安全工信部通报阿里云，未及时上报重大漏洞，国资云建设刻不容缓

中科院云计算中心分布式存储联合实验室特讯： 近期，工信部网络安全管理局通报，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。此次事件源自阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患报告不及时， 再次为国家数据安全敲响警钟，国资云建设刻不容缓、势在必行。

近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Apache Log4j 史上最大安全漏洞

先梳理一下阿帕奇严重安全漏洞的时间线：

11月24日

阿里云在阿帕奇（Apache）开放基金会下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

获得消息后，奥地利和新西兰官方计算机应急小组立即对这一漏洞进行预警。新西兰方面声称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。

12月9日

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

12月9日

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j2150-rc1版本被发现仍存在漏洞绕过。

12月10日

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2150-rc2版本修复漏洞。

12月10日

阿里云在官网公告披露，安全团队发现Apache Log4j2150-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月22日

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

在服务器的组件中，日志组件是应用程序中不可缺少的部分。而其中Apache（阿帕奇）的开源项目log4j是一个功能强大的日志组件，被广泛应用。

由于Apache Log4j存在递归解析功能，未取得身份认证的用户，可以从远程发送数据请求输入数据日志，轻松触发漏洞，最终在目标上执行任意代码。即 攻击者只要提交一段代码，就可以进入对方服务器，而且可以获得最高权限，控制对方服务器。通俗说，黑客通过这个普遍存在的漏洞，可以在服务器上做任何事。

有关报道显示，黑客在72小时内利用Log4j2漏洞，向全球发起了超过84万次的攻击。利用这个漏洞，攻击者几乎可以获得无限的权利——比如他们可以 提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。

国外网友以漫画说明Log4j2的重要性

该漏洞CVSS评分达到了满分10分，IT 通信（互联网）、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及，全球互联网大厂、 游戏 公司、电商平台等都有被影响的风险。 比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度，网易、新浪以及特斯拉等全球大厂，悉数中招，众多媒体将这个漏洞形容成“史诗级”“核d级”漏洞，可以说相当贴切。

据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

此次事件中，作为我国云计算服务的头部供应商的阿里云，11月24日发现计算机史上最大的漏洞，是先向国外的Apache基金会报告，而未及时向主管部门报送漏洞信息。工信部得知情况，已经是12月9日，中间已经过了15天。这十五天，中国的互联网简直是在裸奔。这期间已经有黑客掌握了这个漏洞，在利用这个漏洞进行网络攻击。作为新基建重要一环的云计算平台，更加应以谨慎的心态承担起保障网络安全的责任。

国资云建设 安全自主可控为上

互联网时代，国家安全自然延伸到了网络。各个国家，都在想办法堵自己漏洞，找别人家的漏洞，甚至是隐藏的后门。同样的漏洞，那就是看谁率先掌握。国外的开源软件层出不穷的漏洞，隐没难寻的后门，应用于国家重要机构或事关 社会 民生的部门，其潜在危害难以估量。我们除了想方设法被动收集修复漏洞，还要大力发展和利用自主安全可控的技术，才能在互联网领域寻求战略平衡，保障国家安全。

所以说，阿里云的这次行动足以为戒，忽视国家各项数据安全法律法规，国家安全责任意识淡漠，将国家网络安全置于巨大的危机之中。试问这样的第三方云服务商，如何让国家机构、央企国企放心将数据业务托管？

风险就在那里，警告从未缺席。国资云以安全自主可控、平稳可靠运行为上，才能确保国家安全，尽到 社会 责任。第三方云服务商难以超越企业自身的稳健盈利，更不要说将国家安全、公共利益、亿万民众福祉放在首位。国资云的建设将第三方云服务商排除在外，是互联网竞争环境的使然，也是数据安全责任的担当，更是时代赋予的使命。

