近期,英国的华为网络安全认证中心(以下简称“HCSEC”)监督委员会公布了2019年度审查报告。有舆论报道称,这份报告严厉警告华为网络产品将令英国国家安全面临风险,理由是华为未能改进其设备和软件,也对华为改善网络安全缺陷和软件工程的能力缺乏信心。
华为
HCSEC成立于2014年,隶属于华为英国子公司,它的任务是评估英国现有网络中的华为产品的安全性和可靠性,并每年出具相关报告。
对于此份报告和相关舆论,华为轮值董事长郭平在3月29日的2018年财报发布会上做出公开回应,核心要点包括三点:
其一,在过去三十年的实践里,华为的网络安全有着全行业最好的记录,近两年全球所有重大恶意软件攻击事件没有一件和华为有关。
其二,过去数年,华为和包括英国美国芬兰专业评测机构对华为的产品做了严格测试,例如,在专业软件安全工程成熟能力评 估公司的12个评估项目,华为产品有9项达到了业界最高级水平,其他三项也高于业界的平均水平。
其三,华为和英国电信监管机构一直在积极交流和合作。因为华为是中国公司,英国要求进行最严苛的测试,华为接受了,我们承诺不仅要结果的安全可信,也追求过程的安全可信。去年11月,华为董事会已发布《关于启动彻底变革,提升软件工程能力,打造可信的高质量产品》的决议,宣布投资20亿美金进行软件工程能力变革计划。根据该计划,华为将在整个公司范围内开展软件工程能力变革,用面向未来的标准对历史上所有代码进行重构,让代码易读、易升级,从而在每一个产品和解决方案中都融入安全与信任。
第四,华为还将推动第三方验证、保持开放合作,不断提升安全能力。
《财经》记者查阅HCSEC 2019年度报告,获得的关键信息如下。
HCSEC 2019年度报告指出华为软件工程能力存在潜在缺陷,为英国运营商带来风险。并且这一问题早在2018报告中指明,但过去一年没有得到明显改善。华为方面向《财经》记者回应称,这意味着今年的报告可以提供与2018年报告大致相同的保证水平。
在英国部署的背景下,很难对未来的产品进行适当的风险管理,直到华为的软件工程和网络安全流程的根本缺陷得到纠正。
对于这一点,郭平在3月29日的财报发布会上回应称,技术发展太快,没有随时都保持最完善状态的技术风险管理,但华为会持续用最先进最优的技术跟进。
HCSEC认为,对华为在英国业务运营情况的监管可以说是全世界最强硬、最严厉的,“这份报告并不表明英国网络比去年更脆弱”。
针对这一点,郭平补充回应称,华为接受最严苛的监管和挑战,华为还将推动第三方验证、保持开放合作,不断提升安全能力。
报告中明确说明“英国网络中心(NCSC)不认为这些缺陷是中国国家干涉的结果”。这意味着这并非掺杂政治因素的后门,而是技术问题。
结合HCSEC报告与郭平回应可看出,华为高达20亿美元的软件工程能力变革计划正是解决HCSEC所提出的问题,但是重构产品代码、提升软件工程能力需要时间,《财经》记者预计,在未来的一两年内,HCSEC报告中很可能存在同样的批评。但华为参与英国关键网络建设对英国国家安全带来的风险可以在长期内得到充分缓解。