突发!英国指控华为设备存在重大缺陷(附报告)
当地时间周四(3月28日),由英国政府主导的华为网络安全评估中心(HCSEC)监督委员会公布的一份报告称,华为设备的软件开发流程存在着重大缺陷,“给英国电信网络带来了新的风险”。
英国指控华为设备存在重大缺陷
华为网络安全评估中心(HCSEC)隶属于华为技术(英国)有限公司,其母公司正是中国的华为技术有限公司,华为是目前全球最大的电信设备提供商之一。
华为网络安全评估中心(HCSEC)是2010年11月在华为和英国政府的一系列安排下成立的。其目的是为减轻因华为参与英国关键国家基础设施部分而产生的任何感知风险。HCSEC为英国电信市场使用的一系列产品提供安全评估。
通过HCSEC,英国政府能够深入了解华为在英国的战略和产品范围。英国国家网络安全中心(NCSC,以及之前的政府通信总部(GCHQ))作为英国国家信息保障技术机构和政府网络安全首席运营机构,领导政府处理HCSEC和华为的技术安全事务。
HCSEC监督委员会成立于2014年,由NCSC首席执行官Ciaran Martin和负责网络安全的GCHQ董事会执行成员负责。HCSEC监督委员会还包括华为的一名高级执行官作为副主席,以及来自英国政府和英国电信部门的高级代表。值得注意的是,监督委员会成员在2018年发生了一点变化。这主要是由于英国政府和华为两个职位的员工轮换。
在最新公布的这份报告当中,HCSEC监督委员会指责华为软件开发流程存在相关问题,这给英国运营商带来了“显著增加的风险”,需要持续的管理和缓解措施。
在HCSEC监督委员会的这份40多页的报告中,列出了华为设备存在的几个新技术问题,表明问题比华为以前公开承认的要来得严重。
比如,HCSEC对LTE Enodeb老版本和最新版本进行了软件工程和网络安全趋势分析,发现新版本虽然整合华为的所有改进,但产品的软件工程和网络安全质量仍然显示出大量的重要缺陷。因此,NCSC仍然担心华为的软件工程和网络安全能力以及相关流程未能得到充分改善。
监督委员会还要求华为提供一份计划,以纠正LTE Enodeb产品开发和持续工程中的软件工程和网络安全问题,由NCSC与英国运营商审核。但是,华为所提交的计划,NCSC和英国运营商并不能接受。这也使得NCSC目前不相信华为能够解决其面临的重大问题。
HCSEC监督委员会称,这些问题暴露了“华为软件工程和网络安全能力存在严重的系统性缺陷。”
报告还显示,实验室在2018年向英国运营商报告了“数百个漏洞和问题”。HCSEC监督委员会称,对于上一次2018年报告提出的缺陷问题,华为也“没有实质性进展”。
对此,HCSEC监督委员会表示,目前只能提供有限的保证,部署在英国的华为设备带来的安全风险,从长远来看是可控的。同时,HCSEC监督委员会也认为,在华为软件工程和网络安全流程的潜在缺陷得到纠正之前,很难对华为未来产品在英国的部署进行适当的风险管理。
HCSEC监督委员会称,它对华为切实采取提议的措施以解决“潜在缺陷”的能力没有信心。HCSEC监督委员会要求获得持续的证据,证明HCSEC和NCSC能够提高软件工程和网络安全质量。
华为回应:“非常重视”
自去年以来,华为的电信设备业务在海外屡屡受阻,美国、澳大利亚等国均以华为设备存在安全问题为由,禁止了华为的5G设备。去年下年底至本月,华为高管密集接受国内外媒体采访和发声,希望打消外界对于华为设备安全的担忧。
但是,此次英国HCSEC监督委员会公布的这份指责华为设备存在安全漏洞报告,显然将会对华为电信业务在海外的开展造成负面影响。
不过,事情可能也并没有想象中那么的严重。
HCSEC监督委员会虽然认为:“这些调查结果涉及基本的工程能力和网络安全做法,它们导致了能够被众多威胁分子利用的一系列安全漏洞。”但是,该委员会也表示:“NCSC(国家网络安全中心)并不认为所发现的漏洞是国家干预的结果。”言下之意,这些漏洞并不是故意人为的,而只是技术问题。
针对HCSEC监督委员会这份报告的指控,华为随后在一份声明中表示,它对该监管委员会的担忧“非常重视”;报告中提到的问题“对于不断提升我们的软件工程能力具有重要的参考意义”。
此前有报道称,华为去年曾承诺斥资逾20亿美元,以此解决英国之前发现的诸多问题,但同时表示可能需要长达五年的时间才能看到结果。而这可能也是为何HCSEC监督委员会认为华为对于解决之前的问题“没有实质性进展”的原因。
编译:芯智讯-浪客剑
报告获取方式:公众号会话界面,直接回复“HCSEC”即可!