必須在多個層面採取措施，包括5G網絡的安全標準、設備安全標準、基站、網絡交換器等器材的設置以及最後的運營流程，要在這四個層面上都採取措施，制定標準、頒布規定，建立認證體系、代碼審計等---- 柏林智庫“新責任基金會”的網絡安全問題專家克萊恩漢斯（Jan-Peter Kleinhans）接受德國之聲採訪

專訪：華為設備有沒有“後門”並不重要

華為的設備到底是否安全？它為國家情報部門充當間諜的可能性有多大？西方的情報和安全專家對此仍在爭論。柏林智庫“新責任基金會”的網絡安全問題專家克萊恩漢斯（Jan-Peter Kleinhans）接受德國之聲採訪，談了他的看法。

    

德國之聲：一些安全專家認為，華為設備上為中國情報機構安裝所謂"後門"的可能性幾乎為零，對此您怎麼看？

克萊恩漢斯：我沒有具體研究過華為的器材，不好從技術上判斷。但所謂後門只是諸多可能因素中的一個，在我看來有沒有後門並不那麼關鍵。把注意力集中在這一點上是見木不見林。

眼下的討論建立在一個假設的基礎上，即用了中國設備，才會有不安全因素，似乎只要用其他國家的產品，網絡就會變得更安全。情況當然不是這樣。只要有聯網，就會有風險，不管是誰家的產品。無論是中國還是其他國家的機構，如果想要入侵某個網絡，會在任何設備上找到安全漏洞並加以利用。

德國之聲：如果採用華為的設備，那來自中國的數據安全方面的風險不會更大嗎？

克萊恩漢斯：目前的論點之一是，認為中國政府不會損害本國企業的利益。這些安全專家認為有國家背景的黑客攻擊的目標一般是外國企業。就是說中國會"黑"西方企業、而不是華為的設備。另一種觀點則認為，任何一方都不能免除嫌疑，由於很難證明到底是誰進行了黑客襲擊，必須做好最壞的準備：只要可能被入侵，就會被入侵。

在某些特定條件下，中國設備確實帶有額外的風險。如果華為有正當的途徑可以對設備進行維修或軟件更新--比如，一家運營商購買了華為的設備，又簽約授權華為遠程操作為基站進行軟件更新，那就會有這樣的風險：即中國政府要求華為交出數據。如果是外國公司就沒有那麼簡單，這是一個質的區別。在這一點上中國廠商的設備有更大的潛在風險。

如果認真對待這個假設，即中國政府會對華為或中興施加壓力，而根據中國的法律這些公司很難反抗，那麼使用中國設備的風險就更高。

德國之聲：面對這樣的風險，歐洲國家能怎麼做呢？

克萊恩漢斯：英國的網絡安全部門就規定，網絡運營商可以使用華為的設備，但不能允許華為在設備上再作改動。如果軟件需要更新，華為可將新版軟件交給運營商，由後者在系統裡更新。這是一個旨在將風險最小化的安全措施。

我認為，如果採取整體規劃管控的方式，是能夠將這種風險降低到可以承受的水平的。就是說，不能只檢查單個的機器設備是否符合安全標準，而是必須在運營系統的層面上改善網絡安全性，做到即便在部分網絡或設備遭入侵的情況下，不至造成整個網絡癱瘓。另外還可以對運營流程以及運營商與設備製造商的合作做出規範。

英國國家網絡安全中心（NCSC）的做法就相當值得借鑒。一方面檢查機器上的源代碼和軟件質量，另一方面檢視運營商的網絡結構和管理，以及時發現、填補漏洞。同時對運營流程及境外設備廠商的合作做出明確規定，這不僅涉及由誰來操作軟件的安全升級，還涉及根據歐盟法律電信運營商向執法機構提供通話數據的問題。在此，運營商提供的這些數據不得通過華為或中興等中國廠商設備，而只能通過非中國產設備。這是為了避免華為或中興獲得網絡原始數據。這樣做一方面允許了競爭，同時考慮到中國的司法體制對企業可信度造成的負面效應，避免讓這些企業直接接觸用戶數據。

德國之聲：這也是您對德國政府的建議嗎？

克萊恩漢斯：正是這樣。在這場討論中重要的是，意識到必須在多個層面採取措施，包括5G網絡的安全標準、設備安全標準、基站、網絡交換器等器材的設置以及最後的運營流程，要在這四個層面上都採取措施，制定標準、頒布規定，建立認證體系、代碼審計等，只有這樣，才能真正有效提高網絡的安全和可信度。

楊-彼得·克萊恩漢斯（Jan-Peter Kleinhans），新責任基金會（Stiftung Neuer Verantwortung）物聯網IT安全項目主管，研究重點為網絡基礎設施、網絡和數據安全。

德國之聲致力於為您提供客觀中立的新聞報導，以及展現多種角度的評論分析。文中評論及分析僅代表作者或專家個人立場。