报告称英国发现华为技术存在“全国性”漏洞

  • A+
所属分类:安全新闻

点击蓝字关注我们




报告称英国发现华为技术存在“全国性”漏洞


在近日发布的华为网络安全评估中心(HCSEC)的年度报告(下载链接在文末)中,华为软件安全和网络安全实践受到批评。HCSEC由英国政府和网络巨头华为共同成立,用于评估英国网络中使用的华为设备。


该中心于2010年成立,旨在降低使用华为技术作为英国关键国家基础设施一部分的潜在风险。而HCSEC的年度报告负责提供对华为软件、工程和网络安全流程的详细分析。


报告指出:“HCSEC的工作仍在继续进行,以确定华为软件开发方法中会给英国运营商带来巨大风险的问题,这需要持续的管理和缓解措施。”


总体而言,负责HCSEC运作的委员会表示,从长远来看,对于华为参与的英国关键网络的活动对英国国家安全的所有风险是否都可以得到充分缓解,该中心只能提供“有限的”保证(无法确保)


“HCSEC相对较小的团队却发现了如此之多的漏洞,其严重性以及相关体系结构问题已经引起了格外关注。如果攻击者了解这些漏洞并有足够的利用这些漏洞的途径,可能会影响英国网络的运行,在某些情况下甚至导致其无法正常运行。”


报告说,在HCSEC今年的工作中发现了具有“全国性意义”的缺陷。


一旦发现缺陷,HCSEC通常会将其报告提供给电信公司NCSC,并报告给华为进行修复。


但是该报告指出:“在极少数情况下,如果漏洞的影响具有全国性意义,可能会延迟向华为发布该漏洞的所有详细信息,以使英国社区能够评估和缓解这种影响。这种情况发生在2019年。”


根据BBC的说法,此漏洞与宽带有关,但是官员们不相信这个漏洞已经被人利用。


该报告指出,漏洞与基本的工程能力和网络安全卫生习惯有关,并非故意引入的漏洞。NCSC不认为发现的漏洞是中国政府干预的结果。


但是它也说,HCSEC分析的华为产品中仍然发现重大的质量问题。


报告说:“发现了不良编码实践的持续证据,一些证据表明华为仍然未能遵守其内部安全编码准则。尽管与前几年相比有一些小改进。”


HCSEC表示,2019年该中心确定了华为固定访问产品中的“严重的,面向用户的漏洞”。它说,这是由于“特别糟糕的代码质量”和使用旧的操作系统引起的。


报告称:“华为的工程实践存在缺陷,该漏洞是一个严重例证,在2019年期间,英国运营商需要采取特别行动来减轻风险。”


报告补充说,尽管从那以后华为已经修复了英国的特定漏洞,但这又给产品带来了一个重大问题,进一步证明了华为工程流程中的缺陷仍然存在。


华为表示,将继续“大量”投资以改善其产品。“报告承认,尽管我们的软件转型过程尚处于起步阶段,但我们在改善软件工程能力方面取得了一些进展。”华为同时还表示:“应采用同样的基准对所有供应商进行评估,以提高安全标准。”


该报告仅涵盖2019年。但是,今年华为在英国作为网络技术的主要提供商的地位已开始发生重大变化。7月,英国政府告诉电信运营商,从2021年起停止从中国公司购买5G设备,此举在很大程度上是出于国家安全的考虑。未来7年内,电信公司还必须从其5G网络中删除所有华为技术。


参考资料


HCSEC年度报告:

https://www.ncsc.gov.uk/information/hcsec-ob-report


相关阅读

英国宣布5G网络将彻底封杀华为

美国裁定华为和中兴构成国家安全威胁

全球电信运营商网络安全市场跟踪


报告称英国发现华为技术存在“全国性”漏洞

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]





报告称英国发现华为技术存在“全国性”漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: