記者丨曉敏 見習(xí)生丨高原

出品丨鰲頭財經(jīng)（theSankei）

近日，阿里云被工信部暫停網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月的消息引發(fā)了廣泛關(guān)注。

工信部網(wǎng)絡(luò)安全管理局在通報中稱，阿里云計算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

經(jīng)研究，現(xiàn)暫停阿里云公司作為網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

非技術(shù)人員看到這里可能還有些費解，這個阿帕奇是什么？阿里云的過失到底是什么性質(zhì)？這次的阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患，被業(yè)界稱為“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”。

這個漏洞存在于Log4j2組件上，而Log4j2組件在java類系統(tǒng)中的應(yīng)用極為廣泛，有技術(shù)大神將之形容為計算機(jī)網(wǎng)絡(luò)領(lǐng)域大廈承重梁里的關(guān)鍵鋼筋。如果失去Log4j組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都面臨倒塌的風(fēng)險。

而由于阿里云未及時向中國主管部門報告相關(guān)漏洞，直接造成國內(nèi)相關(guān)機(jī)構(gòu)處于被動地位。

據(jù)媒體稱，阿里云11月24日就發(fā)現(xiàn)了這個漏洞，并立即向總部位于美國的阿帕奇軟件基金會報告。這個漏洞立即引起了業(yè)界的重視，奧地利和新西蘭官方計算機(jī)應(yīng)急小組立即對這一漏洞進(jìn)行預(yù)警。新西蘭方面聲稱，該漏洞正在被“積極利用”，并且概念驗證代碼也已被發(fā)布。

12月9日，中國工信部收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，并向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。

根據(jù)媒體披露的信息，直至此時，阿里云依然未向工信部報告。

工信部收到這條關(guān)于嚴(yán)重安全漏洞的信息，是由于收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的報告。從阿里云發(fā)現(xiàn)這條漏洞到工信部被動獲知并向行業(yè)單位進(jìn)行風(fēng)險預(yù)警，中間已經(jīng)過去了整整15天。

記者就此事詢問了國內(nèi)一家知名網(wǎng)絡(luò)安全公司的技術(shù)人員，被告知：“發(fā)現(xiàn)阿帕奇組件相關(guān)的網(wǎng)絡(luò)安全漏洞，第一時間向阿帕奇基金會報告是沒有問題的，但也沒有任何規(guī)則束縛阿里云向工信部報告這件事，這種消息確實不應(yīng)該任意擴(kuò)散，以防被黑客利用，但是工信部很明顯并不在‘不適合擴(kuò)散的對象’范圍之內(nèi)?！睋Q言之，阿里云當(dāng)時完全可以先向工信部報告此事。

而按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，合作企業(yè)發(fā)現(xiàn)此類漏洞后，應(yīng)在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送信息。

業(yè)內(nèi)對相關(guān)事件的報送次序也不是沒有說法，一般是成員單位>工業(yè)和信息化部網(wǎng)絡(luò)安全管理局 >國家信息安全漏洞共享平臺（CNVD）＞CVE中國信息安全測評中心 > 國家信息安全漏洞庫（CNNVD）> 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

云服務(wù) 安全第一

作為國內(nèi)第一大公有云平臺，阿里云今年8月曾因為用戶信息被泄露給第三方，導(dǎo)致用戶長期遭遇廣告推銷問題被投訴。后浙江省通信管理局在答復(fù)投訴時稱，2019年11月11日阿里云計算有限公司未經(jīng)用戶同意擅自將用戶留存的注冊信息透露給第三方合作公司。

阿里云8月23日回應(yīng)稱，此事系因阿里云一電銷員工利用工作便利私下獲取客戶聯(lián)系方式，并透露給分銷商員工，由此引發(fā)客戶投訴。

不管到底是不是阿里云的個別員工向第三方泄露了客戶信息，但推銷工作對阿里云的重要性是顯而易見的。阿里云磨劍十年一直在虧損，從2009年9月成立起，直到2020年第四季度才首次實現(xiàn)盈利。而對于整個阿里集團(tuán)來說，阿里云也已經(jīng)成為了業(yè)績最亮眼的板塊之一。根據(jù)今年第二季度財報，阿里云營收200億元，同比增長33%，占集團(tuán)總營收10%。

而根據(jù)IDC的調(diào)研，今年一季度，中國公有云市場規(guī)模達(dá)46.32億美元，阿里云以40%的市場份額排名第一，第二到第五名分別是騰訊云、華為云、中國電信天翼云、AWS，但份額都和阿里云相差甚遠(yuǎn)。

而在最新的重大人事職責(zé)調(diào)整和集團(tuán)規(guī)劃中，阿里云更是成為了阿里巴巴集團(tuán)（BABA）向海外拓展的利器，由蔣凡親自掛帥。

可以說，阿里云堪稱阿里巴巴集團(tuán)的“劍與盾”，在電商、大文娛、同城業(yè)務(wù)、支付等各條業(yè)務(wù)線都被同行強(qiáng)勢圍攻的當(dāng)下，阿里云成了整個集團(tuán)最具有技術(shù)沉淀和先發(fā)優(yōu)勢的護(hù)城河；與此同時，阿里云也是集團(tuán)對外攻城略地的重要依仗。

但無論阿里云如何強(qiáng)大，“安全”都是首先要確保的。

“公有云服務(wù)最重要的就是安全，阿里云在官網(wǎng)上也將安全問題作為最大賣點來宣傳，稱累計防護(hù)全國網(wǎng)站40%，每天抵御攻擊50億次，每年幫助用戶修復(fù)734萬個漏洞。但今年以來先是有泄露客戶信息問題，后又出現(xiàn)重大安全漏洞未按規(guī)定報告工信部的問題，可以說是在用戶個人安全甚至國家網(wǎng)絡(luò)安全兩個方面都失了分?！庇袠I(yè)內(nèi)資深從業(yè)人員如此認(rèn)為。