阿里又双叒叕被处罚了（阿里重罚182亿）

阿里又双叒叕被处罚了（阿里重罚182亿）

01．工信部通报

12月22日，据工信部网络安全管理局通报称，近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全ld隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和ld管理。阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位，经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

02．Log4j2远程执行ld有多严重？

Log4j2是目前最优秀的Java日志框架之一。全球绝大多数java程序，几乎都有使用此组件来记录程序输入输出日志信息。

这个ld利用方式简单，门槛低，利用者可以利用ld远程执行代码，获得服务器的最高操作权限。换个通俗的话来说，我拿到了你家钥匙，并进到你家里，剩下的就是我想干什么就干什么。

高校、工业制造、金融、政府、医疗卫生、运营商等几乎所有行业都受到了波及，Steam、三星、苹果、微软等科技巨头的云服务也受到了影响，推特和亚马逊同样遭到了利用，百度搜索、360搜索等都未能幸免。安全界用灾难级来形容此ld，并表示它甚至可能是“计算机历史上最大的ld”。

03．发现核弹级ld，美国优先？

12月9日深夜，阿里云发布了一则ld预警，通报ld的同时也透露了两个个重要信息：

1、阿里云安全团队早在15天前已发现此属于严重级别（最高威胁等级）的远程执行ld；

2、已向Apache官方（美国公司）报告了此严重级别ld。

阿里安全团队能第一时间发现这个严重ld，确实证明阿里云技术非常厉害，值得骄傲。但是，有几个点值得深思：

1、为什么过了15天，才选择通报出来？

2、为什么没有通报给中国国家信息安全ld共享平台？

3、为什么没有通报给国内的兄弟企业？

作为技术人，发现ld第一时间给产品方报告能理解，确实是一个可以骄傲的事情，但是，Apache官方第一个修复包是12月7日，为什么选择在12月9日深夜才爆出来呢？

或许，一开始，阿里安全团队认为仅仅是个常规的ld，直到官方发布了第一个修复包，安全团队特地研究复现后，发现是难以想象的问题，意识到这个ld的严重性，选择公布出来。但是真实原因是怎样，也只有当事人知道了。

04．阿里被罚，冤吗？

​《网络产品安全ld管理规定》于2021年9月1日起生效。其中第七条第二项中明确表示，发现或者获知所提供产品或者组件存在安全ld后，应当在2日内向工业和信息化部网络安全威胁和ld信息共享平台报送相关ld信息

《中华人民共和国数据安全法》2021年9月1日生效，其中第二十九条也明确表示，发现数据安全缺陷、ld等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

或许民营企业对于这些法律法规并不敏感，缺乏一定的政治意识和国安意识。但，并不意味就可以不遵守生效的法律法规，违反了条例是铁的事实，所以，一点都不冤。

05．没有网络安全就没有国家安全！

比利时政府官员公开承认遭到近期曝光的 Apache Log4j   ld网络利用。本次gj导致比利时国防部的部分计算机网络自12月16日以来一直处于关闭状态。

其实早在前些年，国家已经意识到网络与数据安全的重要性，在2018年的全国网络安全和信息化工作会议上发表的讲话也提到了没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。

国内网络安全企业360春江水暖，率先从美国退市，并于去年3月披露了美国情报机构的种种黑手。在过去长达10年时间里，美情报机构多次gj中国航天、科研和石油系统，并亮出了实锤证据。

06．写在最后

二十一世纪，全球战场早已不仅仅拘泥于海陆空传统形式，网络空间战在世纪初就拉开了序幕，在这场百年大变局中，每个企业、每个人都应该提升自己的社会责任意识和安全意识，在历史的坐标和民族的网格里找到自己的定位，而不是只顾着自己一亩三分地。国家强则民强，国家富则民富；国家昌盛，则民族亦昌盛！

​下期预告：浅谈系列之核弹级ld log4j2利用姿势

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。