安全工信部通报阿里云,未及时上报重大漏洞,国资云建设刻不容缓
中科院云计算中心分布式存储联合实验室特讯: 近期,工信部 *** 安全管理局通报,暂停阿里云公司作为工信部 *** 安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患报告不及时, 再次为国家数据安全敲响警钟,国资云建设刻不容缓、势在必行。
近期,工业和信息化部 *** 安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部 *** 安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展 *** 安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
Apache Log4j 史上更大安全漏洞
先梳理一下阿帕奇严重安全漏洞的时间线:
11月24日
阿里云在阿帕奇(Apache)开放基金会下的开源日志组件Log4j2内,发现重大漏洞Log4Shell,然后向总部位于美国的阿帕奇软件基金会报告。
获得消息后,奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
12月9日
中国工信部收到有关 *** 安全专业机构报告,发现阿帕奇Log4j2组件存在严重安全漏洞,立即召集阿里云、 *** 安全企业、 *** 安全专业机构等开展研判,并向行业单位进行风险预警。
12月9日
阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞,漏洞利用细节公开,但更新后的Apache Log4j2.15.0-rc1版本被发现仍存在漏洞绕过。
12月10日
中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞;阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。
12月10日
阿里云在官网公告披露,安全团队发现Apache Log4j2.15.0-rc1版本存在漏洞绕过,要求用户及时更新版本,并向用户介绍该漏洞的具体背景及相应的修复方案。
12月14日
中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》,供相关单位、企业及个人参考。
12月22日
工信部通报,由于阿里云发现阿帕奇严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展 *** 安全威胁和漏洞管理,决定暂停该公司作为工信部 *** 安全威胁信息共享平台合作单位6个月。
在服务器的组件中,日志组件是应用程序中不可缺少的部分。而其中Apache(阿帕奇)的开源项目log4j是一个功能强大的日志组件,被广泛应用。
由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。即 攻击者只要提交一段代码,就可以进入对方服务器,而且可以获得更高权限,控制对方服务器。通俗说,黑客通过这个普遍存在的漏洞,可以在服务器上做任何事。
有关报道显示,黑客在72小时内利用Log4j2漏洞,向全球发起了超过84万次的攻击。利用这个漏洞,攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。
国外网友以漫画说明Log4j2的重要性
该漏洞CVSS评分达到了满分10分,IT 通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度,网易、新浪以及特斯拉等全球大厂,悉数中招,众多媒体将这个漏洞形容成“史诗级”“核弹级”漏洞,可以说相当贴切。
据工信部官网消息,今年9月1日,工业和信息化部 *** 安全威胁和漏洞信息共享平台正式上线运行。其中提到,根据《 *** 产品安全漏洞管理规定》, *** 产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。
此次事件中,作为我国云计算服务的头部供应商的阿里云,11月24日发现计算机史上更大的漏洞,是先向国外的Apache基金会报告,而未及时向主管部门报送漏洞信息。工信部得知情况,已经是12月9日,中间已经过了15天。这十五天,中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞,在利用这个漏洞进行 *** 攻击。作为新基建重要一环的云计算平台,更加应以谨慎的心态承担起保障 *** 安全的责任。
国资云建设 安全自主可控为上
互联网时代,国家安全自然延伸到了 *** 。各个国家,都在想办法堵自己漏洞,找别人家的漏洞,甚至是隐藏的后门。同样的漏洞,那就是看谁率先掌握。国外的开源软件层出不穷的漏洞,隐没难寻的后门,应用于国家重要机构或事关 社会 民生的部门,其潜在危害难以估量。我们除了想方设法被动收集修复漏洞,还要大力发展和利用自主安全可控的技术,才能在互联网领域寻求战略平衡,保障国家安全。
所以说,阿里云的这次行动足以为戒,忽视国家各项数据安全法律法规,国家安全责任意识淡漠,将国家 *** 安全置于巨大的危机之中。试问这样的第三方云服务商,如何让国家机构、央企国企放心将数据业务托管?
