中国国内的安全市场进入“战国时期”,启明星辰、绿盟、天融信、安氏、亿阳、联想网御、华为等战国七雄拥有雄厚的客户资源和资金基础,帐前皆有勇猛善战之士,渐渐开始统领国内安全市场的潮流和声音,基本上每个公开市场的项目都有其角逐的身影。
天融信:1995年成立于北京,是我国最早成立的网络安全、大数据与安全云服务提供商,也是中国信息安全产业第一品牌。天融信为国家规划布局内重点软件企业,拥有完备的安全服务体系和国内权威的安全服务资质,具有较强的软件开发、测试和工程化实施能力。天融信现有员工2000+名,其中技术人员占70%以上,并设有国内一流的阿尔法实验室、博士后科研工作站和安全技术研究院。天融信已承担过发改委、工信部、科技部、北京市等多项重大科技攻关及产业化项目,业务覆盖全国,在31个省市均设有分支机构,行业客户覆盖100,000+家,遍布政府、军队、金融、电信、教育、医疗、制造等各行各业。天融信坚持自主创新,连续10年以上位居中国信息安全市场防火墙、安全硬件、整体信息安全市场占有率领先位置。2008年奥运会安全保卫工作核心技术支撑单位、2010年世博会网络安全神经中枢系统建设单位、2010年广州亚运会信息系统(AGIS)网络安全系统集成商、2011年天宫一号与神州八号对接工程安全管理系统提供商、2016年G20杭州峰会网络安全技术支撑单位等等,天融信在多个重要行业信息系统或项目建设中成为主力军,并不断践行着维护国家信息安全的使命与责任。天融信推出的基于 SOC的MSS服务,可信网络架构TNA理念,通过OEM完善了IDS和SOC产品线,成功获得融资,正在全力冲刺IPO。
启明星辰:拥有雄厚的政府关系,自主开发的IDS和扫描器积淀很深,在电子政务和银行证券等行业有很庞大的用户基础。与港湾科技联合推出的天清汉马 防火墙相信也有不错的销售前景。春节前后随着两位电信背景深厚人士的加盟,正在力图在电信行业谋取更高地位。最近融资的成功使IPO的成功率大增!绿盟:拥有独一无二的技术研究实力和声望,以及稳定的核心团队。研究部的专家及其工作方式是中国安全公司中所特有的,技术人员在公司的地位和“话语 权”也是最高的。其风险评估和反拒绝服务产品在市场上有不错的口碑,作为安全管理中心(SOC)解决方案的企业安全计划(ESP)似乎没有像其它公司那样 引进外国产品作为底层平台,而是走了自己开发的道路。总体说,产品与技术声望的结合保证了市场竞争方面的生存能力。云南移动安全管理中心SOC项目不知道 给公司带来什么样的经验和教训。安氏: 2003 年前曾经是市场和潮流的领导者。我本人也在安氏度过了2000-2003年整整三年难忘的时光,带领创建了研发部、建立了最早的研发体系、开发了防火墙系 列等,而后带领技术支持和安全服务建立了SOC的轮廓和路线图。华为安全服务项目、江苏移动SOC项目是发展过程中重要的里程碑。虽然经过了2003年剧 烈的人事动荡,目前还刚刚进行完安氏中国与安氏领信的分拆,但是凭借几位核心销售的强大客户关系,1-2年内依然会是电信行业的最大主导者。这两三年来陆 续签下的有影响的电信项目包括:电信集团与江苏电信(1+1)、浙江移动、山东移动、山西移动、广东电信等。
亿阳:上市公司亿阳信通的安全事业部依托自身网管方面原有的客户基础,是电信安全行业的重要竞争者。但是,推出的防火墙、入侵检测、双因子认证等不 少产品和解决方案,感觉战线较长,特点和主攻方向不够明确,从IDC的报告上看,还没有哪个产品能够占领较为前面的位置。拿下辽宁移动安全管理中心SOC 项目给整体安全解决方案增强不少信心。
联想网御:从上市公司联想分拆出来后,联想网御的身世还在焦点网上引起大家的兴趣。农行和北京移动的安全服务项目是联想网御的重要标志性安全服务项 目。目前,联想网御还是国内等级化安全保护的重要推动者。不管怎样,分拆对于联想网御是件好事,可以充分调动主要管理层和技术人员的积极性。但是据说现在 内部有人事变动,或许会带来或多或少的市场影响。亚信的股东地位似乎没有给联想网御带来很多的电信项目机会。
华为:让许多硬件公司、软件公司、应用公司、计费公司、集成公司、安全公司都寝食难安的公司。拥有国内最为成熟、完善的质量体系和市场渗透团队。但 是现在的问题是内部资源还没有获得很好的整合,市场上的声音还不够统一、强烈。如果能够整合内部资源,甚至像联想那样分拆这部分业务,将会激发调动管理层 和员工的创业积极性。不管怎样,华为将会是国内安全市场全方位的竞争者和未来的领导者。2004年拿下山东移动安全服务项目曾经让大家一惊。
希望可以帮到您,谢谢!
