能確保國家安全,盡到 社會 責任。第三方雲服務商難以超越企業自身的穩健盈利,更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資雲的建設將第三方雲服務商排除在外,是互聯網競爭環境的使然,也是數據安全責任的擔當,更是時代賦予的使命。
「國資雲」建設 大勢所趨
經過深入研究分析,北京交通大學信息管理理論與技術國際研究中心(ICIR)認為, 「國資雲」建設是大勢所趨,原因主要有以下三方面:
一是「國資雲」建設是國有資產管理的需要。國企數據資源屬於國有資產,應納入國資監管和統一管理,保護國有數據資產安全是建設國資雲的核心目的;
二是「國資雲」建設是保障國家重要數據安全的需要。近期,《關鍵信息基礎設施安全保護條例》、《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》相繼頒布實施,將數據安全提升到前所未有的高度,而國有企業的許多數據事關國家關鍵信息基礎設施安全;
三是「國資雲」建設是信創工程落地的重要抓手。在「國資雲」數據中心逐步加大CPU、操作系統、存儲、資料庫、中間件等國產信創產品比重,並鼓勵國產信創業務系統與「國資雲」數據中心基礎設施適配應用,從基礎到應用全方位推進信創工程步伐。
因此,「國資雲」建設的重要意義在業界已達成高度共識。
國資雲賦能雲上安全 G-Cloud增強國企競爭力
國有企業是中國特色 社會 主義的重要物質基礎和政治基礎,是我們黨執政興國的重要支柱和依靠力量,國有企業不僅具有鮮明的政治屬性,也具有強烈的經濟屬性和物質屬性,堅定不移地將國有企業做強做大做優是黨和人民對國有企業的基本要求。因此,國有企業更需要資產不斷保值增值,規模不斷發展壯大,盈利水平不斷提高,這就要求國有企業必需使用最先進的生產工具,創造出最先進的生產力,保持在國際國內市場中的競爭力。
而雲計算平台就是當前最先進的生產工具。雲計算平台中除了計算、存儲、網路、虛擬化等Iaas服務相對比較成熟外,在Paas、Saas層面的技術創新速度非常快,產品迭代周期不斷縮短,不同的廠商提供的雲平台服務在技術領先性、服務穩定性、用戶覆蓋面等方面具有非常大的差異。
在激烈的市場競爭中,企業選擇了什麼類型、什麼廠商的雲服務,在一定程度上意味著企業使用了什麼工具和武器,在很大程度上決定了企業的生產效率、管理效率和市場效率,也就決定了企業的競爭力。
國資雲賦能雲上安全,打造排除第三方雲服務商的行業專屬私有雲。 中科院雲計算中心自主研發的G-Cloud雲操作系統,首要勝在安全。 其次G-Cloud在智慧城市、智慧醫療、智慧教育、智慧交通等領域的成功案例,將有助於充分激活國企強勁的競爭力、影響力、帶動力。
2021年11月, 國資雲平台中科雲(東莞) 科技 有限公司正式成立,由中科院、東莞市政府等多方投資的上市企業國雲 科技 控股,國資背景加持,官方認可,國內頂尖 科技 機構技術背書,使用國內首個自主產權、安全可控的G-Cloud雲操作系統,建設「國資雲」, 賦能千行百業數字化轉型升級,最大化優化國有資本布局,提高國有資本運營效能、產業互聯和商業創新!