“国资云”建设 大势所趋

经过深入研究分析，北京交通大学信息管理理论与技术国际研究中心（ICIR）认为， “国资云”建设是大势所趋，原因主要有以下三方面：

一是“国资云”建设是国有资产管理的需要。国企数据资源属于国有资产，应纳入国资监管和统一管理，保护国有数据资产安全是建设国资云的核心目的；

二是“国资云”建设是保障国家重要数据安全的需要。近期，《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》相继颁布实施，将数据安全提升到前所未有的高度，而国有企业的许多数据事关国家关键信息基础设施安全；

三是“国资云”建设是信创工程落地的重要抓手。在“国资云”数据中心逐步加大CPU、 *** 作系统、存储、数据库、中间件等国产信创产品比重，并鼓励国产信创业务系统与“国资云”数据中心基础设施适配应用，从基础到应用全方位推进信创工程步伐。

因此，“国资云”建设的重要意义在业界已达成高度共识。

国资云赋能云上安全 G-Cloud增强国企竞争力

国有企业是中国特色 社会 主义的重要物质基础和政治基础，是我们党执政兴国的重要支柱和依靠力量，国有企业不仅具有鲜明的政治属性，也具有强烈的经济属性和物质属性，坚定不移地将国有企业做强做大做优是党和人民对国有企业的基本要求。因此，国有企业更需要资产不断保值增值，规模不断发展壮大，盈利水平不断提高，这就要求国有企业必需使用最先进的生产工具，创造出最先进的生产力，保持在国际国内市场中的竞争力。

而云计算平台就是当前最先进的生产工具。云计算平台中除了计算、存储、网络、虚拟化等Iaas服务相对比较成熟外，在Paas、Saas层面的技术创新速度非常快，产品迭代周期不断缩短，不同的厂商提供的云平台服务在技术领先性、服务稳定性、用户覆盖面等方面具有非常大的差异。

在激烈的市场竞争中，企业选择了什么类型、什么厂商的云服务，在一定程度上意味着企业使用了什么工具和武器，在很大程度上决定了企业的生产效率、管理效率和市场效率，也就决定了企业的竞争力。

国资云赋能云上安全，打造排除第三方云服务商的行业专属私有云。 中科院云计算中心自主研发的G-Cloud云 *** 作系统，首要胜在安全。 其次G-Cloud在智慧城市、智慧医疗、智慧教育、智慧交通等领域的成功案例，将有助于充分激活国企强劲的竞争力、影响力、带动力。

2021年11月， 国资云平台中科云（东莞） 科技 有限公司正式成立，由中科院、东莞市政府等多方投资的上市企业国云 科技 控股，国资背景加持，官方认可，国内顶尖 科技 机构技术背书，使用国内首个自主产权、安全可控的G-Cloud云 *** 作系统，建设“国资云”， 赋能千行百业数字化转型升级，最大化优化国有资本布局，提高国有资本运营效能、产业互联和商业创新！

中科云凝聚服务政企信息化、数字化建设的核心团队， 联合产学研用各方力量，融合大数据、云计算、物联网等新一代信息技术，在政府、医疗、教育、交通、智能制造等多行业、多领域提供新型基础设施建设、数据分布式存储服务，助力国资国企规模和实力的持续增长，实现高质量发展。

