阿里云未及時上報漏洞被工信部處罰phee 阿里云信息泄漏 _阿里云未及時上報漏洞被工信

文章插圖

文章插圖
工信部明文規定，不知道阿里云是忽略了還是無視掉了，在發現重大漏洞后未按照明確要求上報給上級主管部門，直接報給了外國開源組織基金會，就沒有然后了，半個月后，行業組織公布了安全報告，我們的主管部門才知道，漏洞危機下，全國裸奔2周。
最終，阿里云被管理部門重罰，暫停網絡安全威脅信息共享平臺合作單位6個月。
今天和大家聊一下，這個事到底咋回事？是什么性質？對阿里云會產生什么影響。

如果是從事網絡安全相關的工作，一定在知道前段時間爆出的一個重大漏洞，阿帕奇（Apache）Log4j2組件安全漏洞，因為它的使用范圍太大了，漏洞被利用的后果也非常嚴重。
然而，真正的問題在于，這個漏洞是阿里云的一名安全工程師發現的。但阿里云直接將漏洞上報給了行業組織，應不應該上報？應該。
但是，先不說你未按流程上報，你至少也得和主管部門通個氣吧？作為共享平臺合作單位，也應該及時上報給國家的網絡安全威脅和漏洞信息共享平臺，何況主管部門有明文規定，今年9月1日才開始實施的新政策。

要不然，我們國家建設這個平臺干嘛？阿里云作為合作單位，明明最早發現，卻不說，這相當于是對兄弟們的背刺，因為漏洞有除阿里云之外的其他人得知了。也就是說，在漏洞被修復前，很可能被其他人利用，況且還是個外國組織。那么同作為共享平臺合作單位的兄弟們裸奔了兩周，你至少告知一下嘛。
再說流程上的事。
阿里云作為中國網絡安全威脅信息共享平臺合作單位，而且是重量級的，又是國內遙遙領先的云公司，說它不知道有這個規定，我想是不可能的，但是卻直接無視掉了。
什么性質呢？往小了說是阿里云員工疏忽了。往大了說，就是公司不重視上級管理部門的規定，同時也是阿里云內部的管理問題，并非技術問題。反而，技術團隊能首先發現嚴重漏洞，恰恰證明研發能力強。

上級管理部門的處罰內容中，點名批評了直接向國外CVE報送的Log4j2漏洞的那個安全專家，卻沒有對安全研發人員做任何點名和批評，就可以看出來問題在哪。
阿里云的漏洞管理流程和上報機制是存在問題的，我并不清楚其內部的具體規定，但是，阿里云這么大的企業，應該是有相應評價體系的，也許就是發現的漏洞獲得某些組織的確認，便可以獲得某些激勵。
這叫什么？不重視，不當回事。
【阿里云未及時上報漏洞被工信部處罰phee 阿里云信息泄漏】對于阿里來說，這次的處罰還是會造成一定影響的。首要的就是客戶或者是意向客戶的流失，當前的云市場競爭已經非常激烈，阿里云雖然遙遙領先，但是華為云、騰訊云等其他云公司也在迅速增長。況且，當前正處于逐步加強信息安全的敏感時期，國資云逐步成立。

阿里云被上級主管部門公開處罰，點名批評。一定會影響客戶的采購決策。
不過，因為這次漏洞影響范圍巨大，阿里云也是被當作典型被通報了，剛剛實施了新政策，就往槍口上撞，正好也整頓一下國內網絡安全方面的相關意識和流程。