安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓

物联网0144

安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓,第1张

中科院云计算中心分布式存储联合实验室特讯: 近期,工信部网络安全管理局通报,暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。

近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线:

11月24日

阿里云在阿帕奇(Apache)开放基金会下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j2150-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2150-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露,安全团队发现Apache Log4j2150-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。

12月22日

工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中,日志组件是应用程序中不可缺少的部分。而其中Apache(阿帕奇)的开源项目log4j是一个功能强大的日志组件,被广泛应用。

由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。即 攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得最高权限,控制对方服务器。通俗说,黑客通过这个普遍存在的漏洞,可以在服务器上做任何事。

有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分,IT 通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度,网易、新浪以及特斯拉等全球大厂,悉数中招,众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞,可以说相当贴切。

据工信部官网消息,今年9月1日,工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到,根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中,作为我国云计算服务的头部供应商的阿里云,11月24日发现计算机史上最大的漏洞,是先向国外的Apache基金会报告,而未及时向主管部门报送漏洞信息。工信部得知情况,已经是12月9日,中间已经过了15天。这十五天,中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞,在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台,更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代,国家安全自然延伸到了网络。各个国家,都在想办法堵自己漏洞,找别人家的漏洞,甚至是隐藏的后门。同样的漏洞,那就是看谁率先掌握。国外的开源软件层出不穷的漏洞,隐没难寻的后门,应用于国家重要机构或事关 社会 民生的部门,其潜在危害难以估量。我们除了想方设法被动收集修复漏洞,还要大力发展和利用自主安全可控的技术,才能在互联网领域寻求战略平衡,保障国家安全。

所以说,阿里云的这次行动足以为戒,忽视国家各项数据安全法律法规,国家安全责任意识淡漠,将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商,如何让国家机构、央企国企放心将数据业务托管?

风险就在那里,警告从未缺席。国资云以安全自主可控、平稳可靠运行为上,才能确保国家安全,尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利,更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外,是互联网竞争环境的使然,也是数据安全责任的担当,更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析,北京交通大学信息管理理论与技术国际研究中心(ICIR)认为, “国资云”建设是大势所趋,原因主要有以下三方面:

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产,应纳入国资监管和统一管理,保护国有数据资产安全是建设国资云的核心目的;

二是“国资云”建设是保障国家重要数据安全的需要。近期,《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施,将数据安全提升到前所未有的高度,而国有企业的许多数据事关国家关键信息基础设施安全;

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重,并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用,从基础到应用全方位推进信创工程步伐。

因此,“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础,是我们党执政兴国的重要支柱和依靠力量,国有企业不仅具有鲜明的政治属性,也具有强烈的经济属性和物质属性,坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此,国有企业更需要资产不断保值增值,规模不断发展壮大,盈利水平不断提高,这就要求国有企业必需使用最先进的生产工具,创造出最先进的生产力,保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外,在Paas、Saas层面的技术创新速度非常快,产品迭代周期不断缩短,不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中,企业选择了什么类型、什么厂商的云服务,在一定程度上意味着企业使用了什么工具和武器,在很大程度上决定了企业的生产效率、管理效率和市场效率,也就决定了企业的竞争力。

国资云赋能云上安全,打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统,首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例,将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月, 国资云平台中科云(东莞) 科技 有限公司正式成立,由中科院、东莞市政府等多方投资的上市企业国云 科技 控股,国资背景加持,官方认可,国内顶尖 科技 机构技术背书,使用国内首个自主产权、安全可控的G-Cloud云操作系统,建设“国资云”, 赋能千行百业数字化转型升级,最大化优化国有资本布局,提高国有资本运营效能、产业互联和商业创新!

