雖然英國政府沒有正式宣佈,但有報導指出英國政府已經批准華為(Huawei)提供5G 網路非核心部分的設備。儘管英國政府管理數位事務的國務大臣駁斥了相關報導,但有情報指出華為將獲得許可,這位英國情治機構「政府通訊總部(GCHQ)」的首長日前在一次演講中暗示了這一點,路透社的消息來源來自這位情治首長,提到英國將允許華為進入非核心部分的5G網路市場,但不包含核心部分的系統。

GCHQ首長Jeremy Fleming出席在蘇格蘭由國家網路安全委員會(NCSC)所舉辦的2019資安全活動CYBERUK,他在專題演講中提到,關於設備採用的考量,應該著重設備的耐用性與技術的安全性,而不是考量設備提供者來自哪個國家。

他提到5G很可能是這個時代最重要、最具影響力的技術之一,英國和許多國家一樣正在審查 5G安全方面的政策方針,針對政府正在考慮的各種備選方案提供了諮詢意見,並將在議會公佈。

Fleming指出:「GCHQ和NCSC的任務在於提供5G相關專業、客觀、技術性的安全性評估意見。當我們評估一家公司是否提供設備給英國的電信公司時,會研究它們的安全流程和開發過程所帶來的風險,以及這些技術在我們的國家電信網路中的建置方式,5G設備的生產國來自哪裡很重要,但它是次要考量因素。」

簡單一點地解釋,Fleming主要想表達的是問題點不在於華為和中國,而是設備能否在不損害國家安全的情況下達到網路建置的需求。

網路安全政策的失敗點

英國肯特大學(University of Kent)電腦科學系負責網路安全領域的教授Shujun Li支持英國政府批准華為參與英國5G網路的建置。他說:「在技術方面,禁止任何特定供應商永遠不會是真正的網路安全解決方案,因為供應鏈非常複雜,而且有太多的潛在風險需要考慮。因此,我認為如果英國的國家安全仰賴於一間公司(即華為或任何其他公司)永遠做「正確」的事情,那麼我們一開始就沒有真正做到網路安全的防護措施。

他提到,我們反而應該關注如何透過獨立專家和自動化工具對技術解決方案或產品進行審查和驗證,這些工具不僅可以找出華為等特定供應商的所造成的危險,還可以檢測到供應鏈中是否有任何惡意供應商會帶來安全風險。

20190502NT01P1 夏農格言。

Li補充:「此外,目前網路安全研究領域廣泛地接受柯克霍夫原則(Kerckhoffs principle),該原則指出即使系統的任何細節已為人所知,透過金鑰的保護仍然是安全的。夏農格言(Shannon’s maxim)告訴我們,系統安全不應該透過隱藏系統運作細節(攻擊者將會瞭解系統如何運作),而應依賴其他方式(例如,安全密碼由使用者自行設定)。將這些規則應用在華為案,如果判斷華為的系統安全性建立在其是否隱藏運作細節,而因此不會被發現正在做不法的事情,將是很奇怪的想法。

網路運營商沒有動力採購更多昂貴的安全性產品

今年稍早,NCSC技術總監Ian Levy強調了5G網路和安全的另一個層面,即商業市場的動態變化。他提到網路營運商是為了提供服務和賺錢而存在的商業公司。

他說:「因此,如果價格較為便宜的解決方案能協助滿足他們的需求(沒有任何其他選擇方案) 他們會傾向購買此產品。目前沒有人因為電信服務的安全性而購買,因此,如果他們為了比競爭對手提供更安全的服務而投入更多資金時,將不會因此獲得回報。這會導致一種奇怪的現象,也就是你做了正確的事情卻得不到好處,這種模式將很難走得長遠。」

在這種狀況下,他指出英國政府希望瞭解市場,並希望正在使用中的設備和軟體能獲得更好的網路安全保障,同時擁有更多元、更蓬勃發展的電信設備供應鏈。他補充說, 該機構目前正在研究政府如何為電信營運商設定客觀的安全特性,以確保在決策過程中能將安全性納入優先考量。

(參考原文: Has the UK Cleared Huawei for 5G Networks?,by Nitin Dahad)