通信世界网消息(CWW)最近一段时间,阿里云计算有限公司(以下简称“阿里云”)安全漏洞事件热度不断上涨,已经被“刷屏”了。
据国内媒体报道,因阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,所以决定暂停阿里云作为工信部网络安全威胁和漏洞信息共享平台合作单位6个月。暂停期满后,将根据阿里云整改情况,研究恢复其上述合作单位。其实,早在12月9日工信部就组织有关网络安全专业机构对阿帕奇Log4j2组件开展漏洞风险分析,包括阿里云在内的网络安全企业、网络安全专业机构参加会议。会后通报督促阿帕奇软件基金会及时修补该漏洞,并向行业单位进行风险预警。
当今世界,网络安全已经成为各国政府高度关注的领域。在我国,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局于2021年9月1日组织建设的“工业和信息化部网络安全威胁和漏洞信息共享平台”(以下简称“平台”)正式上线运行。值得关注的是,《网络产品安全漏洞管理规定》第七条明确指出,发现安全漏洞后,应当在2日内向“平台”报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
作为网络安全威胁和漏洞信息共享平台合作成员之一,阿里云并未以身作则,在发现漏洞后并未及时上报工信部,反而第一时间通报给阿帕奇(Apache)基金会。笔者认为,这不仅是单纯的安全漏洞问题,还涉及到国家安全问题。阿里云的“迷之操作”,的确应该受到惩罚。
日前,在Gartner发布的最新报告中,阿里云IaaS基础设施能力排名全球第一,在计算、存储、网络、安全4项核心评比中均斩获最高分,这也是“中国云”首次超越亚马逊、微软、谷歌等国际云厂商。笔者认为,在技术实力争第一的同时,国家网络安全意识也不能落后。试想若所有企业都如阿里云这般“是非不分”,那国家的网络安全该如何保障?互联网企业要时刻记住科技无国界,但网络安全有国界。
阿里云的行为不仅无助于解决问题,如果时间再长一点,反而成为漏洞扩散的“帮凶”。“阿里云事件”为云服务、互联网、网络安全等相关企业敲响了警钟。
近年来,网络安全事件频发。在2020年新冠肺炎疫情暴发期间,境外多个国家和地区对中国发动网络攻击,如越南“海莲花”黑客组织利用疫情话题攻击中国政府机构;中国台湾也曾发生重大个人数据泄露事件,导致84%的公民信息出现在暗网。因此,事关网络安全的问题,相关企业一定要给予足够的重视。
第一,企业要真正认识到网络安全的重要性,不能只是浮于表面,而要提高政治意识、国安意识以及法律意识。
第二,企业要引以为戒,不要自以为是,遇到安全问题要及时向相关部门汇报,切记不要小事酿成大错。
第三,政府部门要加大对网络安全领域的相关监管,加大处罚力度,要做到有法可依、有法必依、执法必严、违法必究。
我们要时刻铭记,网络安全关乎国家安全,希望中国的互联网企业守好网络安全底线。