中科云凝聚服务政企信息化、数字化建设的核心团队, 联合产学研用各方力量,融合大数据、云计算、物联网等新一代信息技术,在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务,助力国资国企规模和实力的持续增长,实现高质量发展。

哪种无线通信协议最适合智能家居ZigBee当仁不让。近年来,为了争夺潜力无限的智能家居市场,

围绕各类无线协议标准的争论不断,但不可否认,ZigBee赚足了眼球,颇受关注和信赖。在智能家居领域,相较于蓝牙、WiFi、Z-Wave、射频等技

术协议,ZigBee一直光彩夺目,鲜有负面消息,可谓有口皆碑,深得人心,并被很多人默认为目前最适宜智能家居的协议标准。

而之所以如此,一方面与ZigBee协议本身分不开,另一方面则要感谢一些企业的大力热捧和宣扬。

——技术层面,ZigBee不是为智能家居而生,却为智能家居而长。智能家居设备需要拥有足够的安全性、稳定性、操作流畅性、较强的设备承载能

力和较低的功耗,而ZigBee都能满足,且满足得很到位,因而即便ZigBee最初主要应用于工业领域,如今也丝毫不影响它在智能家居领域的魅力。

——推广层面,不少知名企业纷纷采纳,一些实力公司大力宣扬。如果说村里某些人使用ZigBee协议了,你可能嗤之以鼻,呵呵不语,更谈不上信

赖,但如果说三星、LG、德州仪器、罗技、飞利浦、小米等知名企业都采用了呢对ZigBee会不会产生好感不仅如此,一些企业的大力宣传也很关键,如

ZigBee联盟董事会成员、国内较早采用ZigBee的物联网领军企业物联传感在宣传推广方面会着重强调ZigBee的高级加密算法,使其安全性在消费

者心中根深蒂固,为ZigBee树立良好的口碑,从而推动ZigBee在中国区的发展。

所以,无论从哪个角度来看,ZigBee协议都有足够的理由受到智能家居厂商的欢迎。然而,就在ZigBee联盟宣布三星旗下品牌

SmartThings成为继物联传感后又一位董事会成员之后不足一周,黑帽子大会给泼了一盆冷水,拔凉拔凉的冷水:采用 ZigBee

协议的智能家居设备存在严重漏洞。

话说安全研究人员(Cognosec公司)发现,采用ZigBee协议的设备存在严重漏洞,有多严重呢黑客有可能入侵智能家居,随意操控联网

门锁、报警系统,甚至能够开关灯泡。按以往的新闻来看,这种事应该发生在WiFi、蓝牙或Z-Wave身上,ZigBee怎么就中招了呢这其中有

Cognosec公司和“小编”(原文作者)的功劳。

——黑帽子大会(Black Hat

Conference)被公认为世界信息安全行业的最高盛会和最具技术性的信息安全会议,每年都会有不少专业团队和民间高手参加。他们可以尽情地黑一切科

技产品,无需手下留情,当然目的还是为了技术交流和提高企业产品的安全性。而Cognosec公司在这次大会上发表了论文,指出 ZigBee

协议实施方法中的一个缺陷。该公司称,该缺陷涉及多种类型的设备,黑客有可能以此危害 ZigBee 网络,并“接管该网络内所有互联设备的控制权”。

——若是Cognosec公司倒也不会如此,军功章还有那篇文章作者的一大半,尤其是题目取的非常妙——《黑帽大会爆料,采用 ZigBee

协议的智能家居设备存在严重漏洞》(具体内容请自行百度脑补),读者看不看内容没有关系,只要看一眼标题就明白了:ZigBee智能家居设备存在严重漏

洞。

ZigBee协议智能家居设备存在严重漏洞,看样子ZigBee协议是难逃一劫了,但这种想法是“懒人”的想法,充分证明“标题党”的胜利。向来较为可靠的ZigBee怎么存在严重问题呢只看标题不行,关键还要仔细看内容。

显而易见,标题就是会让我们快速联想到ZigBee协议有问题的,但实际完全没有ZigBee协议太多啥事儿。这点原文作者和Cognosec公司实际上都在最后给出了说明。

