阿里巴巴|突发！美规定安全漏洞公布需审查，对我们的企业将产生什么影响安全漏洞|阿里云|软件|云计算

文章图片

文章图片

阿里云
对于任何一个软件系统来说，安全毫无疑问都是第一要素，一个系统哪怕处理速度再快、并发性再高，如果不能提供可靠的服务，那么再强的性能也将变得毫无意义。
前一段时间发生的瞒报事件想必大家都有所耳闻。 12月9日突然曝出log4j2组件存在一个高危漏洞（漏洞编号：CVE-2021-44228），通过这一漏洞将可以对目标计算机实施远程控制并窃取上面的机密文件，因此对包括金融、医疗、公共事务在内的诸多领域产生了极为重大的威胁。
在漏洞曝出一天后的12月10日12点就已经发生了1万多起利用这个漏洞进行黑客攻击的行为。从造成的影响以及危害程度来说，这个漏洞可以说是有史以来最为严重的漏洞之一。威胁到了超过6万多个软件以及70%以上的线上业务系统。

瞒报漏洞
经过调查后发现，作为国内云计算实力最强的阿里云早在漏洞爆发前的11月24日就发现了这一高危漏洞，并将相关信息提交给美国阿帕奇软件基金会，但是遗憾的是拥有技术的阿里却因为流程的原因没有按照规定上报给国内工信部网络安全威胁和漏洞信息共享平台，因此也导致国内相关安全部门直到漏洞爆发之后才得到相关信息，使得大量的关键系统暴露在风险之下。

LOG4J2组件
因为流程不完善，阿里云也被暂停网络安全威胁信息共享平台合作单位资格6个月。当阿里遭到暂停合作之后，很多人还为阿里鸣不平，认为惩罚太重了。但是最近发生的一件事情却让很多人改变了看法。

出口管制规定名单
美国商务部工业和安全局（BIS）在近期正式发布了针对网络安全领域的最新的出口管制规定，这份规定按照限制的程度将全球国家分为A、B、C、D、E五类，中国就被划分至D类——在国家安全、生化、导弹技术、武器禁运等相关领域，美企在发送相关漏洞的信息情报之前必须提前申请，在获得批准之后才能够发送漏洞等相关信息。
这项规定对于我们的信息安全无疑将构成巨大的威胁。例如log4j2组件的高危漏洞影响范围很大，如果按照最新的出口管制规定，那么很有可能需要经过长时间的申请之后才能获准披露，甚至也有申请失败的可能性。这样就会导致我们很多的关键领域暴露在漏洞之下，存在着消息丢失和被窃取的风险。

【阿里巴巴|突发！美规定安全漏洞公布需审查，对我们的企业将产生什么影响】美商务部
此时才发现之前的惩罚确实有现实意义，也为其他企业划定了底线。随着漏洞情报也成为管制内容的一环，对于我们的国家安全信息也必须提出更高的要求。一旦发现漏洞应该先向国内的安全平台报告，然后再着手分享和修复等事宜，这样才能防止部分漏洞被控制而造成进一步的损失。