㈡ 工信部:加强车联网网络安全管理工作
【车家资讯】近日,工信部发布《关于加强车联网(智能联网汽车)网络安全的通知》(征求意见稿),要求加强车联网(智能联网汽车)网络安全管理,提升网络安全保障能力,推动车联网(智能联网汽车)行业标准健康发展。
以下是通知全文:
各省、自治区、直辖市工业和信息化主管部门,通信管理局,中国电信册姿裤集团有限公司,中国移动通信集团有限公司,中国联合网络通信集团有限公司,相关车联网运营商,智能联网汽车厂商:
为贯彻落实《中华人民共和国网络安全法》,落实《新能源汽车产业发展规划(2021-2035年)》、《智能汽车创新发展战略》和《车联网(智能联网汽车)产业行动计划》,引导基础电信企业、车联网运营商、智能联网汽车厂商加强车联网(智能联网汽车)网络安全管理,加快提升网络安全保障能力,推进车联网。现将有关事项通知如下。
一是加强车联网网络安全防护。
(1)保护车联网网络设施和系统的安全。落实企业网络安全主体责任,建立车联网网络安全管理制度和操作规程,确定网络安全负责人,定期开展合规性评价和风险评估,及时消除网络安全潜在风险。严格落实分级保护要求,加强网络设施和系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护,采取技术措施防范木马病毒、网络攻击、网络入侵等危害车联网安全的行为。
(2)保证车联网通信安全。建立企业车联网身份认证和安全信任机制,加强车对车、车对路、车对云、车对设备等场景的安全通信能力建设。,促进跨车辆、跨设施、跨企业的互认互通。加强商用密码应用,开展商用密码安全评估。
(3)开展车联网安全监测预警。建立网络安全监测预警机制和技术手段,对智能联网车辆和联网系统进行运营安全监测、流量和行为监测分析,及时发现网络安全事件或异常预警安全状态、恶意软件传播、网络通信异常、网络攻击等异常行为,并按规定保存相关网络日志至少6个月。
(4)做好车联网安全应急处置工作。建立网络安全应急机制,制定网络安全事件应急预案。定期开展应急演练,及时应对安全威胁、网络攻击、网络入侵等网络安全风险。一旦发生危及网络安全的事件,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》向相关主管部门报告。
(5)做好车联网安全防护分级和备案工作。根据车辆互联网网络安全保护相关标准,对所属网络设施和系统开展网络安全保护分级工作,并报省电信主管部门备案。对于新建的网络设施和系统,应在规划设计阶段确定网络安全防护等级。省级电信主管部门应当会同工业和信息化主管部门做好分级、备案和审核工作。
二是加强平台安全防护
(1)加强平台网络安全管理。采取必要的安全技术措施,加强智能联网汽车、边缘设备等平台的访问安全,主机、数据存储系统等平台设施的安全,微服务、资源管理、应用编程接口(API)访问等平台应用的安全防护能力,防范网络入侵、数据窃取、远程控制等安全风险。涉及在线数据处理和交易处理、信息服务等电信业务的,应当依法取得电信业务经营许可证。如果被认定为关键信息基础设施,则需要执行国家关于关键信息基础设施安全保护的相关规定。
(2)加强OTA服务安全和漏洞检测评估。对OTA服务和软件包进行网络安全检测,及时发现服务和产品的安全漏洞。加强OTA服务的安全检查能力,采取身份认证、加密传输等技术措施,确保传输环境和执行环境的网络安全。加强OTA服务全过程网络安全监测和应急响应,及时评估网络安全状态,防范软件篡改、破坏、泄露、病毒感染等网络安全风险。
(3)加强应用安全管理。建立车联网(智能联网汽车)应用开发、上线、使用和升级的安全管理体系,提高应用识别、通信安全和关键数据保护的安全能力。加强车联网(智能联网汽车)应用安全检测,及时应对安全风险,防范恶意应用攻击和传播。
第三,确保数据安全
(1)加强数据安全管理。建立健全数据安全管理制度,建立健全权限管理、监测预警、应急响应、投诉受理等保障措施,明确责任部门和责任人,加强人员教育培训。建立数据资产管理台账,实行数据分类分级管理,加强个人信息和重要数据保护。定期开展数据安全风险评估,加强隐患排查整治。
(2)提高数据安全的技术支撑能力。坚持“最小必要”原则收集数据,对数据全生命册基周期采取有效的技术保护措施,防范数据泄露、损坏、丢失、篡改、误用、滥用等风险。加强数据安全监测预警能力建设,提升异常流量分析、非法跨境传输监测、安州简全事件追踪溯源等水平。及时处置数据安全事件,向省电信主管部门、工业和信息化主管部门报告,配合相关监督检查,并提供必要的技术支持。