“该漏洞的根源更多被指向制造商生产方便易用、能与其它联网设备无缝协作的设备、同时又要压低成本的压力,而不是 ZigBee 协议标准本身的设计问题。”——这是作者的分析。

“我们在 ZigBee

中发现的短板和局限是由制造商造成的,各家公司都想制造最新最棒的产品,眼下也就意味着能够联网。灯泡开关这样的简单元件必须和其它各种设备兼容,毫不意

外的是,很少会考虑安全要求——更多的心思都放在如何降低成本上。不幸的是,在无线通信标准中最后一层安全隐患的严重程度非常高。”——这是

Cognosec公司研究人员的汉化版原话。

其实,不难发现,向来可靠的智能家居协议ZigBee,并没有给黑帽子黑掉,而是被一些急功近利的制造商“坑掉了”。那么现在问题又来了,除却人为不作为因素(故意忽略标准安全性),ZigBee协议被攻破的几率有多大呢

“在zigbee的通用安全级别中,一般有两个key

。一个是信任中心的key。另一个是实际进行网络传输数据时的网络key。最终想破解zigbee 网络,必须要获取后者16个字节强密码网络key

。由于zigbee 采取的是AES 128加密算法。在不知道这个网络key的情况下,想暴力破解目前没有可能。也没有破解先例。

暴力破解的速度是极其低下的。一般只有300key / s,就算采取所谓的GPU加速,速度也不过是10000 key / s,对于一个8位数字 字母 字符的复杂密码破解时间都需要2900年!即使采用100台分布式,也需要29年!

何况zigbee 的key 是16个字节强密码。”

上面是一名来自对ZigBee协议安全性拥有足够信心的物联传感的物联网安全专家给出的答案。不要问为什么是这样排的,原采访邮件中的内容就是

这样的,不过足可以说明只要前期工夫做的好,黑客想破解ZigBee智能家居设备,难!至于“采用 ZigBee

协议的智能家居设备存在严重漏洞”,有一个前提条件:制造厂商不负责或技术不到位。

最后一个问题。近日,国民新晋老公宁泽涛在第16届游泳世锦赛夺冠了,项目是男子100米自由泳,创造了亚洲人神迹,突破了黄种人极限,影响力

被认为堪比刘翔首夺110米跨栏。显然,小鲜肉宁泽涛具备了100米自由泳夺冠能力,但是倘若给他安排80米的赛道,没有夺冠,难道能说明他100米不

假如ZigBee有100的安全设置手法,一些厂商只用80或只能做到90,结果设备被破解了,就是ZigBee协议安全性就有问题这答案或许与最后一个问题的答案类似吧。

1、DDoS攻击

IT专家认为分布式拒绝服务攻击就是:大量数据包涌入受害者的网络,让有效请求无法通过。但这只是最基本的DDoS攻击形式,防御方面的改进已经迫使攻击者改变了他们的攻击方式。DDoS攻击使用的数据包越来越多,攻击流量最多达到100Gbps。

攻击者还开始针对基础设施的其他部分,其中企业域名服务的服务器的攻击者最喜欢的目标。因为当攻击者成功攻击DNS服务器后,客户将无法访问企业的服务。

大规模DDoS攻击通常会采用“低且慢”的攻击,这种攻击使用特制的请求来让web应用程序或设备来处理特定的服务,以快速消耗处理和内存资源。这种应用层攻击占所有攻击的四分之一。

此外,攻击者还会寻找目标网站的网址,然后呼叫该网站的后端数据库,对这些网页的频繁呼叫将很快消耗掉网站的资源。

在速度慢的攻击中,路由器将崩溃,因此,企业无法使用设备来阻止不好的流量。这些攻击还可以通过云DDoS防护服务。企业应该采用混合的方法,使用web应用程序防火墙、网络安全设备和内容分发网络来建立一个多层次的防御,以尽可能早地筛选出不需要的流量。

