精品推荐
联系我们
专业网站设计制作公司

地址:中国上海市延长西路58号万博manbetx最新下载

电话:021-234567989

传真:021-52535699

邮件:456789

MSN:http://www.vifa-speak.com/

联系人:李先生

您现在的位置:万博manbetx最新下载 > manbetx万博下载manbetx万博下载

美企质疑其▓设备安全性 华为发长文反击

发布时间:2019-07-18 04:17:06  来源:万博manbetx最新下载  查看:

  

【文/观察者网 谷智轩】

  

上月底,美国俄亥俄州网络安全公司Finite State(下称,F公司)流出的一份陈述称,与竞争对手的设备比较,华为设备更有或许存在能够被黑客歹意运用的缝隙。

  

《华尔街日报》7月5日报导称,这份陈述在揭露发布前,已经在特朗普政府高级官员中广泛撒播。这些官员以为,Finite State的研讨是可信的,进一步证明了美方有关“华为要挟国家安全”的态度。

  

关于上述陈述,华为本月初发布数千字长文予以批驳,表明F公司的研讨“缺少洞察力、完整性和精确性”,其运用的办法“存在严峻的操作和技能缺点,测验缺少中立性,陈述严峻失实”。

  

  

PSIRT,Product Security Incident Response Team,产品安全应急呼应团队。华为网站截图

  

详细来看,F公司称其运用专有的自动化体系,剖析了超越150万份共同的文件,这些文件嵌入在华为企业网络产品线内558种产品的近1万个固件镜像中。

  

陈述称,在华为设备中发现缝隙的比率远远高于竞争对手设备的平均水平,在被测▓验的固件镜像中,有55%至少存在一个所谓“潜在后门”的缝隙,这类缝隙能让了解相关固件和密钥的攻击者登入设备。

  

这份陈述包含了一个研讨事例——将华为一款高端网络交换机与美企Arista Networks和Juniper Networks的相似设备做了比较。研讨称,在九个比较类别中,华为的设备在六个类别上含有更高的危险要素,并且全体上高出不少。

  

关于上述情况,华为在《华为PSIRT:〈Finite State供应链评价〉的技能剖析陈述》一文中指出,2019年6月26日,F公司在其官方网站发布华为技能有限公▓司的《供应链▓评价》陈述,该陈述要点描绘了其运用固件(二进制软件包)静态剖析东西,剖析了华为企业网络500多个产品,并对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了比照剖析,成果以为华为产品安全性差、有疑似后门,安全性低于友商。

  

  

华为CE12800系列交换机

  

“咱们对F公司有违惯例的做法感到惊奇和绝望。咱们无法承认F公司软件获取的途径是否合法,也不能保证其获取软件的完整性,一起华为也未曾收到F公司的任何交流恳求。他们也没有通过华为了解这些产品,并回绝在发布前将陈述提供给华为。惋惜的是,这意味着这份陈述缺少洞察力、完整性和精确性,F公司的▓这种做法也不是一个专业、仔细▓、有才能的安全公司一般的做法。”

  

文章进一步指出,鉴于F公司的做法及其东西和办法的缺少,其剖析成果,最好的情况下是种质疑,最差的情况下便是不精确的。若是通过协作而不是在安全方面挑选政治态度的话,这本应是能够防止的。

  

CEO从前手国防、情报界相关合同

  

值得注意的是,华为还对F公司及其CEO马特?怀克豪斯(Matt Wyckhouse)的意图提出了质疑,“为何▓他们没有挑选商场领导者Cisco公司的产品来做比较,为何评价的是华为产品的老版别,发现的是已经在新版别中修正的问题。”

  

而关于怀克豪斯的布景,《华尔街日报》此前已发掘了一番。

  

在2017年与别人联合兴办F公司之前,怀克豪斯曾为俄亥俄州Battelle研讨所作业了13年,该组织号称是一家“私营的、非营▓利的运用科学技能公司,从事私营和公共范畴的研讨作业”。

  

▓在Battelle研讨所作业期间,身为计算机科学家的怀克豪斯曾效力于该组织的国家安全部分,▓这个部分负责处理美国国防界和情报界相关的合同。

  

怀克豪斯称,F公司针对▓华为的陈述是“公益性的、不代表任何政府”,“咱们期望5G是安全的”。

  

华为方面则表明,“F公司花费几▓个月时刻进行了一项有问题的剖析,而华为PSIRT(产品安全应急呼应团队)在发布陈述后第一时刻对陈述中说到的一切问题进行了查询,咱们以为F公司的办法存在严峻的操作和技能缺点,测验缺少中立性,陈述严峻失实。”

  

需求提及的是,虽然怀克豪斯依然坚称“华为的缝隙是广泛存在的”,但相关陈述并没有责备华为成心在产品中植入缝隙。

  

不过,关于F公司在陈述中很多运用“潜在后门”一词,华为表明这种言语是“情绪化、夸张性的”。

  

“任何一家安全公司,如果在仅通过东西的▓扫描,未在产品上进行实践验证,乃至对产品、产品架构及环境根本不了解的情况下,就宣称发现很多后门和未修补的严峻缝隙,是无法让人信任的。”华为方面表明。

  

事实上,针对产品相关的安全缝隙信息,华为早已树立了产品安全应急呼应团队(PSIRT)。一旦承认缝隙,PSIRT会及时将信息传递给受影响产品的团队,并活跃盯梢直至问题解决。

  

华为树立并施行了一套分层的端到端网络安全评价流程,保证在各阶段(概念、规划、开发、直到在全球客户网络中布置和保护)都对产品进行审视,以发现潜在的安全问题。

万博manbetx最新下载 万博manbetx2.0下载 manbetx万博下载 万博manbetx3.0下载
上海网站制作 地址:上海市延长西路58号 电话/传真:021-52535699 邮箱:http://www.vifa-speak.com/
Copyright©上海网站制作 All Rights Reserved 版权所有 复制必究
制作维护:上海网站建设