“阴阳”阿里云
发布时间:2021-12-28 09:21:28 来源:欧宝体育域名
刚刚拿到IDC评选的IaaS基础设施能力全球第一不到一周,阿里云又一次来到了舆论的风口浪尖。不过,这一次,围绕阿里云的却不再是赞誉和掌声。
12月22日,工业和信息化部网络安全管理局通报称,暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。
该处罚的起因在于,阿里云发现阿帕奇Log4j2组件严重安全漏洞隐患后,率先向阿帕奇软件基金会(软件的运维方)披露了该漏洞,但未在规定的2天时间内向工信部报送信息,未有效支撑工信部开展网络安全威胁和漏洞管理。
相关文件指出,该漏洞可能导致设备远程控制,可能导致敏感信息被盗、设备服务中断等严重危害。业内人士认为,这个漏洞允许网络犯罪分子未经许可在系统上运行恶意代码,然后接管组织的整个服务器,因此存在较大的信息泄露风险。
其高风险还在于涉及的公司之广。根据网络安全公司Check Point,迄今为止,Log4j在GitHub项目的下载量已超过40万次,被微软、Twitter、苹果、亚马逊、百度、网易等全球多家主流科技巨头使用。
12月23日,阿里云就上述事件作出回应,称因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。该公司表示,将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
2021年7月,阿里巴巴董事局主席、CEO张勇把阿里云称作是“阿里巴巴面向未来的第二增长曲线”。
从阿里巴巴自身业务布局看,电商、大文娱、同城业务、支付等各条业务线纷纷遭到友商强势围攻,只有云业务保持着明显的领先地位。
根据IDC的调研,2021年一季度,中国公有云市场规模达46.32亿美元。其中,阿里云以40%的市场份额排名第一,第二到第五名分别是腾讯云、华为云、中国电信天翼云、AWS,但份额都和阿里云相差甚远。
12月15日,国际权威机构Gartner发布最新报告,全面评估全球各大云厂商整体能力,阿里云IaaS基础设施能力拿下全球第一,在计算、存储、网络、安全四项核心评比中均斩获最高分,这也是中国云首次超越亚马逊、微软、谷歌等国际厂商。也进一步验证了阿里云在是行业层面的重要地位。
根据阿里2021财年第三财季业绩报告,阿里云单季度收入116.15亿元,经调整EBITA实现盈利2400万元。而根据2022财年第二财季业绩报告,阿里云计算收入同比增长33%至200.07亿元,并连续第四个季度盈利,营收占比接近10%。
拥有这样的市场地位和亮点成绩,技术积淀、先发优势及审时度势都是关键影响要素。
2009年,阿里云计算公司正式成立。2013年8月,阿里云就自主研发出了国内第一家自主研发的云计算操作系统“飞天”。在此后的8年间,阿里云还相继自主研发了神龙架构、AI芯片含光800、大数据计算平台MaxCompute、深度学习平台PAI、数据库AnalyticDB、云芯片倚天710等诸多科技产品。
现在的阿里云,从IT基础设施,到中间的软件层、用户端,从软件到硬件,从芯片、云操作系统、服务器到大数据、AI、IoT等,几乎无所不包。
技术壁垒、规模效应、迁移成本高等综合因素的影响,让云计算成为一个具有马太效应的市场,也让较早踏入市场的阿里云具备了一定的先发优势。
再看市场层面,在疫情影响下,中国云计算快速渗透到传统行业,云计算从早期互联网客户云集,正全面扩散到各行各业。因此,云计算不再只是部分IT技术与基础设施,而是与传统企业的数字化转型紧密结合。
据亿欧智库统计,2021年,国内云端服务市场规模达1855.6亿元,同比增长29.8%。未来,实体经济企业的很大一部分云端服务支出将转向来自云端的数字化关键技术,如人工智能、大数据能力等。基于上述趋势,亿欧智库预计,2024年的云端服务市场规模有望突破3500亿元。