(3)规范数据的开发、利用和共享。合理开发利用数据资源,防止使用自动决策技术处理数据时侵犯用户隐私和知情权。明确数据共享、开发和利用的安全管理和责任要求,审查和评估数据合作伙伴的资质和能力,监督和管理数据共享的使用。
(4)加强数据出口安全管理。在中华人民共和国境内收集、生成的个人信息和重要数据,应当依法在境内存储。因业务需要确需向境外提供数据的,应当通过数据出境安全评估并向省电信、工业、信息化等相关主管部门报告。省级电信主管部门应当会同工业和信息化主管部门做好数据备案、安全评估、监督检查等工作。
四是加强安全漏洞管理
(一)建立安全漏洞管理机制。落实国家关于网络产品安全漏洞管理的相关规定,建立车联网(智能联网车)安全漏洞管理机制,明确漏洞发现、分析、修复的工作程序,加强漏洞管理资源投入,确保漏洞得到及时修复和合理披露。
(2)加强安全漏洞的收集。加强脆弱性风险主动监测、风险评估和技术验证能力建设。建立漏洞信息接收渠道并保持开放,积极收集用户、上下游供应商、网络安全企业、研究机构等发现的漏洞信息。,并加强与漏洞收集平台的协作。鼓励建立脆弱性奖励机制。
(3)加强安全漏洞协同处理。发现或获悉企业网络设施、业务系统、智能联网汽车产品存在漏洞后,应立即采取补救措施,并将漏洞信息报送工信部网络安全威胁与漏洞信息共享平台。加强上下游产品或零部件漏洞的协同处置。如果用户需要采取软件和固件升级等措施修复漏洞,应及时将漏洞风险和修复方法告知可能受到影响的用户,并提供必要的技术支持。(编译/汽车之家陈豪)
以上内容由车家上传发布,查看原文。
百万购车补贴
㈢ 东软集团怎么样
东软集团还不错,从发展成果来分析,该集团多次获得相关荣誉,从产品服务来说,该集团产品服务安全、可靠。
1、发展成果
东软获得“2008中国信息产业年度公益企业奖”、“2008中国信息产业年度高成长性企业”称号(中国电子信息产业发展研究院、赛迪集团)
东软连续进入“全球IT服笑茄务100强”榜单,蝉联“亚洲新兴市场碰迹察外包十强”榜首,并于2009年入围全球“最佳表现IT服务提供商10强”和“人力资本发展10强”榜单(美国《全球外包》杂志和“全球外包服务咨询公司”)
2、产品服务
在产品工程解决方案领域,东软与世界一流的跨国公司开展合作,提供车载信息产品、数字家庭产品、移动终端和IT产品等嵌入式软件开发和服务。
在服务领域,东软提供包括IT咨询服务、应用开发和维护、套装应用软件服务、专业测试及性能工程服务与本地化服务、IT基础设施服务、IT教育与培训、业务流程外包(BPO)等服务业务。
公司现状
1991年,年轻的东北大学教授刘积仁在中国东北大学创立了东软。公司现拥有2万余名员工,在中国建立了8个区域总部,10个软件研发基地, 16个软件开发与技术支持中心,在60多个城市建立营销与服务网络;在美国、日本、欧洲、中东、南美设有子公司。东软是中国第一个上市的软件公州派司。
东软将“超越技术”作为公司的经营思想和品牌承诺。作为一家以软件技术为核心的公司,东软通过开放式创新、卓越运营管理、人力资源发展等战略的实施,全面构造公司的核心竞争力,创造客户和社会的价值,从而实现技术的价值。
以上内容参考:网络-东软集团
㈣ 网络IDC具体包括哪些
随着IDC这一名词越来越多地见诸于各媒体和评论,IDC(Internet数据中心)的技术、服务及发展也正被更多的人关注。
IDC的产生和Internet的发展及应用有非常紧密的联系。网络的普及、网上信息传递的便利和电子商务的发展,使网上的应用变得更关键,尤其是网络内容提供商、网络服务提供商、应用服务提供商等对自己网站系统的性能、成本、可靠性、可扩展性等的需求非常迫切。满足这一系列的需求除了要求能够方便、持续和低成本地获取高品质的网络带宽、硬件设备、技术支持和网管维护外,对机房的要求也非常严格,一般来说,电力、空调、消防、保安等都要求24小时不间断。
IDC就是为了满足用户的上述需求而出现的。作为一个IDC,首先要建立能够符合客户持续发展需求的高品质机房,同时能够大规模、集中地获取各种电信资源(光纤、带宽、中继线、专线等),拥有丰富的技术资源(各种专业技术人员,如网管工程师、服务支持工程师、新技术应用与研发人员、安全工程师、系统分析专家等),为用户的网络系统提供24×7的全天候基本服务和技术服务,从而使用户更专注于自己的核心业务,获得更多回报。
二、技术构筑IDC
