专访:华为设备有没有“后门”并不重要 | 德国之声 来自德国 介绍德国 | DW | 02.03.2019
  1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages
广告

时政风云

专访:华为设备有没有“后门”并不重要

华为的设备到底是否安全?它为国家情报部门充当间谍的可能性有多大?西方的情报和安全专家对此仍在争论。柏林智库“新责任基金会”的网络安全问题专家克莱恩汉斯(Jan-Peter Kleinhans)接受德国之声采访,谈了他的看法。

德国之声:一些安全专家认为,华为设备上为中国情报机构安装所谓"后门"的可能性几乎为零,对此您怎么看?

克莱恩汉斯:我没有具体研究过华为的器材,不好从技术上判断。但所谓后门只是诸多可能因素中的一个,在我看来有没有后门并不那么关键。把注意力集中在这一点上是见木不见林。

眼下的讨论建立在一个假设的基础上,即用了中国设备,才会有不安全因素,似乎只要用其他国家的产品,网络就会变得更安全。情况当然不是这样。只要有联网,就会有风险,不管是谁家的产品。无论是中国还是其他国家的机构,如果想要入侵某个网络,会在任何设备上找到安全漏洞并加以利用。

德国之声:如果采用华为的设备,那来自中国的数据安全方面的风险不会更大吗?

克莱恩汉斯:目前的论点之一是,认为中国政府不会损害本国企业的利益。这些安全专家认为有国家背景的黑客攻击的目标一般是外国企业。就是说中国会"黑"西方企业、而不是华为的设备。另一种观点则认为,任何一方都不能免除嫌疑,由于很难证明到底是谁进行了黑客袭击,必须做好最坏的准备:只要可能被入侵,就会被入侵。

在某些特定条件下,中国设备确实带有额外的风险。如果华为有正当的途径可以对设备进行维修或软件更新--比如,一家运营商购买了华为的设备,又签约授权华为远程操作为基站进行软件更新,那就会有这样的风险:即中国政府要求华为交出数据。如果是外国公司就没有那么简单,这是一个质的区别。在这一点上中国厂商的设备有更大的潜在风险。

如果认真对待这个假设,即中国政府会对华为或中兴施加压力,而根据中国的法律这些公司很难反抗,那么使用中国设备的风险就更高。

德国之声:面对这样的风险,欧洲国家能怎么做呢?

克莱恩汉斯:英国的网络安全部门就规定,网络运营商可以使用华为的设备,但不能允许华为在设备上再作改动。如果软件需要更新,华为可将新版软件交给运营商,由后者在系统里更新。这是一个旨在将风险最小化的安全措施。

我认为,如果采取整体规划管控的方式,是能够将这种风险降低到可以承受的水平的。就是说,不能只检查单个的机器设备是否符合安全标准,而是必须在运营系统的层面上改善网络安全性,做到即便在部分网络或设备遭入侵的情况下,不至造成整个网络瘫痪。另外还可以对运营流程以及运营商与设备制造商的合作做出规范。

英国国家网络安全中心(NCSC)的做法就相当值得借鉴。一方面检查机器上的源代码和软件质量,另一方面检视运营商的网络结构和管理,以及时发现、填补漏洞。同时对运营流程及境外设备厂商的合作做出明确规定,这不仅涉及由谁来操作软件的安全升级,还涉及根据欧盟法律电信运营商向执法机构提供通话数据的问题。在此,运营商提供的这些数据不得通过华为或中兴等中国厂商设备,而只能通过非中国产设备。这是为了避免华为或中兴获得网络原始数据。这样做一方面允许了竞争,同时考虑到中国的司法体制对企业可信度造成的负面效应,避免让这些企业直接接触用户数据。

德国之声:这也是您对德国政府的建议吗?

克莱恩汉斯:正是这样。在这场讨论中重要的是,意识到必须在多个层面采取措施,包括5G网络的安全标准、设备安全标准、基站、网络交换器等器材的设置以及最后的运营流程,要在这四个层面上都采取措施,制定标准、颁布规定,建立认证体系、代码审计等,只有这样,才能真正有效提高网络的安全和可信度。

 

杨-彼得·克莱恩汉斯(Jan-Peter Kleinhans),新责任基金会(Stiftung Neuer Verantwortung)物联网IT安全项目主管,研究重点为网络基础设施、网络和数据安全。

德国之声致力于为您提供客观中立的新闻报道,以及展现多种角度的评论分析。文中评论及分析仅代表作者或专家个人立场。

 

DW.COM