英国最新报告狠批华为2019华为网络安全评估年度报告中文2019390页

禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方华为网络安全评估中心（hcsec）监督委员会2019年年度报告2019年3月向英国国家安全顾问提交的报告禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方华为网络安全评估中心监督委员会年度报告第一部分：总结1.这是华为网络安全评估中心（HCSEC）监督委员会的第五份年度报告。HCSEC是牛津郡班伯里的一家工厂，隶属于华为技术（英国）有限公司（华为英国），其母公司华为技术有限公司是一家总部位于中国的公司，现在是全球最大的电信供应商之一。2.HCSEC已经运行了八年。它于2010年11月根据华为与女王陛下政府（HMG）之间的一系列安排开放，旨在减轻华为参与英国（英国）部分重要国家基础设施所带来的任何风险。HCSEC为英国电信市场中使用的一系列产品提供安全评估。通过HCSEC，英国政府可以深入了解华为的英国战略和产品系列。英国国家网络安全中心（NCSC和以前的政府通信总部（GCHQ））作为国家信息保障技术机构和政府网络安全运营机构，领导政府与HCSEC和华为打交道。关于技术安全问题。3.HCSEC监督委员会成立于2014年，由NCSC首席执行官CiaranMartin担任主席，并担任GCHQ董事会执行委员，负责网络安全。监督委员会继续包括华为高级主管作为副主席，以及来自政府和英国电信部门的高级代表。监督委员会的结构没有发生重大变化，但成员资格在2018年发生了变化。主要是由于HMG和华为职位的员工轮换。禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方4.监督委员会现已完成其第五个全年工作。在这样做的过程中，它涵盖了HCSEC在一年中的几个工作领域。这项工作的全部细节载于本报告第二部分。在本摘要中，主要亮点是：i.HCSEC的新安全楼宇已经完工-先前报告的HCSEC新楼宇的购置经历了一些商业延误，但现已成功完成，新设施全面运作;ii.NCSC技术能力评估发现，HCSEC的能力在2018年有所改善，员工素质并未降低，这意味着与整体缓解策略相关的技术工作可以大规模，高质量地进行;iii.对HCSEC独立于华为总部运营的能力的第五次独立审计已经完成，再次-没有高优先级或中等优先级的调查结果。审计报告确定了一项低评级的调查结果，涉及在商定的服务水平协议内提供信息和设备。安永认为没有重大问题，监督委员会对HCSEC的运作符合HMG与公司2010年的安排表示满意;iv.华为工程流程中发现了更多重大技术问题，导致英国电信网络出现新风险;v.华为在去年报告的问题的修复方面没有取得任何重大进展，因此不适合改变去年的保证水平或对潜在的未来保证水平作出评论。5.监督委员会第五年工作的主要结论是：禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方i.2018年，HCSEC履行了向NCSC和英国运营商提供软件工程和网络安全保障文物的义务，作为管理华为参与英国关键网络对英国国家安全风险的战略的一部分;ii.然而，正如2018年报道的那样，HCSEC的工作继续确定华为软件开发方法中的问题，为英国运营商带来了显着增加的风险，这需要持续的管理和缓解;iii.在2018年以前的报告中提出的问题没有取得重大进展;iv.监督委员会继续只能提供有限的保证，即可以在目前英国部署的华为设备中管理长期安全风险;v.监督委员会建议，在英国部署的背景下，很难对未来产品进行适当的风险管理，直到华为软件工程和网络安全流程的根本缺陷得到纠正为止;vi.目前，监督委员会还没有看到任何让华盛顿成功完成其转型计划要素的能力，而该计划已提出解决这些潜在缺陷的方法。理事会将要求持续证明HCSEC和NCSC验证的更好的软件工程和网络安全质量;vii.总体而言，监督委员会只能提供有限的保证，即华为参与英国关键网络对英国国家安全的所有风险可以在长期内得到充分缓解。禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方此页有意留为空白禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方华为网络安全评估中心监督委员会2018年度报告第二部分：技术和运营报告这是华为网络安全评估中心（HCSEC）监督委员会的第五份年度报告。该报告可能包含一些更广泛的华为公司战略和非英国利益的参考。值得注意的是，监督委员会在这些问题上没有直接的位置，只有它们可以影响与HCSEC英国业务保证直接相关的结论。英国政府对这些非英国安排的兴趣仅限于确保HCSEC有足够的能力履行其对英国的商定义务。无论是英国政府还是整个董事会，在这个过程中都没有任何其他地方。介绍1.