“阿帕奇”Log4j2来袭，监控易为何能平安无恙？

12月10日半夜，一众互联网公司技术核心人员都被CTO们电话Call醒，半夜汇聚网络世界，集体排查处理线上程序BUG——Apache（阿帕奇） Log4j2 安全漏洞。这个BUG太严重破坏力极强，互联网上曝出了 Apache Log4j2 中的远程代码执行漏洞，攻击者就可利用此漏洞构造特殊的数据请求包，最终触发远程代码执行。

12月11日一大早，一个个客户电话打进美信科技的客服热线，询问监控易产品是否有Log4j2漏洞。当听到“不会受到波及和影响”时，电话另一头都舒了口气。“美信科技的产品为什么没受到 Log4j2 漏洞攻击？美信科技的监控易如果使用第三方插件时，会不会引发所带来的安全隐患？”小编也发出心底疑问。

对此，美信客服的回答是肯定的，完全不用担心这些问题。“美信科技的产品采用纯C语言、python语言和C++语言自主设计开发。所以，不会受到基于Java语言应用的Apache（阿帕奇） Log4j2 远程代码执行漏洞攻击。美信科技监控易等一系列产品从底层开始所使用的框架、消息中间件、数据库、WebServer都是自主研发，不借助于第三方任何插件，从而避免使用第三方插件所带来的安全隐患。美信科技将时刻为保障客户的基础设施稳定和数据安全隐私保驾护航。”

“阿帕奇”来袭  “核弹级”系统漏洞波及各大厂

由于漏洞利用门槛不高、Log4j 应用范围广，所以这次 Log4j 漏洞事件引发的安全影响十分深远。一位业内人士这样戏称，这个漏洞的严重性堪称今年之最，灾难等级为核弹级。这次事件几乎波及了所有互联网大厂。

绝大部分的Java应用用的都是Log4j的包记录日志，而众多互联网公司用的是Log4j2，据“白帽”分析确认，几乎所有技术巨头都是该 Log4j 远程代码执行漏洞的受害者。据 Apache 官方最新信息显示，由于 Apache Log4j2 的某些函数具有递归分析函数，因此攻击者可以直接构造恶意请求来触发远程代码执行漏洞。

Apache Log4j2

Apache Log4j2 最初是由 Ceki Gülcü 编写，是 Apache 软件基金会 Apache 日志服务项目的一部分。Log4j 是几种 Java 日志框架之一。而 Apache Log4j2 是对 Log4j 的升级，相比其前身 Log4j（1.x版本）有了更显著的改进，同时修复了 Logback 架构（Logback是Log4j 1.x的作者弄的一个新日志框架）中的一些固有问题。Log4j2功能丰富、性能相比1.x提高了很多，已被广泛用于业务系统开发，用来记录日志信息，特别是互联网企业。

根据谷歌安全团队的统计，截至 2021 年 12 月 16 日，来自 Maven Central 的 35,863 个可用 Java 组件依赖于 Log4j。比利时国防部成为这次事件中首次公开披露的受害者。比利时国防部发言人 Olivier Séverin 表示，不法分子利用 Log4j 漏洞攻击了比利时国防部。“一些活动已经瘫痪了好几天”。

Log4j 漏洞在国内影响也很深远。据媒体报道，近期工信部网络安全管理局通报称，阿里云计算有限公司在 11 月 24 日发现了 Log4j2 安全漏洞隐患后率先向 Apache（阿帕奇） 基金会披露了该漏洞，未及时向中国工信部通报相关信息，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位 6 个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。根据工信部官网消息，工业和信息化部网络安全威胁和漏洞信息共享平台 12 月 9 日收到有关网络安全专业机构报告后，立即组织有关网络安全专业机构开展漏洞风险分析。

虽然已经过去了十多天，但 Log4j 中暴露出的安全漏洞仍在肆虐，同时也唤起了大家对于开源软件开发、付费与维护方式的深切思考。

有人抨击项目维护者未能及时发现问题。面对这样的指责，开发者 Volkan Yazici 立即对这种践踏无偿志愿劳动的行径展开反击，表示这群“嘴炮”自己压根没提供过任何财务支持或者代码贡献。

