由英國政府主導的華為網絡安全評估中心(HCSEC)監督委員會公布的一份報告稱,華為設備的軟件開發流程存在著重大缺陷,“給英國電信網絡帶來了新的風險”。
英國指控華為設備存在重大缺陷
華為網絡安全評估中心(HCSEC)隸屬于華為技術(英國)有限公司,其母公司正是中國的華為技術有限公司,華為是目前全球最大的電信設備提供商之一。
華為網絡安全評估中心(HCSEC)是2010年11月在華為和英國政府的一系列安排下成立的。其目的是為減輕因華為參與英國關鍵國家基礎設施部分而產生的任何感知風險。HCSEC為英國電信市場使用的一系列產品提供安全評估。
通過HCSEC,英國政府能夠深入了解華為在英國的戰略和產品范圍。英國國家網絡安全中心(NCSC,以及之前的政府通信總部(GCHQ))作為英國國家信息保障技術機構和政府網絡安全首席運營機構,領導政府處理HCSEC和華為的技術安全事務。
HCSEC監督委員會成立于2014年,由NCSC首席執行官Ciaran Martin和負責網絡安全的GCHQ董事會執行成員負責。HCSEC監督委員會還包括華為的一名高級執行官作為副主席,以及來自英國政府和英國電信部門的高級代表。值得注意的是,監督委員會成員在2018年發生了一點變化。這主要是由于英國政府和華為兩個職位的員工輪換。
在最新公布的這份報告當中,HCSEC監督委員會指責華為軟件開發流程存在相關問題,這給英國運營商帶來了“顯著增加的風險”,需要持續的管理和緩解措施。
在HCSEC監督委員會的這份40多頁的報告中,列出了華為設備存在的幾個新技術問題,表明問題比華為以前公開承認的要來得嚴重。
比如,HCSEC對LTE Enodeb老版本和最新版本進行了軟件工程和網絡安全趨勢分析,發現新版本雖然整合華為的所有改進,但產品的軟件工程和網絡安全質量仍然顯示出大量的重要缺陷。因此,NCSC仍然擔心華為的軟件工程和網絡安全能力以及相關流程未能得到充分改善。
監督委員會還要求華為提供一份計劃,以糾正LTE Enodeb產品開發和持續工程中的軟件工程和網絡安全問題,由NCSC與英國運營商審核。但是,華為所提交的計劃,NCSC和英國運營商并不能接受。這也使得NCSC目前不相信華為能夠解決其面臨的重大問題。
HCSEC監督委員會稱,這些問題暴露了“華為軟件工程和網絡安全能力存在嚴重的系統性缺陷。”
報告還顯示,實驗室在2018年向英國運營商報告了“數百個漏洞和問題”。HCSEC監督委員會稱,對于上一次2018年報告提出的缺陷問題,華為也“沒有實質性進展”。
對此,HCSEC監督委員會表示,目前只能提供有限的保證,部署在英國的華為設備帶來的安全風險,從長遠來看是可控的。同時,HCSEC監督委員會也認為,在華為軟件工程和網絡安全流程的潛在缺陷得到糾正之前,很難對華為未來產品在英國的部署進行適當的風險管理。
HCSEC監督委員會稱,它對華為切實采取提議的措施以解決“潛在缺陷”的能力沒有信心。HCSEC監督委員會要求獲得持續的證據,證明HCSEC和NCSC能夠提高軟件工程和網絡安全質量。
華為回應:“非常重視”
自去年以來,華為的電信設備業務在海外屢屢受阻,美國、澳大利亞等國均以華為設備存在安全問題為由,禁止了華為的5G設備。去年下年底至本月,華為高管密集接受國內外媒體采訪和發聲,希望打消外界對于華為設備安全的擔憂。
但是,此次英國HCSEC監督委員會公布的這份指責華為設備存在安全漏洞報告,顯然將會對華為電信業務在海外的開展造成負面影響。
不過,事情可能也并沒有想象中那么的嚴重。
HCSEC監督委員會雖然認為:“這些調查結果涉及基本的工程能力和網絡安全做法,它們導致了能夠被眾多威脅分子利用的一系列安全漏洞?!钡牵撐瘑T會也表示:“NCSC(國家網絡安全中心)并不認為所發現的漏洞是國家干預的結果?!毖韵轮?,這些漏洞并不是故意人為的,而只是技術問題。
針對HCSEC監督委員會這份報告的指控,華為隨后在一份聲明中表示,它對該監管委員會的擔憂“非常重視”;報告中提到的問題“對于不斷提升我們的軟件工程能力具有重要的參考意義”。
此前有報道稱,華為去年曾承諾斥資逾20億美元,以此解決英國之前發現的諸多問題,但同時表示可能需要長達五年的時間才能看到結果。而這可能也是為何HCSEC監督委員會認為華為對于解決之前的問題“沒有實質性進展”的原因。
-
華為
+關注
關注
216文章
34411瀏覽量
251507 -
5G
+關注
關注
1354文章
48436瀏覽量
563971
原文標題:突發!英國指控華為設備存在重大缺陷(附報告)
文章出處:【微信號:icsmart,微信公眾號:芯智訊】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論