上个月,阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引发了广泛关注。
工信部网络安全管理局在通报中称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
随后,工信部发布关于阿帕奇Log4j2组件重大安全漏洞风险提示,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本,以降低网络安全风险。
这个漏洞的阿帕奇(Apache)Log4j2是一款基于Java语言的开源日志框架,控制Java类系统日志信息生成、打印输出、格式配置等,被广泛应用于各种应用程序和网络服务。
Log4j2组件应用极其广泛,漏洞危害可以迅速传播到各个领域。如果没有Log4j2组件的支撑,所有现代数字基础设施都存在倒塌的危险。
(国外社交媒体用户以漫画的形式,说明Log4j2的重要性)
简单来说,这是一个影响力巨大的漏洞,全球大厂,悉数中招,比如苹果、亚马逊、Steam、推特、京东、腾讯、阿里、百度,网易、新浪以及特斯拉。
要知道,这些大厂被攻击可不是小事。苹果被攻击,系统可能崩溃;阿里被攻击,支付宝里的钱搞不好变成糊涂账;特斯拉被攻击,那可是要人命的……
而像 IT 通信、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、游戏公司、电商平台等也都有被影响的风险。
最关键的是,这个漏洞的使用门槛极低,即便是没有任何经验的小白,只要按照简单的操作指令,也可以进行网络攻击。
谁能想到,日常广泛使用、普通得不能再普通的基础组件会存在安全漏洞。此次安全事件也是在提醒我们,只要是与互联网相连,就有机率会被漏洞攻击,就存在泄密的可能性。只有严格做到内外网隔离才能从源头上消除泄密隐患,保守住秘密。
那我们该怎么做的呢?
物理隔离别破坏
涉密计算机、涉密存储设备直接或间接接入互联网或其他公共信息网络,可能被境外情报机构植入窃密程序或者通过网络攻击窃密。
据《美国全球监听行动纪录》披露,美国针对中国进行大规模网络进攻,目标包括商务部、外交部、银行和电信公司等。美国国家安全局至少于2008年起,向全球近10万台计算机植入专门软件,旨在时刻监控或攻击目标计算机。
保密法严禁将涉密计算机、涉密存储设备接入互联网及其他公共信息网络。涉密计算机、涉密存储设备必须与互联网及其他公共信息网络“物理隔离”。
机关、单位涉密计算机,应当采购专用计算机,或者拆除非专用计算机无线互联模块并安装“三合一”系统。涉密存储设备只能采取技术绑定措施后在相应涉密计算机上使用,或者采购专用涉密存储设备,并严格使用管理。
保密提醒:
不得将涉密计算机、涉密存储设备接入
互联网或其他公共信息网络
内网密网严区分
非涉密网络既包括互联网,也包括与互联网逻辑隔离或普通物理隔离的机关、单位办公内网。无论是哪种非涉密网络,都不是严格意义上的涉密网络,都不能处理涉密信息。
在日常工作中,由于对非涉密网络,特别是非涉密工作内网定性不清或者心存侥幸,违规在非涉密网络存储、处理、传输涉密信息的情况比较突出。
保密法及其实施条例规定,只有按照国家保密标准,实行分级保护并配备保密设施、设备的涉密信息系统,才能存储、处理、传输国家秘密。
保密提醒:
非涉密办公内网不能视作涉密信息系统
存储、处理、传输涉密信息
北京世纪君达管理咨询有限公司成立于2011年,公司涉及军工三证等军密、国密资质咨询指导,定制化保密培训、各类安保产品销售等。是一家为企业提供保密工作咨询性服务的服务平台。公司专注于武器装备科研生产保密资格一级、二级、三级和国军标、武器装备科研生产许可证、武器装备承制名录、军工涉密业务咨询服务单位条件备案、国家秘密载体印制甲乙级、涉密信息系统集成甲乙级等军密国密资质的申请、复审等业务的咨询指导。立足北京,面向全国企、事业单位提供保密教育培训、企业保密管理咨询和军民融合科技咨询服务、涉密场所(保密室)建设、安全保密产品和涉密运行维护等服务。与多家法定行政许可鉴定评审/型式试验机构形成了合作互信关系,以便于能够第一时间掌握最新政策动向,知悉每一位客户所处行业动态,确保为广大客户提供最专业、最权威的企业顾问服务。
www.shijijunda.com
看到这里,你也了解了相关的知识内容了,在进行保密资质的办理时,只有按照相关的办理流程来进行才可以。如果你还有疑问,可以咨询我们专业的指导老师。
欢迎致电北京世纪君达,详询 400-018-5552 我公司十年经验,超高的通过率,专业咨询指导,为您腾飞助力!
