分享

调查报告（Report）

I.  电信设备供应链中存在的漏洞对美国国家安全利益带来的威胁已越来越重要，其原因包括：国家（越来越）依赖于互联的重要基础设施系统；这些重要系统面临的威胁的范围（在变大）；所有客户更多的依赖于少数的几个设备供应商。

美国的重要基础设施，特别是电信网络，需要建立在可信和可靠的基础之上。电信网络系统对来自恶意的，持续的网络入侵和毁坏性行为是很脆弱的。因此，设备供应商和提供管理服务的供应商必须在任何时候都具备足够的信任程度。一个提供设备的公司，特别是任何能够接触到或者有这些电信网络详细结构规划信息的公司，必须要遵守美国的法律，法规和标准。如果一个公司不能被信任，美国和相关机构应该质问是否该公司可以在我们的重要基础设施的网络系统里运营。

网络（攻击）威胁带给美国国家安全和经济利益的风险是一个不可否认的重要事宜。首先，（我们）国家对电信基础设施的依赖不仅仅是大家可以使用计算机而已。事实上是（我们）多个重要的国家基础设施系统都需要通过电信网络来进行互联和信息传输交换。这些现代化的重要的基础设施包括电力系统，银行和金融系统，天然气，石油和水利系统， 铁路和航运通道等等。每一个这样的系统都是高度计算机控制化的。另外，这些系统之间的互相依赖性极大的增加了一个系统出故障会导致其他系统也出现故障或崩溃的风险。因此，电信网络的崩溃会导致对现代美国人民的生活出现灾难般的影响，导致影响整个社会（日程生活所需）的短缺和中断。

第二，这种系统之间的互相依赖性带来的安全薄弱是很广泛的，从来自内部的威胁攻击，网络间谍和来自有国家为幕后力量的攻击。事实上，关于电信系统供应链中的漏洞，越来越多的认同都汇聚在是（我们）选购了来自外国的电信设备并用在了美国国家安全的应用上。例如，联邦调查局（FBI）经过充足的评估调查认为，来自个体犯罪人员和幕后民族主义国家力量操控对基础设备供应链的威胁是居高不下的网络攻击的重要组成部分。 同样，美国国家反情报执行机构的评估是“外国试图收集美国的技术和经济信息，将继续保持在一个较高的水平，并且将是一个持续增长的事情，并将一直威胁到美国的经济安全。”

第三，美国政府必须要特别关注那些最有可能针对美国开展高级间谍活动的国家制造的通信设备，例如，中国。最近的许多网络攻击往往源于中国。虽然精确的定位分析是一个长期的挑战，但从攻击的数量，规模和复杂性来看，这种攻击通常意味着有一个国家力量在后面参与。美国中国事务委员会曾经在一份关于对中国进行网络战和计算机网络情报收集方面的能力的非机密文件中谈到， 来自中国的，通过恶意网络行为来收集敏感的（外国的）经济和国家安全的信息的动作往往很难被其锁定的目标所察觉。

最后，这个问题变得复杂的是，中国的电信公司，如华为，中兴通讯正在迅速成为占主导地位的，全球性的电信市场设备提供商。在其他的行业，这种趋势可能不是特别有关系。但是当这些公司试图控制敏感的设备和基础设施并可用于间谍和其他恶意目的的市场，这个市场缺乏多样性就成为美国和其他国家的担心了。 值得注意的是，美国并不是唯一对这些问题担忧的国家。 澳大利亚在决定禁止华为进入其国家宽带电信业务的时候其实是表达了同样的担忧。英国方面试图通过建立评价制度限制华为获得对基础设施的接触的程度，并且在华为设备和软件在电信基础系统上线之前进行充分评估。

A. 中国拥有相应的手段，机会和动机去利用电信公司以实现起恶意的目的。

中国对美国政府的情报收集工作，在“规模，强度和复杂性”方面一直在持续加强。中国具备世界上最活跃的和长期经营的经济谍报工作人员。 美国私人企业公司和网络安全专家的调查报告认为，一些规模迅猛的计算机网络入侵起源于中国，而且几乎可以肯定的认为这个网络攻击有中国政府参与或在幕后提供支持。 此外，中国的情报机构，以及私营公司和其他实体，经常招募那些能够直接访问（美国）企业网络的人员来窃取商业秘密和其他敏感的私有数据。

