阿里云是中国最大的云计算公司，今年第三季度中国云计算市场份额达到了38.3%，与国内一半以上的上市公司都有合作。

长期以来都为国内安全网络提供很高的防护便利，但是这一次阿里云却险些酿下网络安全大错，并因此被工信部暂停合作。发生了什么？阿里这个过错影响有多大？

01阿里云未及时报告安全漏洞，被工信部暂停合作

相信12月份中上旬是很多开发胀娆程序员们的噩梦，即便是下班回家了也被老板连夜叫起来。客户火急火燎发布通知，要求检查系统。

几乎所有的互联网大厂都在这段时间处理同一个问题，那就是Apache Log4j存在严重的远程代码执行漏洞。如果黑客利用这项漏洞的话，很容易入侵到某些互联网公司，重要单位机构的服务器，后台系统。

原本Apache Log4j是被广泛使用的Ja 日志框架，常用于记录日志信息，但是这一组件却被发现了严重漏洞，而且是高危级别，有可能导致设备被远程控制，服务中断。

看起来和普通用户没什么关系，只是一些互联网大厂自己的事，如果这么想的话就大错特错了。若入侵者随意访问服务器，将意味着可以修改或者远程C控用户的设备，窃取重要信息，对信息文件进行加密处理。

在大数据时代的今天，如果出现了这样的网络安全问题，结果可想而知，造成的损失恐怕难以估量。很多互联网大厂的应急响应中心都暂不接收Apache Log4j远程代码执行漏洞。

说起来这项漏洞还是被阿里云及时发现的，在11月24日阿里云发现了这一问题，并将漏洞信息反馈给了国外的Apache，此后Apache官方也发布了相关补丁尝试进行漏洞修复，可是并没有什么太大用处，反而开始有人利用这个漏洞进行攻击。

到了这一步，Apache Log4j远程代码执行漏洞的危险性才被引起重视。

需要注意的是，虽然阿里云是最早发现这一问题并提交反馈的，但阿里云并没有将漏洞信息上报给工信部，而是告诉了国外的Apache。

Apache作为美国的基金会，是世界上市场份额最大的Web服务器软件，所有的计算机软件几乎都寄托于Apache的Web服务器端。

阿里云把程序漏洞报告给了国外，这一点没什么问题。但问题在于阿里云没有及时将漏洞反馈给工信部，造成工信部信息接收不及时，和国外发现漏洞相差了十天半个月。因为这个原因，阿里云被工信部暂停合作了。

根据工信部表示，阿里云是工信部网络安全威胁信息共享平台合作单位，但阿里云未及时将漏洞信息通报给工信部，暂停合作6个月。

02阿里云冤枉吗？

这一次阿里云算是栽跟头了，那么阿里云被受到暂停合作半年的处罚，到底冤不冤枉呢？其实一点也不冤枉。

如果阿里云没有加入工信部的网络安全威胁信息共享平台，可能一切都还好说。这一单位平台从名字上就能知道是干什么的。

平台成立的主要目的就是及时进行网络安全威胁信息的共享，成员一旦发现了什么安全漏洞，不管事情有多大，都要将发现的问题及时报告，让所有的成员得知，也让工信部掌握相关情况，避免发生严重的网络安全事故。

而且根据平台规定，发现问题应当在2天内向平台进行报送。结果阿里云在向国外报送的同时，却忽略了国内信息安全反馈。基本上都是等漏洞被攻击利用时才发现，所以阿里云一点也不冤枉。

有网友用生动形象的比喻描述了这一事件，就好比自家的孩子发现家里起火灾了，结果孩子没有第一时间告诉家长处理，而是把火灾情况告诉了邻居。邻居会不会帮忙救火还不知道，但等家长发现的时候，可能事情已经晚了。

所以现在的情况就是要把这个孩子关进小黑屋进行反省。

阿里云的确该反省了，这已经不是阿里云第一次在网络安全事件上犯错误了。今年8月份，浙江通信管理局核实阿里云擅自将用户信息泄露给第三方公司，阿里云解释是2019年员工违规C作行为，已经进行了处置。

03总结

阿里云屡次犯错，要知道这些过错带来的影响不可小觑。就拿这一次发现的漏洞来说，若被国外黑客团队入侵国内的各大网络安全系统，各家公司的服务器并拿到了最高权限，那么相当于把底牌全部摆在别人面前。

阿里云作为国内最大的云计算平台公司，必须承担起相应的网络安全防护责任，更要保障用户信息安全。