在技术上,作为一个IDC服务的提供商,首先要使机房的标准满足用户的需求;同时,它要能够为不同应用的用户提供相应的网络服务和增值服务,使用户能够以较低的投入获取更多的资源和服务,更加专注于其核心业务,提高竞争力。具体来说,IDC涉及了以下4个方面的技术和服务。
1. 机房建设和运营
符合国际标准的电信级机房是IDC最基础的设施,机房建设和运营中要考虑的技术问题有:
● 电力供应 大规模机房面积供电容量的计算、n+1的冗余供电能力、UPS负载能力、电路自动切换能力、电缆的阻燃考虑、开关切换等。
● 温湿度控制 上千台高密度放置的服务器在运行中会引起温度上升,而温湿度对于服务器的正常工作和使用寿命都有很大影响,因此采用最合理的送风方式、智能的温湿度控制和告警都是设计中的关键。
● 机柜和线缆 独立供电、主/备电源、各种机柜配件、各种走线(五类线、单模/多模光缆、有线电缆)。
● 消防设施 防火和阻燃材料,温感和烟感火灾监测报警系统,气体灭火装置和完善的消防措施。
● 安全设施 能适合不同安全策略的门禁系统,全方位无死角闭路电视监控系统,红外报警系统,24小时的保安值守和紧急处理措施。
2. 网络建立和维护
各种网络资源和高速带宽资源是IDC服务能力和服务品质保证的基础,在网络的建立和维护中,需要最优化的网络设计、路由设计和网管能力保证。
● 网络设计 网络拓扑结构的设计要求达到各层节点完全冗余,数据传输和交换快速无阻塞,网络的扩展性好,整体网络结构合理。
● 各种接入 光纤、DDN、帧中继、DSL等。
● 路由技术 各种路由策略、动态路由协议。
● 网管技术 网络性能的监控、故障告警、趋势估计及各交换和路由节点的健康状况、紧急状况的用户自动告警系统等。
3. 用户网络系统的服务与管理
用户把部分或全部的服务器托管在IDC,对于这些系统正常运行的监控和告警是非常重要的。另外,能够给用户的技术主管和网络管理工程师更多的网络运行数据会为其在系统维护、故障排除、扩充规划中提供切实有效的帮助。这些监控具体包括:供电连续性监控、网络联通监控、流量监控、响应时间监控等。
4. 其他增值服务
对于从事电子商务、提供应用服务的网站来说,高速、不间断是其服务的根本,数据存储的安全性是其服务的保障。许多新的技术应运而生,一些传统的技术也在走向网络。因此,IDC业务内又派生了一些相应的增值服务及技术,如:数据备份、负载均衡、Cache技术、防火墙等。
三、客户需求驱动IDC
IDC的发展服务方向在很大程度上取决于其客户需求的进一步提高和发展,分析目前国外和国内较大规模的IDC,其服务主要集中在:
1. 基本服务
此服务以提供高品质的机房环境,有服务品质保证的带宽和网络资源租用以及现场的技术支持服务为主。大概分为:服务器托管、整机租用、大型客户的独立机房租用、各种专线接入服务。
2. 管理服务
管理服务为用户提供各种层面的监控和报告服务,以数据备份服务和网站高可用性服务为主。一般来说,有数据备份、网络状况和应用性能的监控、负载均衡服务。
3. 安全服务
安全服务是IDC向用户提供的安全防护服务。包括:管理防火墙和虚拟专用网(VPN)。
4. 专家服务
专家服务指的是根据用户的特别需求,提供从网站设计到托管管理的全面服务,能够提供此服务的IDC需要有应用、系统和网络各方面的工程师和很强的技术力量,目前在国内能够真正做到这种全面专家服务的只有少数几家IDC。
四、IDC的技术趋势
随着电子商务的不断发展,企业对托管业务的进一步了解和国内数据中心的不断完善,数据中心为客户提供一揽子可供选择的服务将很快成为必然。这一揽子服务包括:提供标准机房、服务器托管、带宽出租、监控、安全管理、提供应用软件和数据库的网络平台,进而为用户提供完整的网站系统解决方案。
另一方面,各项服务也会面向不同用户特性进一步细化,用户可以根据自身的应用特性选择不同的服务项目和不同的搭配,以实现用户利益的最大化。从技术方面,应该考虑几个不同层面的发展:
● 网络品质 不同的网络品质(路由交换等级、带宽供应能力和最小延迟保证)对应于不同的服务品质保证(SLA),也对应于不同的用户需求和不同的服务价格。将量化的网络品质应用在提供不同级别的服务上,可以更贴切地服务于用户。
● 集中的数据存储和备份 共享昂贵的存储设备和备份系统无疑是个非常好的方式,但是需要更合理的技术来保证所有的存储、备份数据的安全性和可靠性,以及高速的数据恢复能力。宽带的发展可以让更多的用户使用异地/远程数据备份的服务,以达到更高的安全保证。