这些通过网络和人工参与的间谍活动往往具备非常复杂的技术能力，这些技术能力可以转化为在来自中国制造的电信设备部件中植入恶意的硬件或软件，并销售给美国。在电信设备整个产品的过程中，更改电信设备部件和系统的机会点是到处都存在的，垂直领域的产业巨头华为和中兴通讯为中国的情报机构提供了许多这样的机会，可以使得他们在关键的电信网络的器件和系统中植入恶意的硬件或软件。为了这些恶意攻击的目的，中国（当局）可能会寻求和华为或中兴等公司的领导层面的合作。即使公司的领导层拒绝这样的要求，中国情报部门只需要在这些公司招聘相应的管理人员或者蓝领的技术人员，（就可以达到目的）。此外， 从中国法律来看，中兴通讯和华为有义务和中国政府无条件的合作，（政府）可以使用他们的系统，或者在国家安全的幌子下怀着恶意的目的访问这些系统的数据。

中国，这样一个复杂的民族主义的国家，有着损害干扰全球电信供应链的动机，其中美国是（他们）一个非常重要的高优先级的目标。具备拒绝服务或破坏整体系统的能力可以使得一个外国国家可以给另外一个国家所依赖的关键基础设施设备施加压力或者完全控制。通过从政府和企业恶意修改或者窃取信息的能力，中国可以获得昂贵和需要花费大量时间的研发成果。这些成果可以促进和加速中国在世界上的经济地位。能够访问美国电信基础设施，可以使得中国对美国政府和私营部门从事无法被检测到的间谍活动。 充分认识到美国军方的先进技术优势的中国军事和情报机构，正积极寻找将来如果与美国发生冲突的时候能被使用的非对称优势。在为美国客户生产的，来自中国制造的电信设备器件和系统里植入恶意的硬件或软件可以让北京在危机或战争的时候关闭或者削弱（我们的）国家安全系统。在关键的基础设施环节中恶意植入的东西，例如，在电网或金融网络里，也将是中国弹药库里的一个巨大的武器。

恶意植入的硬件和软件也是一个可被用在侵入美国国家安全系统的强大间谍工具。也包括那些封闭的美国公司内部网络。这些内网中通常含有敏感的商业秘密，先进的研发数据， 谈判或诉讼立法条款。这些信息的获得可以使得中国在和美国打交道的时候，获得不公平的外交或商业优势。

除了硬件和软件相关的供应链的风险，管理服务软件也构成了威胁。管理服务，通常是销售合同中系统维护的一部分，允许远程网络访问，做每天软件的更新和打补丁。不幸的是，这样的合同也可以让管理服务承包商在合法的幌子下，使用被授权的访问做恶意活动。这样的系统存取访问也提供了许多机会给更多密谋好的经济或有国家背景的间谍活动。 而 华为这样的电信公司目前正在寻求扩大其服务业务的部分。

美国政府数年前已经认识到这些电信供应链的风险问题 。事实上，在白宫的2009年综合国家网络安全倡议（CNCI）中，供应链风险管理（SCRM）就被确定为国家关注的12个关键基础设施保护的优先事项之一。同样，行政部门一直持续在按照2012年1月发布的整体供应链安全国家战略下的方针指导下审查供应链的风险问题。在2012年1月份的报告中阐述的供应链风险管理的一个重要组成部分就是“正确理解和识别那些来自有害的设备物资，来自有意的攻击，事故和自然灾害带来的系统崩溃等供应链的脆弱性。”

B. (目前所）建议的“缓解措施”不能完全解决提供设备和服务给美国关键基础设施的中国电信公司所带来的（国家安全）威胁。

许多国家对来自不可信任的电信公司所带来的潜在威胁所困惑。为了解决这些问题，英国政府采取了一些初步措施（作为其总体缓解战略的一部分）并和华为签署了一项协议，与华为建立一个独立管理的网络安全评估中心（CSEC）。 CSEC，（作为一个第三方机构），对要进入到英国电信系统的华为的软件和设备进行独立的审查，并将相应的结果提供给英国相关运营商和政府。英国政府的目标是试图减轻部署在英国关键的电信基础设施上的华为的产品所带来的对英国整体网络系统的可靠性所带来的威胁。

为了其产品进入美国市场，华为和中兴通讯提出了类似的计划。这个计划中没有美国政府的参与，而是由电子冲突协会或其他私营部门来管理。 （他们试图通过）这些合作关系来解决对这两家公司可能会允许中国政府植入一些能够帮助（中国政府）间谍活动或者网络战的功能到他们的产品中所引起的担忧。 遗憾的是，因为美国电信市场的广度和巨大，我们担心，华为和中兴的这个方案不能完全解决（我们对）美国安全隐患的担忧。

