申万宏源-云计算行业点评：Apache漏洞事件突显网安重要性，云仍乐观-211228

1. 本期投资提示：新闻：工信部网络安全管理局通报称，阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

2. 阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月，暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

3. 阿里云于11月24日发现的漏洞系在Web服务器软件Apache下的开源日志组件Log4j内的一个漏洞Log4Shell，这一漏洞的存在，可以让网络攻击者无需密码就能访问网络服务器。

4. 阿里云此次漏洞事件引起巨大关注。

5. 1）影响范围广：作为最常用的Java程序日志监控组件之一，Log4j2目前应用于全行业和政府使用的云服务器和企业软件中，经验证，受影响的包括ApacheStruts2、ApacheSolr、ApacheDruid、ApacheFlink。

6. 2）利用难度低：攻击者仅需向目标输入一段代码，即可远程控制受害者用户的服务器，90%以上基于Java开发的应用平台都会受到影响。

7. 3）危害力度大：攻击者可以实现窃取信息、植入恶意软件和删除关键信息等行为。

8. Apache软件基金会将这一漏洞的严重性列为10级中的最高。

9. IT漏洞不可避免，关键在于安全能力建设。

10. IT系统远非完美，最成熟的X86体系也有漏洞。

11. 2019年，Windows的Bluekeep高位远程漏洞，2020年Win7停服前的Oday漏洞等等，实际都证明IT系统漏洞无可避免，关键在于发现漏洞、修复漏洞的安全能力建设。

12. 网络安全依然是长期成长方向。

13. 预计2022年是信息安全的共振大年，四大需求共同驱动。

14. 1）政府侧，2021-2022年信创大年，政府侧需求释放；行业侧，预期关保落地，催化八大行业需求的释放。

15. 2）政策需求：预算制企业的采购周期，遵从“五年规律”，不断有新的政策落地，“等保2.0”、“数据安全”、“关保”。

16. 3）自发驱动：数字化转型，数据资产重要性提升，投入加大，新的IT技术出现，安全部署理念发生变化。

17. 4）信息安全信创带来百亿增量市场。

18. “知漏不报”是此次通告重点。

19. 据工信部官网消息，今年9月1日，工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。

20. 其中提到，根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。

21. 此次阿里云系未按规定及时通告，被工信部网络安全管理局暂停合作单位资格。

22. 预计对公有云发展影响有限，无需过度解读。

23. 一方面，阿里云及时发布漏洞并修复，证明了阿里云安全团队能力。

24. 另一方面，本次工信部公告仅限于阿里云“知漏不报”，并不针对其开展的具体业务。

25. 惩戒措施限于暂停其共享平台合作资格，并未停止阿里云与海关总署、国税总局、人社部等国家部委的合作，实际上并不影响阿里云业务的进一步推进。

26. 推荐云安全相关标的与阿里云产业链公司。

27. 推荐1）云安全相关标的：深信服、启明星辰、绿盟科技等；2）阿里云投资受益标的：浪潮信息。

28. 风险提示：云计算底层硬件全球供应链风险；公有云安全产品大幅降价抢夺市场风险。