您的位置: 宁德信息港 > 美食

中国应该学习英国对思科进行源代码审查

发布时间:2019-03-14 03:01:29

上个月,华为终于说“shutup”。面对国外的猜疑和指责,华为从温和的解释和低调的沟通,到明确的说闭嘴,终于强硬起来。

这种强硬态度的底气在哪里?很简单,华为可以提供设备源代码通过各国的安全审查,而且,

中国应该学习英国对思科进行源代码审查

提供的是100%的源代码。

这跟微软作秀式的源代码审查不一样。微软也被指控为有信息安全问题,但是微软只提供97%的源代码给中国政府看。

这跟思科更不一样。思科从来不敢提供源代码进行安全审查,而且,极力阻挠源代码审查。

源代码都提供给你审查了,还有什么不放心的呢?对华为曾作出严厉指责的各国,至今没有拿出什么实质性证据。一切的“质疑”,纯属猜疑。

这些猜疑的国家主要是美国和他的小伙伴。目的是阻挠华为进入本国市场。

1.美国。美国国会在思科1500万美元游说资金的运作下,2011年开始了对中兴华为的调查。2012年报告发布,以莫须有的猜疑,彻底的堵住了华为进军美国的道路,暴露了美帝将商业纠纷政治化的伎俩。

2.澳大利亚。受美国自2011年对华为无端调查的影响,2012年年初澳大利亚政府紧跟美国口风以安全名义禁止华为竞标NBN计划。这一无端指责不仅阻碍了华为在澳的正常发展,在国际声誉上也是对华为的一次沉重打击。

3.早在2009年,印度曾下令禁止华为收购国有电信设备制造商ITI。2009年,印度老牌国有电信设备制造商ITI(印度设备公司)计划通过转让或者合资方式拯救旗下三个业务,但是遭遇印度政府内政部禁令:不允许中国公司参与ITI的重组过程。当时,与ITI公司有合作关系的外国电信公司主要包括中国的华为,以及阿尔卡特-朗讯公司,这两家公司对收购ITI旗下三个业务有兴趣。禁令出台的原因,又是因为国家安全。

为什么欧洲人不担心国家安全?

欧洲是华为设备的畅销地。欧洲和非洲市场的收入占到2华为012年全球收入1/3,欧洲市场是重中之重。2013年4月18日,彭博社报道,华为计划在未来四到五年里在欧洲增招5500人,令其在该地区的员工规模将达到1.3万人。7月份,华为公司的一位高管声称,在未来很长时间内,可能将很少有机会向美国大运营商销售络设备,不过,该公司将会继续与英国市场的运营商合作。

有朋友问笔者:同样都是大鼻子洋人,为什么英国人不像美国人那样担心国家安全问题?

答:英国人比美国人还小心眼,还保守,怎么会不担心国家安全?

问:那为什么英国不学美国佬那样排斥华为呢?

答:很简单,他们认为华为是安全的。他们有安全认证制度,非常严格的审查源代码。其中英国做法为典型。英国政府采用了安全认证制度,由外国设备商提供的通讯产品,若通过其认可的安全认证,都可以面向英国本土的运营商进行销售,否则不可以销售,属于违法;而英国本土运营商也都认可安全认证的结果。

英国的安全认证由CESG负责,当前认证要求如下:

(1)要求设备商建设认证中心,提供经过CESG认证/许可的场地、人员、设备和络通信及其他基础设施,承担相关的所有成本。

(2)认证中心会对设备商交付的源码和可执行代码进行各种测试和验证,包括一致性验证、软件缺陷测试、各种安全相关的功能测试、各种渗透测试。

(3)具体的测试、认证方法是对设备商不公开的,特别是渗透测试;但对于验证和测试中发现的各种缺陷和疑问,设备商都必须予以解决和解答,结果必须得到认证中心认可。

(4)认证中心还会对设备商交付的各种软硬件结构进行审核、归档和备案,防止日后交付中未经申报地擅自修改设计和实现。

英国建立起了当前世界严格的的的安全评估中心,华为提供100%的源代码接受审查,这也是华为在欧洲能够继续发展壮大的重要原因。面对澳大利亚的故意刁难,华为主动提出呼吁澳洲建立国家安全评估中心来证明自己。去年10月,华为已经向澳大利亚政府公开了源代码--澳大利亚政府可以自由地查看华为源代码和设备,以此来应对澳大利亚政府于2012年3月抛出的“军方背景论” 。

2012年10月底,华为公司发布声明,向任何政府开放对其设备进行检查的权利。“我们是非常开放的。你可以在任何你想去看的地方检查(设备)。我们与你进行合作,你可以做任何你想做的测试。”华为全球络安全官John Suffolk如是表示。

思科恰恰相反。在背后运作国家安全事件,极尽能事的在全球范围内拉拢盟友阻击华为。而真正不透明的却是思科,思科源代码拒绝开放、而过多并繁杂的不合理私有协议、频繁被曝光的后门问题,这些常识性的人为壁垒却很少被媒体提及。

如果依据美国逻辑,中国公众上骨干络百分之六七十使用的是思科产品,华为在美市场占有率还不到百分之一。更应该担心的恐怕不是美国吧。

说起源代码审查这件事,是不是会变成一种流行的安全审查模式?这事让我想起免费杀毒和开源运动。杀毒软件,从高价收费到绝不可能的免费;开放源代码运动,从封闭的代码写作到完全的公开源代码。当年,这些可都是非常不可思议的事情,但几乎一夜之间变成了现实。从国家信息安全的角度来看,中国也完全可以借鉴英国经验,加强对思科产品的源代码审查。

猜你会喜欢的
猜你会喜欢的