中科雲凝聚服務政企信息化、數字化建設的核心團隊, 聯合產學研用各方力量,融合大數據、雲計算、物聯網等新一代信息技術,在政府、醫療、教育、交通、智能製造等多行業、多領域提供新型基礎設施建設、數據分布式存儲服務,助力國資國企規模和實力的持續增長,實現高質量發展。
『捌』 阿里雲因未及時報告嚴重漏洞被處罰
阿里雲因未及時報告嚴重漏洞被處罰
阿里雲因未及時報告嚴重漏洞被處罰,阿里雲在中國雲市場上占據著重要地位,阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場,阿里雲因未及時報告嚴重漏洞被處罰。
近期,工信部網路安全管理局通報稱,阿里雲計算有限公司發現阿帕奇(Apache)Log4j2組件枝逗嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。
通報指出,阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究,工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
觀察者網日前曾對該事件做過詳細報道,11月24日,阿里雲發現這個可能是「計算機歷史上最大的漏洞」後,率先向阿帕奇軟體基金會披露了這一漏洞,但並未及時向中國工信部通報相關信息。這一漏洞的存在,可以讓網路攻擊者無需密碼就能訪問網路伺服器。
工信部通報阿帕奇Log4j2組件重大安全漏洞
阿帕奇(Apache)Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。近日,阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟體基金會。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。為降低網路安全風險,提醒猛桐賣有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本。
工業和信息化部網路安全管理局將持續組織開展漏洞處置工作,防範網路產品安全漏洞風險,維護公共互聯網網路安全。
12月23日晚間,阿里雲計算有限公司(以輪告下簡稱「阿里雲」)對發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告的事件進行了回應,阿里雲表示,阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識,積極協同各方做好網路安全風險防範工作。
阿里雲表示,近日,阿里雲一名研發工程師發現Log4j2組件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞,並向全球發布修復補丁。隨後,該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇(Apache)旗下的開源日誌組件,被全世界企業和組織廣泛應用於各種業務系統開發。
此前,阿里雲因此事被罰。12月22日,工信部網路安全管理局通報稱,阿里雲是工信部網路安全威脅信息共享平台合作單位。近日,阿里雲公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。經研究,現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
12月9日,工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析,召集阿里雲、網路安全企業、網路安全專業機構等開展研判,通報督促阿帕奇軟體基金會及時修補該漏洞,向行業單位進行風險預警。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。為降低網路安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本。
阿里雲在中國雲市場上占據著重要地位,此前,Canalys發布中國雲計算市場2021年第三季度報告。報告顯示,2021年第三季度中國雲計算市場整體同比增長43%,達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場,33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。
近日,有媒體報道,阿里雲發現阿帕奇Log4j2組件有安全漏洞,但未及時向電信主管部門報告,未有效支撐工信部開展網路安全威脅和漏洞管理。因此,暫停阿里雲作為上述合作單位 6 個月。
原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——
非技術圈的人說:感覺阿里雲只報給阿帕奇這個技術社區,不上報組織,是沒把國家安全放心上。
技術圈層說:當然是誰寫的bug報給誰,阿帕奇的'安全漏洞,報給阿帕奇是應該的,不能上綱上線。
23日晚間,阿里雲就log4j2漏洞發布了說明,誠懇認錯,表示要強化漏洞報告管理、提升合規意識,積極協同各方共同做好網路安全防範工作。
回顧這個非常技術的話題,有諸多事實需要釐清。
首先,阿帕奇開源社區是什麼?Log4j2組件是什麼?
阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示,華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者,另外也包括谷歌、微軟等美國企業。全球的軟體工程師,在這里共建一些基礎的軟體部件,相互迭代、提高公共效率,是軟體產業的一個特有現象。
本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件,很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候,就郵件詢問了阿帕奇,請社區確認這是否是一個漏洞、評估影響范圍。
而後阿帕奇確認這是一個漏洞,並通知開發者們修補這個漏洞。於是,出現了天涯共此時,一起改漏洞的局面。
但阿里雲遺漏了不久前上線的一個官方上報平台,僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。
其次,工信部暫停阿里雲6個月合作單位資格,意味著什麼?