2020年9月,国务院国资委正式印发《关于加快推进国有企业数字化转型工作的通知》,明确要求“加快上云步伐”。
在中国市场上,阿里云是首个进入政企市场的云厂商。2019年,阿里云智能事业群进行了一次重大架构调整,数字政府、新金融、新零售、中国区域四个业务部整合升级为四大事业部,其中,数字政府的重要性显著上提。目前,阿里云已服务26个部委,合作31个省区市。
同时,在2020年9月云栖大会上,阿里云宣布进入2.0时代。同月,该公司宣布钉钉升级为大钉钉事业部,与阿里云全面融合,称将整合集团所有相关力量,确保“云钉一体”战略全面落地。
这么做的目的,在于为政企客户提供更完整、更易用的平台和解决方案,连接更深的toB服务业务,拉近与终端需求商的距离,助力传统企业数字化转型。
当下的阿里云仿佛一艘急速行驶的巨轮,海面足够宽广固然重要,可是海面中那若隐若现的暗礁,也是不容忽视的。
公有云服务最重要的就是安全,阿里云此前也多次强调自己在数据安全方面的作为。
2012年,阿里云就通过了由BSI(英国标准协会)审核的ISO27001认证,成为BSI在国内审核通过ISO27001的第一家云计算安全服务提供商。在2018年云栖大会上,阿里云还表示自己是亚洲合规认证最全的云服务商。
然而,阿帕奇Log4j2组件安全漏洞事件涉及到的数据安全问题,无疑为阿里云的信誉蒙上一层“阴云”。而这并不是阿里云第一次因数据安全受到指摘。
2021年8月,一份浙江省通信管理局对投诉人的答复函自网络流出。投诉显示,在2019年双11期间,阿里云计算有限公司未经用户同意,擅自将用户留存的注册信息泄露给第三方合作公司。随后,浙江省通信管理局相关负责人向媒体确认了此事的真实性。
根据该管理局答复投诉人回复函显示,阿里云计算公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,该行为违反了《中华人民共和国网络安全法》第四十二条规定。根据《中华人民共和国网络安全法》第六十四条规定,浙江省通信管理局已责令阿里云计算有限公司改正。
事后,阿里云回应称:该投诉事件应为2019年双11前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,最终引发客户投诉。
无独有偶,2021年6月,经济观察报报道了某阿里云用户反馈多次接到与阿里云相关的第三方推销电话,对方能准确说出用户姓名,以及用户阿里云上服务器上使用的公司名称一事。
2019年2月,阿里云代码托管平台也曾因隐私权限设置问题引发争议。一位网络工程师向媒体爆料,自己登陆阿里云之后可以访问众多公司“内部”代码,例如万科公司客户上传的手持身份证照片,各地销售人员报表均能看到。
相关爆料人表示,这一用户隐私泄露问题不止存在于万科,另外还涉及咪咕音乐、百度等多家公司。
亿欧EqualOcean云计算行业分析师夏修齐认为:“尽管大公司难免存在个人蓄意泄露用户个人信息以牟利,但是大公司作为重要市场主体,有责任做好公司内部监管工作。”
“作为国内最大的云数据企业,仅仅凭借一位普通员工便将大量数据外泄,数据信息安全在头部企业都无法完全得到保障,其他企业更应引以为戒,加强保护。”暨南大学知识产权研究院副教授、硕士生导师仲春也曾表示。
2021年8月,《中华人民共和国个人信息保护法》在中国人大常委会获得通过,并自2021年11月1日起施行。其中第十条规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
当前,大数据、云计算等信息深度整合技术高速发展。在此背景下,我国个人信息保护立法的推进凸显出国家层面对数据安全的重视。
