廣告

2019年3月2日 星期六

必須在多個層面採取措施,包括5G網絡的安全標準、設備安全標準、基站、網絡交換器等器材的設置以及最後的運營流程,要在這四個層面上都採取措施,制定標準、頒布規定,建立認證體系、代碼審計等---- 柏林智庫“新責任基金會”的網絡安全問題專家克萊恩漢斯(Jan-Peter Kleinhans)接受德國之聲採訪



專訪:華為設備有沒有“後門”並不重要

華為的設備到底是否安全?它為國家情報部門充當間諜的可能性有多大?西方的情報和安全專家對此仍在爭論。柏林智庫“新責任基金會”的網絡安全問題專家克萊恩漢斯(Jan-Peter Kleinhans)接受德國之聲採訪,談了他的看法。
    

德國之聲:一些安全專家認為,華為設備上為中國情報機構安裝所謂"後門"的可能性幾乎為零,對此您怎麼看?
克萊恩漢斯:我沒有具體研究過華為的器材,不好從技術上判斷。但所謂後門只是諸多可能因素中的一個,在我看來有沒有後門並不那麼關鍵。把注意力集中在這一點上是見木不見林。
眼下的討論建立在一個假設的基礎上,即用了中國設備,才會有不安全因素,似乎只要用其他國家的產品,網絡就會變得更安全。情況當然不是這樣。只要有聯網,就會有風險,不管是誰家的產品。無論是中國還是其他國家的機構,如果想要入侵某個網絡,會在任何設備上找到安全漏洞並加以利用。
德國之聲:如果採用華為的設備,那來自中國的數據安全方面的風險不會更大嗎?
克萊恩漢斯:目前的論點之一是,認為中國政府不會損害本國企業的利益。這些安全專家認為有國家背景的黑客攻擊的目標一般是外國企業。就是說中國會"黑"西方企業、而不是華為的設備。另一種觀點則認為,任何一方都不能免除嫌疑,由於很難證明到底是誰進行了黑客襲擊,必須做好最壞的準備:只要可能被入侵,就會被入侵。
在某些特定條件下,中國設備確實帶有額外的風險。如果華為有正當的途徑可以對設備進行維修或軟件更新--比如,一家運營商購買了華為的設備,又簽約授權華為遠程操作為基站進行軟件更新,那就會有這樣的風險:即中國政府要求華為交出數據。如果是外國公司就沒有那麼簡單,這是一個質的區別。在這一點上中國廠商的設備有更大的潛在風險。
如果認真對待這個假設,即中國政府會對華為或中興施加壓力,而根據中國的法律這些公司很難反抗,那麼使用中國設備的風險就更高。

德國之聲:面對這樣的風險,歐洲國家能怎麼做呢?
克萊恩漢斯:英國的網絡安全部門就規定,網絡運營商可以使用華為的設備,但不能允許華為在設備上再作改動。如果軟件需要更新,華為可將新版軟件交給運營商,由後者在系統裡更新。這是一個旨在將風險最小化的安全措施。
我認為,如果採取整體規劃管控的方式,是能夠將這種風險降低到可以承受的水平的。就是說,不能只檢查單個的機器設備是否符合安全標準,而是必須在運營系統的層面上改善網絡安全性,做到即便在部分網絡或設備遭入侵的情況下,不至造成整個網絡癱瘓。另外還可以對運營流程以及運營商與設備製造商的合作做出規範。
英國國家網絡安全中心(NCSC)的做法就相當值得借鑒。一方面檢查機器上的源代碼和軟件質量,另一方面檢視運營商的網絡結構和管理,以及時發現、填補漏洞。同時對運營流程及境外設備廠商的合作做出明確規定,這不僅涉及由誰來操作軟件的安全升級,還涉及根據歐盟法律電信運營商向執法機構提供通話數據的問題。在此,運營商提供的這些數據不得通過華為或中興等中國廠商設備,而只能通過非中國產設備。這是為了避免華為或中興獲得網絡原始數據。這樣做一方面允許了競爭,同時考慮到中國的司法體制對企業可信度造成的負面效應,避免讓這些企業直接接觸用戶數據。
德國之聲:這也是您對德國政府的建議嗎?
克萊恩漢斯:正是這樣。在這場討論中重要的是,意識到必須在多個層面採取措施,包括5G網絡的安全標準、設備安全標準、基站、網絡交換器等器材的設置以及最後的運營流程,要在這四個層面上都採取措施,制定標準、頒布規定,建立認證體系、代碼審計等,只有這樣,才能真正有效提高網絡的安全和可信度。

楊-彼得·克萊恩漢斯(Jan-Peter Kleinhans),新責任基金會(Stiftung Neuer Verantwortung)物聯網IT安全項目主管,研究重點為網絡基礎設施、網絡和數據安全。
德國之聲致力於為您提供客觀中立的新聞報導,以及展現多種角度的評論分析。文中評論及分析僅代表作者或專家個人立場。

沒有留言:

網誌存檔