渗透华为？没那么容易

本刊特约撰稿 / 朱江明

渗透华为？没那么容易

本刊特约撰稿 / 朱江明

在华为面前，美国国家安全局可能是重量级庞大对手，但华为仍然可以把大部分的低级攻击排除掉。

在中国访问的美国第一夫人米歇尔逛故宫、吃藏餐、观兵马俑、打太极，外交活动皆按计划有条不紊地进行着，她的丈夫奥巴马则跟在欧洲访问的中国国家主席习近平进行了会面。

而美国国家安全局（NSA）前雇员爱德华·斯诺登的新一波爆料令中美两国关系顿生暗涌。

《参考消息》援引德国《明镜》周刊3月22日的报道称，NSA从2007年起进行一项名为“攻击巨人”的计划，入侵了中国华为公司在深圳总部的服务器，监控华为高管的通讯，并试图寻找华为产品的技术漏洞来监控使用华为产品的其他国家。

另外，在NSA监控目标名单上出现的还有中国前领导人以及商务部、外交部和银行。

中国外交部发言人洪磊表示，中国对此类报道表示严重关切，要求停止非法获取中国公司信息。在核峰会上，习近平向奥巴马提出了这一问题。

奥巴马进行了“不完全”否认，“美国不从事以获取商业好处为目的的网络间谍活动”。而美国国家副安全顾问罗兹在白宫网站披露的一份简报中说，“包括中国、美国和其他世界各国，都会为了国家安全从事情报活动。”

“作为一个国家的政府，如果承认类似的监控丑闻显然对国家整体形象颇为不利，然而作为一个情报机关，监控外国公司乃至外国政府首脑本就是职责所在，基于这种考虑，NSA进行针对中国的任何秘密监听活动都是有可能的。”有评论指出。

70岁的任正非低调而谨慎地经营着华为，多年未曾接受媒体的采访，公司也没有上市，这家国际知名大型通信基础设备供应商颇为神秘。

对于美国情报机关而言，华为的低调神秘，尤其是创始人任正非的退役军人背景，以及长期从事着敏感度极高的基础通信行业，都令华为成为非常具有诱惑力的目标。斯诺登在爆料中提到，“NSA最初希望通过侦察行动来了解华为与中国军方的关系。”

如果可能的话，NSA到底能够通过什么方法渗透进入这家“神秘”的中国公司呢？

“作为一家商业机构，不可能不做对外交流和商务合作，而商业间谍或者政府特工往往是通过这些途径入侵企业。”长期负责商业安全咨询、不愿具名的杨先生告诉《博客天下》。

商业机构不可能调查每一位客户的背景，多数机构拥有大量的流动性的职位。情报机关有大量的机会进入这家公司内部，即便只是简单的面谈或者会晤，他们仍旧可能侵入该公司最敏感机密的区域。

“NSA是一家信号情报机构，信号情报就是通过技术手段来获取一个国家或者机构的内部信息。例如监听电话、传真或者直接入侵其网络。”杨先生说。

NSA如果派出人员渗透华为，可以直接接入其内部网络，从而更轻易地破解华为的防火墙等网络安全设备。

2013年，美国《外交政策》杂志网络版发表署名文章《Inside the NSA's Ultra-Secret China Hacking Group》(揭秘美国国安局绝密对华黑客小组)，披露国安局内部存在一个名为接入技术行动部门的单位，该单位包括借调自CIA和FBI的情报人员，他们能够实施所谓的“网外行动”，即安排特工在海外目标电脑或通信系统中秘密安设窃听装置，以便黑客可以从美国的基地远程访问目标的网络系统。

像华为这样庞大的商业机构，大量的服务人员均能够进入企业内部，以此类员工身份作为掩护是个不错的途径。

像华为这样庞大的商业机构，除了来往的客户和合作伙伴之外，大量的服务人员如清洁工、保安或实习生等，均能够进入企业内部且流动性较大，以此类员工身份作为掩护是个不错的途径。

“供应商也同样是情报机关渗透的重要途径。”杨先生说。

从2002年至今，以色列摩萨德情报机关曾经长期利用在欧洲的伪装公司，对伊朗走私核工业敏感部件，其目的是通过提供不合规格但是无法被检查出的工业部件来破坏伊朗核设施的工作效率。

