“后门”之说 实为设置贸易门槛

收藏 www.jctrans.com 2012-11-28 9:37:00 人民网-人民日报

导读:美国怀疑华为、中兴危害国家安全,是质疑两家企业生产的电信设备可能预装了“后门”,用以盗取用户信息。“不管是从技术上还是经济上考虑,华为、中兴都不大可能故意设置‘后门’。”方滨兴说。

  10月8日,美国国会众议院情报委员会发表调查报告称,中国华为和中兴公司对美国国家安全构成威胁,建议阻止两家企业在美开展投资贸易活动。10月17日,据路透社报道,一项由美国白宫委托、历时18个月的调查指出,没有证据显示华为公司在美国从事任何间谍活动。尽管如此,报告仍声称华为产品未来可能对美国国家安全构成威胁。

  “如果说‘可能’,所有的联网信息产品都存在威胁他国国家安全的可能。如果按照美国的逻辑,那么运行在网络环境上的信息系统与设备就无法跨国销售了。仅仅因为一个可能性就坚持质疑华为、中兴危害国家安全,我觉得这是在用政治手段干预经济贸易。”北京邮电大学校长、中国工程院院士方滨兴说。

  美国18个月调查没有任何发现,说明华为没留“后门”

  美国怀疑华为、中兴危害国家安全,是质疑两家企业生产的电信设备可能预装了“后门”,用以盗取用户信息。“不管是从技术上还是经济上考虑,华为、中兴都不大可能故意设置‘后门’。”方滨兴说。

  一般来说,只要是连在网络上的设备,包括计算机、服务器、路由器等网络上运行的设备,如果留有远程控制接口,就可以与外部进行连接,由外部控制者通过网络来获取设备中的信息。在实际使用过程中,远程控制接口十分常见。比如微软操作系统的自动更新功能就是其一。但如果远程控制接口是设计者秘密设置的,用户并不知情,那就是“后门”行为。

  “尽管留‘后门’的技术并不难,但要想让‘后门’不为人知,是不太可能的。”方滨兴分析,从技术上讲,“后门”是可以检测出来的,而美国历经18个月调查都没有任何发现,只能说明华为没有留“后门”。

  “而且,留‘后门’就是为了偷东西,不然‘后门’有也等于没有。即使‘后门’事先没有被发现,一旦启用‘后门’,只要采取了相应的监控手段,也能够被抓个现行。这将大大影响企业声誉。比如上世纪英特尔公司就因为被发现在CPU上留了序列号这样的‘后门’,而被其他公司趁机挤占了市场。”方滨兴说,“从经济上讲,留‘后门’显然得不偿失,企业怎么会有动力这样做?”

  “而且,调查一个产品是否有‘后门’,正常的做法是要求其提供源代码,或在其产品运行环境中部署监测取证的措施。而美国国会则是要求华为、中兴提供和政府交往的证据。企业和政府的正常来往,不可能提前想到留证据。无法提供证据就是‘没有诚意’,未免有欲加之罪的意思。”方滨兴说,“因此我认为,美国是无端质疑华为、中兴产品安全性,用政治手段干预经济贸易。华为、中兴这两年成长比较快,已经成为美国思科公司的强劲竞争对手。‘后门’之说的本质是人为设置贸易壁垒,这对高调倡导自由贸易的美国来说是一个讽刺。”

  美国公司产品“后门”频现,我国需尽快建立信息安全审查机构

  在方滨兴看来,美国对华为、中兴的指控,背后是以己度人的逻辑。

  “历史上几个经典的‘后门’行为,都发生在美国公司身上。”方滨兴说,“据报道,美国惠普公司有一款网络打印机,能在打印者不知情的情况下,将打印过的文件复制下来通过网络发送出去。现在我国普遍使用的微软公司OFFICE软件,也存在明显的‘后门’。Rixler软件公司在网上正在出售破解OFFICE软件密码的程序。而分析该公司破解文档‘open’密码的方式可以发现,他们并不是按照常规的暴力破解方式获知密码,而是将密码旁路掉,使得文档成为没有密码的文档。这就好比他们不是把密码柜的密码给猜测出来,而是直接把带有密码的柜门给卸了下来。显然,只有OFFICE留了旁路文档密码的‘后门’,才会有这样的结果存在。”

  而中国消费者最熟悉的一次“后门”事件,则是微软Windows将盗版软件黑屏的事件。2008年10月,微软称其为了打击盗版,通过系统升级强制安装鉴别软件,并每隔60分钟将“盗版系统”桌面强制修改为黑屏。也就是说,虽然微软告知用户在下载更新,但是多数用户并不知道下载来的更新软件到底是用来做什么的。如果微软有意欺瞒,我们也可能在系统升级时下载安装泄露个人信息的软件。这充分暴露出我国信息安全存在风险。

  “此次美国质疑华为、中兴留‘后门’,从另一个角度也启发了我们:关注信息安全,应该从审查境外信息产品入手。境外企业不受我国法律制约,我们必须防患于未然。”方滨兴建议,中国政府应尽快成立国家信息安全审查委员会,以保障中国国家和公民的信息安全不因信息技术产品的引入而受到威胁。

  方滨兴说,中国在电信设施建设方面展示了足够开放的姿态,但是另一方面也显得缺乏清晰的安全意识与防范措施。中国现在仅有的一些测评中心,只能测评信息安全产品本身的适用性,不能测评网络产品所引发的安全性。更重要的是,在一些大的方面,比如对一些产品在重要部门中使用、或在我国大规模使用,也需要一个机构来牵头进行风险评估。

本文关键词:华为,中兴

【发表评论】 共有评论查看所有评论

凡本网注明稿件来源为“锦程物流网”的所有文字、图片等作品,版权均属锦程物流网所有,转载必究。若转载使用,须同时注明稿件来源和作者信息,并承担相应的法律责任。