广告

从「阿里云发现漏洞」事件,浅谈信息安全

2021-12-27 09:16 来源:智安物联网

12月22日,信息安全漏洞问题被“吵”上了热搜。

事情起源,还要从阿里云发现的一个漏洞讲起。

11月24日,阿里云公司发现漏洞,便立即向美国阿帕奇(Apache)软件基金会披露,却未向中国工信部通报。

12月9日,距离阿里云发现漏洞已过去了17天,Apache公司发布补丁对公众公布此事,工信部这时收到有关网络安全专业机构披露才知晓此事。

12月11日,美联社发出报道,中国阿里云安全团队在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现一个漏洞Log4Shell。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。

12月22日,工信部经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,会根据阿里云整改情况,研究是否恢复其上述合作单位。原因是:作为工信部网络安全威胁信息共享平台的合作单位之一,阿里云公司未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

此通报一经发出,如同一滴冰水落入滚滚热油,瞬间炸开了锅,引起各大媒体舆论平台争相讨论。

那么,阿里云被暂停网络安全威胁信息共享平台合作单位,冤吗?

不冤。

原因很简单,阿里云违背了契约精神。

2021年9月1日,《网络产品安全漏洞管理规定》正式施行,条例(七)已明确规定:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。也就是说,工信部应享有企业出现漏洞的知情权。

然而,阿里云发现漏洞后,没有在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,反而第一时间报给了美国Apache公司,而且我国工信部还是通过第三方知晓了这一情况。

所以,阿里云的问题不在于报备了Apache公司,而在于只报备了Apache公司,却没有在2日内报备工信部。

按照规定章程,工信部这一决定完全合情合理。

此外,按照“信息安全”这一角度来看,阿里云不向工信部汇报也不是明智之举。

第一、网络安全威胁信息共享平台,此平台的意义在于,如果有一家企业技术出现漏洞,及时上传平台,好让其他企业也知晓这一漏洞,这样可以提前做防范和问题排查。然而,阿里云选择了对这一平台保持“沉默”。

第二、Apache公司并不是国内的企业,是美国的一家企业。在漏洞修复期间,Apache公司如果利用漏洞发起攻击,影响的范围堪比2017年“永恒之蓝”病毒,当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,约30万名用户中招,而如今我国网民数字规模已突破亿级,损失更是无法估量。

“网络安全就是国家安全”网络安全面前无小事,而阿里云大意了。

2021年7月2日,滴滴赴美上市前夕,国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》对“滴滴出行”实施网络安全审查。7月4日,国家互联网信息办公室发布通告,“滴滴出行”APP存在严重违法违规收集使用个人信息问题,被勒令下架整改。

试想,若滴滴一旦成功赴美上市,根据美国的《外资公司问责法》规定 :不光要求公司不受中国政府控制,还要求在美上市公司披露机密信息,同时美国政府还要审核。这样一来,我国庞大的用户数据、个人隐私消息被美国掌握,便觉细思极恐。

据《2020数据泄露调查报告》统计,全球数据泄露事件多达3950起,同比增长96%。随着信息化、智能化、网络化的深入融合发展,网络遭黑客入侵问题频频出现,网络安全建设便显得愈发迫切,如何筑牢信息安全这张网已成当务之急。所以,国家做的一系列举动并不是“大惊小怪”。

前有滴滴赴美上市,触碰平安中国底线,国家暂停滴滴赴美上市。后有阿里云发现漏洞,触碰网络安全法律底线,国家暂停与其加入网络安全威胁信息共享平台合作单位的资格。本质上,都是国家对信息安全利益的守护,把「信息安全」放在至高点,数字中国的长足发展才有可能。

作为人工智能、云计算等新兴技术应用的基础要素,数据获取与使用合规的重要性日益突出,信息安全如悬在上方的“达摩克利斯之剑”般摇摇欲坠,政策也层层加码为数据安全保驾护航。

今年,信息安全迎来“春天”,重要性提升到政策层战略级别,9月份,《数据安全法》实施,11月份,《个人信息安全法》落地,信息安全与数据合规立法体系正逐步完善,而不管是对个人还是企业而言,树立信息安全保护意识是一门必修课。

截至2020年4月,各部委公布的智慧城市相关试点数量达到749个。如今智慧城市已进入大规模建设阶段,万物互联是时代的主题曲,构建数字底座是城市建设的特色。

而视频监控技术作为数字化浪潮下的前端感知体系,视频监控信息技术安全更是智慧城市的“关键防线”,从早年(2010年),针对安防行业发布的SVAC标准,即GB/T 25724-2010《安全防范监控数字视音频编解码技术要求》(Technical Specification of Surveillance Video and Audio Coding,缩写为SVAC),到2017年GB35114-2017《公共安全视频监控联网信息安全技术要求》的发布,再到今年8月,《公安视频图像信息系统安全技术要求》系列标准发布,都为构建数字视频底座提供了安全屏障。

SVAC标准的发布,才算拥有了完全自主知识产权的安防音视频编解码标准。而纵观我国信息安全行业,实现“完全自主可控”透露着迫切、无奈的意味,“卡脖子”问题仍是心头的一根“刺”,如果这一问题是根“刺”,那么国家扶持的“信创”产业(全称:信息技术应用创新产业)就是拔出这根刺的“钳子”。信创不仅是拥有自主可控IT生态系统的希望,也是拉动新经济发展的重要抓手之一。

2020年,是信创产业全面推广的起点,研究表示,信创产业未来将迈入黄金期。相信随着信创产业的蓬勃发展,在信创产业之列的信息安全产业也将“扶摇直上”,

结语

信息安全问题就像“屋里的大象”,虽显而易见,却很容易被忽略,当我们把信息安全真正筑起了网,相信数字中国的未来也会大步奔来。

责任编辑:祁增园