风险就在那里,警告从未缺席。国资云以安全自主可控、平稳可靠运行为上,才能确保国家安全,尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利,更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外,是互联网竞争环境的使然,也是数据安全责任的担当,更是时代赋予的使命。
“国资云”建设 大势所趋
经过深入研究分析,北京交通大学信息管理理论与技术国际研究中心(ICIR)认为, “国资云”建设是大势所趋,原因主要有以下三方面:
一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产,应纳入国资监管和统一管理,保护国有数据资产安全是建设国资云的核心目的;
二是“国资云”建设是保障国家重要数据安全的需要。近期,《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施,将数据安全提升到前所未有的高度,而国有企业的许多数据事关国家关键信息基础设施安全;
三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、操作系统、存储、数据库、中间件等国产信创产品比重,并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用,从基础到应用全方位推进信创工程步伐。
因此,“国资云”建设的重要意义在业界已达成高度共识。
国资云赋能云上安全 G-Cloud增强国企竞争力
国有企业是中国特色 社会 主义的重要物质基础和政治基础,是我们党执政兴国的重要支柱和依靠力量,国有企业不仅具有鲜明的政治属性,也具有强烈的经济属性和物质属性,坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此,国有企业更需要资产不断保值增值,规模不断发展壮大,盈利水平不断提高,这就要求国有企业必需使用更先进的生产工具,创造出更先进的生产力,保持在国际国内市场中的竞争力。
而云计算平台就是当前更先进的生产工具。云计算平台中除了计算、存储、 *** 、虚拟化等Iaas服务相对比较成熟外,在Paas、Saas层面的技术创新速度非常快,产品迭代周期不断缩短,不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。
在激烈的市场竞争中,企业选择了什么类型、什么厂商的云服务,在一定程度上意味着企业使用了什么工具和武器,在很大程度上决定了企业的生产效率、管理效率和市场效率,也就决定了企业的竞争力。
国资云赋能云上安全,打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云操作系统,首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例,将有助于充分激活国企强劲的竞争力、影响力、带动力。
2021年11月, 国资云平台中科云(东莞) 科技 有限公司正式成立,由中科院、东莞市 *** 等多方投资的上市企业国云 科技 控股,国资背景加持,官方认可,国内顶尖 科技 机构技术背书,使用国内首个自主产权、安全可控的G-Cloud云操作系统,建设“国资云”, 赋能千行百业数字化转型升级,更大化优化国有资本布局,提高国有资本运营效能、产业互联和商业创新!
中科云凝聚服务政企信息化、数字化建设的核心团队, 联合产学研用各方力量,融合大数据、云计算、物联网等新一代信息技术,在 *** 、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务,助力国资国企规模和实力的持续增长,实现高质量发展。
新西兰证交所 *** 崩溃,这是怎么回事?
应该是被不法分子利用黑客技术黑了,新西兰证交所 *** 表示要到下午才有可能恢复正常。
有谁知道新西兰FSP是什么吗?
新西兰FSP牌照解读
大家先了解新西兰FSP,新西兰FSP全称为Financial Service Providers Register,是指的在新西兰获得金融服务资质的企业,允许从事新西兰金融及相关行业。目前156新西兰FSP采用的申请6991前审核机制是全球范围内3780最严格的机制之一,并且针对在金融服务提供的过程中可能存在的纠纷制定了不同的解决方案,因此FSP监管在全球的信誉极佳。在新西兰当地从事金融活动,无论是否为公司唯一业务或主要业务,但凡涉及到金融领域所规定的项目,均需要申请登记新西兰FSP。
牌照的申请周期略长所以目前 *** 居多申请表周期三个月左右但是不排除极少数的券商注册,只是这样拉长了牌照注册等待的时间,及展业上线的时间, *** 周期10到15个工作日,新西兰牌照更名两次以上的价格会偏低一些,新注册之一次更名(只有一个曾用名)一般 *** 注册下来的(非客户自己注册)未使用过的全新的牌照,也很少有券商把时间花在等待下牌上。
新西兰FSP的活动可以包括:
1.Broking service (including a custodial service)
2.Wholesale and/or generic financial adviser services
3.Keeping, investing, administering, or managing money, securities, or investment portfolios on behalf of other persons
4.Being a creditor under a credit contract
5.Giving financial guarantees
6.Changing foreign currency
7.Trading financial products or foreign exchange on behalf of other persons
获取 *** 两种需要的准备的资料:
一、直接 *** 已经存在的牌照
需要身份证正反面照片,护照
1. 股东是公司,就需要公司注册证书+公司董事护照。
2. 股东是自然人,就需要护照+地址证明(一般用身份证的地址)
其他要求:
要在新西兰正式注册为 FSP,必须有一个本地办公室,一个当地主管和一个办公
室经理来运行它,并在新西兰代表公司,可以合法地开始操作,然后在企业证明其
合理性之后注册 FSP。
二.新注册获取新西兰牌照
需要新西兰国籍无犯罪记录董事公证过的有效省份证件、详细的简历、学位副本、财务顾问执照、护照
申请人要求的具体指:
在财务领域,尤其是他们将要申请的活动方面具有必要和要求的专业经验;
具有金融领域的专业资格;
已与当地合格员工或法定自然人代表成立办事处;
将以新西兰为基地的客户作为发展和开展其金融活动的主要目标市场;
其网站是否完全符合其被授予的财务活动;
建立了交易平台,并准备了行销策略
挂名董事解决方案: *** 提供雇佣新西兰籍人做挂名董事,不参与经营 ,不参与管理,不分享利益,不承担风险。
有人知道家长投诉南京大学新西兰预科项目骗人的真相吗?