2、旧版本浏览器

每年涉及数百万美元的银行账户欺诈网络攻击都是利用浏览器漏洞,更常见的是,利用处理Oracle的Java和Adobe的Flash及Reader的浏览器插件。漏洞利用工具包汇聚了十几个针对各种易受攻击组件的漏洞利用,如果企业没有及时更新,攻击者将通过这种工具包迅速侵入企业的系统。

例如,最新版本的Blackhole漏洞利用工具包包含7个针对Java浏览器插件的漏洞利用,5个针对Adobe PDF Reader插件,2个针对Flash。

企业应该特别注意Oracle的Java插件,因为Java被广泛部署,但却鲜少修复。 企业应该利用补丁修复管理产品来阻止这种漏洞利用攻击。

3、不良网站

知名的合法网站开始成为攻击者的目标,因为攻击者可以利用用户对这些网站的信任。企业不可能阻止员工访问这些知名网站,并且企业的技术防御总是不够。

还有另一种更阴险的攻击--恶意广告攻击,这种攻击将恶意内容插入广告网络中,恶意广告可能只是偶尔出现在广告跳转中,这使这种攻击很难察觉。

同样的,企业应该采用多层次的防御方法,例如,安全代理服务器结合员工计算机上的反恶意软件保护来阻止已知威胁的执行。

4、移动应用程序

BYOD趋势导致企业内消费者设备激增,但移动应用程序安全性很差,这使企业数据处于危险之中。

60%的移动应用程序从设备获取独特的硬件信息并通过网络接口传出去,更糟糕的是,10%的应用程序没有安全地传输用户的登录凭证。

此外,支持很多移动应用的Web服务也很不安全。由于用户不喜欢输入密码来使用移动设备上的服务,移动应用经常使用没有过期的会话令牌。而攻击者可以在热点嗅探流量并获取这些令牌,从而访问用户的账户。

企业很难限制员工使用的应用程序,但企业可以限制员工放到其设备的数据以及限制进入企业的设备。

5、SQL注入

对于SQL注入攻击,最简单的办法就是检查所有用户提供的输入,以确保其有效性。

企业在修复SQL漏洞时,通常专注于他们的主要网站,而忽视了其他连接的网站,例如远程协作系统等。攻击者可以利用这些网站来感染员工的系统,然后侵入内部网络。

为了减少SQL注入问题的风险,企业应该选择自己的软件开发框架,只要开发人员坚持按照该框架来编程,并保持更新,他们将创造出安全的代码。

6、证书的危害

企业不能盲目地信任证书,攻击者可能使用偷来的证书创建假的网站和服务,或者使用这些证书来签署恶意代码,使这些代码看起来合法。

此外,糟糕的证书管理也会让企业付出巨大的代价。企业应该跟踪证书使用情况,并及时撤销问题证书。

7、跨站脚本问题

跨站脚本利用了浏览器对网站的信任,代码安全公司Veracode发现,超过70%的应用程序包含跨站脚本漏洞,这是影响商业开源和内部开发软件的首要漏洞问题。

企业可以利用自动代码检查工具来检测跨站脚本问题,企业还应该修改其开发流程,在将程序投入生产环境之前,检查程序的漏洞问题。

8、“物联网”漏洞

在物联网中,路由器、打印机、门锁等一切事物都通过互联网连接,在很多情况下,这些设备使用的是较旧版本的软件,而这通常很难更新。 攻击者很容易利用这些设备来侵入企业内部网络。

企业应该及时发现和禁用其环境中任何UPnP端点,并通过有效的工具来发现易受攻击的设备。

9、情报机器人

并非所有攻击的目的都是攻击企业的防御系统。自动web机器人可以收集你网页中的信息,从而让你的竞争对手更了解你的情况,但这并不会破坏你的网络。

企业可以利用web应用程序防火墙服务来判断哪些流量连接到良好的搜索索引机器人,而哪些连接到竞争对手的市场情报机器人或者假的谷歌机器人。这些服务可以防止企业信息流到竞争对手。

