阿里雲伺服器漏洞

① 阿里雲出事了

事情源於阿里雲發現了一個很嚴重的計算機漏洞！那是什麼級別的計算機漏洞呢？計算機漏洞簡單來說就是軟體上的一個缺陷，可以使得別人可以攻擊或者遠程操控您的計算機。但這里有個區別，如果這個缺陷是編制過程中無意產生的才叫漏洞，但如果這個缺陷是軟體公司故意留下的那就叫後門兒，後門兒又分了好幾種，一種是沒有太多惡意的，比如軟體廠商為了方便測試或者遠程的維修維護而留下的介面，一般情況也會讓客戶知道有這種遠程調試的介面。還有一種是說不清有沒有惡意，比如用戶不知道，只有廠商才知道，就好像您去配鑰匙，結果配鑰匙的師傅偷偷給自己留了一把，您說這有沒有惡意啊？反正不會是留個紀念吧。在十幾年前，微軟就被爆出在簡體中文版本上留有後門，然後還有最後一種後門就相當別有用心了，是由某個神秘組織特別定製的。不了解的朋友可以去了解一下棱鏡門事件。阿里雲發現的這個後門兒是藏在美國阿帕奇基金會里的一個日誌組件住。那所謂日誌組件就相當於咱們平時寫的日記，能記錄您的計算機每天都發生了什麼，什麼時候開機，打開哪些文件，做了哪些操作等等，是計算機系統中最重要的組件之一。而阿帕奇這個組件應用的范圍極廣，點幾個用這個組件的客戶名字大家就知道了，蘋果、亞馬遜、特斯拉、京東、騰訊、網路、新浪等等都用了這個組件，利用這個漏洞啊攻擊者只要提交一段代碼，就可以進入到對方的伺服器，而且可以獲得最高許可權。

所以，阿里雲的這次發現都可能被稱為是計算機 歷史 上最嚴重的一個漏洞啊！本來這是阿里雲的一大貢獻！但是！隨後他的操作就有點讓人目瞪口呆了！他把這個漏洞報告給阿帕奇基金會，然後……就沒有然後了……

直到12月9日！咱們的有關部門才通過國外已經沸沸揚揚的新聞才知道這件事兒。而此時離阿里雲發現漏洞已經時隔整整15天的時了！也就是說國外凡是知道這個漏洞的人或者單位都能輕松地侵入我們的伺服器！要知道阿里雲在第三季度已經占據了全國近40%的市場份額，一半以上的上市公司都在使用阿里雲！

② 阿里雲伺服器被攻擊-

根據全球 游戲 和全球移動互聯網行業第三方分析機構Newzoo的數據顯示：2017年上半年，中國以275億美元的 游戲 市場收入超過美國和日本，成為全球榜首。

游戲 行業的快速發展、高額的攻擊利潤、日趨激烈的行業競爭，讓中國 游戲 行業的進軍者們，每天都面臨業務和安全的雙重挑戰。

游戲 行業一直是競爭、攻擊最為復雜的一個江湖。 曾經多少充滿激情的創業團隊、玩法極具特色的 游戲 產品，被互聯網攻擊的問題扼殺在搖籃里；又有多少運營出色的 游戲 產品，因為遭受DDoS攻擊，而一蹶不振。

DDoS 攻擊的危害

小蟻安盾安全發布的2017年上半年的 游戲 行業DDoS攻擊態勢報告中指出：2017年1月至2017年6月， 游戲 行業大於300G以上的攻擊超過1800次，攻擊最大峰值為608G； 游戲 公司每月平均被攻擊次數高達800餘次。

目前， 游戲 行業因DDoS攻擊引發的危害主要集中在以下幾點：

• 90%的 游戲 業務在被攻擊後的2-3天內會徹底下線。

• 攻擊超過2-3天以上，玩家數量一般會從幾萬人下降至幾百人。

• 遭受DDoS攻擊後， 游戲 公司日損失可達數百萬元。

為什麼 游戲 行業是 DDoS 攻擊的重災區？

據統計表明，超過50%的DDoS和CC攻擊，都在針對 游戲 行業。 游戲 行業成為攻擊的重災區，主要有以下幾點原因：

• 游戲 行業的攻擊成本低，幾乎是防護成本的1/N，攻防兩端極度不平衡。 隨著攻擊方的手法日趨復雜、攻擊點的日趨增多，靜態防護策略已無法達到較好的效果，從而加劇了這種不平衡。

• 游戲 行業生命周期短。 一款 游戲 從出生到消亡，大多隻有半年的時間，如果抗不過一次大的攻擊，很可能就死在半路上。黑客也是瞄中了這一點，認定只要發起攻擊， 游戲 公司一定會給保護費。

• 游戲 行業對連續性的要求很高，需要7 24小時在線。 因此如果受到DDoS攻擊，很容易會造成大量的玩家流失。在被攻擊的2-3天後，玩家數量從幾萬人掉到幾百人的事例屢見不鮮。

