工信部網路安全信息共享平台

A. 汽車數據安全如何保障

監管亟待加強。國信證券分析師認為，當前政策層面對於網路安全的重視程度空前，數據已成為核心生產要素。

當下，在智能汽車發展的同時安全問題依舊是第一位的，智能汽車的數據安全性是車聯網發展道路上的重中之重。

規定

7月12日工信部等三部門印發了《網路產品安全漏洞管理規定》，《規定》提出，網路產品提供者應當確保其產品安全漏洞得到及時修補和合理發布；工信部網路安全威脅和漏洞信息共享平台同步向國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心通報相關漏洞信息。

B. 阿里雲回應被工信部嚴懲

阿里雲回應被工信部嚴懲

阿里雲回應被工信部嚴懲，此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲回應被工信部嚴懲。

阿里雲回應被工信部嚴懲1

12月23日晚間，阿里雲計算有限公司（以下簡稱「阿里雲」）對發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了回應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網路安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，並向全球發布修復補丁。隨後，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網路安全管理局通報稱，阿里雲是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里雲在中國雲市場上占據著重要地位，此前，Canalys發布中國雲計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。

阿里雲回應被工信部嚴懲2

近日，有媒體報道，阿里雲發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。因此，暫停阿里雲作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞發布了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網路安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社區是什麼？Log4j2組件是什麼？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟體工程師，在這里共建一些基礎的軟體部件，相互迭代、提高公共效率，是軟體產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件，很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響范圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平台，僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味著什麼？

據工信微報——「12月9日，工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的「處罰」，否則不可能不公開通報。其次，網路安全威脅和漏洞信息共享平台是一個收集、通報網路安全漏洞的平台，暫停這個平台的合作資質並不對業務造成影響。

工信部關於Log4j2漏洞的風險提示

但此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中，大量從業人員、組織養成了與開源社區合作的工作習慣，但對更高層面的`安全意識、合規意識，在思想上、制度上都有所不足。阿里雲的漏報行為，也是這一意識疏漏的一次具體體現。

整體而言，此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲是行業領先的IT企業，這也是能夠率先發現全球重大安全漏洞的原因，而此次事件的發生，無疑將會增強計算機行業的安全合規意識，可以想見，無論是阿里雲、還是其他諸多科技企業，都將在企業和組織內部增強合規培訓和流程規范。

阿里雲回應被工信部嚴懲3

近期，工信部網路安全管理局通報稱，阿里雲計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。

通報指出，阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究，工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是「計算機歷史上最大的漏洞」後，率先向阿帕奇軟體基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。這一漏洞的存在，可以讓網路攻擊者無需密碼就能訪問網路伺服器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業和信息化部網路安全管理局將持續組織開展漏洞處置工作，防範網路產品安全漏洞風險，維護公共互聯網網路安全。

C. 阿里又出事了！發現網路安全漏洞，不上報工信部，卻通知外國機構

突發！工信部宣布暫停與阿里雲信息共享平台合作。這是怎麼回事？阿里雲犯了什麼事？要了解這些疑問，首先我們要知道阿帕奇 Log4j2組件。

據悉，阿帕奇 Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。而在11月24日，阿里雲發現阿帕奇（Apache） Log4j2存在安全漏洞。但阿里雲沒第一時間向工信部報告，反而率先向阿帕奇軟體基金會披露該漏洞。

而阿帕奇軟體基金會是專門為支持開源軟體項目而成立的一個非盈利性組織，於1999年6月在美國特拉華州注冊成立。

在阿里向他們披露漏洞後，奧地利和紐西蘭官方的計算機應急小組率先對這一漏洞進行預警，而中國工信部是在收到網路安全專業機構報告後，才發現阿帕奇Log4j2組件存在嚴重安全漏洞。

根據工信部、國家網信辦、公安部聯合印發的《網路產品安全漏洞管理規定》，網路產品提供者應當在2日內向工信部報送相關漏洞信息，而工信部12月9日發現上述漏洞，距阿里雲首次發現已經過去15天。

值得注意的是：這次的漏洞被認為是「計算機 歷史 上最大的漏洞」。多名雲計算業內人士指出，這是一個非常基礎的日誌庫漏洞。由於組件使用量很大，幾乎所有的java程序都會涉及，所以影響面很大。

工信部指出，這一漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本，以降低網路安全風險。

看完上述，相信大家都知道阿里雲犯了什麼事了吧！根據工信部要求，網路產品提供者發現漏洞，應當在2日內向工信部報送相關漏洞信息。

有此要求是因為通常情況下，發現的早，知道的快，能及時防備、解決漏洞，避免造成損失。反之，知道得越晚，損失越大。

此次的阿帕奇 Log4j2漏洞，幾乎影響全球，原本我國本應該能在11月24日就應對的，最後卻滯後了15天，15天有多少設備受到了「入侵」呢？

所以，也難怪工信部宣布暫停與阿里雲信息共享平台合作。工信部稱，阿里雲公司發現阿帕奇 Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

D. 我國對公共互聯網網路安全威脅監測做了什麼處置

北京9月14日從工信部獲悉，工信部制定印發《公共互聯網網路安全威脅監測與處置辦法》，對公共互聯網上存在或傳播的、可能或已經對公眾造成危害的網路資源、惡意程序、安全隱患或安全事件監測處置，並建立網路安全威脅信息共享平台，集成合力維護網路安全。

工信部提出建立網路安全威脅信息共享平台，統一匯集、存儲、分析、通報、發布網路安全威脅信息，制定相關介面規范，與相關單位網路安全監測平台實現對接。

工信部網路安全管理局局長趙志國表示，工信部將完善危險監測處置、數據保護、新技術、新業務安全評估等政策，最大限度消除安全隱患，制止攻擊行為，避免危害發生。《公共互聯網網路安全威脅監測與處置辦法》自2018年1月1日起實施。

綠色平台構建和諧網路。

E. 工信部暫停阿里雲信息共享平台合作，這是為什麼

原因是相關組件存在著安全漏洞，阿里集團並未向工信部報告該問題。

事實上，雲計算確實可以為各大平台帶來更高的收益，保證平台的正常運行。可是大型公司與工信部及其他部門進行合作時，更應該秉持著誠信合作的方案。當平台出現了眾多的安全漏洞時，相關公司就應該立刻向有關部門報告此事，減少安全漏洞對整個平台造成的影響。

除此之外，阿里雲和工信部展開合作後，相關平台的安全性一直得到了網友的重視。除此之外，共享信息平台的安全性比較重要，當某個平台出現安全漏洞時，隱瞞不報只會使雙方的合作告吹，或者阻礙雙方的進一步合作。

總的來說，既然阿里集團選擇與工信部進行合作，那麼阿里集團面對信息共享平台的組件安全漏洞時，更應該進行報告。 合作本都該呈現出互利共贏，隱瞞不報只會影響雙方合作。