华为设备有没有"后门"并不重要

　　华为的设备到底是否安全？它为国家情报部门充当间谍的可能性有多大？西方的情报和安全专家对此仍在争论。柏林智库“新责任基金会”的网络安全问题专家克莱恩汉斯（Jan-Peter Kleinhans）接受德国之声采访，谈了他的看法。

　　一些安全专家认为，华为设备上为中国情报机构安装所谓"后门"的可能性几乎为零，对此您怎么看？

　　眼下的讨论建立在一个假设的基础上，即用了中国设备，才会有不安全因素，似乎只要用其他国家的产品，网络就会变得更安全。情况当然不是这样。只要有联网，就会有风险，不管是谁家的产品。无论是中国还是其他国家的机构，如果想要入侵某个网络，会在任何设备上找到安全漏洞并加以利用。

　　如果采用华为的设备，那来自中国的数据安全方面的风险不会更大吗？

　　克莱恩汉斯：目前的论点之一是，认为中国政府不会损害本国企业的利益。这些安全专家认为有国家背景的黑客攻击的目标一般是外国企业。就是说中国会"黑"西方企业、而不是华为的设备。另一种观点则认为，任何一方都不能免除嫌疑，由于很难证明到底是谁进行了黑客袭击，必须做好最坏的准备：只要可能被入侵，就会被入侵。

　　在某些特定条件下，中国设备确实带有额外的风险。如果华为有正当的途径可以对设备进行维修或软件更新--比如，一家运营商购买了华为的设备，又签约授权华为远程操作为基站进行软件更新，那就会有这样的风险：即中国政府要求华为交出数据。如果是外国公司就没有那么简单，这是一个质的区别。在这一点上中国厂商的设备有更大的潜在风险。

　　如果认真对待这个假设，即中国政府会对华为或中兴施加压力，而根据中国的法律这些公司很难反抗，那么使用中国设备的风险就更高。

　　面对这样的风险，欧洲国家能怎么做呢？

　　克莱恩汉斯：英国的网络安全部门就规定，网络运营商可以使用华为的设备，但不能允许华为在设备上再作改动。如果软件需要更新，华为可将新版软件交给运营商，由后者在系统里更新。这是一个旨在将风险最小化的安全措施。

　　我认为，如果采取整体规划管控的方式，是能够将这种风险降低到可以承受的水平的。就是说，不能只检查单个的机器设备是否符合安全标准，而是必须在运营系统的层面上改善网络安全性，做到即便在部分网络或设备遭入侵的情况下，不至造成整个网络瘫痪。另外还可以对运营流程以及运营商与设备制造商的合作做出规范。

　　英国国家网络安全中心（NCSC）的做法就相当值得借鉴。一方面检查机器上的源代码和软件质量，另一方面检视运营商的网络结构和管理，以及时发现、填补漏洞。同时对运营流程及境外设备厂商的合作做出明确规定，这不仅涉及由谁来操作软件的安全升级，还涉及根据欧盟法律电信运营商向执法机构提供通话数据的问题。在此，运营商提供的这些数据不得通过华为或中兴等中国厂商设备，而只能通过非中国产设备。这是为了避免华为或中兴获得网络原始数据。这样做一方面允许了竞争，同时考虑到中国的司法体制对企业可信度造成的负面效应，避免让这些企业直接接触用户数据。

　　这也是您对德国政府的建议吗？

　　克莱恩汉斯：正是这样。在这场讨论中重要的是，意识到必须在多个层面采取措施，包括5G网络的安全标准、设备安全标准、基站、网络交换器等器材的设置以及最后的运营流程，要在这四个层面上都采取措施，制定标准、颁布规定，建立认证体系、代码审计等，只有这样，才能真正有效提高网络的安全和可信度。