• 游戲 公司之間的惡性競爭，也加劇了針對行業的DDoS攻擊。

游戲 行業的 DDoS 攻擊類型

• 空連接 攻擊者與伺服器頻繁建立TCP連接，佔用服務端的連接資源，有的會斷開、有的則一直保持。空連接攻擊就好比您開了一家飯館，黑幫勢力總是去排隊，但是並不消費，而此時正常的客人也會無法進去消費。

• 流量型攻擊 攻擊者採用UDP報文攻擊伺服器的 游戲 埠，影響正常玩家的速度。用飯館的例子，即流量型攻擊相當於黑幫勢力直接把飯館的門給堵了。

• CC攻擊 攻擊者攻擊伺服器的認證頁面、登錄頁面、 游戲 論壇等。還是用飯館的例子，CC攻擊相當於，壞人霸佔收銀台結賬、霸佔服務員點菜，導致正常的客人無法享受到服務。

• 假人攻擊 模擬 游戲 登錄和創建角色過程，造成伺服器人滿為患，影響正常玩家。

• 對玩家的DDoS攻擊 針對對戰類 游戲 ，攻擊對方玩家的網路使其 游戲 掉線或者速度慢。

• 對網關DDoS攻擊 攻擊 游戲 伺服器的網關，導致 游戲 運行緩慢。

• 連接攻擊 頻繁的攻擊伺服器，發送垃圾報文，造成伺服器忙於解碼垃圾數據。

游戲 安全痛點

• 業務投入大，生命周期短 一旦出現若干天的業務中斷，將直接導致前期的投入化為烏有。

• 缺少為安全而准備的資源 游戲 行業玩家多、資料庫和帶寬消耗大、基礎設施資源准備時間長，而安全需求往往沒有被 游戲 公司優先考慮。

• 可被攻擊的薄弱點多 網關、帶寬、資料庫、計費系統都可能成為 游戲 行業攻擊的突破口，相關的存儲系統、域名DNS系統、CDN系統等也會遭受攻擊。

• 涉及的協議種類多 難以使用同一套防禦模型去識別攻擊並加以防護，許多 游戲 伺服器多用加密私有協議，難以用通用的挑戰機制進行驗證。

• 實時性要求高，需要7 24小時在線 業務不能中斷，成為DDoS攻擊容易奏效的理由。

• 行業惡性競爭現象猖獗 DDoS攻擊成為打倒競爭對手的工具。

如何判斷已遭受 DDoS 攻擊？

假定已排除線路和硬體故障的情況下，突然發現連接伺服器困難、正在 游戲 的用戶掉線等現象，則說明您很有可能是遭受了DDoS攻擊。

目前， 游戲 行業的IT基礎設施一般有 2 種部署模式：一種是採用雲計算或者託管IDC模式，另外一種是自行部署網路專線。無論是前者還是後者接入，正常情況下， 游戲 用戶都可以自由流暢地進入伺服器並進行 游戲 娛樂 。因此，如果突然出現以下幾種現象，可以基本判斷是被攻擊狀態：

• 主機的IN/OUT流量較平時有顯著的增長。

• 主機的CPU或者內存利用率出現無預期的暴漲。

• 通過查看當前主機的連接狀態，發現有很多半開連接；或者是很多外部IP地址，都與本機的服務埠建立幾十個以上的ESTABLISHED狀態的連接，則說明遭到了TCP多連接攻擊。

• 游戲 客戶端連接 游戲 伺服器失敗或者登錄過程非常緩慢。

• 正在進行 游戲 的用戶突然無法操作、或者非常緩慢、或者總是斷線。

DDoS 攻擊緩解最佳實踐

目前，有效緩解DDoS攻擊的方法可分為 3 大類：

• 架構優化

• 伺服器加固

• 商用的DDoS防護服務

您可根據自己的預算和遭受攻擊的嚴重程度，來決定採用哪些安全措施。

架構優化

在預算有限的情況下，建議您優先從自身架構的優化和伺服器加固上下功夫，減緩DDoS攻擊造成的影響。

部署 DNS 智能解析

通過智能解析的方式優化DNS解析，有效避免DNS流量攻擊產生的風險。同時，建議您託管多家DNS服務商。

• 屏蔽未經請求發送的DNS響應信息 典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS伺服器中，在DNS伺服器對查詢請求進行處理之後，伺服器會將響應信息返回給DNS解析器。
但值得注意的是，響應信息是不會主動發送的。伺服器在沒有接收到查詢請求之前，就已經生成了對應的響應信息，這些回應就應被丟棄。

• 丟棄快速重傳數據包 即便是在數據包丟失的情況下，任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS伺服器發送相同的DNS查詢請求。如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高，這些請求數據包可被丟棄。

• 啟用TTL 如果DNS伺服器已經將響應信息成功發送了，應該禁止伺服器在較短的時間間隔內對相同的查詢請求信息進行響應。
對於一個合法的DNS客戶端，如果已經接收到了響應信息，就不會再次發送相同的查詢請求。每一個響應信息都應進行緩存處理直到TTL過期。當DNS伺服器遭遇大量查詢請求時，可以屏蔽掉不需要的數據包。