據工信微報——「12月9日,工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析,召集阿里雲、網路安全企業、網路安全專業機構等開展研判,通報督促阿帕奇軟體基金會及時修補該漏洞,向行業單位進行風險預警。」
媒體報道的暫停6個月合作單位資格,並未出現在公開渠道。據業內人士分析,這並不是一個嚴格意義上的「處罰」,否則不可能不公開通報。其次,網路安全威脅和漏洞信息共享平台是一個收集、通報網路安全漏洞的平台,暫停這個平台的合作資質並不對業務造成影響。
工信部關於Log4j2漏洞的風險提示
但此次事件,從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中,大量從業人員、組織養成了與開源社區合作的工作習慣,但對更高層面的安全意識、合規意識,在思想上、制度上都有所不足。阿里雲的漏報行為,也是這一意識疏漏的一次具體體現。
整體而言,此次事件對行業的影響是正面的,這是一次警示、也是一次示範。阿里雲是行業領先的IT企業,這也是能夠率先發現全球重大安全漏洞的原因,而此次事件的發生,無疑將會增強計算機行業的安全合規意識,可以想見,無論是阿里雲、還是其他諸多科技企業,都將在企業和組織內部增強合規培訓和流程規范。
『玖』 未及時上報安全漏洞 阿里雲被工信部通報 業內人士:錯在沒有重視流程
通報指出,阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究, 現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位 。
據了解,Apache Log4j2作為阿帕奇軟體基金會旗下的一款日誌紀錄工具,是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。
工信部網路安全管理局曾在17日發布了《關於阿帕奇Log4j2組件重大安全漏洞的網路安全風險提示》。其中指出, 阿里雲在近日發現阿帕奇Log4j2組件存在遠程代碼執行漏洞 ,並將漏洞情況告知阿帕奇軟體基金會。 12月9日,工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告 ,阿帕奇Log4j2組件存在嚴重安全漏洞。
隨後,工信部立即組織有關網路安全專業機構開展漏洞風險分析,召集阿里雲、網路安全企業、網路安全專業機構等開展研判,通報督促阿帕奇軟體基金會及時修補該漏洞,向行業單位進行風險預警。
「目前來看,是阿里更早發現了這個漏洞,並將問題反饋給了Apache基金會,之後Apache為Log4j發布了新版補丁修復。但是,阿里雲沒有及時去向工信部申報。主要錯誤在於沒有重視上報流程和申報漏洞。」有業內人士表示。
根據今年9月1日施行的工信部、國家網信辦、公安部聯合印發的《網路產品安全漏洞管理規定》, 網路產品提供者應在發現漏洞的2日內向工業和信息化部報送漏洞信息 ,並及時進行修補,將修補方式告知可能受影響的產品用戶。
據此前報道,阿里雲安全團隊於11月24日向阿帕奇軟體基金會提交了Log4j 漏洞郵件。而根據公告,工信部是12月9日才收到上述漏洞的報告,距離阿里雲首次發現已經過去了2個星期。
『拾』 哪些國家制定了漏洞法律法規
各省、自治區、直轄市及新疆生產建設兵團工業和信息化主管部門、網信辦、公安廳(局),各省、自治區、直轄市通信管理局:
現將《網路產品安全漏洞管理規定》予以發布,自2021年9月1日起施行。
工業和信息化部 國家互聯網信息辦公室 公安部
2021年7月12日
網路產品安全漏洞管理規定
第一條 為了規范網路產品安全漏洞發現、報告、修補和發布等行為,防範網路安全風險,根據《中華人民共和國網路安全法》,制定本規定。
第二條 中華人民共和國境內的網路產品(含硬體、軟體)提供者和網路運營者,以及從事網路產品安全漏洞發現、收集、發布等活動的組織或者個人,應當遵守本規定。
第三條 國家互聯網信息辦公室負責統籌協調網路產品安全漏洞管理工作。工業和信息化部負責網路產品安全漏洞綜合管理,承擔電信和互聯網行業網路產品安全漏洞監督管理。公安部負責網路產品安全漏洞監督管理,依法打擊利用網路產品安全漏洞實施的違法犯罪活動。
有關主管部門加強跨部門協同配合,實現網路產品安全漏洞信息實時共享,對重大網路產品安全漏洞風險開展聯合評估和處置。
第四條 任何組織或者個人不得利用網路產品安全漏洞從事危害網路安全的活動,不得非法收集、出售、發布網路產品安全漏洞信息;明知他人利用網路產品安全漏洞從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第五條 網路產品提供者、網路運營者和網路產品安全漏洞收集平台應當建立健全網路產品安全漏洞信息接收渠道並保持暢通,留存網路產品安全漏洞信息接收日誌不少於6個月。
