7月9日消息,據(jù)美國《華爾街日報》網(wǎng)站7月8日報道,總部位于俄亥俄州哥倫布市的美國“有限狀態(tài)”公司(Finite State)近日發(fā)布一份報告。報告認(rèn)為,認(rèn)為華為產(chǎn)品安全性差、有疑似“后門”,安全性低于競爭對手。在公開發(fā)布之前,這份報告在特朗普政府高級官員中廣泛傳播。
中國華為技術(shù)有限公司對美國一家網(wǎng)絡(luò)安全公司的調(diào)查結(jié)果提出異議,稱其分析不完整且不準(zhǔn)確。
據(jù)參考消息網(wǎng)稱,對于美國“有限狀態(tài)”公司的上述報告,華為表示,愿意與網(wǎng)絡(luò)安全研究人員合作,也歡迎對華為的產(chǎn)品和解決方案進(jìn)行獨立測試。華為早已建立了產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(PSIRT),負(fù)責(zé)收集、調(diào)查、內(nèi)部協(xié)調(diào)及負(fù)責(zé)任地披露華為產(chǎn)品相關(guān)的安全漏洞信息。一旦確認(rèn)漏洞,PSIRT會及時將信息傳遞給受影響產(chǎn)品的團(tuán)隊,并積極跟蹤直至問題解決。
華為稱,華為建立并實施了一套分層的端到端網(wǎng)絡(luò)安全評估流程,確保在各階段(概念、設(shè)計、開發(fā)、直到在全球客戶網(wǎng)絡(luò)中部署和維護(hù))都對產(chǎn)品進(jìn)行審視,以發(fā)現(xiàn)潛在的安全問題。
華為近日在長達(dá)數(shù)千字的《華為PSIRT:〈Finite State供應(yīng)鏈評估〉的技術(shù)分析報告》一文中寫道,2019年6月26美國公司Finite State(如下簡稱“F公司”)在其官方網(wǎng)站公布華為技術(shù)有限公司的《供應(yīng)鏈評估》報告,該報告重點描述了其使用固件(二進(jìn)制軟件包)靜態(tài)分析工具,分析了華為企業(yè)網(wǎng)絡(luò)500多個產(chǎn)品,并對華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對比分析,結(jié)果認(rèn)為華為產(chǎn)品安全性差、有疑似“后門”,安全性低于友商。
“我們對F公司有違常規(guī)的做法感到驚訝和失望。我們無法確認(rèn)F公司軟件獲取的渠道是否合法,也不能保證其獲取軟件的完整性,同時華為也未曾收到F公司的任何溝通請求。他們也沒有通過華為了解這些產(chǎn)品,并拒絕在公布前將報告提供給華為。遺憾的是,這意味著這份報告缺乏洞察力、完整性和準(zhǔn)確性,F(xiàn)公司的這種做法也不是一個專業(yè)、認(rèn)真、有能力的安全公司通常的做法。”
文中稱,鑒于F公司的做法及其工具和方法的不足,其分析結(jié)果,最好的情況下是種質(zhì)疑,最差的情況下就是不準(zhǔn)確的。若是通過合作而不是在安全方面選擇政治立場的話,這本應(yīng)是可以避免的。
華為還對F公司的目的提出了質(zhì)疑:為何他們沒有選擇市場領(lǐng)導(dǎo)者思科公司的產(chǎn)品來做比較,為何評估的是華為產(chǎn)品的老版本,發(fā)現(xiàn)的是已經(jīng)在新版本中修復(fù)的問題。
F公司花費幾個月時間進(jìn)行了一項有問題的分析,而華為PSIRT在公布報告后第一時間對報告中提到的所有問題進(jìn)行了調(diào)查,華為認(rèn)為F公司的方法存在嚴(yán)重的操作和技術(shù)缺陷,測試缺乏中立性,報告嚴(yán)重失實。
華為還指出,華為歡迎任何善意的、基于事實的、對網(wǎng)絡(luò)穩(wěn)定運行有幫助的建議。監(jiān)督、檢查華為的人越多,發(fā)現(xiàn)問題的幾率就越大,華為的產(chǎn)品也會更安全。華為一直重視網(wǎng)絡(luò)安全,并把網(wǎng)絡(luò)安全作為公司的最高綱領(lǐng)。華為從來沒有,將來也不會安裝“后門”。也絕不允許別人在華為的設(shè)備上這樣干。網(wǎng)絡(luò)安全問題是技術(shù)問題,應(yīng)該用技術(shù)手段來解決。
01月07日 18:14
