由英國政府主導的華為網(wǎng)絡(luò)安全評估中心（HCSEC）監(jiān)督委員會公布的一份報告稱，華為設(shè)備的軟件開發(fā)流程存在著重大缺陷，“給英國電信網(wǎng)絡(luò)帶來了新的風險”。

英國指控華為設(shè)備存在重大缺陷

華為網(wǎng)絡(luò)安全評估中心（HCSEC）隸屬于華為技術(shù)（英國）有限公司，其母公司正是中國的華為技術(shù)有限公司，華為是目前全球最大的電信設(shè)備提供商之一。

華為網(wǎng)絡(luò)安全評估中心（HCSEC）是2010年11月在華為和英國政府的一系列安排下成立的。其目的是為減輕因華為參與英國關(guān)鍵國家基礎(chǔ)設(shè)施部分而產(chǎn)生的任何感知風險。HCSEC為英國電信市場使用的一系列產(chǎn)品提供安全評估。

通過HCSEC，英國政府能夠深入了解華為在英國的戰(zhàn)略和產(chǎn)品范圍。英國國家網(wǎng)絡(luò)安全中心（NCSC，以及之前的政府通信總部（GCHQ））作為英國國家信息保障技術(shù)機構(gòu)和政府網(wǎng)絡(luò)安全首席運營機構(gòu)，領(lǐng)導政府處理HCSEC和華為的技術(shù)安全事務(wù)。

HCSEC監(jiān)督委員會成立于2014年，由NCSC首席執(zhí)行官Ciaran Martin和負責網(wǎng)絡(luò)安全的GCHQ董事會執(zhí)行成員負責。HCSEC監(jiān)督委員會還包括華為的一名高級執(zhí)行官作為副主席，以及來自英國政府和英國電信部門的高級代表。值得注意的是，監(jiān)督委員會成員在2018年發(fā)生了一點變化。這主要是由于英國政府和華為兩個職位的員工輪換。

在最新公布的這份報告當中，HCSEC監(jiān)督委員會指責華為軟件開發(fā)流程存在相關(guān)問題，這給英國運營商帶來了“顯著增加的風險”，需要持續(xù)的管理和緩解措施。

在HCSEC監(jiān)督委員會的這份40多頁的報告中，列出了華為設(shè)備存在的幾個新技術(shù)問題，表明問題比華為以前公開承認的要來得嚴重。

比如，HCSEC對LTE Enodeb老版本和最新版本進行了軟件工程和網(wǎng)絡(luò)安全趨勢分析，發(fā)現(xiàn)新版本雖然整合華為的所有改進，但產(chǎn)品的軟件工程和網(wǎng)絡(luò)安全質(zhì)量仍然顯示出大量的重要缺陷。因此，NCSC仍然擔心華為的軟件工程和網(wǎng)絡(luò)安全能力以及相關(guān)流程未能得到充分改善。

監(jiān)督委員會還要求華為提供一份計劃，以糾正LTE Enodeb產(chǎn)品開發(fā)和持續(xù)工程中的軟件工程和網(wǎng)絡(luò)安全問題，由NCSC與英國運營商審核。但是，華為所提交的計劃，NCSC和英國運營商并不能接受。這也使得NCSC目前不相信華為能夠解決其面臨的重大問題。

HCSEC監(jiān)督委員會稱，這些問題暴露了“華為軟件工程和網(wǎng)絡(luò)安全能力存在嚴重的系統(tǒng)性缺陷。”

報告還顯示，實驗室在2018年向英國運營商報告了“數(shù)百個漏洞和問題”。HCSEC監(jiān)督委員會稱，對于上一次2018年報告提出的缺陷問題，華為也“沒有實質(zhì)性進展”。

對此，HCSEC監(jiān)督委員會表示，目前只能提供有限的保證，部署在英國的華為設(shè)備帶來的安全風險，從長遠來看是可控的。同時，HCSEC監(jiān)督委員會也認為，在華為軟件工程和網(wǎng)絡(luò)安全流程的潛在缺陷得到糾正之前，很難對華為未來產(chǎn)品在英國的部署進行適當?shù)娘L險管理。

HCSEC監(jiān)督委員會稱，它對華為切實采取提議的措施以解決“潛在缺陷”的能力沒有信心。HCSEC監(jiān)督委員會要求獲得持續(xù)的證據(jù)，證明HCSEC和NCSC能夠提高軟件工程和網(wǎng)絡(luò)安全質(zhì)量。

華為回應(yīng)：“非常重視”

自去年以來，華為的電信設(shè)備業(yè)務(wù)在海外屢屢受阻，美國、澳大利亞等國均以華為設(shè)備存在安全問題為由，禁止了華為的5G設(shè)備。去年下年底至本月，華為高管密集接受國內(nèi)外媒體采訪和發(fā)聲，希望打消外界對于華為設(shè)備安全的擔憂。

但是，此次英國HCSEC監(jiān)督委員會公布的這份指責華為設(shè)備存在安全漏洞報告，顯然將會對華為電信業(yè)務(wù)在海外的開展造成負面影響。

不過，事情可能也并沒有想象中那么的嚴重。

HCSEC監(jiān)督委員會雖然認為：“這些調(diào)查結(jié)果涉及基本的工程能力和網(wǎng)絡(luò)安全做法，它們導致了能夠被眾多威脅分子利用的一系列安全漏洞。”但是，該委員會也表示：“NCSC（國家網(wǎng)絡(luò)安全中心）并不認為所發(fā)現(xiàn)的漏洞是國家干預的結(jié)果?！毖韵轮?，這些漏洞并不是故意人為的，而只是技術(shù)問題。

針對HCSEC監(jiān)督委員會這份報告的指控，華為隨后在一份聲明中表示，它對該監(jiān)管委員會的擔憂“非常重視”；報告中提到的問題“對于不斷提升我們的軟件工程能力具有重要的參考意義”。

此前有報道稱，華為去年曾承諾斥資逾20億美元，以此解決英國之前發(fā)現(xiàn)的諸多問題，但同時表示可能需要長達五年的時間才能看到結(jié)果。而這可能也是為何HCSEC監(jiān)督委員會認為華為對于解決之前的問題“沒有實質(zhì)性進展”的原因。