这是华为网络安全评估中心（HCSEC）监督委员会的第五份年度报告。HCSEC是牛津郡班伯里的一家工厂，隶属于华为技术（英国）有限公司（华为英国），其母公司是一家总部位于中国的公司，华为技术有限公司，现在是全球最大的电信提供商之一。2.HCSEC已经运行了八年。它于2010年11月根据华为与HMG之间的一系列安排开放，旨在减轻华为参与英国部分重要国家基础设施所带来的任何风险。HCSEC为英国市场上使用的一系列产品提供安全评估。通过HCSEC，英国政府可以深入了解华为的英国战略和产品系列。英国国家网络安全中心（NCSC，以前是GCHQ）作为国家信息保障技术机构和政府网络安全运营机构，领导政府与HCSEC和华为进行更广泛的技术安全事务处理。禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方3.HCSEC监督委员会成立于2014年，由NCSC首席执行官CiaranMartin担任主席，并担任GCHQ董事会执行委员，负责网络安全。监督委员会继续包括华为高级主管作为副主席，以及来自政府和英国电信部门的高级代表。监督委员会的结构没有发生重大变化，但成员资格在2017-18年度发生了变化。这主要是由于HMG和华为职位的员工轮换。4.第五份年度报告已得到监督委员会成员的一致同意。与去年的报告一样，理事会同意不需要机密附件，因此本报告中的内容代表了全面的分析和评估。5.报告载列如下：I.第一节规定了监督委员会的职权范围和成员资格;II.第二节描述了HCSEC的人员配置，技能，招聘和住宿;III.第三节涉及HCSEC技术保障，优先排序和研发;IV.第四节总结了2018年独立审计的结果;V.第五节汇总了一些结论。禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方第一部分：HCSEC监督委员会：职权范围和成员资格1.1HCSEC监督委员会于2014年初成立。它每季度召开一次会议，由NCSC首席执行官CiaranMartin和GCHQ总干事董事会执行成员担任主席。Martin先生直接向GCHQ的董事JeremyFleming报告，并负责该机构的网络安全工作。1.2监督委员会的职责是监督和确保HCSEC的独立性，能力和整体有效性，作为整体缓解战略的一部分，以管理华为在英国的存在并在此基础上为国家安全顾问提供建议..然后，国家安全顾问将向部长，议会和最终公众保证风险是否得到妥善管理。1.3监督委员会的范围仅涉及与英国国家安全风险相关的产品。它的职责是双重的，涵盖：首先，HCSEC对华为部署或签约将在英国部署的产品的评估与英国国家安全风险相关，该风险由NCSC自行决定;和第二，HCSEC在履行职责方面的独立性，能力和整体效力。1.4理事会有一份商定的职权范围，其副本见附录A.今年的职权范围没有变化，监督委员会的职权范围和目标保持不变。监督委员会负责向国家安全顾问提供年度报告，国家安全顾问将向国家安全委员会和议会情报和安全委员会（ISC）提供副本。董事会的目标是HCSEC1.5监督委员会对HCSEC的四个高级目标与之前报告的目标保持一致，并且：禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方为年度HCSEC评估计划中定义的一系列英国客户部署提供安全评估;通过确保对政府和英国客户安全问题的公开性，透明度和响应能力，继续向英国政府提供保证;通过提高评估产出质量或开发定制的安全相关工具，技术或流程，证明技术能力的提高;为HCSEC支持华为研发，继续发展和提升华为的软件工程和网络安全能力。HCSEC监督委员会：2018年4月至2019年2月1.6本报告涵盖2018年1月至2018年12月期间的技术工作。上一份报告涵盖了2018年3月的监督委员会会议。在自2018年年度报告发布以来的五次会议中，监督委员会：提供华为英国的定期公司更新;讨论了未来的技术趋势以及它们如何影响监督委员会的工作;提供有关HCSEC招聘，人员配置和住宿计划的定期更新;收到NCSC技术总监和技术团队（一些与英国运营商）在深圳和上海对华为总部进行技术访问的详细报告，以讨论技术问题;进一步证实了去年出现的重大软件工程和网络安全问题的根本原因;进一步证实了华为提出的重大软件工程和网络安全问题的补救措施，并判断它们不足;委托第五次HCSEC管理层审核中心的独立性。禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方~~~~~禁运-直到格林尼治标准时间3月28日星期四0930，才能出版或播放官方根据“2000年信息自由法”（FOIA），此信息可免除，并可根据其他英国信息法立法获得豁免。请将任何FOIA查询转至ncscinfoleg@ncsc.gov.uk。所有资料均为英国皇冠版权所有©官方第二部分：HCSEC人员配备2.1本节介绍了HCSEC的人员配备和技能，包括招聘和保留。人员和技能2.2NCSC领导HMG与HCSEC以及公司更广泛地处