对于阿里云等以数据作为“生命之源”的云厂商来说,能否有效调和数据安全保护与数据共享之间的矛盾,或是其走得多远、走到何处的关键性决定要素之一。
数据是数字时代的石油,已然成为数字经济的核心生产要素之一。2020年4月9日,国务院就出台了一份《关于构建更加完善的要素市场化配置体制机制的意见》,将数据列为一种新型生产要素,与土地、劳动力、资本、技术等传统要素并列。
2021年6月,《中华人民共和国数据安全法》获得表决通过,并与于2021年9月1日起施行。该法明确建立数据分类分级保护制度,建立健全数据交易管理制度、安全审查制度,对违法行为的处罚力度加大。
相关法律法规的提出也意味着国家对相关企业的合规监管、数据交易的安全性提出了更高要求。国资云和信创云的火热也从侧面印证了国家对于数据安全重视程度正逐年加深。
2021年8月,一份由天津市国资委发出、名为《关于加快推进国企上云工作完善国资云体系建设的实施方案》的文件流出。文件指出,要加快国有企业数字化转型及国资云的建设。各企业已经部署在第三方公有云平台的信息系统,租约到期日起2个月内全部迁移至国资云。原则上最迟应于2022年9月30日前全部迁移至国资云。
“随着《数据安全法》、《个人信息保护法》等法律的颁布与实施,数据安全将成为的一大重点,这也与推动国资云的初衷相符,可以长期看好数据安全相关产业。”一位长期关注国内云计算行业的分析师表示。
过去很多年间,国内IT底层标准、架构、生态等大多数都由国外IT巨头制定,存在诸多安全风险。因此,逐步建立自主研发的IT底层架构和标准,形成自有开放生态,是国家支持信创产业的核心。其中,云服务是信创产业的重要组成部分之一。
目前,信创产业主要面向“2+8”行业(“2”指党和政府;“8”指金融、石油、电力、电信、交通、航空航天、医院、教育)输出产品服务和解决方案,未来将向N行业(地产、物流、汽车、日化等等)渗透。
根据亿欧智库《2021中国信创产业应用落地研究报告及供应商60强》,在信创2+8+N行业应用招投标采购常见选型指标中,服务要求这一部分,明确提出供应商应及时解决产品故障,及时相应解决突发紧急问题,并提供应急保障方案。
而在中国IT服务全媒体平台评选的《2020-2021中国信息技术服务奖项》榜单中,阿里云被评为信创云10强之一,因此被报以更多数据安全方面的期待在所难免。
有业内专家指出,对于云厂商来说,如何在数据深度价值挖掘过程中兼顾数据应用与安全,平衡效率与风险,在保障安全的前提下发挥数据价值至关重要。
隐私计算是一种兼顾信息保护和数据流通两大特点的技术体系,解决了数据流通过程中的“可用不可见”难题,有助于破解数据保护与利用之间的矛盾。目前,该技术已在金融、医疗、政务等领域开始推广应用。
据Gartner预测,2023年,全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规的制约,2024年隐私驱动的数据保护和合规技术支出将在全球突破150亿美元。
不可否认的是,目前隐私计算还面临合规、数据运维、数据确权、数据定价、商业模式、应用等难题亟待解决,因此真正实现商业化落地还有很长的路要走。
除了隐私计算,政府、企业、研究机构等也在探索更多可行性解决方案。“无论如何,数据接口在缩窄是大势所趋,为数据安全护航的企业一定更有发展前景。”夏修齐这样表示。
能力越大,责任越大。作为中国云服务市场的一张“王牌”,阿里云在享受荣光的同时势必面临更高的要求。警钟更早敲响,更有利于中国云服务产业以更加平稳的速度“驶”向未来。
1.《中国对外贸易》2021年第7期:《对数据安全风险设置“红线期:《即将生效:企业侧数据安全需求有望爆发》
4.经济观察报:《阿里云用户信息泄露非个例 用户长期被阿里云服务商电话骚扰》
上一篇:云游喜报大地云游编制北京市地方标准《智慧旅游景区信息化服务规范
下一篇:安徽省天然气十四五数字化转型规划咨询服务(二次)招标公告