工信部暂停阿里云信息共享平台合作，这背后的原因是什么？

1. 工信部暂停阿里云信息共享平台合作，这背后的原因是什么？

工信部这次暂停阿里云信息共享平台合作是因为阿里云在Web服务器阿帕奇下的开源日志组件log4j中发现了重大漏洞时并没有第一时间上报给工信部，而是上报了阿帕奇开源基金会。违反了工信部的规定将暂停阿里云作为信息共享平台的合作单位六个月，期满后根据阿里云的整改情况，在决定是否需要恢复阿里云合作单位的身份。log4j作为一款JAVA开发的开源日志记录工具，能够有效的记录程序在运行过程中产生的数据，对于分析系统存在的问题或者运行状态具有很大的作用，正因为log4j功能强大，所以在全球的使用性极其广泛。正因为其使用的范围很广，所以一旦出现问题，就会造成特别严重的后果。

11月24日阿里云在log4j发现了Log4Shell重大漏洞，这个漏洞可以使得设备远程被控制，从而敏感信息会被窃取，设备中断等对系统造成严重的危害，属于高危漏洞，甚至有声音说这是十年来最大的漏洞。可是阿里云在发现这个漏洞后，并没有按照《网络产品安全漏洞管理规定》的要求 2天内向工信部门网络安全威胁和漏洞信息平台报送信息，而黑客在得知漏洞后，在72小时内就可以发起攻击，而国家安全漏洞共享平台在事情发生半个月后才获得这一漏洞。所以这次终止跟阿里云的合作，阿里云并不冤枉。

再来看这件事对阿里云的影响，中信部门终止跟阿里云的合作，对阿里云在国内的发展势必造成影响，跟一些企业，尤其是国企的合作势必也会暂停。跟经济损失相比在信誉方面的损失会更大。

你知道工信部暂停阿里云信息共享平台合作，这背后的原因是什么？ 欢迎留言讨论。

2. 工信部暂停阿里云信息共享平台合作，这是为什么？

原因是相关组件存在着安全漏洞，阿里集团并未向工信部报告该问题。
事实上，云计算确实可以为各大平台带来更高的收益，保证平台的正常运行。可是大型公司与工信部及其他部门进行合作时，更应该秉持着诚信合作的方案。当平台出现了众多的安全漏洞时，相关公司就应该立刻向有关部门报告此事，减少安全漏洞对整个平台造成的影响。
除此之外，阿里云和工信部展开合作后，相关平台的安全性一直得到了网友的重视。除此之外，共享信息平台的安全性比较重要，当某个平台出现安全漏洞时，隐瞒不报只会使双方的合作告吹，或者阻碍双方的进一步合作。

安全漏洞的影响比较大当某一个平台或APP出现比较严重的安全漏洞时，APP的使用者都会担心个人隐私和消费安全。除此之外，平台背后的互联网公司和科技公司就会在第一时间完成安全漏洞的补丁安装，从很大程度上减少了公司因为安全漏洞产生的损失。再加上阿里集团在云服务方面存在着一定的优势，并且获得了四个全球第一。但是安全漏洞未报告是一件特别真实的事情，工信部采取的方案比较有效。

多家科技公司在云计算领域的成就越来越高随着云计算已经成为一种行业趋势，这就使得多家互联网公司与科技公司纷纷涉猎云计算领域。虽然每家公司的成本和技术有所不同，但是云计算确实已经成为行业的风口趋势。除了阿里集团的云计算非常突出之外，腾讯公司和华为公司也在云计算领域发光发亮。

总的来说，既然阿里集团选择与工信部进行合作，那么阿里集团面对信息共享平台的组件安全漏洞时，更应该进行报告。 合作本都该呈现出互利共赢，隐瞒不报只会影响双方合作。

3. 工信部暂停阿里云合作单位资格6个月

阿里云因未及时报告安全隐患被暂停网络安全信息共享平台合作单位资质。
    
 此前有媒体报道，近期工信部网络安全管理局通报称，阿里云发现严重安全隐患后未及时报告，未有效支撑工信部开展网络安全威胁和漏洞管理，暂停工信部网络安全威胁信息共享平台合作单位资质6个月。
    
 阿里云究竟“晚报”了多久，从此前工信部发布的风险提示和外媒报道中可窥探一二。
  
 12月17日，工信部网络安全管理局发布的关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示中指出，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。
  
 17日的风险提示指出，12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。
  
 12月9日的时间节点，与阿里云官网发布的漏洞公告时间线吻合。阿里云官网显示，12月9日，阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞（CVE-2021-44228） 安全通告。
  
 但多家外媒报道称，该漏洞最早由阿里云的网络安全专家发现，并在11月24日报告给阿帕奇软件基金会，远早于12月9日的时间节点。
  
 根据我国《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
  
 据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。
  
 平台包括通用网络产品安全漏洞专业库（https://www.cnvdb.org.cn）、工业控制产品安全漏洞专业库（https://www.cics-vd.org.cn）、移动互联网APP产品安全漏洞专业库（https://cappvd.cstc.org.cn）、车联网产品安全漏洞专业库（https://cavd.org.cn）等，支持开展网络产品安全漏洞技术评估，督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
  
 平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国 汽车 技术研究中心等国家网络安全专业机构共同建设。
  
 本期编辑 周玉华