• 丟棄未知來源的DNS查詢請求和響應數據 通常情況下，攻擊者會利用腳本對目標進行分布式拒絕服務攻擊（DDoS攻擊），而且這些腳本通常是有漏洞的。因此，在伺服器中部署簡單的匿名檢測機制，在某種程度上可以限制傳入伺服器的數據包數量。

• 丟棄未經請求或突發的DNS請求 這類請求信息很可能是由偽造的代理伺服器所發送的，或是由於客戶端配置錯誤或者是攻擊流量。無論是哪一種情況，都應該直接丟棄這類數據包。
非泛洪攻擊 (non-flood) 時段，可以創建一個白名單，添加允許伺服器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。
這種方法能夠有效地保護伺服器不受泛洪攻擊的威脅，也能保證合法的域名伺服器只對合法的DNS查詢請求進行處理和響應。

• 啟動DNS客戶端驗證 偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀，便可以用於從偽造泛洪數據中篩選出非泛洪數據包。

• 對響應信息進行緩存處理 如果某一查詢請求對應的響應信息已經存在於伺服器的DNS緩存之中，緩存可以直接對請求進行處理。這樣可以有效地防止伺服器因過載而發生宕機。

• 使用ACL的許可權 很多請求中包含了伺服器不具有或不支持的信息，可以進行簡單的阻斷設置。例如，外部IP地址請求區域轉換或碎片化數據包，直接將這類請求數據包丟棄。

• 利用ACL，BCP38及IP信譽功能 託管DNS伺服器的任何企業都有用戶軌跡的限制，當攻擊數據包被偽造，偽造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不需要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
同時，也存在某些偽造的數據包可能來自與內部網路地址的情況，可以利用BCP38通過硬體過濾清除異常來源地址的請求。

部署負載均衡

通過部署負載均衡（SLB）伺服器有效減緩CC攻擊的影響。通過在SLB後端負載多台伺服器的方式，對DDoS攻擊中的CC攻擊進行防護。

部署負載均衡方案後，不僅具有CC攻擊防護的作用，也能將訪問用戶均衡分配到各個伺服器上，減少單台伺服器的負擔，加快訪問速度。

使用專有網路

通過網路內部邏輯隔離，防止來自內網肉雞的攻擊。

提供餘量帶寬

通過伺服器性能測試，評估正常業務環境下能承受的帶寬和請求數，確保流量通道不止是日常的量，有一定的帶寬餘量可以有利於處理大規模攻擊。

伺服器安全加固

在伺服器上進行安全加固，減少可被攻擊的點，增大攻擊方的攻擊成本：

• 確保伺服器的系統文件是最新的版本，並及時更新系統補丁。

• 對所有伺服器主機進行檢查，清楚訪問者的來源。

• 過濾不必要的服務和埠。例如，WWW伺服器，只開放80埠，將其他所有埠關閉，或在防火牆上做阻止策略。

• 限制同時打開的SYN半連接數目，縮短SYN半連接的timeout時間，限制SYN/ICMP流量。

• 仔細檢查網路設備和伺服器系統的日誌。一旦出現漏洞或是時間變更，則說明伺服器可能遭到了攻擊。

• 限制在防火牆外與網路文件共享。降低黑客截取系統文件的機會，若黑客以特洛伊木馬替換它，文件傳輸功能無疑會陷入癱瘓。

• 充分利用網路設備保護網路資源。在配置路由器時應考慮以下策略的配置：流控、包過濾、半連接超時、垃圾包丟棄，來源偽造的數據包丟棄，SYN 閥值，禁用ICMP和UDP廣播。

• 通過iptable之類的軟體防火牆限制疑似惡意IP的TCP新建連接，限制疑似惡意IP的連接、傳輸速率。

• 識別 游戲 特徵，自動將不符合 游戲 特徵的連接斷開。

• 防止空連接和假人攻擊，將空連接的IP地址直接加入黑名單。

• 配置學習機制，保護 游戲 在線玩家不掉線。例如，通過伺服器搜集正常玩家的信息，當面對攻擊時，將正常玩家導入預先准備的伺服器，並暫時放棄新進玩家的接入，以保障在線玩家的 游戲 體驗。

商用 DDoS 攻擊解決方案

針對超大流量的攻擊或者復雜的 游戲 CC攻擊，可以考慮採用專業的DDoS解決方案。目前，通用的 游戲 行業安全解決方案做法是在IDC機房前端部署防火牆或者流量清洗的一些設備，或者採用大帶寬的高防機房來清洗攻擊。

當寬頻資源充足時，此技術模式的確是防禦 游戲 行業DDoS攻擊的有效方式。不過帶寬資源有時也會成為瓶頸：例如單點的IDC很容易被打滿，對 游戲 公司本身的成本要求也比較高。