随着网站服务器技术的发展，越来越多的站长建站首先选择云服务器。时下阿里云云服务器ECS脱颖而出，成为多数站长网站服务器的首选。那么对于刚刚接触云服务器的站长来说，如何选择适合网站的阿里云云服务器ECS *** 作系统，阿里云云服务器ECS的 *** 作系统有什么区别，阿里云linux服务器和windows服务器有何不同呢。
首先，我们要清楚的便是每个系统之间的差别，以及在阿里云上的差别：
1 Windows
11) 系统内含正版激活。
12) 适合于运行Windows下开发的程序，如net等。
13) 支持SQL Server等数据库(需自行安装)。
14) 可以使用远程桌面方式登录进行管理。
注：512内存不支持选择Windows系统，1G以上内存才能很好支持该系统。
2 Linux
211) 最流行的服务器端 *** 作系统，强大的安全性和稳定性。
212) 免费且开源，轻松建立和编译源代码。
213) 通过SSH方式远程访问您的云服务器。
214) 一般用于高性能web等服务器应用，支持常见的PHP/Python等编程语言，支持MySQL等数据库(需自行安装)。
22 CentOS (推荐)请使用yum方式在线安装软件。
23 Ubuntu请使用aptitude方式在线安装软件。
24 Debian请使用apt-get方式在线安装软件。
25 Aliyun Linux(兼容 Red Hat)请使用yum方式在线安装软件，yum源需要自行购买redhat的商业支持。
*** 作系统更换规则：
1更换 *** 作系统
更换系统之前请先停止云服务器，云服务器更换 *** 作系统会直接重置系统盘IP不变，系统盘数据将会丢失!
请您注意：
11 更换 *** 作系统会使云服务器的系统盘更换为新的镜像，原有系统盘的数据都会丢失。
12 云服务器数据盘的数据不会受到影响。
13 建议您将系统盘的个人数据备份到数据盘中，或采用其他方式进行备份。
14 因您没有备份系统盘相关个人数据而造成的数据丢失，阿里云不承担责任。
15 内存为512M云服务器不支持更换Windows *** 作系统。
2 CPU/内存与 *** 作系统的选择
21)如需选择/变更4G以上内存请您选择64位 *** 作系统(32位 *** 作系统存在寻址限制)。
22) 如您选择32位 *** 作系统，4G以上内存页面暂不展示，只有云服务器更换为64位 *** 作系统才可展示。
23)Windows 32位 *** 作系统支持最高CPU为4核。
24)配置：[CPU：1核;内存：512M] 的云服务器不支持选择/更换Windows *** 作系统。
Windows篇
阿里云提供了6种window系统，涵盖了Server 2003 sp2以及Server 2008 R2这两大类 *** 作系统。
其中又分为了32位和64位
(1)如何选择32位还是64位
32位系统相比64位系统，最主要的限制体现在内存的大小上。因为32位本身的限制，其最大只可支持到4GB内存，如果您的网站要使用高于4GB的内存或者以后有扩充内存寻到4GB以上的打算，请使用64位 *** 作系统。
(2)选择2003还是选择2008
对于windows来说，我个人建议是选择版本越高的越好。相对来说新版本漏洞相对来说更少，而且IIS 75相对于IIS6提供了更多的功能以及更方便的控制台。但是考虑到大家的机器配置不同，在此给出一下几种选择：
A：配置低于双核 2GB内存：选择server2003 不装数据库配置双核4GB： server 2003 mssql 或者 server 2008 R2 不带数据库
B：配置高于双核 8GB：serever 2008 R2 mssql 建议如果大家要在云服务器上跑数据库，尽量选择大内存配置，或者降低配置去选用RDS
(3)中英文、安全加固版如何选择
这个就依据大家各自的喜好来了，在此不多说了至于Windows服务器配置教程，因为网上教程很多而且相对于Linux来说Windows配置难度更低，所以Windows的配置教程会比较晚的放出。
Linux篇
(1)这些linux大类有什么区别
Debian：用的deb包，使用APT包管理系统。
同时Debian提供了大多数软件比较新的版本，并且提供了更多的软件包(相对于原版Red Hat)。Debian的优点在于更新迅速，软件包完善(Ubuntu尤其)， *** 作便利。缺点是部分时候稳定性欠佳，跟进最新软件有可能存在Bug。
Centos：用rpm包，使用yum包管理系统。
相对于Debian来说，Centost的一大特点就是慢。大部分软件停留在稳定版本，而且相距最新版版本也差较多。而且某些新版软件的一些新特性支持也比较慢，比如php-fpm。
因为Centos是面向企业用户提供的 *** 作系统，所以在稳定性上十分突出，一般在新功能或稳定性的选择上更倾向于后者。只有当某个功能完全确定稳定了，才会加入到系统里。优点是系统稳定，技术文档完善，如果付费的话能得到企业级别的技术支持。缺点是软件包比较老旧，而且一些较新功能会欠缺。
总结一下：如果你喜欢尝鲜，喜欢用最新的功能或喜欢折腾系统，那么Debian是个更好的选择。
上手难度 Ubunt<Debian<Redhat=Centos
(2)Debian与Ubuntu的选择
Ubuntu是基于Debian所开发，可以简单地认为Ubuntu是Debian的功能加强版。
与Debian相比，Ubuntu提供了更人性化系统配置，更强大的系统 *** 作以及比Debian更激进的软件更新。
Ubuntu与Debian比较，可以认为Debian更趋向于保守一些，Ubuntu对新手友好度更高，上手更容易。
用过Ubuntu的都会体会到它的易用，反之如果用过Ubuntu再换到别的系统，都会觉得不适应，Ubuntu真的很方便。
个人建议，如果你打算选择Debian类的，建议选择Ubuntu。
Ubuntu提供了更好的 *** 作，更激进的软件更新，更方便管理软件以及相差无几的稳定性。
如果你不想放弃稳定，那么请选择Debian。
关于Ubuntu版本选择：
在此解释下Ubuntu的版本支持时间。Ubuntu普通版本只提供18个月的技术支持，过期则不管。
服务器版本提供长达五年的技术支持。所以建议大家选择1204 版，提供长达5年的技术支持，可以确保在静候相当长的一段时间内你的服务器可以继续收到系统升级补丁以及可用的软件源。
(3) Centos 的选择
对于阿里云Centos的选择，建议选择Centos 65版本，带来了更多的新特性以及更多的新功能。
除非你的软件需要php 51的环境，那么就选择Centos65。如果网站需要支持php51，只能选用Centos 58。
至于具体版本选择，建议php 51用户选择Centos 58，其他的用户则为Centos 65。