这个家长投诉是竞争对手搞的鬼。具体原因说来话长了,其实南大是躺着中枪的。
首先分析一下这个家长为什么是假的?因为如果是一个真正的家长,遇到这种问题,首先要找学校,而不是去网上发帖。但是这个帖子从头到尾,没有提到一句他找南大的过程和细节。
最明显的例子是:这个所谓的家长说“江苏南大出国留学服务中心”是黑中介,原因不是因为他去找南大,南大说的。原因竟然是他分析出来的!!!认为这个机构在一个叫西苑状元楼的宾馆里面办公,所以肯定不是南京大学下属的正规机构。
这只能说是一个笑话。去过南京大学海外教育学院的人都知道,这个西苑状元楼宾馆就是南京大学海外教育学院的留学生宿舍楼,不是随便可以住的,因为首先要保障留学生住宿的需要。
在2008年前,整个南京大学海外教育学院都在这个西苑状元楼宾馆里面(当时叫西苑宾馆)。其中二楼是教室,2008年后改成了餐厅,交给了状元楼管理,所以这个宾馆也就改成了现在这个名字。三楼则是海外教育学院老师的办公场地。
2008年后,这个宾馆边上的 *** 楼盖好了,海外教育学院搬过去了,就把整个三楼一层都留给了海外教育学院直属的“江苏南大出国留学服务中心”办公使用。
很明显,这个假冒的家长没有去过南大,只是看了南大的项目介绍网站,就瞎猜了。做出了这么离谱的分析。
那么为什么说这个风波中,南京大学是躺着中枪呢?原因很简单,这次发黑贴的人,是冲着新西兰方面去的。
在这个家长的所谓投诉中,他的孩子去了新西兰后,被送到了UNITEC校园内新西兰商学院租用的几栋楼里面学习语言,说新西兰商学院是一所语言学校,文凭教育部不承认,上当受骗了!新西兰商学院只是租了UNITEC的楼而已,并非真正在UNITEC读书。
真正的情况是,这个项目的学生去了新西兰,是拿着新西兰商学院与UNITEC的双重录取通知书去的。在UNITEC校园内,学生也拥有UNITEC的学生卡,可以自由通行,UNITEC的图书馆、餐厅想去就可以去的。
难道新西兰比某些国家还腐败,校外机构,不仅可以租用一所大学的楼来上课,还可以弄到这个学校的录取通知书、校园身份卡?
新西兰可是世界上腐败程度更低的国家之一,这种话也编得出来,只能说是气急败坏了。
那么新西兰商学院到底是一个什么机构,与UNITEC及其与四所项目学校是什么关系呢?
就长话短说吧。新西兰商学院是中国驻新西兰大使馆官方认证的新西兰私立高等学校,办学层次为:本科、大专、预科。大家注意,这里面唯独没有那位家长指控的“语言学校”。很明显,这是一所大学!