DDoS攻擊解決方案——高防IP

新式高防技術，替身式防禦，具備4Tbps高抗D+流量清洗功能，無視DDoS,CC攻擊，不用遷移數據，隱藏源伺服器IP，只需將網站解析記錄修改為小蟻DDoS高防IP，將攻擊引流至小蟻集群替身高防伺服器，是攻擊的IP過濾清洗攔截攻擊源，正常訪問的到源伺服器，保證網站快速訪問或伺服器穩定可用，接入半小時後，即可正式享受高防服務。

③ 阿里雲伺服器被攻擊了怎麼辦

前幾天，從知乎找過來了一個客戶，他的情況是這樣的，已經購買了阿里雲的30G高防包，但效果並不是那麼理想，價格也是非常昂貴，還是經常處於被打死拉進黑洞的狀態，阿里客服那邊的意思是讓他上吞金獸，客戶也承擔不起，也確實，一天幾W的消費，基本上都扛不住，所以他通過知乎聯繫到了我們小蟻雲安全，了解過他們的情況後我這邊馬上給客戶出了一個方案，首先這個客戶也是之前不懂這行，才花了高價沒解決問題，、

眾所周知，ddos攻擊就是流量攻擊，而對抗他的方法就是資源對抗，所以一般來說高防IP就是常見的防禦ddos的方法，那麼什麼是高防IP呢？這里小蟻雲安全就給各位老闆們講講：

新式高防技術，替身式防禦，具備4Tbps高抗D+流量清洗功能，無視DDoS,CC攻擊，不用遷移數據，隱藏源伺服器IP，只需將網站解析記錄修改為小蟻DDoS高防IP，將攻擊引流至小蟻集群替身高防伺服器，是攻擊的IP過濾清洗攔截攻擊源，正常訪問的到源伺服器，保證網站快速訪問或伺服器穩定可用，接入半小時後，即可正式享受高防服務。

以上就是高防IP的介紹，那麼他的原理是什麼呢？

用戶購買高防IP，把域名解析到高防IP上（web業務只要把域名指向高防IP即可，非web業務，把業務IP換成高防IP即可）。同時在高防IP上設置轉發規則，所有公網流量都會走高防IP，通過埠協議轉發的方式，將用戶的訪問通過高防IP轉發到源站IP。

在這一過程中，將惡意攻擊流量在高防IP上進行清洗過濾後，把正常訪問流量返回給源站IP，確保源站IP能正常穩定訪問的安全防護。

通常在租用伺服器後，服務商會提供一個IP給用戶用於防禦和管理。如果IP出現異常流量，機房中的硬體防火牆，就會對惡意流量進行識別，並進行過濾和清洗，幫助用戶防禦惡意流量。

在IP防禦不了的情況下，會暫時對該IP進行屏蔽，這時會造成伺服器不能正常訪問，業務無法正常開展。

為什麼人家會攻擊呢？

1.行業競爭

這是經濟市場無法避免的現象，中國有句老話叫同行是冤家，從實體行業上升至互聯網大環境，總會有不計手段的對手。這種行業內的惡性競爭可能導致網站被蓄意攻擊，雲伺服器癱瘓，目的一般很清晰，瞄準的是用戶資源。

2.網路黑客

每天都有數以萬計的伺服器被黑客攻擊，常見的手段比如DDoS攻擊，成本和門檻都非常低，卻對運營者造成非常大的困擾。黑客的目的很難說，有可能為了炫技，或者是為了盜取賬號信息然後植入各種廣告程序等等。

3.程序漏洞

很多Web系統採用的是開源框架，WordPress、Structs2等等，這些框架常常被爆出安全漏洞，以及我們所選用的操作系統，不管是Windows還是Linux，如果發現漏洞補丁不及時更新的話，遲早會被利用攻擊

④ 阿里雲發現漏洞事件

阿里發現的那個漏洞，可以被稱為計算機 歷史 上最大的漏洞-核彈級漏洞，這個漏洞比較普遍，黑客可以通過這個漏洞在伺服器上做任何事。
開發者收到阿里提交的漏洞和開發者核實後發布安全警報並修補漏洞之間有一段空窗期，這段時間越短對網路安全越好。漏洞越大對黑客越方便，黑客或者外國情報部門可能會在這段時間嘗試攻擊一下以前沒攻破的目標。如果工信部能早知道漏洞就能及時預警，避免不必要的損失。把重大漏洞先報給處於國外的開發者，卻不按時上報國內的相關部門以便國內先做防護預警，可見阿里是有點飄了。

從這件事可以提出兩點：

一，阿里確實是國內比較雄厚的企業，其他企業都不知道，說明它的實力超過其他公司！

二，阿里這次做事確實有欠妥的地方，這個漏洞應該告知國家相關機構，讓國內提前避免這個漏洞的嚴重性，以防萬一！

⑤ 阿里雲未及時通報重大網路安全漏洞，會帶來什麼後果

【文/觀察者網 呂棟】

這事緣起於一個月前。當時，阿里雲團隊的一名成員發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞後，隨即向位於美國的阿帕奇軟體基金會通報，但並沒有按照規定向中國工信部通報。事發半個月後，中國工信部收到網路安全專業機構的報告，才發現阿帕奇組件存在嚴重安全漏洞。

