突然被工信部重罚！阿里云到底干了啥？

大家知道，多年来，阿里云发展很好，也是工信部的合作单位。

但是，近日阿里云被工信部重罚，暂停作为合作单位6个月。这是为什么呢？

根据阿里云与工信部合作要求，规定发现漏洞2日内报告给工信部。

然而，此次阿里云发现组件有严重安全漏洞隐患后未及时报告。

工信部经研究决定：暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。

阿里云发现严重漏洞却未报告，违反了合作规定，现在被处罚是一点也不冤枉。

突然被工信部重罚！阿里云到底干了啥？

发现世界级计算机漏洞，没有及时向国家相关部门回报和预警，反而第一时间向国外组织提供了信息。

有这么一本书《芝麻开门：阿里土话》。

第四页的内容：阿里人，必须要有家国情怀、世界担当。这是阿里18周岁的成人礼上，马老师对全体阿里人提出的要求。

第九页：我们可以失去一切，但是不能失去理想主义。

希望阿里保持初心！

突然被工信部重罚！阿里云到底干了啥？

阿里云被重罚，应该是他咎由自取！

我想不明白的是，既然是发现了世界级计算机安全漏洞，应该首先报告的是国家有关部门。而阿里云首先报告的是外国机构，这究竟是什么操作？

是阿里云员工内部培训疏忽了流程了吗？

我想，这绝对不是！

这问题应该出在阿里云内部的高层身上。

在信息安全问题上，国家的利益应该高于一切。

阿里云既然要作死，那么就应该狠狠的教训他，让他好好长点记性！

突然被工信部重罚！阿里云到底干了啥？

蜡烛老师来说一说，尽管发现安全漏洞报告给原厂商是行业的常规做法。但阿里云被处罚一事也在警示着大家：在信息安全面前，国家利益大于一切。

可能有人不懂有啥影响，蜡烛举了个例子让大家明白了事情严重性。就像你妈妈带着你去饭店吃饭，你发现饭菜有毒，于是你先告诉了饭店这饭菜有毒，而你的妈妈不知道还在吃，这是多么可怕的事！

如果你的心里没有国家，国家的眼里也就没你了。别帮了别人一顿，到头来发现自己是个二娘养的，后悔就晚了。

针对这个事情，阿里需要处罚的话，管理层应该承担这个责任，不要处罚发现的安全工程师就好，这些工程师某种意义上也是国家的安全财富 ，蜡烛觉得管理层缺乏爱国精神是关键！

突然被工信部重罚！阿里云到底干了啥？

实际上，早在11月24日，阿里云安全团队就向Apache官方报告了Apache Log4j2远程代码执行漏洞。

12月7日，Apache Log4j官方发布2.15.0-rc1版本以修复漏洞。

但不知道出于何种原因，阿里云并未向国内电信主管部门及时上报。

这导致中国工信部是在收到网络安全专业机构报告后，才发现Log4j2组件存在严重安全漏洞。

12月22日，据21世纪经济报道消息，近期，工信部网络安全管理局通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工信部报送相关漏洞信息。

而工信部12月9日发现上述漏洞，距阿里云首次发现已经过去15天。

12月17日，工信部网络安全管理局才发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。

要知道，今年9月1日，为落实《网络产品安全漏洞管理规定》有关要求，工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。

其中，《网络产品安全漏洞管理规定》第七条明确指出：

网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

对于阿里云此次未及时上报的行为，网络上众说纷纭。

有网友认为，“阿里云光想着获得世界声誉，没把国内安全当回事。”

尤其是在阿里云还是工信部合作单位的前提下，如此大的漏洞竟然没有上报，实在匪夷所思。

也有网友认为，不必上升到这个地步，这次大概只是阿里云员工内部培训疏忽了流程而已。

根据阿里最新发布财报显示，今年三季度，阿里云营收达200亿元。

在过去三年间，阿里云的海外市场规模增长了10倍以上，是亚洲规模最大的云计算平台。

但是今年以来，阿里云在国内便已被官方点名了3次（算上这次）。

今年8月，据浙江省通信管理局通报，经调查核实，2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司，已责令阿里云计算有限公司改正。

11月，工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人。

通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。

工信部等部门要求两家企业切实对相关问题限期予以整改；拒不整改或整改不到位的，将依法依规从严惩处。

总而言之，工信部建立网络安全威胁和漏洞信息共享平台的初衷，本就是维护国内网络安全。

阿里云作为合作单位，既然加入了这一平台，就应该担负起自己的责任，为维护人民群众财产安全与合法权益出力。

而这次惊心动魄的Log4j2漏洞事件，也无疑给全球开发者敲响了一记警钟。

突然被工信部重罚！阿里云到底干了啥？

天网恢恢疏而不漏。

根据阿里云与工信部的合作要求，规定阿里云发现漏洞必须要在2日内向工信部报告。

阿里云这是揣着明白装糊涂呢，还是管理有了漏洞呢？我更相信的是前者，不知道他们管理层是咋想的，现在科技这么发达，工信部大数据追踪管理厉害着呢，哪里能够瞒天过海呢？就算是阿里云，就如同孙悟空逃不过如来佛的手掌心一样，一切尽在掌握中。更何况是向海外机构沟通此类信息，这是犯了大忌讳。

所以说我们必须要有敬业精神，按章办事按规矩办事，合则双赢，不要做黑天鹅灰犀牛。中国有句话说得好，诚信经营以诚相待，阿里云技术确实是做的很好，在我们心里，应该是把大数据这一项是做的最前端的！但是在任何时候都要头脑清醒，不要被利益冲动做了糊涂事。也不能邀功自傲。做好一个成功的企业，这是一个底线。