上個月，阿里云被工信部暫停網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月的消息引發(fā)了廣泛關(guān)注。

工信部網(wǎng)絡(luò)安全管理局在通報(bào)中稱，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

隨后，工信部發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞風(fēng)險(xiǎn)提示，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級組件版本，以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

這個漏洞的阿帕奇（Apache）Log4j2是一款基于Java語言的開源日志框架，控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個領(lǐng)域。如果沒有Log4j2組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都存在倒塌的危險(xiǎn)。

（國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性）

簡單來說，這是一個影響力巨大的漏洞，全球大廠，悉數(shù)中招，比如蘋果、亞馬遜、Steam、推特、京東、騰訊、阿里、百度，網(wǎng)易、新浪以及特斯拉。

要知道，這些大廠被攻擊可不是小事。蘋果被攻擊，系統(tǒng)可能崩潰；阿里被攻擊，支付寶里的錢搞不好變成糊涂賬；特斯拉被攻擊，那可是要人命的……

而像 IT 通信、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運(yùn)營商等各行各業(yè)都將受到波及，全球互聯(lián)網(wǎng)大廠、游戲公司、電商平臺等也都有被影響的風(fēng)險(xiǎn)。

最關(guān)鍵的是，這個漏洞的使用門檻極低，即便是沒有任何經(jīng)驗(yàn)的小白，只要按照簡單的操作指令，也可以進(jìn)行網(wǎng)絡(luò)攻擊。

誰能想到，日常廣泛使用、普通得不能再普通的基礎(chǔ)組件會存在安全漏洞。此次安全事件也是在提醒我們，只要是與互聯(lián)網(wǎng)相連，就有機(jī)率會被漏洞攻擊，就存在泄密的可能性。只有嚴(yán)格做到內(nèi)外網(wǎng)隔離才能從源頭上消除泄密隱患，保守住秘密。

的

物理隔離別破壞

涉密計(jì)算機(jī)、涉密存儲設(shè)備直接或間接接入互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)，可能被境外情報(bào)機(jī)構(gòu)植入竊密程序或者通過網(wǎng)絡(luò)攻擊竊密。

據(jù)《美國全球監(jiān)聽行動紀(jì)錄》披露，美國針對中國進(jìn)行大規(guī)模網(wǎng)絡(luò)進(jìn)攻，目標(biāo)包括商務(wù)部、外交部、銀行和電信公司等。美國國家安全局至少于2008年起，向全球近10萬臺計(jì)算機(jī)植入專門軟件，旨在時(shí)刻監(jiān)控或攻擊目標(biāo)計(jì)算機(jī)。

保密法嚴(yán)禁將涉密計(jì)算機(jī)、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)。涉密計(jì)算機(jī)、涉密存儲設(shè)備必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)“物理隔離”。

機(jī)關(guān)、單位涉密計(jì)算機(jī)，應(yīng)當(dāng)采購專用計(jì)算機(jī)，或者拆除非專用計(jì)算機(jī)無線互聯(lián)模塊并安裝“三合一”系統(tǒng)。涉密存儲設(shè)備只能采取技術(shù)綁定措施后在相應(yīng)涉密計(jì)算機(jī)上使用，或者采購專用涉密存儲設(shè)備，并嚴(yán)格使用管理。

保密提醒：

不得將涉密計(jì)算機(jī)、涉密存儲設(shè)備接入

互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)

內(nèi)網(wǎng)密網(wǎng)嚴(yán)區(qū)分

非涉密網(wǎng)絡(luò)既包括互聯(lián)網(wǎng)，也包括與互聯(lián)網(wǎng)邏輯隔離或普通物理隔離的機(jī)關(guān)、單位辦公內(nèi)網(wǎng)。無論是哪種非涉密網(wǎng)絡(luò)，都不是嚴(yán)格意義上的涉密網(wǎng)絡(luò)，都不能處理涉密信息。

在日常工作中，由于對非涉密網(wǎng)絡(luò)，特別是非涉密工作內(nèi)網(wǎng)定性不清或者心存僥幸，違規(guī)在非涉密網(wǎng)絡(luò)存儲、處理、傳輸涉密信息的情況比較突出。

保密法及其實(shí)施條例規(guī)定，只有按照國家保條密標(biāo)準(zhǔn)，實(shí)行分級保護(hù)并配備保密設(shè)施、設(shè)備的涉密信息系統(tǒng)，才能存儲、處理、傳輸國家秘密。

保密提醒：

非涉密辦公內(nèi)網(wǎng)不能視作涉密信息系統(tǒng)

存儲、處理、傳輸涉密信息