成人免费午夜在线观看,伊人久久精品,一区二区三区精品

【文/觀察者網 谷智軒】

上月底，美國俄亥俄州網絡安全公司Finite State（下稱，F(xiàn)公司）流出的一份報告稱，與競爭對手的設備相比，華為設備更有可能存在可以被黑客惡意利用的漏洞。

《華爾街日報》7月5日報道稱，這份報告在公開發(fā)布前，已經在特朗普政府高級官員中廣泛流傳。這些官員認為，F(xiàn)inite State的研究是可信的，進一步證實了美方有關“華為威脅國家安全”的立場。

對于上述報告，華為本月初發(fā)布數(shù)千字長文予以駁斥，表示F公司的研究“缺乏洞察力、完整性和準確性”，其使用的方法“存在嚴重的操作和技術缺陷，測試缺乏中立性，報告嚴重失實”。

PSIRT，Product Security Incident Response Team，產品安全應急響應團隊。華為網站截圖

“對F公司有違常規(guī)的做法感到驚訝和失望”

具體來看，F(xiàn)公司稱其使用專有的自動化系統(tǒng)，分析了超過150萬份獨特的文件，這些文件嵌入在華為企業(yè)網絡產品線內558種產品的近1萬個固件鏡像中。

報告稱，在華為設備中發(fā)現(xiàn)漏洞的比率遠遠高于競爭對手設備的平均水平，在被測試的固件鏡像中，有55%至少存在一個所謂“潛在后門”的漏洞，這類漏洞能讓了解相關固件和密鑰的攻擊者登入設備。

這份報告包含了一個研究案例——將華為一款高端網絡交換機與美企Arista Networks和Juniper Networks的類似設備做了比較。研究稱，在九個比較類別中，華為的設備在六個類別上含有更高的風險因素，而且整體上高出不少。

對于上述情況，華為在《華為PSIRT：〈Finite State供應鏈評估〉的技術分析報告》一文中指出，2019年6月26日，F(xiàn)公司在其官方網站公布華為技術有限公司的《供應鏈評估》報告，該報告重點描述了其使用固件（二進制軟件包）靜態(tài)分析工具，分析了華為企業(yè)網絡500多個產品，并對華為的CE12800和Juniper的EX4650、Arista的7280R產品做了對比分析，結果認為華為產品安全性差、有疑似后門，安全性低于友商。

華為CE12800系列交換機

“我們對F公司有違常規(guī)的做法感到驚訝和失望。我們無法確認F公司軟件獲取的渠道是否合法，也不能保證其獲取軟件的完整性，同時華為也未曾收到F公司的任何溝通請求。他們也沒有通過華為了解這些產品，并拒絕在公布前將報告提供給華為。遺憾的是，這意味著這份報告缺乏洞察力、完整性和準確性，F(xiàn)公司的這種做法也不是一個專業(yè)、認真、有能力的安全公司通常的做法?！?

文章進一步指出，鑒于F公司的做法及其工具和方法的不足，其分析結果，最好的情況下是種質疑，最差的情況下就是不準確的。若是通過合作而不是在安全方面選擇政治立場的話，這本應是可以避免的。

CEO曾經手國防、情報界相關合同

值得注意的是，華為還對F公司及其CEO馬特?懷克豪斯（Matt Wyckhouse）的目的提出了質疑，“為何他們沒有選擇市場領導者Cisco公司的產品來做比較，為何評估的是華為產品的老版本，發(fā)現(xiàn)的是已經在新版本中修復的問題?！?

而對于懷克豪斯的背景，《華爾街日報》此前已挖掘了一番。

在2017年與他人聯(lián)合創(chuàng)辦F公司之前，懷克豪斯曾為俄亥俄州Battelle研究所工作了13年，該機構號稱是一家“私營的、非營利的應用科學技術公司，從事私營和公共領域的研究工作”。

在Battelle研究所工作期間，身為計算機科學家的懷克豪斯曾效力于該機構的國家安全部門，這個部門負責處理美國國防界和情報界相關的合同。

懷克豪斯稱，F(xiàn)公司針對華為的報告是“公益性的、不代表任何政府”，“我們希望5G是安全的”。

華為方面則表示，“F公司花費幾個月時間進行了一項有問題的分析，而華為PSIRT（產品安全應急響應團隊）在公布報告后第一時間對報告中提到的所有問題進行了調查，我們認為F公司的方法存在嚴重的操作和技術缺陷，測試缺乏中立性，報告嚴重失實?！?

需要提及的是，盡管懷克豪斯仍然堅稱“華為的漏洞是廣泛存在的”，但相關報告并沒有指責華為故意在產品中植入漏洞。

不過，對于F公司在報告中大量使用“潛在后門”一詞，華為表示這種語言是“情緒化、夸大性的”。

“任何一家安全公司，如果在僅經過工具的掃描，未在產品上進行實際驗證，甚至對產品、產品架構及環(huán)境根本不了解的情況下，就聲稱發(fā)現(xiàn)大量后門和未修補的嚴重漏洞，是無法讓人信賴的?！比A為方面表示。

事實上，針對產品相關的安全漏洞信息，華為早已建立了產品安全應急響應團隊（PSIRT）。一旦確認漏洞，PSIRT會及時將信息傳遞給受影響產品的團隊，并積極跟蹤直至問題解決。

華為建立并實施了一套分層的端到端網絡安全評估流程，確保在各階段（概念、設計、開發(fā)、直到在全球客戶網絡中部署和維護）都對產品進行審視，以發(fā)現(xiàn)潛在的安全問題。

本文系觀察者網獨家稿件，未經授權，不得轉載。