英国HCSEC对华为安全风险的调查
英国的一份年度报告称,在对英国HCSEC(华为网络安全评估中心)进行评估时,出现了两个低优先级的国家安全调查结果和两个相关的咨询问题。
HCSEC位于牛津郡,于2010年建立,目的是减轻在英国国家关键基础设施中使用华为科技所产生的潜在风险,并且在过去的四年中,每年都会对其进行评估。
在最近的一份报告中,HCSEC监督委员会在华为的工程流程中发现了一些“技术问题”,据说可能会导致“英国电信网络出现新的风险”。
《2018年HCSEC监督委员会年度报告:向英国国家安全顾问提交的报告》表示,英国政府NCSC(国家网络安全中心)发现,华为的四个产品都缺少等效二进制数,并且华为也在“纠正基础编译和编译过程中的不足”。
路透社的报道称,NCSC希望在英国部署的所有产品都有可重复的构建过程,并且HCSEC将能够定期显示安装在英国网络中的二进制文件和HCSEC源代码构建的二进制文件之间的等效性。
报告称,这方面的工作已经完成,但工程变更尚未纳入更广泛的开发过程中,这项工作预计于2020年中完成。
华为在使用商业和开源第三方组件时发现了另一个问题,因为并非所有组件都是通过商定的流程进行管理。
NCSC已确定该问题如何直接影响已部署产品的安全性和可靠性,并为监督委员会提供了这样的观点,即该问题限制了HCSEC为整个保障策略做出可持续贡献的能力。
华为研发部门与HCSEC之间已进行了多次详细的技术讨论,其中一些包括NCSC。这些讨论正在试图全面了解问题、制定短期缓解计划、以及针对问题发生的潜在原因提出更具战略性的解决方案。
“但是,如果华为和运营商无法解决这个长期的问题,英国电信基础设施将面临巨大风险。”
监督委员会还指出新技术的中期关注领域,包括软件定义网络、网络虚拟化、边缘计算和5G网络。
该报告称,由于我们所关注的领域是通过缓解策略和相关监督机制的正常运作展现出来的,所以监督委员会提供的保障是很有限的。使用华为技术的英国关键网络对英国国家安全造成的所有风险已得到充分缓解,我们也会在此基础上向国家安全顾问提供咨询意见。
“在完成这项工作之前,由于缺乏HCSEC审查的源代码,以及英国运营商使用的可执行文件所需的端到端可追溯性,监督委员会只能提供有限的保证。”
尽管存在这些问题,但监督委员会认为华为将“大规模、高质量地”执行其整个缓解策略,而没有高优先级或中优先级的调查结果。
“很明显,HCSEC将继续提供独特的、世界一流的网络安全专业知识和技术保证,其范围和质量足以适应当前华为在英国的保障体系。”
Ernst & Young(安永会计师事务所)的独立评估也得出结论,目前没有重大问题。
华为回应道:该报告强调了该公司在网络安全方面的开放性、透明度和响应能力,以及该中心的独立性。
这家中国网络巨头补充说:“发现其工程流程中的不足令人‘失望’,但希望能够解决这些问题,并确保我们的产品继续在英国和全球范围内提供安全可靠的基础设施”。
华为全球网络安全负责人John Suffolk表示:“我们非常感谢这些反馈。与往年一样,华为将与合作伙伴共同开发必要的风险管理和缓解机制,为我们的CSEC基础设施提供切实的改进。”
“我们不会动摇我们对网络安全的承诺。我们会同运营商客户和合作伙伴密切合作,将继续公开创新、改进我们的方法、共同应对网络安全挑战。”
“我们需要的是安全、可靠的网络。”
美国和澳大利亚的电信基础设施在使用华为的技术时,也遇到了国家安全问题。
当被问及最近因为担心与中国政府共享数据而被禁止参与5G部署时,华为澳大利亚首席执行官George Huang告诉ZDNet,该公司没有使用任何个人数据。
Huang表示,“华为不会拥有、不会管理、不会运营任何数据。”
“华为只是运营商的网络设备供应商,运营商负责管理和运营网络。华为的应用是支持我们的客户(即运营商)建立系统来管理这些东西。
“华为只不过是一个渠道供应商。”
原文作者:Corinne Reichert
编译:信息化观察网
往期精选
围观
热文
微信编辑器 96编辑器