阿里云发现网络安全漏洞被处罚，说明什么问题？

记者丨晓敏 见习生丨高原

出品丨鳌头财经（theSankei）

近日，阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引发了广泛关注。

工信部网络安全管理局在通报中称，阿里云计算有限公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

经研究，现暂停阿里云公司作为网络安全威胁信息共享平台合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

非技术人员看到这里可能还有些费解，这个阿帕奇是什么？阿里云的过失到底是什么性质？这次的阿帕奇（Apache）Log4j2组件严重安全漏洞隐患，被业界称为“过去十年内最大也是最关键的单一漏洞”。

这个漏洞存在于Log4j2组件上，而Log4j2组件在java类系统中的应用极为广泛，有技术大神将之形容为计算机网络领域大厦承重梁里的关键钢筋。如果失去Log4j组件的支撑，所有现代数字基础设施都面临倒塌的风险。

而由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。

据媒体称，阿里云11月24日就发现了这个漏洞，并立即向总部位于美国的阿帕奇软件基金会报告。这个漏洞立即引起了业界的重视，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日，中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

根据媒体披露的信息，直至此时，阿里云依然未向工信部报告。

工信部收到这条关于严重安全漏洞的信息，是由于收到有关网络安全专业机构的报告。从阿里云发现这条漏洞到工信部被动获知并向行业单位进行风险预警，中间已经过去了整整15天。

记者就此事询问了国内一家知名网络安全公司的技术人员，被告知：“发现阿帕奇组件相关的网络安全漏洞，第一时间向阿帕奇基金会报告是没有问题的，但也没有任何规则束缚阿里云向工信部报告这件事，这种消息确实不应该任意扩散，以防被黑客利用，但是工信部很明显并不在‘不适合扩散的对象’范围之内。”换言之，阿里云当时完全可以先向工信部报告此事。

而按照《网络产品安全漏洞管理规定》第七条要求，合作企业发现此类漏洞后，应在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息。

业内对相关事件的报送次序也不是没有说法，一般是成员单位>工业和信息化部网络安全管理局 >国家信息安全漏洞共享平台（CNVD）＞CVE中国信息安全测评中心 > 国家信息安全漏洞库（CNNVD）> 国际非盈利组织CVE；非成员单位或个人注册提交CNVD或CNNVD。

云服务 安全第一

作为国内第一大公有云平台，阿里云今年8月曾因为用户信息被泄露给第三方，导致用户长期遭遇广告推销问题被投诉。后浙江省通信管理局在答复投诉时称，2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息透露给第三方合作公司。

阿里云8月23日回应称，此事系因阿里云一电销员工利用工作便利私下获取客户联系方式，并透露给分销商员工，由此引发客户投诉。

不管到底是不是阿里云的个别员工向第三方泄露了客户信息，但推销工作对阿里云的重要性是显而易见的。阿里云磨剑十年一直在亏损，从2009年9月成立起，直到2020年第四季度才首次实现盈利。而对于整个阿里集团来说，阿里云也已经成为了业绩最亮眼的板块之一。根据今年第二季度财报，阿里云营收200亿元，同比增长33%，占集团总营收10%。

而根据IDC的调研，今年一季度，中国公有云市场规模达46.32亿美元，阿里云以40%的市场份额排名第一，第二到第五名分别是腾讯云、华为云、中国电信天翼云、AWS，但份额都和阿里云相差甚远。

而在最新的重大人事职责调整和集团规划中，阿里云更是成为了阿里巴巴集团（BABA）向海外拓展的利器，由蒋凡亲自挂帅。

可以说，阿里云堪称阿里巴巴集团的“剑与盾”，在电商、大文娱、同城业务、支付等各条业务线都被同行强势围攻的当下，阿里云成了整个集团最具有技术沉淀和先发优势的护城河；与此同时，阿里云也是集团对外攻城略地的重要依仗。

但无论阿里云如何强大，“安全”都是首先要确保的。

“公有云服务最重要的就是安全，阿里云在官网上也将安全问题作为最大卖点来宣传，称累计防护全国网站40%，每天抵御攻击50亿次，每年帮助用户修复734万个漏洞。但今年以来先是有泄露客户信息问题，后又出现重大安全漏洞未按规定报告工信部的问题，可以说是在用户个人安全甚至国家网络安全两个方面都失了分。”有业内资深从业人员如此认为。