信息化觀察網(wǎng)

英國(guó)的一份年度報(bào)告稱，在對(duì)英國(guó)HCSEC（華為網(wǎng)絡(luò)安全評(píng)估中心）進(jìn)行評(píng)估時(shí)，出現(xiàn)了兩個(gè)低優(yōu)先級(jí)的國(guó)家安全調(diào)查結(jié)果和兩個(gè)相關(guān)的咨詢問(wèn)題。

HCSEC位于牛津郡，于2010年建立，目的是減輕在英國(guó)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中使用華為科技所產(chǎn)生的潛在風(fēng)險(xiǎn)，并且在過(guò)去的四年中，每年都會(huì)對(duì)其進(jìn)行評(píng)估。

在最近的一份報(bào)告中，HCSEC監(jiān)督委員會(huì)在華為的工程流程中發(fā)現(xiàn)了一些“技術(shù)問(wèn)題”，據(jù)說(shuō)可能會(huì)導(dǎo)致“英國(guó)電信網(wǎng)絡(luò)出現(xiàn)新的風(fēng)險(xiǎn)”。

《2018年HCSEC監(jiān)督委員會(huì)年度報(bào)告：向英國(guó)國(guó)家安全顧問(wèn)提交的報(bào)告》表示，英國(guó)政府NCSC（國(guó)家網(wǎng)絡(luò)安全中心）發(fā)現(xiàn)，華為的四個(gè)產(chǎn)品都缺少等效二進(jìn)制數(shù)，并且華為也在“糾正基礎(chǔ)編譯和編譯過(guò)程中的不足”。

路透社的報(bào)道稱，NCSC希望在英國(guó)部署的所有產(chǎn)品都有可重復(fù)的構(gòu)建過(guò)程，并且HCSEC將能夠定期顯示安裝在英國(guó)網(wǎng)絡(luò)中的二進(jìn)制文件和HCSEC源代碼構(gòu)建的二進(jìn)制文件之間的等效性。

報(bào)告稱，這方面的工作已經(jīng)完成，但工程變更尚未納入更廣泛的開(kāi)發(fā)過(guò)程中，這項(xiàng)工作預(yù)計(jì)于2020年中完成。

華為在使用商業(yè)和開(kāi)源第三方組件時(shí)發(fā)現(xiàn)了另一個(gè)問(wèn)題，因?yàn)椴⒎撬薪M件都是通過(guò)商定的流程進(jìn)行管理。

NCSC已確定該問(wèn)題如何直接影響已部署產(chǎn)品的安全性和可靠性，并為監(jiān)督委員會(huì)提供了這樣的觀點(diǎn)，即該問(wèn)題限制了HCSEC為整個(gè)保障策略做出可持續(xù)貢獻(xiàn)的能力。

華為研發(fā)部門與HCSEC之間已進(jìn)行了多次詳細(xì)的技術(shù)討論，其中一些包括NCSC。這些討論正在試圖全面了解問(wèn)題、制定短期緩解計(jì)劃、以及針對(duì)問(wèn)題發(fā)生的潛在原因提出更具戰(zhàn)略性的解決方案。

“但是，如果華為和運(yùn)營(yíng)商無(wú)法解決這個(gè)長(zhǎng)期的問(wèn)題，英國(guó)電信基礎(chǔ)設(shè)施將面臨巨大風(fēng)險(xiǎn)。”

監(jiān)督委員會(huì)還指出新技術(shù)的中期關(guān)注領(lǐng)域，包括軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)虛擬化、邊緣計(jì)算和5G網(wǎng)絡(luò)。

該報(bào)告稱，由于我們所關(guān)注的領(lǐng)域是通過(guò)緩解策略和相關(guān)監(jiān)督機(jī)制的正常運(yùn)作展現(xiàn)出來(lái)的，所以監(jiān)督委員會(huì)提供的保障是很有限的。使用華為技術(shù)的英國(guó)關(guān)鍵網(wǎng)絡(luò)對(duì)英國(guó)國(guó)家安全造成的所有風(fēng)險(xiǎn)已得到充分緩解，我們也會(huì)在此基礎(chǔ)上向國(guó)家安全顧問(wèn)提供咨詢意見(jiàn)。

