(來源：千圖網)

　　12月10日半夜，一眾互聯網公司技術核心人員都被CTO們電話Call醒，半夜匯聚網絡世界，集體排查處理線上程序BUG——Apache(阿帕奇) Log4j2 安全漏洞。這個BUG太嚴重破壞力極強，互聯網上曝出了 Apache Log4j2 中的遠程代碼執行漏洞，攻擊者就可利用此漏洞構造特殊的數據請求包，最終觸發遠程代碼執行。

　　12月11日一大早，一個個客戶電話打進美信科技的客服熱線，詢問監控易產品是否有Log4j2漏洞。當聽到“不會受到波及和影響”時，電話另一頭都舒了口氣。“美信科技的產品為什么沒受到 Log4j2 漏洞攻擊?美信科技的監控易如果使用第三方插件時，會不會引發所帶來的安全隱患?”小編也發出心底疑問。

　　對此，美信客服的回答是肯定的，完全不用擔心這些問題。“美信科技的產品采用純C語言、python語言和C++語言自主設計開發。所以，不會受到基于Java語言應用的Apache（阿帕奇） Log4j2 遠程代碼執行漏洞攻擊。美信科技監控易等一系列產品從底層開始所使用的框架、消息中間件、數據庫、WebServer都是自主研發，不借助于第三方任何插件，從而避免使用第三方插件所帶來的安全隱患。美信科技將時刻為保障客戶的基礎設施穩定和數據安全隱私保駕護航。”

　　”

　　“阿帕奇”來襲，“核彈級”系統漏洞波及各大廠

　　由于漏洞利用門檻不高、Log4j 應用范圍廣，所以這次 Log4j 漏洞事件引發的安全影響十分深遠。一位業內人士這樣戲稱，這個漏洞的嚴重性堪稱今年之最，災難等級為核彈級。這次事件幾乎波及了所有互聯網大廠。

　　Apache Log4j2Apache Log4j2 最初是由 Ceki Gülcü 編寫，是 Apache 軟件基金會 Apache 日志服務項目的一部分。Log4j 是幾種 Java 日志框架之一。而 Apache Log4j2 是對 Log4j 的升級，相比其前身 Log4j(1.x版本)有了更顯著的改進，同時修復了 Logback 架構(Logback是Log4j 1.x的作者弄的一個新日志框架)中的一些固有問題。Log4j2功能豐富、性能相比1.x提高了很多，已被廣泛用于業務系統開發，用來記錄日志信息，特別是互聯網企業。絕大部分的Java應用用的都是Log4j的包記錄日志，而眾多互聯網公司用的是Log4j2，據“白帽”分析確認，幾乎所有技術巨頭都是該 Log4j 遠程代碼執行漏洞的受害者。據 Apache 官方最新信息顯示，由于 Apache Log4j2 的某些函數具有遞歸分析函數，因此攻擊者可以直接構造惡意請求來觸發遠程代碼執行漏洞。

　　根據谷歌安全團隊的統計，截至 2021 年 12 月 16 日，來自 Maven Central 的 35,863 個可用 Java 組件依賴于 Log4j。比利時國防部成為這次事件中首次公開披露的受害者。比利時國防部發言人 Olivier Séverin 表示，不法分子利用 Log4j 漏洞攻擊了比利時國防部。“一些活動已經癱瘓了好幾天”。

　　Log4j 漏洞在國內影響也很深遠。據媒體報道，近期工信部網絡安全管理局通報稱，阿里云計算有限公司在 11 月 24 日發現了 Log4j2 安全漏洞隱患后率先向 Apache(阿帕奇) 基金會披露了該漏洞，未及時向中國工信部通報相關信息，未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究，工信部網絡安全管理局決定暫停阿里云作為上述合作單位 6 個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。根據工信部官網消息，工業和信息化部網絡安全威脅和漏洞信息共享平臺 12 月 9 日收到有關網絡安全專業機構報告后，立即組織有關網絡安全專業機構開展漏洞風險分析。

(來源：工信部官網截圖)

　　雖然已經過去了十多天，但 Log4j 中暴露出的安全漏洞仍在肆虐，同時也喚起了大家對于開源軟件開發、付費與維護方式的深切思考。

　　有人抨擊項目維護者未能及時發現問題。面對這樣的指責，開發者 Volkan Yazici 立即對這種踐踏無償志愿勞動的行徑展開反擊，表示這群“嘴炮”自己壓根沒提供過任何財務支持或者代碼貢獻。

　　有人想到，當問題出現之后，最重要的是先解決問題。國內的互聯網大廠美團、阿里、字節和百度…一刻也沒有松懈，全都迅速響應，拿出了自己的解決方案。

　　美信科技認為：不要因噎廢食，棄之不用。攻擊檢測和漏洞修復的工作，有很多研究機構和安全公司都在進行。歷史是螺旋上升的，安全也是，前進性、曲折性和周期性不可避免。

　　阿帕奇攻擊下，美信科技為何平安無恙?