Log4j2 维护者只有几个人，他们无偿、自愿地工作，没有人发工资，也没人提交代码修复问题，出了问题还要被一堆人留言痛骂。——Volkan Yazici

有人想到，当问题出现之后，最重要的是先解决问题。国内的互联网大厂美团、阿里、字节和百度…一刻也没有松懈，全都迅速响应，拿出了自己的解决方案。

美信科技认为：不要因噎废食，弃之不用。攻击检测和漏洞修复的工作，有很多研究机构和安全公司都在进行。历史是螺旋上升的，安全也是，前进性、曲折性和周期性不可避免。

阿帕奇攻击下  美信科技为何平安无恙？

美信科技是IT和OT大数据采集领域的“苹果”公司，坚定不移走自主创新之路，全部产品均为自主研发、国内全栈式自主可控。产品采用纯C语言、python语言和C++语言自主设计开发，前期投入大，开发周期长，开发难度大，目前已经突破了多项核心技术瓶颈，并时刻为保障用户的基础设施稳定和数据安全隐私保驾护航。

在Apache Log4j2攻击下，美信科技为何安然无恙？以美信科技旗下新一代监控强势品牌——监控易的安全性为例，监控易为时时刻刻保障用户的数据安全和隐私，从以下几个方面出发确保了安全性。

标准、安全的协议

监控易平台通过使用公开的协议进行数据的收集和采集，使用的协议是RFC规定的标准协议，例如SNMP、WMI等标准或厂商接口协议，采用此种开放标准的协议能够从根本上避免采集数据对于被监控端的影响。

强大的自研专用时序数据库，保持数据独立性

美信科技自主研发Big River时序数据库，拥有软件著作权证书，是广泛应用于IT基础设施、物联网设备，互联网业务监控场景的专业数据库。统一数据管理，不但节约了维护成本而且可以使几个系统同时备份恢复数据，提高系统的稳定性。监控易所使用的数据库和中间件集成在一个安装包中，无需安装其它第三方数据库。监控易被独立出来的数据处理层负责完成对数据库的操作。用户端只能通过逻辑层来访问数据层，减少了入口点，很多危险的系统功能都被屏蔽。

核心技术自主研发，避免公众漏洞隐患

不同于其他监控产品，监控易从底层开始所使用的框架、中间件、数据库都是自主研发，不借助于第三方任何插件，避免使用第三方插件所带来的安全隐患。

高效、稳定、易用、安全

不适用第三方插件自主研发的另一个好处在于平台的稳定、高效、易用、安全。监控易底层使用采用云架构的设计，包含冗余热备、并行计算等，保障监控平台在使用过程当中的安全，使用最安全的MQ队列机制保障消息的可靠传输。无需人工的干扰，在一个“云节点”出现问题之后，所有监测任务由其他“云节点”共同完成，并且根据每个云节点的压力分配数量不同的监控任务。

作为国家信创国产化替代和工业物联网双重战略下的标杆企业，美信科技还拥有代表国内最先进生产力的四大技术。

第一、四合一超融合数据库，完全自主开发的融合表状、Key Value树状、内存、时序四大技术的数据库；

第二、领先的云、边、端技术架构，支持跨区域、跨网络、跨安全域的复杂场景数据采集；

第三、低代码协议和设备自适应引擎，快速适配各种IT和OT设备，彻底解放研发工程师，适配效率比传统技术快10倍；

第四、IT、动环、智能物联网、工业物联网一体化数据采集和监控，助力客户低成本实现工业4.0的IT和OT的融合目标。

近年来，随着信息安全的威胁事件不断发生，信创国产化产业发展浪潮达到一个新的高峰，“高安全性”“自主可控”成为了发展的重要基石和保障。

2020年尾声，黑客利用 SolarWinds 的 Orion 网络管理平台，成功入侵了美国财政部、国土安全部在内的多家美国联邦政府机构网站，敲响人们对于IT监控系统安全性的警钟，美信科技顺势而为，以“全国产”“高安全性”“自主可控”的产品拥抱信创。

2021年尾声，在”阿帕奇”的冲击下，美信科技安然无恙，并为保障客户的基础设施稳定和数据安全隐私保驾护航。

预见2022，面对更加不确定的未来，但却面临着确定的安全威胁。美信科技将在频发的无国界网络安全事件以及信创国产化浪潮的推动下严防安全“黑天鹅”，为客户守好安全第一线，让安全少走弯路，掌握安全主动权。