【安全圈】英国称发现了华为“国家重要性”的缺陷

华为的软件工程和网络安全实践在年报(PDF)华为网络安全评估中心(HCSEC)是由英国政府和网络巨头成立的，负责评估将用于英国网络的设备。

该中心于2010年开业，目的是减少使用华为技术作为英国关键国家基础设施一部分的潜在风险。因此，HCSEC年度报告详细分析了公司的软件、工程和网络安全流程。

该报告称：“HCSEC的工作继续找出华为在软件开发方面存在的问题，这给英国运营商带来了更大的风险，这需要持续的管理和缓解。”该报告还补充说，在上一份报告中提出的问题上取得的进展有限。

总体而言，监管该中心的董事会表示，它只能提供“有限”的保证，即从长远来看，华为参与英国关键网络给英国国家安全带来的所有风险能够得到充分缓解。

“HCSEC相对较小的团队发现的漏洞数量和严重程度，以及体系结构和构建问题，是一个特别令人担忧的问题。如果攻击者了解这些漏洞，并有足够的权限利用这些漏洞，它们可能会影响英国网络的运行，在某些情况下导致网络停止正常运行，”报告警告称。

报告说，在HCSEC今年的工作中发现了一个具有“国家意义”的缺陷。

一旦发现缺陷，HCSEC通常会向电信公司NCSC报告，并向华为报告。

但报告指出：“在极少数情况下，在这种漏洞的影响具有国家意义的情况下，公布华为漏洞的全部细节可能会被推迟，以便英国社区能够评估和减轻这种影响。这种情况发生在2019年。”据BBC报道这个缺陷与宽带有关，但官方认为没有人利用它。

报告说，调查结果提到了基本的工程能力和网络安全，而不是故意引入的缺陷。报告说：“NCSC并不认为所发现的缺陷是中国政府干预的结果。”

但是它也说，在HCSEC分析的产品中仍然存在主要的质量问题。

该报告称：“人们发现了持续存在的证据，证明华为的编码操作不当，包括有证据表明，华为继续没有遵循自己的内部安全编码准则。尽管与前几年相比略有改善，但这仍在继续。”

Hcsec表示，在2019年，它在固定接入产品中发现了“关键的、面向用户的漏洞”。它说，这是由“特别糟糕的代码质量”和使用旧操作系统造成的。

报告补充称，尽管华为已修复了英国的具体漏洞，但这给该产品带来了另一个重大问题，进一步证明华为的工程流程仍存在缺陷。

华为表示，它将继续进行“重大”投资，以改善其产品。该公司表示：“该报告承认，尽管我们的软件转换过程还处于起步阶段，但我们在提高软件工程能力方面取得了一些进展。”该公司补充称，所有供应商都应根据同样强大的基准进行评估，“以提高所有人的安全标准”。

然而，今年华为作为英国主要网络技术供应商的地位已开始发生重大变化。今年7月，政府要求电信运营商从2021年起停止从这家中国公司购买5G设备，这是一项举措。很大程度上是出于国家安全考虑。电信公司还被要求在未来7年内将华为的所有技术从5G网络中删除。