华为和中兴通讯对美国国家安全问题的调查报告 报告


 

1.                 
由于电信供应链中的脆弱性对美国国家安全利益造成的威胁是一个越来越重要的优先事项:该国依赖相互依赖的关键基础设施系统
; 这些系统面临的威胁范围;
网络间谍活动的增加; 以及所有消费者对一小部分设备供应商的依赖程度越来越高。

 

美国的关键基础设施,特别是其电信网络,取决于信任和可靠性。电信网络容易受到恶意和不断演变的入侵或破坏性活动的攻击。因此,必须始终存在对设备提供者和执行管理服务的人提供足够的信任。提供此类设备的公司,尤其是任何能够访问或详细了解基础设施建筑蓝图的公司,必须信任其遵守美国法律,政策和标准。如果不能信任,那么美国和其他人应该质疑公司是否应该在我们关键基础设施的网络内运营。

网络威胁对美国国家安全和经济利益构成的风险是不可否认的优先事项。首先,该国对电信基础设施的依赖不仅包括消费者对计算机系统的使用。相反,多个关键基础设施系统依赖于通过电信系统的信息传输。这些现代化的关键基础设施包括电网; 银行和金融系统; 天然气,石油和水系统; 和铁路和航运渠道; 每个都依赖于计算机控制系统。此外,这些关键基础架构之间的系统相互依赖性极大地增加了一个系统中的故障将导致多个关键基础设施系统中的故障或中断的风险.4因此,

其次,伴随这种依赖性的安全漏洞相当广泛,范围从内部威胁5到网络间谍和来自复杂民族国家的攻击。事实上,人们越来越认识到用于美国国家安全应用的外国电信供应链所带来的漏洞。例如,联邦调查局高度肯定地评估了来自民族国家和犯罪分子对供应链的威胁构成了高度的网络威胁.6同样,国家反间谍执行官评估了这一点。

 

外国企图收集美国技术和经济信息的尝试将继续保持高水平,并将对美国经济安全构成日益增长的持续威胁。”7

第三,美国政府必须特别关注那些与对美国构成最高和最先进的间谍威胁的政权有关的公司所生产的产品,例如中国。最近的网络攻击通常来自中国,尽管精确归属是一项长期挑战,但数量,规模和复杂程度往往表明国家的参与。正如美中委员会在其关于中国进行网络战和计算机网络攻击(CNE)的能力的非机密报告中所解释的那样,中国通过恶意网络行动寻求敏感经济和国家安全信息的行动者往往很难被其目标发现。 0.8

最后,使这一问题复杂化的是,中国电信公司,如华为和中兴通讯,正在迅速成为电信市场的主要全球参与者。在另一个行业中,这种发展可能并不特别令人担忧。当这些公司试图控制可能用于间谍和其他恶意目的的敏感设备和基础设施的市场时,缺乏市场多样性成为美国和其他国家的国家关注.9值得注意的是,美国不是唯一关注这些问题的国家。澳大利亚在选择禁止华为进入国家宽带基础设施项目时表达了类似的担忧。

l  中国有将电信公司用于恶意目的的手段,机会和动机。

中国针对美国政府的情报收集工作正在规模,强度和复杂程度上增长.12中国演员也是世界上最活跃和最持久的经济间谍犯罪者.13美国私营企业和网络安全专家报告说,复杂的计算机网络入侵起源于中国,几乎可以肯定是中国政府的工作或得到中国政府的支持.14此外,中国情报机构以及私营公司和其他实体经常招募那些直接访问中国政府的人。企业网络窃取商业秘密和其他敏感的专有数据

这些以网络和人为主的间谍活动往往表现出复杂的技术能力,这些能力有可能转化为将恶意硬件或软件植入物插入中国制造的努力

 

销售给美国的电信组件和系统。在整个产品开发过程中存在篡改电信组件和系统的机会,华为和中兴等垂直整合的行业巨头为中国情报机构提供了大量机会,可以将恶意硬件或软件植入物插入关键的电信组件和系统.16中国可能寻求由于这些原因,来自华为或中兴通讯等公司领导的合作。即使公司领导层拒绝这样的要求,中国情报部门也只需要招聘这些公司的工作级技术人员或经理。此外,根据中国法律,