　　美信科技是IT和OT大數據采集領域的“蘋果”公司，堅定不移走自主創新之路，全部產品均為自主研發、國內全棧式自主可控。產品采用純C語言、python語言和C++語言自主設計開發，前期投入大，開發周期長，開發難度大，目前已經突破了多項核心技術瓶頸，并時刻為保障用戶的基礎設施穩定和數據安全隱私保駕護航。

　　在Apache Log4j2攻擊下，美信科技為何安然無恙?以美信科技旗下新一代監控強勢品牌——監控易的安全性為例，監控易為時時刻刻保障用戶的數據安全和隱私，從以下幾個方面出發確保了安全性。

　　標準、安全的協議

　　監控易平臺通過使用公開的協議進行數據的收集和采集，使用的協議是RFC規定的標準協議，例如SNMP、WMI等標準或廠商接口協議，采用此種開放標準的協議能夠從根本上避免采集數據對于被監控端的影響。

　　強大的自研專用時序數據庫，保持數據獨立性

　　美信科技自主研發Big River時序數據庫，擁有軟件著作權證書，是廣泛應用于IT基礎設施、物聯網設備，互聯網業務監控場景的專業數據庫。統一數據管理，不但節約了維護成本而且可以使幾個系統同時備份恢復數據，提高系統的穩定性。監控易所使用的數據庫和中間件集成在一個安裝包中，無需安裝其它第三方數據庫。監控易被獨立出來的數據處理層負責完成對數據庫的操作。用戶端只能通過邏輯層來訪問數據層，減少了入口點，很多危險的系統功能都被屏蔽。

　　核心技術自主研發，避免公眾漏洞隱患

　　不同于其他監控產品，監控易從底層開始所使用的框架、中間件、數據庫都是自主研發，不借助于第三方任何插件，避免使用第三方插件所帶來的安全隱患。

　　高效、穩定、易用、安全

　　不適用第三方插件自主研發的另一個好處在于平臺的穩定、高效、易用、安全。監控易底層使用采用云架構的設計，包含冗余熱備、并行計算等，保障監控平臺在使用過程當中的安全，使用最安全的MQ隊列機制保障消息的可靠傳輸。無需人工的干擾，在一個“云節點”出現問題之后，所有監測任務由其他“云節點”共同完成，并且根據每個云節點的壓力分配數量不同的監控任務。

　　作為國家信創國產化替代和工業物聯網雙重戰略下的標桿企業，美信科技還擁有代表國內最先進生產力的四大技術。

　　第一、四合一超融合數據庫，完全自主開發的融合表狀、Key Value樹狀、內存、時序四大技術的數據庫;

　　第二、領先的云、邊、端技術架構，支持跨區域、跨網絡、跨安全域的復雜場景數據采集;

　　第三、低代碼協議和設備自適應引擎，快速適配各種IT和OT設備，徹底解放研發工程師，適配效率比傳統技術快10倍;

　　第四、IT、動環、智能物聯網、工業物聯網一體化數據采集和監控，助力客戶低成本實現工業4.0的IT和OT的融合目標。

　　近年來，隨著信息安全的威脅事件不斷發生，信創國產化產業發展浪潮達到一個新的高峰，“高安全性”“自主可控”成為了發展的重要基石和保障。

　　2020年尾聲，黑客利用 SolarWinds 的 Orion 網絡管理平臺，成功入侵了美國財政部、國土安全部在內的多家美國聯邦政府機構網站，敲響人們對于IT監控系統安全性的警鐘，美信科技順勢而為，以“全國產”“高安全性”“自主可控”的產品擁抱信創。

　　2021年尾聲，在”阿帕奇”的沖擊下，美信科技安然無恙，并為保障客戶的基礎設施穩定和數據安全隱私保駕護航。

　　預見2022，面對更加不確定的未來，但卻面臨著確定的安全威脅。美信科技將在頻發的無國界網絡安全事件以及信創國產化浪潮的推動下嚴防安全“黑天鵝”，為客戶守好安全第一線，讓安全少走彎路，掌握安全主動權。

特別提醒：本網信息來自于互聯網，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。