不久前,總部位于美國網絡安全公司Finite State發表報告稱,與競爭對手的設備相比,華為設備更有可能存在可以被黑客惡意利用的漏洞。
外媒報道稱,該報告在公開發布前就已廣泛被特朗普政府高級官員們熟悉,也正是這份報告,使得被特朗普政府高級官員更加堅定了有關“華為威脅國家安全”的立場。
作為在Finite State公司報告中被指“危害美國國家安全”的華為公司,7月3日在網站發文作為回擊。
華為公司這篇命名為《華為PSIRT:〈Finite State供應鏈評估〉的技術分析報告》(下稱“評估報告”)中表示,Finite State公司得出的結論與事實不符,并稱Finite State公司測試過程和輸出測試報告的方法與業界負責任的安全測試公司的做法相悖。
在評估報告中,華為對Finite State公司有違常規的做法感到驚訝和失望,并表示Finite State公司的方法存在嚴重的操作和技術缺陷,測試缺乏中立性,報告嚴重失實。華為無法確認Finite State軟件獲取的渠道是否合法,也不能保證其獲取軟件的完整性,同時華為也未曾收到Finite State的任何溝通請求。這代表,這家Finite State公司并沒有通過華為了解這些產品,并拒絕在公布前將報告提供給華為。華為指出,Finite State公司的這份報告缺乏洞察力、完整性和準確性,其做法也不是一個專業、認真、有能力的安全公司該有的行為。
華為表示,公司早已建立了華為公司自有的產品安全應急響應團隊(PSIRT),負責收集、調查、內部協調及負責任地披露華為產品相關的安全漏洞信息。一旦確認漏洞,PSIRT會及時將信息傳遞給受影響產品的團隊,并積極跟蹤直至問題解決。
華為建立并實施了一套分層的端到端網絡安全評估流程,確保在各階段(概念、設計、開發、直到在全球客戶網絡中部署和維護)都對產品進行審視,以發現潛在的安全問題。
而Finite State聲稱其使用專有的自動化系統,分析了超過150萬份獨特的文件,這些文件嵌入在華為企業網絡產品線內558種產品的近1萬個固件鏡像中。
Finite State的報告稱,在華為設備中發現漏洞的比率遠遠高于競爭對手設備的平均水平,在被測試的固件鏡像中,有55%至少存在一個所謂“潛在后門”的漏洞,這類漏洞能讓了解相關固件和密鑰的攻擊者登入設備。
與此同時,Finite State還在報告描述了一個研究案例——將華為一款高端網絡交換機與美企Arista Networks和Juniper Networks的類似設備做了比較。研究稱,在九個比較類別中,華為的設備在六個類別上含有更高的風險因素,而且整體上高出不少。
另一方面,華為還在評估報告中抨擊Finite State的報告結果,稱Finite State公司在只是在其官方網站公布對華為的報告中重點描述了其使用固件(二進制軟件包)靜態分析工具,分析了華為企業網絡500多個產品,和對華為的CE12800和Juniper的EX4650、Arista的7280R產品做了對比分析,就得出“華為產品安全性差、有疑似后門,安全性低于友商”的結論是十分荒謬的。
“評估報告未就為什么選擇華為、J和A公司作為測試樣本(做出解釋),反而沒有選擇占全球市場企業網份額最大的思科公司產品作為測試對象。對華為公司選擇了幾乎所有企業網絡的數百種產品,而只選擇了J公司和A公司的各一款產品,且沒有公布J公司、A公司產品的版本號。報告上聲稱選擇的是華為最新版本,報告中實際引用的版本均為舊版本。”華為在評估報告中這樣說。