● CDS技术 内容配送服务(Content Delivery Service)是将多点负载均衡和Cache技术结合起来,利用智能分配技术,将网站内容根据来访用户的地点,按照就近访问的原则分配到多个节点。CDS技术将网站的速度提高30%~50%,并节约大笔建设镜像站点的费用。
● 网络安全监控 除防火墙外,网络安全扫描、病毒扫描、实时安全监控和各种黑客防范措施都是建立在持续的技术发展基础上的。
总的来说,在IDC业务中,无论哪方面技术的发展都来源于三个方面:首先,越来越多的用户使用IDC服务使IDC的服务品种更加细化和层次化,由此需要采用更有创新性的技术;其次,用户更专注于其核心业务,需要将更多与IDC关联的工作以外包方式实现,这样就驱使IDC发展更多的技术来满足用户的需求;最后,新技术的出现促使IDC不断更新自己的技术来保持竞争力
㈤ 网络安全概念股有哪些 汉邦高科
网络安全概念股联动概念:信息安全概念股、软件板块
网络安全概念股活跃龙头:东软股份、榕基软件、启明星辰
网络安全概念股相关上市公司汇总:
东软集团(600718)赛迪顾问发布的《中国网络安全产品市场分析报告》显示,东软NETEYE在中国网络安全防火墙市场连续八年品牌排名第一,也是国内唯一在FW、SOC、IDS领域市场占有率全部进入前三名的安全品牌。2012年度,在网络安全领域,公司签约国家财政部、国家工信部、国家电网等多家客户,进一步巩固市场占有率。
启明星辰(002439)公司是国内最具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。公司在政府和军队拥有80%的市场占有率。网御星云信息技术有限公司,主营业务分为以安全网关为主的网络安全防护业务、应用与数据安全防护业务、全网安全管理业务三大类。
榕基软件(002474)公司主要为电子政务、信息安全、质检三电工程、协同管理等领域提供软件开发及系统集成服务,主要服务对象包括国内政府、军事机关、质检、电力和电信等行业。信息安全领域,公司是国内网络安全性与漏洞管理产品细分市场的龙头;
顺网科技(300113)派博软件主要从事网络安全系列产品的设计、开发和销售,根据用户的具体需求,针对性地开发网络安全的软硬件解决方案。
中创信测(600485)进军网络安全领域:2013年10月29日,公司发布进军互联网和移动互联网的首款可视可控产品IPROBE,该产品技术性能指标达到国际领先水平,为各个行业基于网络流量进行大数据分析的客户解决了全量数据采集和分析性能瓶颈的难题。产品可以将运营商网络中的“信令数据”与“互联网数据”相结合,提供实时全量数据分析。
蓝盾股份(300297)公司专注于企业级信息安全领域,构建了以信息安全产品为基础、覆盖信息安全集成和信息安全服务的完整业务体系。公司目前掌握的主要技术处于国内领先地位,其中蓝盾DDoS防御网关所采用的“零积累智能识别”等技术达国际先进水平。
北信源(300352)公司主营产品为终端安全管理产品、数据安全管理产品和安全管理平台产品等。其中,终端安全管理产品多年保持市场占有率第一,是公司的主要利润来源。目前客户端的用户数量已超过千万,管理的网络达数千个,涉及各行业上千家用户。
任子行(300311)公司获得的《涉及国家秘密的计算机信息系统集成资质证书(软件开发)》由国家保密局审定,凭此资质可在全国承接相关业务;公司获得的军用信息安全产品认证证书、涉密信息系统产品检测证书、产品销售许可证是产品用于国防军工、公安系统、互联网信息安全重要管理部门等国家特殊行业的必备通行证,其对产品的安全设计、涉密架构设计、性能要求都远远高于民用产品。
卫士通(002268)公司目前是商密资质最全、行业用户/分保建设的成功案例多、客户关系良好的国有控股上市公司,是国内最大密码产品供应商和特定敏感行业用户市场最大信息安全厂商,占据“信息加密/身份认证”细分市场23%的份额,名列第一。
立思辰(300010)公司提供包括文件全生命周期管理服务、文档安全管理、教育信息化及视音频解决方案等产品组合。在中国办公信息系统行业中排名本土企业中第一位、整体市场排名第二位。
美亚柏科(300188)公司是国内领先的电子数据取证与安全产品及服务提供商,在电子数据取证领域,2008年市场占有率国内第一,达到41.78%。公司主要客户为全国各级司法机关、行政执法部门等。
同有科技(300302)公司是国内领先的、专注于企业用户市场的民族存储厂商,主要从事数据存储、数据保护、容灾等技术的研究、开发和应用。相关数据存储产品及解决方案成功应用于工信部、公安部、上海世博会、工商银行等客户。