阿帕奇組件存在的到底是什麼漏洞？阿里雲沒有及時通報會造成什麼後果？國內企業在發現安全漏洞後應該走什麼程序通報？觀察者網帶著這些問題采訪了一些業內人士。

漏洞銀行聯合創始人、CTO張雪松向觀察者網指出，Log4j2組件應用極其廣泛，漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞，直接造成國內相關機構處於被動地位。

關於Log4j2組件在計算機網路領域的關鍵作用，有國外網友用漫畫形式做了形象說明。按這個圖片解讀，如果沒有Log4j2組件的支撐，所有現代數字基礎設施都存在倒塌的危險。

國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下：

根據公開資料，此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的java日誌記錄工具，控制Java類系統日誌信息生成、列印輸出、格式配置等，大量的業務框架都使用了該組件，因此被廣泛應用於各種應用程序和網路服務。

有資深業內人士告訴觀察者網，Log4j2組件出現安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統中應用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細節被公開，由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴散並迅速傳播到各個行業領域。

簡單來說，這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。

這並非危言聳聽。美聯社等外媒在獲取消息後評論稱，這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進入內部網路，竊取信息、植入惡意軟體和刪除關鍵信息等。

阿里雲官網截圖

然而，阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後，並沒有按照《網路產品安全漏洞管理規定》第七條要求，在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息，而只是向阿帕奇軟體基金會通報了相關信息。

觀察者網查詢公開資料發現，阿帕奇軟體基金會（Apache）於1999年成立於美國，是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發行的軟體產品都遵循Apache許可證（Apache License）。

12月10日，在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後，中國國家信息安全漏洞共享平台才獲得相關信息，並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》，稱阿帕奇官方已發布補丁修復該漏洞，並建議受影響用戶立即更新至最新版本，同時採取防範性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平台官網截圖

事實上，國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹，業界通用的漏洞報送流程是，成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台（CNVD） CVE 中國信息安全測評中心 > 國家信息安全漏洞庫（CNNVD）> 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協調企業修復解決安全問題，由於最早由美國發起該漏洞技術委員會，所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台，由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。

上述業內人士認為，阿里這次因為漏洞影響較大，所以被當做典型通報。在CNVD建立之前以及最近幾年，國內安全人員對CVE的共識、認可度和普及程度更高，發現漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認為是個人技術成果的事情，上報國際組織協調修復即可。

但根據最新發布的《網路產品安全漏洞管理規定》，國內安全研究人員發現漏洞之後報送CNVD即可，CNVD會發起向CVE報送流程，協調廠商和企業修復安全漏洞，不允許直接向國外漏洞平台提交。

由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理，根據工信部最新通報，工信部網路安全管理局研究後，決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

業內人士向觀察者網指出，工信部這次針對是阿里，其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網獨家稿件，未經授權，不得轉載。

⑥ 阿里雲因未及時報告嚴重漏洞被處罰

阿里雲因未及時報告嚴重漏洞被處罰

阿里雲因未及時報告嚴重漏洞被處罰，阿里雲在中國雲市場上占據著重要地位，阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，阿里雲因未及時報告嚴重漏洞被處罰。

阿里雲因未及時報告嚴重漏洞被處罰1

近期，工信部網路安全管理局通報稱，阿里雲計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。

通報指出，阿里雲是工信部網路安全威脅信息共享平台合作單位。經研究，工信部網路安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

觀察者網日前曾對該事件做過詳細報道，11月24日，阿里雲發現這個可能是「計算機歷史上最大的漏洞」後，率先向阿帕奇軟體基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。這一漏洞的存在，可以讓網路攻擊者無需密碼就能訪問網路伺服器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發。近日，阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，並將漏洞情況告知阿帕奇軟體基金會。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業和信息化部網路安全管理局將持續組織開展漏洞處置工作，防範網路產品安全漏洞風險，維護公共互聯網網路安全。

阿里雲因未及時報告嚴重漏洞被處罰2

12月23日晚間，阿里雲計算有限公司（以下簡稱「阿里雲」）對發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告的事件進行了回應，阿里雲表示，阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識，積極協同各方做好網路安全風險防範工作。

阿里雲表示，近日，阿里雲一名研發工程師發現Log4j2組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞，並向全球發布修復補丁。隨後，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇（Apache）旗下的開源日誌組件，被全世界企業和組織廣泛應用於各種業務系統開發。

此前，阿里雲因此事被罰。12月22日，工信部網路安全管理局通報稱，阿里雲是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

12月9日，工信部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網路安全風險，提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里雲在中國雲市場上占據著重要地位，此前，Canalys發布中國雲計算市場2021年第三季度報告。報告顯示，2021年第三季度中國雲計算市場整體同比增長43%，達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場，33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。