一个像中国这样成熟的民族国家的演员有动机篡改全球电信供应链,美国是一个重要的优先事项。拒绝服务或破坏全球系统的能力允许外国实体有机会对该国所依赖的关键基础设施施加压力或控制。恶意修改或窃取政府和企业实体信息的能力使中国有机会获得昂贵且耗时的研究和开发,从而推动中国在世界上的经济发展。获得美国电信基础设施也使中国能够对美国政府和私营部门的利益进行未被发现的间谍活动.18中国的军事和情报部门认识到美国的技术优势。军方正在积极寻求可能在未来与美国发生冲突时利用的不对称优势.19将恶意硬件或软件植入物插入中国制造的电信部件和朝向美国客户的系统可能会使北京关闭或降级重要国家危机或战争时期的安全系统。关键基础设施组件中的恶意植入物,如电网或金融网络,也将成为中国军火库中的巨大武器。客户可以允许北京在危机或战争期间关闭或降级重要的国家安全系统。关键基础设施组件中的恶意植入物,如电网或金融网络,也将成为中国军火库中的巨大武器。客户可以允许北京在危机或战争期间关闭或降级重要的国家安全系统。关键基础设施组件中的恶意植入物,如电网或金融网络,也将成为中国军火库中的巨大武器。

恶意的中国硬件或软件植入物也将成为渗透敏感的美国国家安全系统的有效间谍工具,并提供对封闭的美国公司网络的访问,这些网络包含敏感的商业秘密,先进的研究和开发数据以及谈判或诉讼职位中国认为有利于获得对美国不公平的外交或商业利益。

除了与硬件和软件相关的供应链风险之外,托管服务也构成威胁。托管服务,作为系统维护的一部分出售

 

合同,允许远程网络访问软件和补丁的日常更新。不幸的是,此类合同还可能允许托管服务承包商以合法协助的幌子使用其授权访问进行恶意活动。这种访问还为更加量身定制的经济或国家支持的间谍活动提供了机会。华为等电信公司正在寻求扩大业务的服务范围.20

多年来,美国政府一直承认这些对电信供应链风险的担忧。实际上,作为白宫2009年全国网络安全倡议(CNCI)中概述的十二个关键基础设施保护优先事项之一,供应链风险管理(SCRM)被确定为国家关注的问题。同样,行政部门继续审查与20121月发布的国家全球供应链安全战略相一致的供应链问题。如报告中所述,供应链风险管理的一个关键部分是正确理解和确定供应链中的漏洞,这些漏洞源于那些试图引入有害产品或材料以及故意袭击,事故或自然灾害中断的系统对系统的利用。“21

l  建议的缓解措施无法完全解决中国电信公司向美国关键基础设施提供设备和服务所构成的威胁。

许多国家都在努力应对不值得信赖的电信公司所构成的潜在威胁。在英国,政府采取初步措施(作为整体缓解策略的一部分),通过与华为达成协议,建立独立管理的网络安全评估中心(CSEC)来解决其关注的问题。CSEC对部署在英国电信基础设施中的华为设备和软件进行独立审核,并将此类结果提供给相关的英国运营商和英国政府。英国政府的目标是试图减少华为产品在英国关键电信基础设施中部署的威胁对英国网络的可用性或完整性造成的威胁。

华为和中兴已经提出类似的产品进入美国市场的计划,没有美国政府的参与,但电子战协会或其他私营安保公司.22这些合作伙伴寻求解决公司可能允许中国政府在他们的产品中插入功能或漏洞,这将有助于间谍活动或网络战。不幸的是,有人担心如果在美国采取这种努力

 

考虑到美国电信市场的广度和规模,将无法解决安全问题。

后期制作评估过程是确定复杂的软件密集型系统的安全属性的标准方法。诸如信息技术安全评估的通用标准和各种私人认证服务之类的流程定义了评估者根据一组标准测量产品并分配安全评级的过程。该评级旨在帮助消费者了解在设备或软件包的安全功能中放置多少信心。如制造商所记录的,系统的实施和用于开发系统的方法通常用作所选评级的证据。