梅泰诺(300038)公司互联网安全检测业务由一支自动控制、结构工程等领域归国博士领衔的研发团队负责.该系统对通信塔的关键节点,通过传感器监控,保障通信塔安全。
清华紫光(000938)参股公司比威网络注册资本1.16亿元(公司占17.24%),拥有完全自主知识产权的高中低端的系列路由器、三层交换机、二层交换机、防火墙和其他网络安全设备,是少数可以同时提供高中低端路由器、交换机和网络安全产品的高科技企业。
㈥ 安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓
中科院云计算中心分布式存储联合实验室特讯: 近期,工信部网络安全管理局通报,暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。
近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
Apache Log4j 史上最大安全漏洞
先梳理一下阿帕奇严重安全漏洞的时间线:
11月24日
阿里云在阿帕奇(Apache)开放基金会下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。
获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
12月9日
中国工信部收到有关网络安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、网络安全企业、网络安全专业机构等开展研判,并向行业单位进行风险预警。
12月9日
阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。
12月10日
中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。
12月10日
阿里云在官网公告披露,安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
12月14日
中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
12月22日
工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。
在服务器的组件中,日志组件是应用程序中不可缺少的部分。而其中Apache(阿帕奇)的开源项目log4j是一个功能强大的日志组件,被广泛应用。
由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。即 攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得最高权限,控制对方服务器。通俗说,黑客通过这个普遍存在的漏洞,可以在服务器上做任何事。
有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。
国外网友以漫画说明Log4j2的重要性
该漏洞CVSS评分达到了满分10分,IT 通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、网络,网易、新浪以及特斯拉等全球大厂,悉数中招,众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞,可以说相当贴切。
据工信部官网消息,今年9月1日,工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到,根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。
此次事件中,作为我国云计算服务的头部供应商的阿里云,11月24日发现计算机史上最大的漏洞,是先向国外的Apache基金会报告,而未及时向主管部门报送漏洞信息。工信部得知情况,已经是12月9日,中间已经过了15天。这十五天,中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞,在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台,更加应以谨慎的心态承担起保障网络安全的责任。
