美企宣稱(chēng)華為威脅國家安全，反遭華為發(fā)文質(zhì)疑

不久前，總部位于美國網(wǎng)絡(luò )安全公司Finite State發(fā)表報告稱(chēng)，與競爭對手的設備相比，華為設備更有可能存在可以被黑客惡意利用的漏洞。

華為公司這篇命名為《華為PSIRT：〈Finite State供應鏈評估〉的技術(shù)分析報告》（下稱(chēng)“評估報告”）中表示，Finite State公司得出的結論與事實(shí)不符，并稱(chēng)Finite State公司測試過(guò)程和輸出測試報告的方法與業(yè)界負責任的安全測試公司的做法相悖。

在評估報告中，華為對Finite State公司有違常規的做法感到驚訝和失望，并表示Finite State公司的方法存在嚴重的操作和技術(shù)缺陷，測試缺乏中立性，報告嚴重失實(shí)。華為無(wú)法確認Finite State軟件獲取的渠道是否合法，也不能保證其獲取軟件的完整性，同時(shí)華為也未曾收到Finite State的任何溝通請求。這代表，這家Finite State公司并沒(méi)有通過(guò)華為了解這些產(chǎn)品，并拒絕在公布前將報告提供給華為。華為指出，Finite State公司的這份報告缺乏洞察力、完整性和準確性，其做法也不是一個(gè)專(zhuān)業(yè)、認真、有能力的安全公司該有的行為。

華為表示，公司早已建立了華為公司自有的產(chǎn)品安全應急響應團隊（PSIRT），負責收集、調查、內部協(xié)調及負責任地披露華為產(chǎn)品相關(guān)的安全漏洞信息。一旦確認漏洞，PSIRT會(huì )及時(shí)將信息傳遞給受影響產(chǎn)品的團隊，并積極跟蹤直至問(wèn)題解決。

華為建立并實(shí)施了一套分層的端到端網(wǎng)絡(luò )安全評估流程，確保在各階段（概念、設計、開(kāi)發(fā)、直到在全球客戶(hù)網(wǎng)絡(luò )中部署和維護）都對產(chǎn)品進(jìn)行審視，以發(fā)現潛在的安全問(wèn)題。

而Finite State聲稱(chēng)其使用專(zhuān)有的自動(dòng)化系統，分析了超過(guò)150萬(wàn)份獨特的文件，這些文件嵌入在華為企業(yè)網(wǎng)絡(luò )產(chǎn)品線(xiàn)內558種產(chǎn)品的近1萬(wàn)個(gè)固件鏡像中。

Finite State的報告稱(chēng)，在華為設備中發(fā)現漏洞的比率遠遠高于競爭對手設備的平均水平，在被測試的固件鏡像中，有55%至少存在一個(gè)所謂“潛在后門(mén)”的漏洞，這類(lèi)漏洞能讓了解相關(guān)固件和密鑰的攻擊者登入設備。

與此同時(shí)，Finite State還在報告描述了一個(gè)研究案例——將華為一款高端網(wǎng)絡(luò )交換機與美企Arista Networks和Juniper Networks的類(lèi)似設備做了比較。研究稱(chēng)，在九個(gè)比較類(lèi)別中，華為的設備在六個(gè)類(lèi)別上含有更高的風(fēng)險因素，而且整體上高出不少。

另一方面，華為還在評估報告中抨擊Finite State的報告結果，稱(chēng)Finite State公司在只是在其官方網(wǎng)站公布對華為的報告中重點(diǎn)描述了其使用固件（二進(jìn)制軟件包）靜態(tài)分析工具，分析了華為企業(yè)網(wǎng)絡(luò )500多個(gè)產(chǎn)品，和對華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對比分析，就得出“華為產(chǎn)品安全性差、有疑似后門(mén)，安全性低于友商”的結論是十分荒謬的。

“評估報告未就為什么選擇華為、J和A公司作為測試樣本（做出解釋?zhuān)?，反而沒(méi)有選擇占全球市場(chǎng)企業(yè)網(wǎng)份額最大的思科公司產(chǎn)品作為測試對象。對華為公司選擇了幾乎所有企業(yè)網(wǎng)絡(luò )的數百種產(chǎn)品，而只選擇了J公司和A公司的各一款產(chǎn)品，且沒(méi)有公布J公司、A公司產(chǎn)品的版本號。報告上聲稱(chēng)選擇的是華為最新版本，報告中實(shí)際引用的版本均為舊版本。”華為在評估報告中這樣說(shuō)。

• 為應對市場(chǎng)不確定性，任天堂計劃將部分產(chǎn)線(xiàn)遷出中國
• 任正非：別想了，鴻蒙系統另有他用！