iis配置php需要配置iis，具体教程网上很多，mysql 安装后有些不能远程连接，需要设置用户，navicat连接mysql，navicat是客户端的，如果不能连接看看mysql的用户和端口，一般不会出现问题；ftp服务器端要安装服务器的ftp，客户端才能连接ftp，你在服务器设置了ftp的目录权限用户和密码，客户端直接连接，就可以直接修改代码，（代码放在服务器端的ftp知道得目录里，iis的站点也指定到ftp代码目录里）
iis+php是一个
php连接mysql是一个
navicat连接mysql是一个
ftp是单独的一个，你要分清，不能混为一谈，还有就是云服务器和普通的服务器几乎是没有什么区别

不同类型的服务器价格不同。 以ECS计算类型c5为例：2核4G-1年¥51840，4核8G-1年¥94800。

阿里云ECS云服务器租赁价格由三部分组成：

也就是说，云服务器配置成本+磁盘价格+网络宽带价格。 需要说明的是，不同地区的宽带价格也不同，因此不同地区的路由器的云服务器价格也不同。

阿里云服务器配置分为入门级配置和企业级配置。 云服务器的配置更换方法可以按容量（小时）计费，可以按月计费，也可以按年计费。

阿里云服务器各项配置的推荐：

进阶类型：2核4GB 1M 40G系统磁盘825元/年1,260元2年1,650元3年

适用于流量适中的网站应用程序，或简单的开发环境，代码存储库等。

企业专有类型：2核4GB 1M 100G系统磁盘（SSD磁盘）968元/年1599元2年1980年3年

计算能力可满足90％的云计算用户的需求，并且适用于业务运营，并行计算应用程序和常规数据处理服务。

理想类型：4核8GB 1M以上的高性能企业级云服务器

它适用于需要高计算性能的应用程序场景，例如企业运营活动，批处理，分布式分析，游戏应用程序等。

阿里云-云服务器ECS

最快的方法应该就是安装Linux宝塔控制面板了，几乎不需要代码，全程可视化 *** 作，不需要任何编程知识，跟着教程做，二十分钟搞定，而且后期管理非常方便，一键添加网站和数据库，绑定域名，一键备份，可以在线压缩解压缩，都是可视化 *** 作，效率非常高。

---