英国指控华为网络存重大缺陷的全部细节

youyouran

周四，由英国政府主导的华为网络安全评估中心（HCSEC）监督委员会公布的一份报告称，华为设备的软件开发流程存在着重大缺陷，“给英国电信网络带来了新的风险”。

华为网络安全评估中心（HCSEC）是2010年11月在华为和英国政府的一系列安排下成立的。其目的是为减轻因华为参与英国关键国家基础设施部分而产生的任何感知风险。HCSEC为英国电信市场使用的一系列产品提供安全评估。

HCSEC监督委员会成立于2014年，由NCSC首席执行官Ciaran Martin和负责网络安全的GCHQ董事会执行成员负责。HCSEC监督委员会还包括华为的一名高级执行官作为副主席，以及来自英国政府和英国电信部门的高级代表。值得注意的是，监督委员会成员在2018年发生了一点变化。这主要是由于英国政府和华为两个职位的员工轮换。

在最新公布的这份报告当中，HCSEC监督委员会指责华为软件开发流程存在相关问题，这给英国运营商带来了“显著增加的风险”，需要持续的管理和缓解措施。

在HCSEC监督委员会的这份40多页的报告中，列出了华为设备存在的几个新技术问题，表明问题比华为以前公开承认的要来得严重。

比如，HCSEC对LTE Enodeb老版本和最新版本进行了软件工程和网络安全趋势分析，发现新版本虽然整合华为的所有改进，但产品的软件工程和网络安全质量仍然显示出大量的重要缺陷。因此，NCSC仍然担心华为的软件工程和网络安全能力以及相关流程未能得到充分改善。

监督委员会还要求华为提供一份计划，以纠正LTE Enodeb产品开发和持续工程中的软件工程和网络安全问题，由NCSC与英国运营商审核。但是，华为所提交的计划，NCSC和英国运营商并不能接受。这也使得NCSC目前不相信华为能够解决其面临的重大问题。

HCSEC监督委员会称，这些问题暴露了“华为软件工程和网络安全能力存在严重的系统性缺陷。”

报告还显示，实验室在2018年向英国运营商报告了“数百个漏洞和问题”。HCSEC监督委员会称，对于上一次2018年报告提出的缺陷问题，华为也“没有实质性进展”。

对此，HCSEC监督委员会表示，目前只能提供有限的保证，部署在英国的华为设备带来的安全风险，从长远来看是可控的。同时，HCSEC监督委员会也认为，在华为软件工程和网络安全流程的潜在缺陷得到纠正之前，很难对华为未来产品在英国的部署进行适当的风险管理。

HCSEC监督委员会称，它对华为切实采取提议的措施以解决“潜在缺陷”的能力没有信心。HCSEC监督委员会要求获得持续的证据，证明HCSEC和NCSC能够提高软件工程和网络安全质量。

不过，事情可能也并没有想象中那么的严重。

HCSEC监督委员会虽然认为：“这些调查结果涉及基本的工程能力和网络安全做法，它们导致了能够被众多威胁分子利用的一系列安全漏洞。”但是，该委员会也表示：“NCSC（国家网络安全中心）并不认为所发现的漏洞是国家干预的结果。”言下之意，这些漏洞并不是故意人为的，而只是技术问题。

针对HCSEC监督委员会这份报告的指控，华为随后在一份声明中表示，它对该监管委员会的担忧“非常重视”；报告中提到的问题“对于不断提升我们的软件工程能力具有重要的参考意义”。