阿里云再遇风波,云服务安全还是首要责任

周应梅2021-12-22 21:30

记者 周应梅  12月22日,阿里巴巴(9988.HK)当日开盘股价高涨后,呈现回落。当天,阿里巴巴开盘一度涨超5%,收盘涨幅回到0.88%。

此前的12月17日,工信部曾发布阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示,该高危漏洞由阿里云发现。记者就此事最新情况采访阿里云,截至发稿未收到回复。

云服务企业要把关的安全风险

“累计防护全国网站40%,每天抵御攻击50亿次,每年帮助用户修复734万个漏洞。”在阿里云官方网站,这三个数据都与安全防御有关。

12月17日,工信部网络安全管理局曾发布一则关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示。其中提到,近日阿里云发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。

据记者了解,工信部网络安全威胁和漏洞信息共享平台(简称CSTIS平台)于2021年9月1日上线,是一个汇集、通报漏洞信息的共享平台,合作伙伴基本覆盖了基础电信企业、互联网企业、网络安全企业。中国电信、中国移动、阿里云、腾讯、京东、360、百度在内的31家企业都是该平台合作伙伴。

据介绍,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。

也就是说这个程序不只关系到阿里云,而是关系到所有使用Log4j2组件进行开发和应用的公司。

在收到阿帕奇Log4j2组件安全报告后,工信部已组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。工信部网络安全管理局将持续组织开展漏洞处置工作。

作为国内第一大公有云平台,阿里云自身出现过安全性问题。此前8月份,因为用户信息被泄露给第三方,用户长期遭遇广告推销问题也引发过讨论。当时有阿里云用户向记者反馈多次接到与阿里云相关的第三方推销电话,对方能准确说出用户姓名,以及用户阿里云上服务器上使用的公司名称。

当时浙江省通信管理局答复投诉事项函中明确,2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息透露给第三方合作公司。8月23日,阿里云在其官方微博回应,据自查,阿里云一电销员工利用工作便利私下获取客户联系方式,并透露给分销商员工,由此引发客户投诉。

另外,2019年2月,阿里云代码托管平台因隐私权限设置问题引发争议。

领头云市场

成立于2009年9月,此前阿里云经历了10年亏损,截至2020年12月31日季报数据EBITA才呈现扭亏为盈。

2022财年二季度财报,阿里云为集团贡献营收200亿元,同比增长33%。互联网、金融服务、零售行业的客户收入增长推动所致。阿里云贡献的营收占比保持10%左右,今年二季度和去年同期一致。

而阿里云的赚钱能力也在跟上。2022财年二季度,经调整阿里云EBITA为盈利3.96亿元,相比之下,阿里的数字媒体及娱乐EBITA亏损9.31亿元,包含钉钉的创新业务EBITA亏损28.82亿元。

据市场调研机构IDC公布2021年一季度数据,中国公有云市场,一季度IaaS+PaaS市场规模达46.32亿美元,阿里云以40%的市场份额排名第一,并列第二位的腾讯云和华为云份额均为11%,中国电信天翼云、AWS占比分别是8%和7%。

阿里云在国内的市场份额远高于其他云计算服务公司。放眼全球市场,Gartner报告显示,全球IaaS云基础设施市场上,阿里云也排到了第三位,仅次于亚马逊和微软。2020年阿里云全球市场份额9.5%。

从阿里自身来看,阿里云是阿里的增长业务。截至9月31日三个月的2022财年二季报显示,零售等业务增长放缓后阿里云、钉钉等业务营收同比增长保持在30%以上。

阿里云将自身的优势概括为自研技术,一方面是拥有强大的数据库,另一方面持续投入开源操作系统,计划再投20亿元作为专项资金。

12月17日,阿里巴巴投资者日上,阿里云智能总裁张建锋表示,阿里云付费用户超过400万,其中62%为A股上市公司。在海外市场,阿里云也在25个地区建立了数百座云数据中心。

版权声明:以上内容为《经济观察报》社原创作品,版权归《经济观察报》社所有。未经《经济观察报》社授权,严禁转载或镜像,否则将依法追究相关行为主体的法律责任。版权合作请致电:【010-60910566-1260】。
TMT新闻部记者
关注并报道TMT(科技、传媒、通信)领域重大事件,擅长人物采访、深度报道。
联系邮箱:zhouyingmei@eeo.com.cn
Baidu
map