物聯網聚焦丨警惕！讓阿里雲受處罰的安全漏洞

工信部公告

近日，工信部通報：阿里雲計算有限公司（以下簡稱“阿里雲”）作為工信部網路安全威脅資訊共享平臺合作單位，在發現阿帕奇（Apache）Log4j2元件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

早在11月24日，阿里雲安全團隊就發現阿帕奇log4j 2遠端程式碼執行漏洞。該元件中某些功能存在遞迴解析，攻擊者可直接構造惡意請求，觸發遠端程式碼執行漏洞，並向阿帕奇官方報告了這一漏洞。

而到12月9號，工信部網路安全管理局發出通告，並開展相關工作，中間已經過去了十五天，這實際上違反了9月1日施行的《網路產品安全漏洞管理規定》。

遍及全球的漏洞風波

Log4J2 （ Log For Java 2 ）是一個同時具備通用性、簡易型和強功能性Java 開源日誌框架，被廣泛用於各類Java開源系統中。

某業內技術專家表示：“該漏洞風險是由Log4j 2 提供的lookup功能造成的，該功能允許透過一些協議去讀取相應環境中的配置，且未對輸入進行嚴格的判斷，使得攻擊者可以透過JNDI注入實現遠端載入惡意類到應用中，從而控制終端裝置。”

海外網路安全解決方案提供商 Check Point統計，在 Apache Log4j 2 漏洞發現早期的 12 月 10 日，駭客嘗試利用該漏洞進行攻擊的次數就有幾千次，而這一資料在隔天增至 4 萬次。攻擊變種已超過60種。在漏洞爆發 72 小時後，僅 CPR 感測器捕捉到利用該漏洞嘗試攻擊的行為就已超過 83 萬次。據估計，在漏洞爆發高峰期，我國有近 34% 的企業受到波及。這一佔比的背後是我國龐大的企業基數，安全影響不可忽視。

目前，工信部、阿帕奇軟體基金會以及其他國內外機構都陸續釋出了應對此漏洞的排查及修復措施，但此事件的影響仍在持續，網路安全話題也迎來了一波熱烈討論。

網路安全相關法律法規的完善

有業界人士表示此次事件“反映出資訊保安資訊共享的相關立法還有待進一步完善”，我國《網路安全法》和《資料安全法》雖然對網路安全以及資料安全的共享問題作出過相關規定，但相關風險資訊、安全資訊的報送和共享還需要進一步制訂明確的規則。

目前，前述《規定》及工信部2017年公佈的《公共網際網路網路安全威脅監測與處置辦法》已經初步明確了網路安全威脅應當及時上報，工信部近日起草的《工業和資訊化領域資料安全風險資訊報送與共享工作指引（試行）》稿中，對於相關的安全風險資訊的報送和共享也提出了相應要求，現在已經處於徵求意見稿階段。

對網路安全領域的警示

此次安全事件喚起了全球業界人士對於開源專案的思考。

阿帕奇軟體基金會官網介面，可以看到12月17日釋出的針對安全漏洞的補丁資訊

本次安全事件Log4j2源於開源專案阿帕奇基金會。開源專案一般是程式碼開發者自發組織成立的一種免費社群，所有專案免費公開上傳至社群中供愛好者交流、學習，任何組織或個人都可以使用這些程式碼，甚至用於商業化。

而本次安全事件在引發人們對於開源專案的爭論同時，也暴露出幾個問題：

1.開源專案維護者是“用愛發電”，完全無償或只有少量報酬，能夠持續更新迭代的專案並不多。

2.很多企業忽視了公平交易，只想在法律或軟體許可允許的範圍內實現收益最大化。多數流行開源許可的約束力特別寬鬆，而且缺乏公共版權性質的互惠性條款。

3.大部分企業根本不會審查即將被引入應用程式的開原始碼，企業有責任保證自己嚮應用程式中新增的一切程式碼均安全、可靠。

4. 開源意為開放原始碼，最大的特點在於開放，開放帶來巨大便利的同時也能帶來巨大的風險。軟體開發者、使用者理應充分認識任何漏洞尤其是底層元件漏洞所隱含的巨大安全威脅，引以為戒。

安全漏洞不可能最後一次出現，但所有企業和從業者們都應當未雨綢繆。

★關於菊園科技園★

菊園科技園位於上海市嘉定區菊園新區，屬於張江國家自主創新示範區。在“科技菊園、品質菊園”的品牌打造中，依託新區科研院所集聚之優勢，已吸引10000多戶企業入駐。

• 匯聚中科院上海微系統所、上海矽酸鹽研究所、上海光機所、華東計算所、上海鐳射等離子研究所等5家國家級科研院所。

• 擁有國家級科技企業孵化器——菊園物聯網孵化器。

• 獲評上海四新產業基地、上海市留學生創新創業園、院士專家服務中心等。

園區立足嘉定區科技創新核心功能區建設，成立了“創業+"服務聯盟，推出天使基金、金融匯、路演圈、政策通、創客吧、創業賽、創業券等系列服務專案，初步形成了產業園生態圈的閉環優勢。

園區旗下擁有北水灣大廈、菊園科研總部大廈、菊園科創大廈、菊園虹橋總部園、菊園金融小鎮、菊園智慧產業基地等專案叢集，並形成“創業苗圃-孵化器-加速器-產業園”四位一體的企業成長載體。

未來菊園科技園將進一步透過引進與孵化相結合，服務與推廣相統一，產業與發展相促進，逐步培育和突顯自身優勢，大力推進上海科創中心重要承載區核心功能區的建設，期待您的參與，願與您攜手共創美好未來!