报告称英国发现华为技术存在“全国性”漏洞

发表于 2020年10 月3日星期六上午 10:22:03

点击蓝字关注我们

在近日发布的华为网络安全评估中心（HCSEC）的年度报告（下载链接在文末）中，华为软件安全和网络安全实践受到批评。HCSEC 由英国政府和网络巨头华为共同成立，用于评估英国网络中使用的华为设备。

该中心于 2010 年成立，旨在降低使用华为技术作为英国关键国家基础设施一部分的潜在风险。而 HCSEC 的年度报告负责提供对华为软件、工程和网络安全流程的详细分析。

报告指出：“HCSEC 的工作仍在继续进行，以确定华为软件开发方法中会给英国运营商带来巨大风险的问题，这需要持续的管理和缓解措施。”

总体而言，负责 HCSEC 运作的委员会表示，从长远来看，对于华为参与的英国关键网络的活动对英国国家安全的所有风险是否都可以得到充分缓解，该中心只能提供“有限的”保证（无法确保）。

“HCSEC 相对较小的团队却发现了如此之多的漏洞，其严重性以及相关体系结构问题已经引起了格外关注。如果攻击者了解这些漏洞并有足够的利用这些漏洞的途径，可能会影响英国网络的运行，在某些情况下甚至导致其无法正常运行。”

报告说，在 HCSEC 今年的工作中发现了具有“全国性意义”的缺陷。

一旦发现缺陷，HCSEC 通常会将其报告提供给电信公司 NCSC，并报告给华为进行修复。

但是该报告指出：“在极少数情况下，如果漏洞的影响具有全国性意义，可能会延迟向华为发布该漏洞的所有详细信息，以使英国社区能够评估和缓解这种影响。这种情况发生在 2019 年。”

根据 BBC 的说法，此漏洞与宽带有关，但是官员们不相信这个漏洞已经被人利用。

该报告指出，漏洞与基本的工程能力和网络安全卫生习惯有关，并非故意引入的漏洞。NCSC 不认为发现的漏洞是中国政府干预的结果。

但是它也说，HCSEC 分析的华为产品中仍然发现重大的质量问题。

报告说：“发现了不良编码实践的持续证据，一些证据表明华为仍然未能遵守其内部安全编码准则。尽管与前几年相比有一些小改进。”

HCSEC 表示，2019 年该中心确定了华为固定访问产品中的“严重的，面向用户的漏洞”。它说，这是由于“特别糟糕的代码质量”和使用旧的操作系统引起的。

报告称：“华为的工程实践存在缺陷，该漏洞是一个严重例证，在 2019 年期间，英国运营商需要采取特别行动来减轻风险。”

报告补充说，尽管从那以后华为已经修复了英国的特定漏洞，但这又给产品带来了一个重大问题，进一步证明了华为工程流程中的缺陷仍然存在。

华为表示，将继续“大量”投资以改善其产品。“报告承认，尽管我们的软件转型过程尚处于起步阶段，但我们在改善软件工程能力方面取得了一些进展。”华为同时还表示：“应采用同样的基准对所有供应商进行评估，以提高安全标准。”

该报告仅涵盖 2019 年。但是，今年华为在英国作为网络技术的主要提供商的地位已开始发生重大变化。7 月，英国政府告诉电信运营商，从 2021 年起停止从中国公司购买 5G 设备，此举在很大程度上是出于国家安全的考虑。未来 7 年内，电信公司还必须从其 5G 网络中删除所有华为技术。

参考资料

HCSEC 年度报告：