阿里雲因未及時報告嚴重漏洞被處罰3

近日，有媒體報道，阿里雲發現阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。因此，暫停阿里雲作為上述合作單位 6 個月。

原本一個技術圈子的事情因此成為社會熱議話題。一時間網友分化為了兩個圈子——

非技術圈的人說：感覺阿里雲只報給阿帕奇這個技術社區，不上報組織，是沒把國家安全放心上。

技術圈層說：當然是誰寫的bug報給誰，阿帕奇的'安全漏洞，報給阿帕奇是應該的，不能上綱上線。

23日晚間，阿里雲就log4j2漏洞發布了說明，誠懇認錯，表示要強化漏洞報告管理、提升合規意識，積極協同各方共同做好網路安全防範工作。

回顧這個非常技術的話題，有諸多事實需要釐清。

首先，阿帕奇開源社區是什麼？Log4j2組件是什麼？

阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示，華為、騰訊、阿里等中國公司是這個開源社區的主要貢獻者，另外也包括谷歌、微軟等美國企業。全球的軟體工程師，在這里共建一些基礎的軟體部件，相互迭代、提高公共效率，是軟體產業的一個特有現象。

本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件，很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候，就郵件詢問了阿帕奇，請社區確認這是否是一個漏洞、評估影響范圍。

而後阿帕奇確認這是一個漏洞，並通知開發者們修補這個漏洞。於是，出現了天涯共此時，一起改漏洞的局面。

但阿里雲遺漏了不久前上線的一個官方上報平台，僅僅按業界的慣例向以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助。

其次，工信部暫停阿里雲6個月合作單位資格，意味著什麼？

據工信微報——「12月9日，工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析，召集阿里雲、網路安全企業、網路安全專業機構等開展研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並未出現在公開渠道。據業內人士分析，這並不是一個嚴格意義上的「處罰」，否則不可能不公開通報。其次，網路安全威脅和漏洞信息共享平台是一個收集、通報網路安全漏洞的平台，暫停這個平台的合作資質並不對業務造成影響。

工信部關於Log4j2漏洞的風險提示

但此次事件，從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中，大量從業人員、組織養成了與開源社區合作的工作習慣，但對更高層面的安全意識、合規意識，在思想上、制度上都有所不足。阿里雲的漏報行為，也是這一意識疏漏的一次具體體現。

整體而言，此次事件對行業的影響是正面的，這是一次警示、也是一次示範。阿里雲是行業領先的IT企業，這也是能夠率先發現全球重大安全漏洞的原因，而此次事件的發生，無疑將會增強計算機行業的安全合規意識，可以想見，無論是阿里雲、還是其他諸多科技企業，都將在企業和組織內部增強合規培訓和流程規范。

⑦ 阿里雲因未及時上報漏洞被處罰，該漏洞有著怎樣的嚴重性

該漏洞可以被犯罪分子或者網路黑客用於強制安裝惡意程序、傳播病毒並且植入木馬等。而且系統漏洞很容易導致計算機上的關鍵信息和信息內容被盜，嚴重的情況會導致實際操作系統被破壞，計算機上的所有數據和信息都會丟失。

一個精緻的計算機病毒程序，進入系統後一般不容易立即發病，而是潛伏在合理合法的文件中。病毒通常可以潛伏很長時間而不被發現。病毒的自限性越好，在系統中存在的時間越長，病毒感染的范圍就越大。指病毒因某一時間或標志的發生而引誘病毒執行感或進攻的特點。計算機中毒後，很可能會導致所有正常程序無法運行，損壞計算機中的刪除文件或不同水平的計算機文件。計算機病毒具有很強的隱藏性，有的可以根據計算機殺毒軟體進行檢測，有的基本找不到，這種病毒通常很難解決。

⑧ 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。

⑨ 阿里雲因未及時上報漏洞被處罰了，具體是被如何處罰的

阿里雲因未及時上報漏洞被工信部作出處罰暫停列入合作單位六個月，待處罰期滿後再決定是否跟阿里雲繼續合作。這樣的處罰可以說是對阿里雲的一個警示，在國家反壟斷的大背景下，阿里雲失去了跟工信部的合作關系，對其承接國家項目尤其是一些國企的項目會帶來嚴重影響。與經濟影響相對的是這次處罰帶來的信譽影響更嚴重。阿里雲作為國內雲計算的龍頭企業，承擔了90%以上的中小企業雲計算功能，如此龐大的規模，稍有不慎就可能會滿盤皆輸。下面來說一說整件事情：

一、阿里雲冤不冤

這次發現的漏洞是基於阿帕奇Web伺服器的log4j日誌組件的，該組件被廣泛應用於JAVA開發的各類程序中，因為其能幫助開發者分析系統運行情況以及狀態。而這次發現的漏洞允許黑客通過該漏洞直接訪問運行了log4j日誌組件的伺服器，相當於是把自己家門鑰匙給了小偷。而在漏洞爆出了近半個月時間後工信部才接到別的安全企業發出的通知，相當於國內的伺服器裸奔了近半月之久，所以作出這個處罰阿里雲一點都不冤枉。

