近日,一则消息引发关注:阿里云在发现一个重要的网络安全漏洞后,并未首先向中国的工信部上报,而是通知了外国机构。 该漏洞涉及Apache Log4j2组件,这是一个广泛使用的Java日志框架。阿里云在11月24日发现了这个漏洞,但直到工信部从网络安全专业机构那里得知这一情况,才意识到问题的严重性。
1、近日,一则消息引发关注:阿里云在发现一个重要的网络安全漏洞后,并未首先向中国的工信部上报,而是通知了外国机构。 该漏洞涉及Apache Log4j2组件,这是一个广泛使用的Java日志框架。阿里云在11月24日发现了这个漏洞,但直到工信部从网络安全专业机构那里得知这一情况,才意识到问题的严重性。
2、在阿里向他们披露漏洞后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇Log4j2组件存在严重安全漏洞。
3、前段时间 阿里云发现了代号为Log4j2的高危漏洞 ,通过CVSS评分,阿里发现这个 漏洞危险系数高达10分 ,这可以说是阿里云有史以来评分最高的高危漏洞。一旦这个漏洞被黑客所利用不仅 会给阿里造成难以弥补的损失 ,同时也 会 给国家和 社会 造成难以估量的伤害 。
4、阿里发现的那个漏洞,可以被称为计算机 历史 上最大的漏洞-核弹级漏洞,这个漏洞比较普遍,黑客可以通过这个漏洞在服务器上做任何事。 开发者收到阿里提交的漏洞和开发者核实后发布安全警报并修补漏洞之间有一段空窗期,这段时间越短对网络安全越好。
1、阿里云因未及时报告严重漏洞被处罚,阿里云在中国云市场上占据着重要地位,阿里云在2021年第三季度以33%的份额领先中国大陆市场,阿里云因未及时报告严重漏洞被处罚。
2、阿里云在发现log4j2漏洞后长达15天时间内未及时通知相关部门,给国家网络安全带来极大的风险。类比过去的网络攻击事件,如2017年的wannacry勒索病毒,它通过漏洞高速传播,重创全球多个国家和企业,造成了巨大的经济损失。此次的log4j2漏洞比过去的事件更为严重,攻击者只需提交一段代码即可入侵服务器。
3、阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示,在国家反垄断的大背景下,阿里云失去了跟工信部的合作关系,对其承接国家项目尤其是一些国企的项目会带来严重影响。
4、漏洞银行联合创始人、CTO张雪松向观察者网指出,Log4j2组件应用极其广泛,漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞,直接造成国内相关机构处于被动地位。关于Log4j2组件在计算机网络领域的关键作用,有国外网友用漫画形式做了形象说明。
5、阿里云未及时上报漏洞被工信部处罚,这次的处罚给了国内云计算领域,尤其是安全领域很大的警示作用。最重要的警示就是一定要详细了解并遵守电信主管部门的规定,否则将失去工信部重要的背书,如果没有工信部的背书,相信在国内的任何一家企业将很难再接到政府部门的项目。
阿里云服务器的基础安全防护措施 阿里云服务器ECS由阿里云云安全中心提供基础安全服务,包括异常登录检测、漏洞扫描、基线配置核查等。用户通过ECS控制台或云安全中心能查看自身云服务器的安全状态。基础安全服务为免费提供,不收取服务费用。
阿里云服务器基础安全防护阿里云保障基础设施和服务的安全,包括机房和虚拟化平台,并实行用户与云服务共担安全责任。云服务器ECS的安全需要双方共同努力。主要的防护包括DDoS基础防护和基础安全服务。DDoS基础防护阿里云的DDoS基础防护可以抵御恶意攻击,当流量超过ECS实例规格限制时,系统会自动限流,确保系统稳定。
云服务器的安全安全设置主要有一下几个比较重要的几个方面:首先是服务器的用户管理,很多的攻击和破解,首先是针对于系统的远程登录,毕竟拿到登录用户之后就能进入系统进行操作,所以首先要做的就是禁止root超级用户的远程登录。把ssh的默认端口改为其他不常用的端口。
本文暂时没有评论,来添加一个吧(●'◡'●)