中国应该学习英国对思科进行源代码审查

虎嗅网 • 11年前扫码分享

我是创始人李岩：很抱歉！给自己产品做个广告，点击进来看看。

上个月，华为终于说“shut up” 。面对国外的猜疑和指责，华为从温和的解释和低调的沟通，到明确的说闭嘴，终于强硬起来。

这种强硬态度的底气在哪里？很简单，华为可以提供设备源代码通过各国的安全审查，而且，提供的是100%的源代码。

这跟微软作秀式的源代码审查不一样。微软也被指控为有信息安全问题，但是微软只提供97%的源代码给中国政府看。

这跟思科更不一样。思科从来不敢提供源代码进行安全审查，而且，极力阻挠源代码审查。

源代码都提供给你审查了，还有什么不放心的呢？对华为曾作出严厉指责的各国，至今没有拿出什么实质性证据。一切的“质疑”，纯属猜疑。

这些猜疑的国家主要是美国和他的小伙伴。目的是阻挠华为进入本国市场。

1.美国。美国国会在思科1500万美元游说资金的运作下，2011年开始了对中兴华为的调查。2012年报告发布，以莫须有的猜疑，彻底的堵住了华为进军美国的道路，暴露了美帝将商业纠纷政治化的伎俩。

2.澳大利亚。受美国自2011年对华为无端调查的影响，2012年年初澳大利亚政府紧跟美国口风以安全名义禁止华为竞标NBN计划。这一无端指责不仅阻碍了华为在澳的正常发展，在国际声誉上也是对华为的一次沉重打击。

3.早在2009年，印度曾下令禁止华为收购国有电信设备制造商ITI。2009年，印度老牌国有电信设备制造商ITI（印度电话设备公司）计划通过转让或者合资方式拯救旗下三个业务，但是遭遇印度政府内政部禁令：不允许中国公司参与ITI的重组过程。当时，与ITI公司有合作关系的外国电信公司主要包括中国的华为，以及阿尔卡特-朗讯公司，这两家公司对收购ITI旗下三个业务有兴趣。禁令出台的原因，又是因为国家安全。

为什么欧洲人不担心国家安全?

欧洲是华为设备的畅销地。欧洲和非洲市场的收入占到2华为012年全球收入1/3，欧洲市场是重中之重。2013年4月18日，彭博社报道，华为计划在未来四到五年里在欧洲增招5500人，令其在该地区的员工规模将达到1.3万人。7月份，华为公司的一位高管声称，在未来很长时间内，可能将很少有机会向美国大运营商销售网络设备，不过，该公司将会继续与英国市场的运营商合作。

有朋友问笔者：同样都是大鼻子洋人，为什么英国人不像美国人那样担心国家安全问题？

答：英国人比美国人还小心眼，还保守，怎么会不担心国家安全？

问：那为什么英国不学美国佬那样排斥华为呢？

答：很简单，他们认为华为是安全的。他们有安全认证制度，非常严格的审查源代码。其中英国做法最为典型。英国政府采用了安全认证制度，由外国设备商提供的通讯产品，若通过其认可的安全认证，都可以面向英国本土的运营商进行销售，否则不可以销售，属于违法；而英国本土运营商也都认可安全认证的结果。

英国的安全认证由CESG负责，当前认证要求如下：

（1）要求设备商建设认证中心，提供经过CESG认证/许可的场地、人员、设备和网络通信及其他基础设施，承担相关的所有成本。

（2）认证中心会对设备商交付的源码和可执行代码进行各种测试和验证，包括一致性验证、软件缺陷测试、各种安全相关的功能测试、各种渗透测试。

（3）具体的测试、认证方法是对设备商不公开的，特别是渗透测试；但对于验证和测试中发现的各种缺陷和疑问，设备商都必须予以解决和解答，结果必须得到认证中心认可。

（4）认证中心还会对设备商交付的各种软硬件结构进行审核、归档和备案，防止日后交付中未经申报地擅自修改设计和实现。

英国建立起了当前世界最严格的的国家级的安全评估中心，华为提供100%的源代码接受审查，这也是华为在欧洲能够继续发展壮大的重要原因。面对澳大利亚的故意刁难，华为主动提出呼吁澳洲建立国家安全评估中心来证明自己。去年10月，华为已经向澳大利亚政府公开了源代码--澳大利亚政府可以自由地查看华为源代码和设备，以此来应对澳大利亚政府于2012年3月抛出的“军方背景论” 。

2012年10月底，华为公司发布声明，向任何政府开放对其设备进行检查的权利。“我们是非常开放的。你可以在任何你想去看的地方检查(设备)。我们与你进行合作，你可以做任何你想做的测试。”华为全球网络安全官John Suffolk如是表示。

思科恰恰相反。在背后运作国家安全事件，极尽能事的在全球范围内拉拢盟友阻击华为。而真正不透明的却是思科，思科源代码拒绝开放、而过多并繁杂的不合理私有协议、频繁被曝光的后门问题，这些常识性的人为壁垒却很少被媒体提及。

如果依据美国逻辑，中国公众网上骨干网络百分之六七十使用的是思科产品，华为在美市场占有率还不到百分之一。更应该担心的恐怕不是美国吧。

说起源代码审查这件事，是不是会变成一种流行的安全审查模式？这事让我想起免费杀毒和开源运动。杀毒软件，从高价收费到绝不可能的免费；开放源代码运动，从封闭的代码写作到完全的公开源代码。当年，这些可都是非常不可思议的事情，但几乎一夜之间变成了现实。从国家信息安全的角度来看，中国也完全可以借鉴英国经验，加强对思科产品的源代码审查。

本文由天马来行空授权虎嗅网发表，并经虎嗅网编辑。转载此文章须经作者同意，并请附上出处( 虎嗅网 )及本页链接。原文链接 http://www.huxiu.com/article/18162/1.html

向作者提问