動(dòng)態(tài)信息

關(guān)注我們,了解更多動(dòng)態(tài)信息

美企宣稱華為威脅國(guó)家安全,反遭華為發(fā)文質(zhì)疑

 

不久前,總部位于美國(guó)網(wǎng)絡(luò)安全公司Finite State發(fā)表報(bào)告稱,與競(jìng)爭(zhēng)對(duì)手的設(shè)備相比,華為設(shè)備更有可能存在可以被黑客惡意利用的漏洞。

外媒報(bào)道稱,該報(bào)告在公開發(fā)布前就已廣泛被特朗普政府高級(jí)官員們熟悉,也正是這份報(bào)告,使得被特朗普政府高級(jí)官員更加堅(jiān)定了有關(guān)“華為威脅國(guó)家安全”的立場(chǎng)。

作為在Finite State公司報(bào)告中被指“危害美國(guó)國(guó)家安全”的華為公司,7月3日在網(wǎng)站發(fā)文作為回?fù)簟?/p>

微信圖片_20190709164951.png

華為公司這篇命名為《華為PSIRT:〈Finite State供應(yīng)鏈評(píng)估〉的技術(shù)分析報(bào)告》(下稱“評(píng)估報(bào)告”)中表示,F(xiàn)inite State公司得出的結(jié)論與事實(shí)不符,并稱Finite State公司測(cè)試過程和輸出測(cè)試報(bào)告的方法與業(yè)界負(fù)責(zé)任的安全測(cè)試公司的做法相悖。

在評(píng)估報(bào)告中,華為對(duì)Finite State公司有違常規(guī)的做法感到驚訝和失望,并表示Finite State公司的方法存在嚴(yán)重的操作和技術(shù)缺陷,測(cè)試缺乏中立性,報(bào)告嚴(yán)重失實(shí)。華為無(wú)法確認(rèn)Finite State軟件獲取的渠道是否合法,也不能保證其獲取軟件的完整性,同時(shí)華為也未曾收到Finite State的任何溝通請(qǐng)求。這代表,這家Finite State公司并沒有通過華為了解這些產(chǎn)品,并拒絕在公布前將報(bào)告提供給華為。華為指出,F(xiàn)inite State公司的這份報(bào)告缺乏洞察力、完整性和準(zhǔn)確性,其做法也不是一個(gè)專業(yè)、認(rèn)真、有能力的安全公司該有的行為。

華為表示,公司早已建立了華為公司自有的產(chǎn)品安全應(yīng)急響應(yīng)團(tuán)隊(duì)(PSIRT),負(fù)責(zé)收集、調(diào)查、內(nèi)部協(xié)調(diào)及負(fù)責(zé)任地披露華為產(chǎn)品相關(guān)的安全漏洞信息。一旦確認(rèn)漏洞,PSIRT會(huì)及時(shí)將信息傳遞給受影響產(chǎn)品的團(tuán)隊(duì),并積極跟蹤直至問題解決。

華為建立并實(shí)施了一套分層的端到端網(wǎng)絡(luò)安全評(píng)估流程,確保在各階段(概念、設(shè)計(jì)、開發(fā)、直到在全球客戶網(wǎng)絡(luò)中部署和維護(hù))都對(duì)產(chǎn)品進(jìn)行審視,以發(fā)現(xiàn)潛在的安全問題。

而Finite State聲稱其使用專有的自動(dòng)化系統(tǒng),分析了超過150萬(wàn)份獨(dú)特的文件,這些文件嵌入在華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線內(nèi)558種產(chǎn)品的近1萬(wàn)個(gè)固件鏡像中。

Finite State的報(bào)告稱,在華為設(shè)備中發(fā)現(xiàn)漏洞的比率遠(yuǎn)遠(yuǎn)高于競(jìng)爭(zhēng)對(duì)手設(shè)備的平均水平,在被測(cè)試的固件鏡像中,有55%至少存在一個(gè)所謂“潛在后門”的漏洞,這類漏洞能讓了解相關(guān)固件和密鑰的攻擊者登入設(shè)備。

與此同時(shí),F(xiàn)inite State還在報(bào)告描述了一個(gè)研究案例——將華為一款高端網(wǎng)絡(luò)交換機(jī)與美企Arista Networks和Juniper Networks的類似設(shè)備做了比較。研究稱,在九個(gè)比較類別中,華為的設(shè)備在六個(gè)類別上含有更高的風(fēng)險(xiǎn)因素,而且整體上高出不少。

另一方面,華為還在評(píng)估報(bào)告中抨擊Finite State的報(bào)告結(jié)果,稱Finite State公司在只是在其官方網(wǎng)站公布對(duì)華為的報(bào)告中重點(diǎn)描述了其使用固件(二進(jìn)制軟件包)靜態(tài)分析工具,分析了華為企業(yè)網(wǎng)絡(luò)500多個(gè)產(chǎn)品,和對(duì)華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對(duì)比分析,就得出“華為產(chǎn)品安全性差、有疑似后門,安全性低于友商”的結(jié)論是十分荒謬的。

“評(píng)估報(bào)告未就為什么選擇華為、J和A公司作為測(cè)試樣本(做出解釋),反而沒有選擇占全球市場(chǎng)企業(yè)網(wǎng)份額最大的思科公司產(chǎn)品作為測(cè)試對(duì)象。對(duì)華為公司選擇了幾乎所有企業(yè)網(wǎng)絡(luò)的數(shù)百種產(chǎn)品,而只選擇了J公司和A公司的各一款產(chǎn)品,且沒有公布J公司、A公司產(chǎn)品的版本號(hào)。報(bào)告上聲稱選擇的是華為最新版本,報(bào)告中實(shí)際引用的版本均為舊版本。”華為在評(píng)估報(bào)告中這樣說。

產(chǎn)品目錄
MULTICOMP PRO
Kyet 科雅薄膜電容器
喬光電子(FTR)
采樣電阻
KINGSTATE(志豐電子)
君耀電子(Brightking)
RUBYCON電容原裝現(xiàn)貨供應(yīng)商
HAMAMATSU 濱松光電產(chǎn)品
傳感器
飛思卡爾開發(fā)工具 Freescale
嵌入式解決方案
自動(dòng)化工業(yè)系統(tǒng)
網(wǎng)絡(luò)攝像機(jī)
行車記錄儀
地址(中國(guó)):杭州市拱墅區(qū)莫干山路972號(hào)北部軟件園泰嘉園B座303室
QQ:1261061025
郵箱:master@wfyear.com
電話:800-886-8870