此外,此类过程不一定旨在发现恶意代码,而是为了鼓励启用安全性的产品的基础安全基线。

出于各种技术和经济原因,华为和中兴提出的评估计划没有人们预期的那么有用。事实上,这些程序可能会产生一种错误的安全感,即不完整,有缺陷或误用的评估会提供。一个小心的消费者可能会选择放弃彻底的威胁,应用和基于环境的风险评估,以及这种评估所需的成本,因为经过认证的外部专家已经以某种方式祝福了产品。

标准化第三方安全评估未解决的一个关键问题是产品和部署多样性。设备或系统的行为可能会有很大差异,具体取决于配置,安装和维护的方式和位置。出于时间和成本原因,评估通常针对以特定且通常不切实际限制的方式配置的一个产品模型的快照。如今,技术发展的步伐使产品的发展速度远远超过任何第三方综合评估流程。在测试期间使用的窄配置规范几乎确保了评估的设备将以未经正式评估特别涵盖的方式部署。如果设备未按照与测试相同的配置精确部署,则对复杂设备的安全评估是无用的。

部署之前对产品的评估仅涉及网络生命周期的产品部分。同样重要的是要认识到网络运营商如何监督其补丁管理,故障排除和维护,升级和托管服务元素,以及它为此类服务选择的供应商,将影响网络的持续安全性。

为自己的安全评估提供资金的供应商产生了利益冲突,导致对结果的独立性和严谨性持怀疑态度。一个产品

 

制造商自然会追求自己的利益和目的,这些利益和目标不一定与消费者的所有利益保持一致。对于同样由供应商资助的Common Criteria评估,已经注意到一种不同但相关的竞争.23 Common Criteria系统的设计者理解这种危险并为评估者实施政府认证。尽管游戏和评估表现不佳,但预防措施似乎并不具备整合性,因为没有任何认证可能受到挑战或撤销。鉴于类似的担忧和利益冲突,华为英国设备的英国评估人员已经过英国政府审查并持有政府安全许可,英国程序得到了英国运营商的支持。然而,目前尚不清楚这些步骤是否会很容易转移到美国

从复杂产品中发现并消除每个重大漏洞的任务都是巨大的。如果我们还考虑一个坚定而聪明的内部人员故意插入的缺陷,那么任务就变得几乎不可能.24虽然有大量文献描述了在硬件和软件系统中发现潜在漏洞的技术,但没有这样的技术声称能够找到所有预先存在的系统中存在此类漏洞。确实存在可以证明系统实现与已经正式验证没有某些类型缺陷的设计匹配的技术。但是,这种形式技术必须在整个设计和开发过程中纳入才能有效。它们目前不能应用于具有显着尺寸或复杂性的成品。即使嵌入到设计和开发过程中,这种类型的正式技术还没有扩展到完整的商业电信系统的规模。华为或中兴通讯提出的安全评估合作伙伴关系(不论其能力和动机如何)能够识别核心网络基础设施设备大小和复杂性的所有相关缺陷,这种可能性很小。如果潜在对手已知的广泛使用的产品和流程存在重大缺陷,那么评估过程似乎只能带来微不足道的好处。独立于其能力和动机,将能够识别产品中核心网络基础设施设备的大小和复杂性的所有相关缺陷。如果潜在对手已知的广泛使用的产品和流程存在重大缺陷,那么评估过程似乎只能带来微不足道的好处。独立于其能力和动机,将能够识别产品中核心网络基础设施设备的大小和复杂性的所有相关缺陷。如果潜在对手已知的广泛使用的产品和流程存在重大缺陷,那么评估过程似乎只能带来微不足道的好处。

对在关键基础架构角色中部署的潜在可疑设备进行安全评估似乎可以解决所提出的安全问题。

遗憾的是,鉴于电信网格的复杂性,当前安全评估技术的局限性以及供应商资助分析的经济性提供了安全感,而不是实际的安全性。只有通过一个深思熟虑的设计和工程流程才能实现重要的安全性,该流程在整个生命周期(从设计到退役)中处理完整的系统系统,并包括诸如离散技术组件,其交互,人类环境和威胁等方面

 

来自各方面的对手。这样一个过程的结果应该是一套令人信服的证据,表明一个系统值得我们信任


 


ETC注销ETC充值ETC客服ETC扣费查询


ETC发行合作

发表回复