信息化觀察網(wǎng)

近期，工信部網(wǎng)絡(luò)安全管理局通報，暫停阿里云公司作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。由于阿里云發(fā)現(xiàn)阿帕奇嚴重安全漏洞隱患后報告不及時，給國家安全造成威脅。

由于Apache Log4j未取得用戶身份認證，就可以從遠程發(fā)送數(shù)據(jù)請求輸入數(shù)據(jù)日志，輕松觸發(fā)漏洞，最終在目標上執(zhí)行任意代碼。即攻擊者只要提交一段代碼，就可以進入對方服務(wù)器，而且可以獲得最高權(quán)限，控制對方服務(wù)器。也就是說，黑客通過這個普遍存在的漏洞，可以在服務(wù)器上做任何事。

眾所周知，Apache Log4j是被全球廣泛應(yīng)用的組件，影響的行業(yè)有，IT通信（互聯(lián)網(wǎng)）、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運營商等各行各業(yè)。

有關(guān)報道顯示，黑客在72小時內(nèi)可利用Log4j2漏洞，向全球發(fā)起了超過84萬次的攻擊。利用這個漏洞，攻擊者幾乎可以獲得無限的權(quán)利，如竊取敏感信息、中斷設(shè)備服務(wù)、刪除數(shù)據(jù)、安裝勒索軟件、或進一步散播到其它服務(wù)器，造成更大規(guī)模的攻擊事件。

任何系統(tǒng)程序的缺陷只有被發(fā)現(xiàn)才稱之“漏洞”，未被發(fā)現(xiàn)以前其實漏洞本身就是存在的?！?021年中國軟件供應(yīng)鏈安全綜合分析報告》，對2557個國內(nèi)企業(yè)軟件源代碼進行分析發(fā)現(xiàn)：近九成存在漏洞，平均每千行代碼中有10個缺陷，而高危缺陷密度為1.08個/千行。

使用互聯(lián)網(wǎng)本身就是在不斷的進行數(shù)據(jù)交互的過程，而無處不在的漏洞又是不可避免的。所以，處于互聯(lián)網(wǎng)中的數(shù)據(jù)其安全性是不可控的。

商務(wù)密郵建議：

政企機構(gòu)盡可能使用國內(nèi)安全機構(gòu)全知識產(chǎn)權(quán)，自主研發(fā)的軟件系統(tǒng)。重點管控開源軟件的使用，持續(xù)監(jiān)測和降低開源軟件的安全風(fēng)險。

自行開發(fā)軟件系統(tǒng)或委托第三方定制開發(fā)軟件系統(tǒng)時，應(yīng)遵循軟件安全開發(fā)生命周期管理流程，定期對軟件源代碼進行安全缺陷檢測和修復(fù)，建立完善的產(chǎn)品維護機制，及時發(fā)現(xiàn)和修補漏洞。

商務(wù)密郵作為國內(nèi)數(shù)據(jù)安全的保衛(wèi)者，時刻關(guān)注全球安全態(tài)勢，不斷加固產(chǎn)品安全性，為政企機構(gòu)提供更加安全的郵件產(chǎn)品。商務(wù)密郵全系產(chǎn)品均采用自主研發(fā)，為用戶提供從郵件建立到郵件收發(fā)、郵件存儲、郵件管控全周期的郵件安全防護方案，可幫助政企機構(gòu)建立高效、安全、穩(wěn)定、合規(guī)的郵件安全體系。

商務(wù)密郵還針對內(nèi)部郵箱進行管控，有效降低內(nèi)部郵件外泄風(fēng)險，如郵件加密、郵件防泄漏、郵件溯源跟蹤、郵件審計歸檔等管理策略，全面保障政企通信安全。