當(dāng)前位置：首頁 > 法律法規(guī) > 正文

阿里云因未及時上報漏洞被處罰，該漏洞有著怎樣的嚴(yán)重性？

法律法規(guī)
2024-03-15 07:57:27

阿里云未及時上報漏洞被工信部處罰，此次處罰起到了怎樣的警示作用？

阿里云未及時上報漏洞被工信部處罰，這次的處罰給了國內(nèi)云計算領(lǐng)域，尤其是安全領(lǐng)域很大的警示作用。最重要的警示就是一定要詳細(xì)了解并遵守電信主管部門的規(guī)定，否則將失去工信部重要的背書，如果沒有工信部的背書，相信在國內(nèi)的任何一家企業(yè)將很難再接到政府部門的項目。這次事件對阿里云的處罰個人覺得阿里云不冤。阿里云在發(fā)現(xiàn)阿帕奇服務(wù)器的日志組件漏洞后，第一時間選擇報告給了美國的阿帕奇基金會，阿帕奇基金會在收到漏洞報告后第一時間發(fā)布了漏洞補丁，這操作在行業(yè)內(nèi)部是沒有問題的，雖然技術(shù)沒有國界之分，但是企業(yè)是有的。阿里云在履行了行業(yè)職責(zé)的同時卻忘記了自己是工信部合作單位之一，沒有履行國家的職責(zé)，所以這次處罰是應(yīng)當(dāng)?shù)?，下面就以個人觀點來說一說這件事給了我們怎樣的警示作用：

一、危害嚴(yán)重

這次的漏洞被譽為是十年來最大的安全漏洞，就是因為用到的那個日志組件使用的廣泛性。但是工信部門卻在事發(fā)半月后才接到別的企業(yè)通知，而黑客在這段時間足以造成嚴(yán)重破壞。

二、加強學(xué)習(xí)

任何一家在中國的企業(yè)首先應(yīng)該遵守的就是國家的法律法規(guī)，阿里云這次之所以沒有第一時間給電信主管部門報告漏洞，很大一部分原因可能就是對合作的要求條款不熟悉，只是遵守了行業(yè)規(guī)定，個人也相信阿里云不會明知條款而不去執(zhí)行。所以要加強對條款的認(rèn)知理解。

三、警鐘長鳴

這次的事件雖然是處罰阿里云，但是對別的企業(yè)也有一定的震懾作用，要牢記國家的法律規(guī)定是第一位的。

你覺得阿里云未及時上報漏洞被工信部處罰，此次處罰起到了怎樣的警示作用？歡迎留言討論。

阿里云因未及時上報漏洞被處罰了，具體是被如何處罰的？

阿里云因未及時上報漏洞被工信部作出處罰暫停列入合作單位六個月，待處罰期滿后再決定是否跟阿里云繼續(xù)合作。這樣的處罰可以說是對阿里云的一個警示，在國家反壟斷的大背景下，阿里云失去了跟工信部的合作關(guān)系，對其承接國家項目尤其是一些國企的項目會帶來嚴(yán)重影響。與經(jīng)濟(jì)影響相對的是這次處罰帶來的信譽影響更嚴(yán)重。阿里云作為國內(nèi)云計算的龍頭企業(yè)，承擔(dān)了90%以上的中小企業(yè)云計算功能，如此龐大的規(guī)模，稍有不慎就可能會滿盤皆輸。下面來說一說整件事情：

一、阿里云冤不冤

這次發(fā)現(xiàn)的漏洞是基于阿帕奇Web服務(wù)器的log4j日志組件的，該組件被廣泛應(yīng)用于JAVA開發(fā)的各類程序中，因為其能幫助開發(fā)者分析系統(tǒng)運行情況以及狀態(tài)。而這次發(fā)現(xiàn)的漏洞允許黑客通過該漏洞直接訪問運行了log4j日志組件的服務(wù)器，相當(dāng)于是把自己家門鑰匙給了小偷。而在漏洞爆出了近半個月時間后工信部才接到別的安全企業(yè)發(fā)出的通知，相當(dāng)于國內(nèi)的服務(wù)器裸奔了近半月之久，所以作出這個處罰阿里云一點都不冤枉。

二、阿里云潛在問題

通過這件事情也暴露出阿里云潛在的問題，發(fā)現(xiàn)漏洞第一時間上報給了行業(yè)協(xié)會，但是并沒有報告國家主管部門，不能只遵守行業(yè)協(xié)會的規(guī)定，而置國家法律法規(guī)不顧，這也體現(xiàn)了對法規(guī)條款學(xué)習(xí)的不到位。

三、后續(xù)影響

這件事對阿里云的影響不僅僅是經(jīng)濟(jì)上的，更多的是信譽上的，這件事后相信阿里云承接國企的項目難度會加大很多。

你知道阿里云未及時上報漏洞受到了怎樣的處罰嗎？歡迎留言討論。

阿里云未及時通報重大漏洞，會造成什么后果？

阿里云發(fā)布關(guān)于開源社區(qū)Apache log4j2漏洞情況的說明。阿里云表示，Log4j2 是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。

阿里云沒有及時通報會造成什么后果？國內(nèi)企業(yè)在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后應(yīng)該走什么程序通報？觀察者網(wǎng)帶著這些問題采訪了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件在java類系統(tǒng)中應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個領(lǐng)域。由于阿里云未及時向中國主管部門報告相關(guān)漏洞，直接造成國內(nèi)相關(guān)機(jī)構(gòu)處于被動地位。

阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認(rèn)這是一個安全漏洞，并向全球發(fā)布修復(fù)補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞。

阿里云稱，因在早期未意識到該漏洞的嚴(yán)重性，未及時共享漏洞信息。此后，阿里云將強化漏洞管理、提升合規(guī)意識，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險防范工作。