国资云建设 安全自主可控为上
互联网时代,国家安全自然延伸到了网络。各个国家,都在想办法堵自己漏洞,找别人家的漏洞,甚至是隐藏的后门。同样的漏洞,那就是看谁率先掌握。国外的开源软件层出不穷的漏洞,隐没难寻的后门,应用于国家重要机构或事关 社会 民生的部门,其潜在危害难以估量。我们除了想方设法被动收集修复漏洞,还要大力发展和利用自主安全可控的技术,才能在互联网领域寻求战略平衡,保障国家安全。
所以说,阿里云的这次行动足以为戒,忽视国家各项数据安全法律法规,国家安全责任意识淡漠,将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商,如何让国家机构、央企国企放心将数据业务托管?
风险就在那里,警告从未缺席。国资云以安全自主可控、平稳可靠运行为上,才能确保国家安全,尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利,更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外,是互联网竞争环境的使然,也是数据安全责任的担当,更是时代赋予的使命。
“国资云”建设 大势所趋
经过深入研究分析,北京交通大学信息管理理论与技术国际研究中心(ICIR)认为, “国资云”建设是大势所趋,原因主要有以下三方面:
一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产,应纳入国资监管和统一管理,保护国有数据资产安全是建设国资云的核心目的;
二是“国资云”建设是保障国家重要数据安全的需要。近期,《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施,将数据安全提升到前所未有的高度,而国有企业的许多数据事关国家关键信息基础设施安全;
三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重,并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用,从基础到应用全方位推进信创工程步伐。
因此,“国资云”建设的重要意义在业界已达成高度共识。
国资云赋能云上安全 G-Cloud增强国企竞争力
国有企业是中国特色 社会 主义的重要物质基础和政治基础,是我们党执政兴国的重要支柱和依靠力量,国有企业不仅具有鲜明的政治属性,也具有强烈的经济属性和物质属性,坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此,国有企业更需要资产不断保值增值,规模不断发展壮大,盈利水平不断提高,这就要求国有企业必需使用最先进的生产工具,创造出最先进的生产力,保持在国际国内市场中的竞争力。
而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外,在Paas、Saas层面的技术创新速度非常快,产品迭代周期不断缩短,不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。
在激烈的市场竞争中,企业选择了什么类型、什么厂商的云服务,在一定程度上意味着企业使用了什么工具和武器,在很大程度上决定了企业的生产效率、管理效率和市场效率,也就决定了企业的竞争力。
国资云赋能云上安全,打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统,首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例,将有助于充分激活国企强劲的竞争力、影响力、带动力。
2021年11月, 国资云平台中科云(东莞) 科技 有限公司正式成立,由中科院、东莞市政府等多方投资的上市企业国云 科技 控股,国资背景加持,官方认可,国内顶尖 科技 机构技术背书,使用国内首个自主产权、安全可控的G-Cloud云操作系统,建设“国资云”, 赋能千行百业数字化转型升级,最大化优化国有资本布局,提高国有资本运营效能、产业互联和商业创新!
中科云凝聚服务政企信息化、数字化建设的核心团队, 联合产学研用各方力量,融合大数据、云计算、物联网等新一代信息技术,在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务,助力国资国企规模和实力的持续增长,实现高质量发展。