“在完成這項(xiàng)工作之前，由于缺乏HCSEC審查的源代碼，以及英國(guó)運(yùn)營(yíng)商使用的可執(zhí)行文件所需的端到端可追溯性，監(jiān)督委員會(huì)只能提供有限的保證。”

盡管存在這些問(wèn)題，但監(jiān)督委員會(huì)認(rèn)為華為將“大規(guī)模、高質(zhì)量地”執(zhí)行其整個(gè)緩解策略，而沒(méi)有高優(yōu)先級(jí)或中優(yōu)先級(jí)的調(diào)查結(jié)果。

“很明顯，HCSEC將繼續(xù)提供獨(dú)特的、世界一流的網(wǎng)絡(luò)安全專業(yè)知識(shí)和技術(shù)保證，其范圍和質(zhì)量足以適應(yīng)當(dāng)前華為在英國(guó)的保障體系。”

Ernst & Young（安永會(huì)計(jì)師事務(wù)所）的獨(dú)立評(píng)估也得出結(jié)論，目前沒(méi)有重大問(wèn)題。

華為回應(yīng)道：該報(bào)告強(qiáng)調(diào)了該公司在網(wǎng)絡(luò)安全方面的開(kāi)放性、透明度和響應(yīng)能力，以及該中心的獨(dú)立性。

這家中國(guó)網(wǎng)絡(luò)巨頭補(bǔ)充說(shuō)：“發(fā)現(xiàn)其工程流程中的不足令人‘失望’，但希望能夠解決這些問(wèn)題，并確保我們的產(chǎn)品繼續(xù)在英國(guó)和全球范圍內(nèi)提供安全可靠的基礎(chǔ)設(shè)施”。

華為全球網(wǎng)絡(luò)安全負(fù)責(zé)人John Suffolk表示：“我們非常感謝這些反饋。與往年一樣，華為將與合作伙伴共同開(kāi)發(fā)必要的風(fēng)險(xiǎn)管理和緩解機(jī)制，為我們的CSEC基礎(chǔ)設(shè)施提供切實(shí)的改進(jìn)。”

“我們不會(huì)動(dòng)搖我們對(duì)網(wǎng)絡(luò)安全的承諾。我們會(huì)同運(yùn)營(yíng)商客戶和合作伙伴密切合作，將繼續(xù)公開(kāi)創(chuàng)新、改進(jìn)我們的方法、共同應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。”

“我們需要的是安全、可靠的網(wǎng)絡(luò)。”

美國(guó)和澳大利亞的電信基礎(chǔ)設(shè)施在使用華為的技術(shù)時(shí)，也遇到了國(guó)家安全問(wèn)題。

當(dāng)被問(wèn)及最近因?yàn)閾?dān)心與中國(guó)政府共享數(shù)據(jù)而被禁止參與5G部署時(shí)，華為澳大利亞首席執(zhí)行官George Huang告訴ZDNet，該公司沒(méi)有使用任何個(gè)人數(shù)據(jù)。

Huang表示，“華為不會(huì)擁有、不會(huì)管理、不會(huì)運(yùn)營(yíng)任何數(shù)據(jù)。”

“華為只是運(yùn)營(yíng)商的網(wǎng)絡(luò)設(shè)備供應(yīng)商，運(yùn)營(yíng)商負(fù)責(zé)管理和運(yùn)營(yíng)網(wǎng)絡(luò)。華為的應(yīng)用是支持我們的客戶（即運(yùn)營(yíng)商）建立系統(tǒng)來(lái)管理這些東西。

“華為只不過(guò)是一個(gè)渠道供應(yīng)商。”

原文作者：Corinne Reichert