10、新技术 旧问题

不同企业可能会遇到不同的威胁,有网上业务的企业可能会有SQL注入和HTML5问题,有很多远程办公人员的企业可能会有移动问题。企业不应该试图将每一种威胁降到最低,而应该专注于最常被利用的漏洞,并解决漏洞问题。同时,培养开发人员采用安全做法,并让开发人员互相检查代码以减少漏洞。

扩展资料

方法技巧:

1、正确配置

多数防火墙损害是由于其错误配置造成的,而不是由防火墙的缺陷造成的。这至少说明一点,保障安全设备的正确配置很有意义。在防御自己的网络时,实施恰当的安全工具和策略是很重要的。因而,如果企业的设备过期了,遗漏了关键的补丁或没有配置,企业网络遭受暴露的可能性就很大了。

有人也许会说,我拥有强健的防火墙规则,我的网络固若金汤。但是,如果路由器运行在一个有严重漏洞的老操作系统上,其中的安全漏洞随时可被利用,这不是相当于搂着一颗随时有可能发生爆炸的定时炸弹吗

2、打破壁垒

企业的低效安全是企业文化问题的一个症状。IT和IT运营团队都要为管理、支持、保障越来越复杂的网络环境负责,并呼吁更多的资源参与到安全工作中。

随着工作日益增多,每一个部门都非常重视自己的业务应用,复杂的连通性需求也牵涉到多个方面,如应用程序的所有者和防火墙的管理员等。企业应当考虑打破无形的壁垒,让有关各方都能够相互有效交流,在不影响工作效率的前提下改善安全性。

3、过程自动化

如果你解决了上述两个问题,就需要自动化来强化安全和运营了。许多企业认为,在管理网络安全设备时,耗时过多、手工操作、易于出错等是最大的困难。如果让人工去发现由于某个变化而影响的防火墙规则,这是相当耗时且易于出错的。

企业不妨借助自动化技术来保障准确性,减少风险,极大地减少处理变化时所花费的时间。这时,IT就可以更快捷地应对变化的业务需求。

4、减少复杂性

企业IT环境中往往有多种设备和策略都与关键业务应用紧密联系,因而在保障网络、应用程序、信息安全时,往往存在诸多困难。而且通常一种设备、策略或应用对另一种设备或策略、应用的影响并不明显。

例如,如果安全策略发生了变化,那么它对维持企业运行的关键业务应用会产生怎样的影响反过来也是一样,如果应用程序发生了变化,对安全策略和网络会有影响吗这不仅是一个安全问题(应当移除与退役应用程序相关的不再使用的规则),而且还是一个保障业务高效运行的问题。

5、反思网络安全

在规划防御时,根据一个干净的没有遭受损害的网络来制定计划也为了一种标准。但是,如今恶意软件深藏不露,针对性攻击日益强烈,而且网络越来越开放,上述标准就成为了一种错误的假设。反思网络安全意味着IT要从一种不同的假设开始,要假定自己已经遭受了黑客攻击。IT应当重新规划企业防御,只有这样才能使安全状况焕然一新。

物联网的引入已经推动了多个行业的发展,例如农业、公用事业、制造业和零售业。

物联网解决方案有助于提高工厂和工作场所的生产率和效率。同样,由物联网驱动的医疗设备也导致了互联和主动的医疗保健方法的发展。

智慧城市还利用物联网来构建联网的交通信号灯和停车场,以减少交通流量不断增加的影响。

但是,物联网安全威胁的影响可能被证明是物联网实施中的主要问题。诸如DDoS、勒索软件和社会工程学之类的IoT安全威胁可用于窃取人员和组织的关键数据。攻击者可以利用IoT基础设施中的安全漏洞来执行复杂的网络攻击。

以上就是关于安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓全部的内容,包括:安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓、智能家居离不开的ZigBee,真的有漏洞吗、企业信息安全面临哪些问题已题等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!