当前位置:首页 > 网络安全 > 正文内容

被工信部通报重罚(阿里云未及时上报漏洞被工信部处罚)

访客3年前 (2021-12-29)网络安全689

工信部明文规定,不知道阿里云是忽略了还是无视掉了,在发现重大漏洞后未按照明确要求上报给上级主管部门,直接报给了外国开源组织基金会,就没有然后了,半个月后,行业组织公布了安全报告,我们的主管部门才知道,漏洞危机下,全国裸奔2周。

最终,阿里云被管理部门重罚,暂停网络安全威胁信息共享平台合作单位6个月。

今天和大家聊一下,这个事到底咋回事?是什么性质?对阿里云会产生什么影响。

如果是从事网络安全相关的工作,一定在知道前段时间爆出的一个重大漏洞,阿帕奇(Apache)Log4j2组件安全漏洞,因为它的使用范围太大了,漏洞被利用的后果也非常严重。

然而,真正的问题在于,这个漏洞是阿里云的一名安全工程师发现的。但阿里云直接将漏洞上报给了行业组织,应不应该上报?应该。

但是,先不说你未按流程上报,你至少也得和主管部门通个气吧?作为共享平台合作单位,也应该及时上报给国家的网络安全威胁和漏洞信息共享平台,何况主管部门有明文规定,今年9月1日才开始实施的新政策。

要不然,我们国家建设这个平台干嘛?阿里云作为合作单位,明明最早发现,却不说,这相当于是对兄弟们的背刺,因为漏洞有除阿里云之外的其他人得知了。也就是说,在漏洞被修复前,很可能被其他人利用,况且还是个外国组织。那么同作为共享平台合作单位的兄弟们裸奔了两周,你至少告知一下嘛。

再说流程上的事。

阿里云作为中国网络安全威胁信息共享平台合作单位,而且是重量级的,又是国内遥遥领先的云公司,说它不知道有这个规定,我想是不可能的,但是却直接无视掉了。

什么性质呢?往小了说是阿里云员工疏忽了。往大了说,就是公司不重视上级管理部门的规定,同时也是阿里云内部的管理问题,并非技术问题。反而,技术团队能首先发现严重漏洞,恰恰证明研发能力强。

上级管理部门的处罚内容中,点名批评了直接向国外CVE报送的Log4j2漏洞的那个安全专家,却没有对安全研发人员做任何点名和批评,就可以看出来问题在哪。

阿里云的漏洞管理流程和上报机制是存在问题的,我并不清楚其内部的具体规定,但是,阿里云这么大的企业,应该是有相应评价体系的,也许就是发现的漏洞获得某些组织的确认,便可以获得某些激励。

这叫什么?不重视,不当回事。

对于阿里来说,这次的处罚还是会造成一定影响的。首要的就是客户或者是意向客户的流失,当前的云市场竞争已经非常激烈,阿里云虽然遥遥领先,但是华为云、腾讯云等其他云公司也在迅速增长。况且,当前正处于逐步加强信息安全的敏感时期,国资云逐步成立。

阿里云被上级主管部门公开处罚,点名批评。一定会影响客户的采购决策。

不过,因为这次漏洞影响范围巨大,阿里云也是被当作典型被通报了,刚刚实施了新政策,就往枪口上撞,正好也整顿一下国内网络安全方面的相关意识和流程。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/31031.html

分享给朋友:

“被工信部通报重罚(阿里云未及时上报漏洞被工信部处罚)” 的相关文章

洗米华小三(浅谈米花三笑的微博)

据长江网2021年11月26日23:49:22的最新消息,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,洗米华小三。猜测这是洗米华在暗中帮助着Mandy。挺想看他老婆小三都抛弃他的场面。 1.洗米华小三 m...

创业板投资风险揭示书,创业板风险揭示书

保荐机构(主承销商):中泰证券股份有限公司 苏州天路光科技股份有限公司(以下简称“天路科技”、“发行人”或“公司”)首次公开发行不超过2579万股普通股(a股)(以下简称“本次发行”)的申请,已经深圳证券交易所(以下简称“深交所”)创业板上市委员会委员审议通过,并经中国证券监督管理委员会(以下...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

奥门币币对人民币换算 - 澳元兑换人民币汇率

在珠海拱北口岸地下商城,公布当日主要交易货币“美元、此外汇牌价汇率表仅供参考=6点0442则一元人民币换0,点04762元,很高兴为你解答。 1点2208澳门元数据对仅供参考,划算 另外,另外汇率是不断变化的,可以百度输入"澳门元对人民币汇率,货币兑换1澳元=4点。 在外面买东西的小店不是太正规的,...

一年黄金价格走势图(黄金价格实时走势图分析

2019年金价将迎来上涨荷兰银行,2018年黄金市场或许不会有太好的表现,是一种软的,你可以随时来平台内查询。 金道贵金属,日交易k线图构成周交易k线图,此时段间,即开始疲软下跌,2016年06月06日老凤祥价格可,黄金价格走势K线图盘面,整体的价格走势是由每天的交易组成的,24kinfo这个平台的...

评论列表

礼忱槿畔
2年前 (2022-06-18)

速增长。况且,当前正处于逐步加强信息安全的敏感时期,国资云逐步成立。阿里云被上级主管部门公开处罚,点名批评。一定会影响客户的采购决策。不过,因为这次漏洞影响范围巨大,阿里云也是被当作典型被通报了,刚刚实施了新政策,就往枪口上撞,正好也整顿一下国内网络安全方面的相关意识和流程。

断渊时窥
2年前 (2022-06-18)

的后果也非常严重。然而,真正的问题在于,这个漏洞是阿里云的一名安全工程师发现的。但阿里云直接将漏洞上报给了行业组织,应不应该上报?应该。但是,先不说你未按流程上报,你至少也得和主管部门通个气吧?作为共享平台合作单位,也应该及时上报给国家的网络安全威胁和漏洞信息

孤央千鲤
2年前 (2022-06-18)

,漏洞被利用的后果也非常严重。然而,真正的问题在于,这个漏洞是阿里云的一名安全工程师发现的。但阿里云直接将漏洞上报给了行业组织,应不应该上报?应该。但是,先不说你未按流程上报,你至少也得和主管部门通个气吧?作为共享平台合作单位,也应该及时上报给国家的网络

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。