昨天讲了腾讯的神操作，给股东分京东的股票。今天说一下阿里巴巴最近的一个骚操作，为何引来一纸罚单。

近期，工信部网络安全管理局通报称：

阿里云是工信部网络安全威胁信息共享平台合作单位，近日，阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

这是咋回事呢？

起因是11月24日阿里云的一名研发工程师发现了一个叫Log4j2的重大软件安全漏洞，这个漏洞被业内称为有史以来最严重的计算机安全漏洞。

阿里在发现漏洞后第一时间报告给了该软件提供方美国的阿帕奇协会，但是却没有按政策要求报给国家工信部相关单位。

12月9日工信部通过公开渠道了解了这一漏洞之后，估计很炸毛，这段期间一直毫不知情。于是紧急召集阿里云以及相关网络安全企业了解情况，商议对策。

问题是我们比美国方面了解到情况迟迟晚了15天。这十五天，国际上已经有黑客在利用这个漏洞进行网络攻击。中国的资产有没有被攻击，很难讲，大家别忘了美国的棱镜门事件。

阿里最早发现这个漏洞，按说是个巨大的功劳，但是阿里云的操作却涉嫌违法违规了。

年9月，正式出台《网络产品安全漏洞管理规定》，其中第七条明确指出：

阿里云的问题就在于没在2天内向工信部下属的网络安全威胁和漏洞信息共享平台报送相关漏洞信息。那为什么阿里云没有报送呢？网上盛传各种“阴谋论”。

12月23日也就是昨天，阿里云官方给出了答复：阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

这个回复我觉得有点“顾左右而言他”，真正的原因还是在于整个团队的价值取向有问题，重视国际声誉，对国内相关法律法规缺少敬畏之心，合规意识淡薄，缺乏责任担当。

为什么这么说呢？我们来看一下网络安全威胁和漏洞信息共享平台的会员单位。基本涵盖了当下我国主要的网络安全单位和公司。

再来看一下该平台的漏洞报告的十大贡献单位，大家感受一下一骑绝尘的漏洞挖掘能力和积极配合工信部开展工作的高度政治觉悟。两相对比，高下立判。

随着这次阿里云“安全事件”的不断发酵，网络安全问题再次触发了大众的神经。像这样真正有实力，有责任担当的国内网络安全企业将受到党政军单位的更多信任，成为潜在的受益方。下篇再详细讲讲最近频获大单的公司。

本文内容仅作为个人投资及研究之用途，不作为任何投资建议或暗示，据此买卖，风险自负。

--------------------------------------------------

更多投资分享请