第六條 鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞。
第七條 網路產品提供者應當履行下列網路產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理發布,並指導支持產品用戶採取防範措施:
(一)發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍;對屬於其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。
(二)應當在2日內向工業悄遲和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。報送內容應當包括存在網路產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。
(三)應當及時組織對網路產品安全漏洞進行修補,對於需要產品用戶(含下游廠商)採取軟體、固件升級等措施的,應當及時將網路產品安全漏洞風險及修補方式告知可能受影響的產品用戶,並提供必要的技術支持。
工業和信息化部網路安全威脅和漏洞信息共享平台同步向國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心通報相關漏洞信息。
鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。
第八條 網路運營者發現或者獲知其網路、信息系統及其設備存在安全漏洞後,應當立即採取措施,及時對安全漏洞進行驗證並完成修補。
第九條 從事網路產品安全漏洞發現、收集的組織或者個人通過網路平台、媒體、會議、競賽等方式向社會發布網路產品安全漏洞信息的,應當遵循必要、真實、客觀以及有利於防範網路安全風險的原則,並遵守以下規定:
(一)不得在網路產品提供者提供網路產品安全漏洞修補措施之前發布漏洞信息;認為有必要提前發布的,應當與相關網路產品提供者共同評估協商,並向工業和信息化部、公安部報告,由工業和信息化部、公安部組織評估後進行發布。
(二)不得發布網路運營者在用的網路、信息系統及其設備存在安全漏洞的細節情況。
(三)不得刻意誇大網路產品安全漏洞的危害和風險,不得利用網路產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動。啟薯李
(四)不得發布或者提供專門用於利用網路產品安全漏洞從事危害網路安全活動的程序和工具。
(五)在發布網路產品安全漏洞時,應當同步發布修補或者防範措施手模。
(六)在國家舉辦重大活動期間,未經公安部同意,不得擅自發布網路產品安全漏洞信息。
(七)不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。
(八)法律法規的其他相關規定。
第十條 任何組織或者個人設立的網路產品安全漏洞收集平台,應當向工業和信息化部備案。工業和信息化部及時向公安部、國家互聯網信息辦公室通報相關漏洞收集平台,並對通過備案的漏洞收集平台予以公布。
鼓勵發現網路產品安全漏洞的組織或者個人向工業和信息化部網路安全威脅和漏洞信息共享平台、國家網路與信息安全信息通報中心漏洞平台、國家計算機網路應急技術處理協調中心漏洞平台、中國信息安全測評中心漏洞庫報送網路產品安全漏洞信息。
第十一條 從事網路產品安全漏洞發現、收集的組織應當加強內部管理,採取措施防範網路產品安全漏洞信息泄露和違規發布。
第十二條 網路產品提供者未按本規定採取網路產品安全漏洞補救或者報告措施的,由工業和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網路安全法》第六十條規定情形的,依照該規定予以處罰。
第十三條 網路運營者未按本規定採取網路產品安全漏洞修補或者防範措施的,由有關主管部門依法處理;構成《中華人民共和國網路安全法》第五十九條規定情形的,依照該規定予以處罰。
第十四條 違反本規定收集、發布網路產品安全漏洞信息的,由工業和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網路安全法》第六十二條規定情形的,依照該規定予以處罰。
第十五條 利用網路產品安全漏洞從事危害網路安全活動,或者為他人利用網路產品安全漏洞從事危害網路安全的活動提供技術支持的,由公安機關依法處理;構成《中華人民共和國網路安全法》第六十三條規定情形的,依照該規定予以處罰;構成犯罪的,依法追究刑事責任。
第十六條 本規定自2021年9月1日起施行。