新西兰商学院是专门针对日本、韩国招生,开办高尔夫、马术等高端商务课程的专门学府。虽然是私立的高校,但是声誉在新西兰高等教育界是非常好的。
南京大学新西兰预科项目的更大特色是免雅思,可直升新西兰五所国立大学本科学习。
听上去是不是很诱人?但是不太符合常理啊!
为什么呢?因为不考雅思,如何确认学生的学习水平呢?新西兰这五所本科大学毕竟也是世界500强高校,如果课都听不懂,如何去读本科课程呢?这新西兰的大学也不会自毁声誉啊!
但是,地球是圆的,既然新西兰迫切的需要中国留学生,那么总能想到一个突破口的。这不,南京大学、新西兰商学院与UNITEC为首的5所国立大学一起设计出了一个方案,也就是现在的南大新西兰预科项目。
这个方案是这样子的:
在国内:
由南京大学负责组织招生和开设纯外教预科课程。注意,这里是纯外教预科,而不是开英语培训班,这一点很重要,如果是纯粹的英语强化,半年时间是无法让学生做到英语过关的,只有开设真正的用英语教学的专业课程,才能让学生找到用英语听课和学习的效果,才能在6个月内达到读新西兰大一课程的水平。但是为什么其他预科项目都是要读一年,而南大这个却只要读半年呢?
因为其他项目想多赚钱。开一年的课程学费可以多收,这也是为什么其他新西兰预科学费都收6万,而南京大学新西兰预科只收4万的原因。
毕竟在国外学习,英语能力的提高会更快,所以为了学生的利益,南京大学海外教育学院最终选择了6个月的预科,学费也相应的降低了很多。这个,也是南大这次受到了 *** 水军攻击的原因之一。
而南大呢,也的确强加了这6个月的教学管理,聘请了更好的外教,同时强化教学管理,学生必须集中晚自习,而且每堂课,包括晚自习,都有老师点名,检查学生的出勤率。这一点也是许多家长非常欣赏的地方。
还有一个原因就是南大海外教育学院的氛围非常好,特别是这个西苑状元楼宾馆,简直就和联合国大厦一样,外国人比中国人要多得多。所以在这种氛围下,学生英语水平的提高非常快。
在国外:
之一站,是读大一。这个项目的特点是,大一必须集中在UNITEC读书。而不是直接进入5所大学各自专业就读。
原因说起来有点好笑,那就是新西兰的大学也怕中国的独生子女!
新西兰其实是最早接受中国自费留学生的国家,早在90年代末,21世纪初,美国、欧洲留学还没有放开之前,新西兰就接纳了大量的中国自费留学生,所以对于中国独生子女的教学管理也经验丰富、教训深刻。
在开办这个免预科留学项目的时候,5所大学非常谨慎,为了防止学生在没有海外生活经验、学习能力参差不齐的情况下,直接混入新西兰大学新生中可能产生的种种问题,这次,他们联合达成了一个协议,请第三方学校来集中管理这批大一新生。
而这5所学校唯一能够达成共识的机构就是:新西兰商学院。因为它是新西兰声誉更好的私立高等学校,而且有长期与亚洲学生打交道的经验。
所以,不是新西兰商学院租了UNITEC的一栋楼,而是UNITEC特批了一栋楼给这个项目专用,并请新西兰商学院进行管理。UNITEC没有合适的机构和人去做这种管理工作,毕竟这批学生将来很多会去其他学校就读。
而对于中国学生而言,在南京大学经过半年的互相熟悉之后,形成了相对固定的同学圈子,再集体出国就读在一个异国的新环境中,对于其适应新西兰的学习生活环境是非常好的,大大减少了学生迷失、学坏的可能性。而新西兰商学院则承担了教学管理工作,负责大一公共课的教学工作,部分专业课程,则由UNITEC来开设。
经过一年的大学生活,学生对于新西兰、对于新西兰的大学体系都不再陌生了,这个时候,再通过新西兰高校灵活的转学、转专业机制,就可以非常方便的转入到5所学校中的一所,进入自己喜欢的专业进行学习了。最后拿到的也是这5所大学的毕业证。
有没有前提条件呢?当然有,这5所学校,根据层次不同,对于学生的学习成绩还是有一定要求的,其中要求更高的是坎特伯雷大学,要求成绩都在B以上。其他4所学校相对低一些。
那么会不会出现没有学可上的情形呢?应该没有学上的可能性不大,但是重读大一的可能性是有的。为什么呢?因为如果学生长期坚持不听课、不做作业,你觉得这样的学生应该让他去读大二吗?