你知道阿里雲未及時上報漏洞受到了怎樣的處罰嗎？歡迎留言討論。

⑩ 安全工信部通報阿里雲，未及時上報重大漏洞，國資雲建設刻不容緩

中科院雲計算中心分布式存儲聯合實驗室特訊： 近期，工信部網路安全管理局通報，暫停阿里雲公司作為工信部網路安全威脅信息共享平台合作單位6個月。此次事件源自阿里雲發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患報告不及時， 再次為國家數據安全敲響警鍾，國資雲建設刻不容緩、勢在必行。

近期，工業和信息化部網路安全管理局通報稱，阿里雲計算有限公司（簡稱「阿里雲」）是工信部網路安全威脅信息共享平台合作單位。近日，阿里雲公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理。經研究，現暫停阿里雲公司作為上述合作單位6個月。暫停期滿後，根據阿里雲公司整改情況，研究恢復其上述合作單位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇嚴重安全漏洞的時間線：

11月24日

阿里雲在阿帕奇（Apache）開放基金會下的開源日誌組件Log4j2內，發現重大漏洞Log4Shell，然後向總部位於美國的阿帕奇軟體基金會報告。

獲得消息後，奧地利和紐西蘭官方計算機應急小組立即對這一漏洞進行預警。紐西蘭方面聲稱，該漏洞正在被「積極利用」，並且概念驗證代碼也已被發布。

12月9日

中國工信部收到有關網路安全專業機構報告，發現阿帕奇Log4j2組件存在嚴重安全漏洞，立即召集阿里雲、網路安全企業、網路安全專業機構等開展研判，並向行業單位進行風險預警。

12月9日

阿帕奇官方發布緊急安全更新以修復遠程代碼執行漏洞，漏洞利用細節公開，但更新後的Apache Log4j2.15.0-rc1版本被發現仍存在漏洞繞過。

12月10日

中國國家信息安全漏洞共享平台收錄Apache Log4j2遠程代碼執行漏洞；阿帕奇官方再度發布log4j-2.15.0-rc2版本修復漏洞。

12月10日

阿里雲在官網公告披露，安全團隊發現Apache Log4j2.15.0-rc1版本存在漏洞繞過，要求用戶及時更新版本，並向用戶介紹該漏洞的具體背景及相應的修復方案。

12月14日

中國國家信息安全漏洞共享平台發布《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》，供相關單位、企業及個人參考。

12月22日

工信部通報，由於阿里雲發現阿帕奇嚴重安全漏洞隱患後，未及時向電信主管部門報告，未有效支撐工信部開展網路安全威脅和漏洞管理，決定暫停該公司作為工信部網路安全威脅信息共享平台合作單位6個月。

在伺服器的組件中，日誌組件是應用程序中不可缺少的部分。而其中Apache（阿帕奇）的開源項目log4j是一個功能強大的日誌組件，被廣泛應用。

由於Apache Log4j存在遞歸解析功能，未取得身份認證的用戶，可以從遠程發送數據請求輸入數據日誌，輕松觸發漏洞，最終在目標上執行任意代碼。即 攻擊者只要提交一段代碼，就可以進入對方伺服器，而且可以獲得最高許可權，控制對方伺服器。通俗說，黑客通過這個普遍存在的漏洞，可以在伺服器上做任何事。

有關報道顯示，黑客在72小時內利用Log4j2漏洞，向全球發起了超過84萬次的攻擊。利用這個漏洞，攻擊者幾乎可以獲得無限的權利——比如他們可以 提取敏感數據、將文件上傳到伺服器、刪除數據、安裝勒索軟體、或進一步散播到其它伺服器。

國外網友以漫畫說明Log4j2的重要性

該漏洞CVSS評分達到了滿分10分，IT 通信（互聯網）、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及，全球互聯網大廠、 游戲 公司、電商平台等都有被影響的風險。 比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、網路，網易、新浪以及特斯拉等全球大廠，悉數中招，眾多媒體將這個漏洞形容成「史詩級」「核彈級」漏洞，可以說相當貼切。

據工信部官網消息，今年9月1日，工業和信息化部網路安全威脅和漏洞信息共享平台正式上線運行。其中提到，根據《網路產品安全漏洞管理規定》，網路產品提供者應當及時向平台報送相關漏洞信息，鼓勵漏洞收集平台和其他發現漏洞的組織或個人向平台報送漏洞信息。

此次事件中，作為我國雲計算服務的頭部供應商的阿里雲，11月24日發現計算機史上最大的漏洞，是先向國外的Apache基金會報告，而未及時向主管部門報送漏洞信息。工信部得知情況，已經是12月9日，中間已經過了15天。這十五天，中國的互聯網簡直是在裸奔。這期間已經有黑客掌握了這個漏洞，在利用這個漏洞進行網路攻擊。作為新基建重要一環的雲計算平台，更加應以謹慎的心態承擔起保障網路安全的責任。