设备产品化后的评估过程通常是通过一个标准的方法来确定一个复杂软件密集型系统的安全属性。信息技术安全评估和各种私人认证服务等流程通常被评估者用来针对一系列标准来衡量一个产品，并为其分配一个安全等级。该评级是为了帮助客户了解其将使用的设备或者软件包的安全功能的信心度。（在评估流程里），厂商对其系统实现和研发的流程都需要文档化，并通常用作安全等级评估中的重要依据。此外，这样的流程并不一定能够发现恶意代码，而是鼓励在有安全功能的产品中必须具备一个基本的安全框架。

由于一系列的技术和经济原因，华为和中兴提出的评估方案不太有用，不是（我们）所期望的。事实上，（他们的）评估方案可能由于评估不完全，有漏洞或者错误的评估，而导致产品被赋予错误的安全等级。由于一个局外的专家可能以某种方式“赞”一个产品，所以一个细心的客户应该选择放弃这样的含有威胁的和不客观的风险评估，同时省下这样的评估所需要的花费。

通过标准化的第三方安全性评估不能解决的一个关键问题是产品和部署的多样性。取决于如何以及在哪里配置，安装和维护，设备或系统的行为变化很大。出于时间和成本方面的原因，（第三方的）评估通常会局限在针对一个产品型号配置在一个特定的，往往是不是真正现场实用的，很局限的方式。现在科技发展的步伐非常快，速度远远超过任何第三方的综合评估过程所能跟踪。第三方测试评估中使用的小范围的配置规范，无疑的让人确信一个被评估过的设备在部署的时候的运行模式是和在被评估的时候是不一样的。如果一个设备在现场部署时和测试的时候规格是不一样的，那么对一个复杂的设备的安全性评价是没有意义的。

在现场部署之前的对产品的评估，只是针对了网络生命周期中的产品部分。另外，要重要的认识到，网络运营商如何控制设备的补丁管理，故障排除和维护，升级，管理服务的方面，以及如何选择提供这些服务的厂商，都会影响到电信网络的目前的安全程度。

由于设备厂商资助自己产品的安全评估产生了商业利益冲突，导致（美国政府）对评估结果的独立性和严谨持有怀疑态度。设备制造商会自然的去追求自己商业利益的最大化，其利益是和客户的利益不一致的。在通用标准认证方面，（我们）已经发现存在着一些不同的但相关的（为了利益）挑战底线的行为。厂商提供金钱资助给安全评估方。 通用标准系统认证的设计充分了解这种危险然后规定了评估者必须拥有政府资格证书。但这种预防措施看起来基本上是装门面的，没有意义的。因为（目前为止），尽管（我们发现）认证评估的效果很差，也没有发现任何认证被取消 。基于同样的考虑和担心利益冲突，华为设备在英国的评估机构必须通过英国政府的审查，获得政府的安全等级许可。这个流程获得了英国各个运营商的支持。 但是，尚不清楚的是，英国这样的方式能否会迅速的被借鉴到美国市场，也不清楚这种运作方式是否能真正的成功地克服人的私欲从而导致真正的独立评估调查。

在一个复杂的产品中发现和消除每一个重大漏洞的任务是巨大的。当一个产品漏洞是一个内部的人故意放入的时候，查找任务变得几乎不可能。虽然许多技术文章里谈到如何在硬件和软件系统中自动查找潜在的漏洞，但是没有一个技术声称能找到一个已存在的系统中的所有的漏洞。能够证明一个系统实现符合一个形式设计规范的技术确实存在，但是这样的形式方法技术必须贯穿整个系统的设计和实现的过程中才能起到作用，而不能用在一个已经完成的规模巨大或者相当复杂的系统中。即使能够用在系统的研发过程中，这种形式方法也还是不能还好的扩展到完全的商业电信系统中。 （所以，）通过华为或中兴提出的系统安全评估合作，即使不说其评估的完全性和动机，（在技术上，）都无法确定规模和复杂性都很巨大的核心网络基础设施设备中的所以相关缺陷。如果在已经被广泛应用的产品中和已经被潜在对手都了解的评估流程还存在重大的漏洞 ，这种评估过程的作用就微乎其微了。

可能看起来对一个将被部署在关键基础设施的的可疑设备做安全评估似乎是对其可能带来的安全问题是一个好的解决方法。但遗憾的是，由于电信网络系统的复杂性，目前的安全性评价技术的局限性和设备供应商提供经济资助的认证过程提供的只是一种安全感，而不是实际的安全性。高度系统安全的保障只能通过完整的设计和工程流程 ，考虑完整的系统的系统设计方法，要跨越完整的产品生命周期，从设计研发到产品做旧下架。这样的设计流程也包括考虑系统分离的技术模块，模块之间的交互，人在使用设备中的环境因素和来自各种对手的威胁。 这样的一个评估处理过程才是令人信服的，具有多样证据的。这才是可以使得我们信任的安全评估。

分享