更何况是对教学要求更为严格的西方高校?
那么为什么是UNITEC,而不是其他高校呢?其实道理也很简单,如果你大一在UNITEC学习了一年,到了第二年开始选学校、选专业,你会首先选择那所学校呢?要是我,肯定就选UNITEC了。
对于新西兰大学而言,中国留学生都是钱啊!所以,这5所学校之间其实也是有竞争关系的,具体什么情况不得而知,但是UNITEC肯定是在这场竞争中获胜了。
这就是这个项目能够免雅思的秘密,通过聘请新西兰商学院管理大一学生,让5所国立大学能够在不考雅思的情况下筛选出学生的好坏,同时避免了最困难的学生过渡阶段的管理工作。而新西兰商学院因为有丰富的亚洲学生语言教学经验,也可以在学生读大一时,如果遇到语言困难,还可以提供免费的英语强化课程。
那么为什么会出现网上冒充家长恶意攻击南大新西兰预科项目的事情呢?为什么说南京大学这次是躺着中枪呢?
这个故事原本也不复杂,简单点说。就是这个项目以前的中国合作伙伴与新西兰商学院、这5所新西兰大学闹翻了!他们要报复,所以就选择了这个项目在国内更大的、也是最有影响力的合作方:南京大学。
这个项目最早是和四川的西南交通大学合作的。合作方一共有4个人,由于项目太受欢迎了,太赚钱了,所以这四个人也闹翻了。
呵呵,这就是中国人的特点。
其中有2位出来单干了,找到了上海交通大学,不过这次,他们心太大了,认为自己实力更强了,有了更大的靠山,所以向新西兰合作方开出了对方无法接受的条件。结果,人家不和他们合作了,转而找到了南京大学。
不过没有关系,新西兰的大学不多,国立的一共有8所,5所不合作,还有剩下的3所,不过奥克兰大学排名之一,眼界更高,单独招生,必须要雅思成绩,那就只好去和剩下的大学合作了。而且因为是利益原因和5所大学闹翻的,那自然要找一个能够提供更多利益的新合作方,这种不平等条件自然只有不正规的语言学校才会答应!
但是这剩下的大学知名度太低,怎么办呢?那就继续打原来项目合作院校的招牌。只是万万没有想到,常在河边走,哪有不失鞋?
今年5月,新西兰林肯大学的一位校领导与新西兰商学院校长一起来中国走访合作院校,结果在昆明,你没有看错,就是在昆明的海外留学展上,意外的碰到了上海交通大学的新西兰项目。
一看,上面写着新西兰林肯大学的字样,再一看,人好像也似曾相识,唯一的问题是,林肯大学可没有授权上海交通大学为他们招生啊!
新西兰的老外也是老外,和中国人不同,不会通融,直接上去,拿了几分传单,就正告对方:你们已经侵权了,我们将在上海对你们采取法律行动!
因为林肯大学在上海是设有常驻办事处的。
这样一来,就把曾经的合作方,现在的破坏者给彻底得罪了。断我的财路?这个自然要报复!但是报复林肯大学肯定没戏,于是南京大学就成为了替罪羊!成为了这次 *** 疯狂发帖报复的对象。
不过南京大学也是一流名校,立即采取了两项重要的措施来应对:
1、报警,聘请律师,直接走法律途径。
2、重新修订项目合同,直接在新合同中对于大一、大二的就读学校做出明确承诺,大大方方的解释新西兰商学院的地位、作用,以及大二直通5所国立本科的承诺。全部写在合同里面。这也成为了目前国内唯一一个敢于承诺到大二的预科项目。又一次的打破了旧的行规!看看这次还会不会继续出现新的造谣攻击事件呢?
注:传统留学中介或出国预科项目,都只承诺到送出国,办好签证为止。从来没有过承诺出国之后读完一年后还能继续负责的说法。
所以说,这就是为什么,在中国,好的留学项目总是会遭到逆淘汰的原因。大量的家长宁愿相信网上漏洞百出的匿名帖子,也不愿意相信自己眼睛可以看到的事实。
0条大神的评论