國資雲建設 安全自主可控為上

互聯網時代，國家安全自然延伸到了網路。各個國家，都在想辦法堵自己漏洞，找別人家的漏洞，甚至是隱藏的後門。同樣的漏洞，那就是看誰率先掌握。國外的開源軟體層出不窮的漏洞，隱沒難尋的後門，應用於國家重要機構或事關 社會 民生的部門，其潛在危害難以估量。我們除了想方設法被動收集修復漏洞，還要大力發展和利用自主安全可控的技術，才能在互聯網領域尋求戰略平衡，保障國家安全。

所以說，阿里雲的這次行動足以為戒，忽視國家各項數據安全法律法規，國家安全責任意識淡漠，將國家網路安全置於巨大的危機之中。試問這樣的第三方雲服務商，如何讓國家機構、央企國企放心將數據業務託管？

風險就在那裡，警告從未缺席。國資雲以安全自主可控、平穩可靠運行為上，才能確保國家安全，盡到 社會 責任。第三方雲服務商難以超越企業自身的穩健盈利，更不要說將國家安全、公共利益、億萬民眾福祉放在首位。國資雲的建設將第三方雲服務商排除在外，是互聯網競爭環境的使然，也是數據安全責任的擔當，更是時代賦予的使命。

「國資雲」建設 大勢所趨

經過深入研究分析，北京交通大學信息管理理論與技術國際研究中心（ICIR）認為， 「國資雲」建設是大勢所趨，原因主要有以下三方面：

一是「國資雲」建設是國有資產管理的需要。國企數據資源屬於國有資產，應納入國資監管和統一管理，保護國有數據資產安全是建設國資雲的核心目的；

二是「國資雲」建設是保障國家重要數據安全的需要。近期，《關鍵信息基礎設施安全保護條例》、《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》相繼頒布實施，將數據安全提升到前所未有的高度，而國有企業的許多數據事關國家關鍵信息基礎設施安全；

三是「國資雲」建設是信創工程落地的重要抓手。在「國資雲」數據中心逐步加大CPU、操作系統、存儲、資料庫、中間件等國產信創產品比重，並鼓勵國產信創業務系統與「國資雲」數據中心基礎設施適配應用，從基礎到應用全方位推進信創工程步伐。

因此，「國資雲」建設的重要意義在業界已達成高度共識。

國資雲賦能雲上安全 G-Cloud增強國企競爭力

國有企業是中國特色 社會 主義的重要物質基礎和政治基礎，是我們黨執政興國的重要支柱和依靠力量，國有企業不僅具有鮮明的政治屬性，也具有強烈的經濟屬性和物質屬性，堅定不移地將國有企業做強做大做優是黨和人民對國有企業的基本要求。因此，國有企業更需要資產不斷保值增值，規模不斷發展壯大，盈利水平不斷提高，這就要求國有企業必需使用最先進的生產工具，創造出最先進的生產力，保持在國際國內市場中的競爭力。

而雲計算平台就是當前最先進的生產工具。雲計算平台中除了計算、存儲、網路、虛擬化等Iaas服務相對比較成熟外，在Paas、Saas層面的技術創新速度非常快，產品迭代周期不斷縮短，不同的廠商提供的雲平台服務在技術領先性、服務穩定性、用戶覆蓋面等方面具有非常大的差異。

在激烈的市場競爭中，企業選擇了什麼類型、什麼廠商的雲服務，在一定程度上意味著企業使用了什麼工具和武器，在很大程度上決定了企業的生產效率、管理效率和市場效率，也就決定了企業的競爭力。

國資雲賦能雲上安全，打造排除第三方雲服務商的行業專屬私有雲。 中科院雲計算中心自主研發的G-Cloud雲操作系統，首要勝在安全。 其次G-Cloud在智慧城市、智慧醫療、智慧教育、智慧交通等領域的成功案例，將有助於充分激活國企強勁的競爭力、影響力、帶動力。

2021年11月， 國資雲平台中科雲（東莞） 科技 有限公司正式成立，由中科院、東莞市政府等多方投資的上市企業國雲 科技 控股，國資背景加持，官方認可，國內頂尖 科技 機構技術背書，使用國內首個自主產權、安全可控的G-Cloud雲操作系統，建設「國資雲」， 賦能千行百業數字化轉型升級，最大化優化國有資本布局，提高國有資本運營效能、產業互聯和商業創新！

中科雲凝聚服務政企信息化、數字化建設的核心團隊， 聯合產學研用各方力量，融合大數據、雲計算、物聯網等新一代信息技術，在政府、醫療、教育、交通、智能製造等多行業、多領域提供新型基礎設施建設、數據分布式存儲服務，助力國資國企規模和實力的持續增長，實現高質量發展。