由英國(guó)政府主導(dǎo)的華為網(wǎng)絡(luò)安全評(píng)估中心（HCSEC）監(jiān)督委員會(huì)公布的一份報(bào)告稱，華為設(shè)備的軟件開發(fā)流程存在著重大缺陷，“給英國(guó)電信網(wǎng)絡(luò)帶來(lái)了新的風(fēng)險(xiǎn)”。

英國(guó)指控華為設(shè)備存在重大缺陷

華為網(wǎng)絡(luò)安全評(píng)估中心（HCSEC）隸屬于華為技術(shù)（英國(guó)）有限公司，其母公司正是中國(guó)的華為技術(shù)有限公司，華為是目前全球最大的電信設(shè)備提供商之一。

華為網(wǎng)絡(luò)安全評(píng)估中心（HCSEC）是2010年11月在華為和英國(guó)政府的一系列安排下成立的。其目的是為減輕因華為參與英國(guó)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施部分而產(chǎn)生的任何感知風(fēng)險(xiǎn)。HCSEC為英國(guó)電信市場(chǎng)使用的一系列產(chǎn)品提供安全評(píng)估。

通過(guò)HCSEC，英國(guó)政府能夠深入了解華為在英國(guó)的戰(zhàn)略和產(chǎn)品范圍。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC，以及之前的政府通信總部（GCHQ））作為英國(guó)國(guó)家信息保障技術(shù)機(jī)構(gòu)和政府網(wǎng)絡(luò)安全首席運(yùn)營(yíng)機(jī)構(gòu)，領(lǐng)導(dǎo)政府處理HCSEC和華為的技術(shù)安全事務(wù)。

HCSEC監(jiān)督委員會(huì)成立于2014年，由NCSC首席執(zhí)行官Ciaran Martin和負(fù)責(zé)網(wǎng)絡(luò)安全的GCHQ董事會(huì)執(zhí)行成員負(fù)責(zé)。HCSEC監(jiān)督委員會(huì)還包括華為的一名高級(jí)執(zhí)行官作為副主席，以及來(lái)自英國(guó)政府和英國(guó)電信部門的高級(jí)代表。值得注意的是，監(jiān)督委員會(huì)成員在2018年發(fā)生了一點(diǎn)變化。這主要是由于英國(guó)政府和華為兩個(gè)職位的員工輪換。

在最新公布的這份報(bào)告當(dāng)中，HCSEC監(jiān)督委員會(huì)指責(zé)華為軟件開發(fā)流程存在相關(guān)問題，這給英國(guó)運(yùn)營(yíng)商帶來(lái)了“顯著增加的風(fēng)險(xiǎn)”，需要持續(xù)的管理和緩解措施。

在HCSEC監(jiān)督委員會(huì)的這份40多頁(yè)的報(bào)告中，列出了華為設(shè)備存在的幾個(gè)新技術(shù)問題，表明問題比華為以前公開承認(rèn)的要來(lái)得嚴(yán)重。

比如，HCSEC對(duì)LTE Enodeb老版本和最新版本進(jìn)行了軟件工程和網(wǎng)絡(luò)安全趨勢(shì)分析，發(fā)現(xiàn)新版本雖然整合華為的所有改進(jìn)，但產(chǎn)品的軟件工程和網(wǎng)絡(luò)安全質(zhì)量仍然顯示出大量的重要缺陷。因此，NCSC仍然擔(dān)心華為的軟件工程和網(wǎng)絡(luò)安全能力以及相關(guān)流程未能得到充分改善。

監(jiān)督委員會(huì)還要求華為提供一份計(jì)劃，以糾正LTE Enodeb產(chǎn)品開發(fā)和持續(xù)工程中的軟件工程和網(wǎng)絡(luò)安全問題，由NCSC與英國(guó)運(yùn)營(yíng)商審核。但是，華為所提交的計(jì)劃，NCSC和英國(guó)運(yùn)營(yíng)商并不能接受。這也使得NCSC目前不相信華為能夠解決其面臨的重大問題。

HCSEC監(jiān)督委員會(huì)稱，這些問題暴露了“華為軟件工程和網(wǎng)絡(luò)安全能力存在嚴(yán)重的系統(tǒng)性缺陷。”

報(bào)告還顯示，實(shí)驗(yàn)室在2018年向英國(guó)運(yùn)營(yíng)商報(bào)告了“數(shù)百個(gè)漏洞和問題”。HCSEC監(jiān)督委員會(huì)稱，對(duì)于上一次2018年報(bào)告提出的缺陷問題，華為也“沒有實(shí)質(zhì)性進(jìn)展”。

對(duì)此，HCSEC監(jiān)督委員會(huì)表示，目前只能提供有限的保證，部署在英國(guó)的華為設(shè)備帶來(lái)的安全風(fēng)險(xiǎn)，從長(zhǎng)遠(yuǎn)來(lái)看是可控的。同時(shí)，HCSEC監(jiān)督委員會(huì)也認(rèn)為，在華為軟件工程和網(wǎng)絡(luò)安全流程的潛在缺陷得到糾正之前，很難對(duì)華為未來(lái)產(chǎn)品在英國(guó)的部署進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)管理。

HCSEC監(jiān)督委員會(huì)稱，它對(duì)華為切實(shí)采取提議的措施以解決“潛在缺陷”的能力沒有信心。HCSEC監(jiān)督委員會(huì)要求獲得持續(xù)的證據(jù)，證明HCSEC和NCSC能夠提高軟件工程和網(wǎng)絡(luò)安全質(zhì)量。

華為回應(yīng)：“非常重視”

自去年以來(lái)，華為的電信設(shè)備業(yè)務(wù)在海外屢屢受阻，美國(guó)、澳大利亞等國(guó)均以華為設(shè)備存在安全問題為由，禁止了華為的5G設(shè)備。去年下年底至本月，華為高管密集接受國(guó)內(nèi)外媒體采訪和發(fā)聲，希望打消外界對(duì)于華為設(shè)備安全的擔(dān)憂。

但是，此次英國(guó)HCSEC監(jiān)督委員會(huì)公布的這份指責(zé)華為設(shè)備存在安全漏洞報(bào)告，顯然將會(huì)對(duì)華為電信業(yè)務(wù)在海外的開展造成負(fù)面影響。

不過(guò)，事情可能也并沒有想象中那么的嚴(yán)重。

HCSEC監(jiān)督委員會(huì)雖然認(rèn)為：“這些調(diào)查結(jié)果涉及基本的工程能力和網(wǎng)絡(luò)安全做法，它們導(dǎo)致了能夠被眾多威脅分子利用的一系列安全漏洞?！钡?，該委員會(huì)也表示：“NCSC（國(guó)家網(wǎng)絡(luò)安全中心）并不認(rèn)為所發(fā)現(xiàn)的漏洞是國(guó)家干預(yù)的結(jié)果?！毖韵轮?，這些漏洞并不是故意人為的，而只是技術(shù)問題。

針對(duì)HCSEC監(jiān)督委員會(huì)這份報(bào)告的指控，華為隨后在一份聲明中表示，它對(duì)該監(jiān)管委員會(huì)的擔(dān)憂“非常重視”；報(bào)告中提到的問題“對(duì)于不斷提升我們的軟件工程能力具有重要的參考意義”。

此前有報(bào)道稱，華為去年曾承諾斥資逾20億美元，以此解決英國(guó)之前發(fā)現(xiàn)的諸多問題，但同時(shí)表示可能需要長(zhǎng)達(dá)五年的時(shí)間才能看到結(jié)果。而這可能也是為何HCSEC監(jiān)督委員會(huì)認(rèn)為華為對(duì)于解決之前的問題“沒有實(shí)質(zhì)性進(jìn)展”的原因。