《纽约时报》在2010年揭露，一名瑞士商人为伊朗提供了劣质供电设备，导致50～100台离心机提前报废且生产出来的核原料毫无价值，而这只是以色列为伊朗秘密提供劣质零件的其中一家企业。

海湾战争前，美国曾经利用法国供应商，向伊拉克军方提供植入木马芯片的打印机，从而瘫痪了其部分防空雷达。

华为公司作为一家大型设备供应商，涉及到的各方面零件供应商成千上万。通过供应商直接将存在木马病毒的零部件提供给华为公司，不仅可以长期监控其公司内部网络，而且能够直接对其产品进行监控。由于此类产品大部分均为通信基础设施，必然会接入互联网或者其他通信网络。NSA就可以通过这些设备不断获得全球华为客户的通信信息。

华为较早开始关注的是员工的安全问题。2008年，华为开始设立首席健康及安全官这个岗位，统筹管理华为公司员工的人身健康和企业安全，近年来在处理华为员工的海外安全工作方面颇为成功，也成功地遏制了此前因为华为员工过劳死和海外绑架事件造成的舆论危机。

2012年华为雇佣唐纳德·安迪·波弟为全球首席安全官，此人曾经是美国国防部网络安全专家。有人将此举解读为，华为试图通过雇佣美国背景的高级员工来扭转美国政府的负面考虑。

当地时间2014年2月23日，华为高级副总裁余承东携新品亮相世界移动通信大会新闻发布会。

然而从安全角度来说，唐纳德显然非常了解情报机关的网络渗透路径，而且有过这方面的工作经验，这或许是华为为了遏制外国情报机关对自身窥探的一种方法。

有人怀疑，一位美国的安全管理人员能否有效帮助中国公司对抗美国的情报机构。

“情报战场是没有硝烟的战争，因此其对抗存在文明底线，暴力攻击和暗杀并不是常态化的任务。尤其是NSA这样的技术侦察机构，对抗双方的胜负是技术手段。对抗并不一定是敌我分明的对垒，NSA也绝对不可能承认自己曾经参与过这样的行动。”杨先生说，“美国籍高管只要遵守情报战线的底线，在政治方面的压力就不会太大。而作为跨国公司的高管人员，其薪酬待遇也是情报机构难以收买的。”

曾经在以色列情报机构任职的Adi告诉《博客天下》，“日常常规检查和安全措施可以有效遏制大部分的渗透工作。”

“低阶层的流动性员工和往来客户在其进入公司设施的时候，应该杜绝其进入公司的核心办公区域，同时企业内部的网络接入口，也必须做出相应的隔绝处理。”

Adi说，“不仅应该避免在企业内部联网电脑中插入不明来源的U盘和其他带有数据储存功能的设备，而且应该严格限制来宾及非认可用户使用公司内部的无线网络。这样可以抵御大部分低成本的渗透，有效避免企业机密外泄。”

“离职员工的安全管理也同样是一门学问，而中国企业过去并不注重这方面的问题。”杨先生说。

“百度前员工参与删帖受贿事件”显示出离职员工在了解企业内部的管理规章制度和关键人员联络图谱时，能够持续在企业内发挥影响力。企业要杜绝因此而产生的安全隐患，需要非常高的管理技巧。

“如果一名员工被企业遣散，那么企业在遣散这名员工之前必须做好安全准备工作。使用的工作电脑和企业内部网络接入账户必须及时控制。同时在其离职的时候，只能带走个人物品，任何工作相关的物件都应该留在企业内部。这么做看起来不近人情，却非常必要。”Adi说。

杨先生认为企业有必要对供应商也进行安全管理：“首先得对供应商的级别进行分类，你不可能对所有的企业供应商进行背景调查，那样成本会相当高。比如你们公司的卫生纸供应商，就没必要进行背景调查，因为他们的产品是无法被植入木马或者窃听器的。”

“核心器材的供应商，必须做好调查工作。尤其是涉及到电脑系统软硬件的供应商，如果他们被渗透则几乎等于将自己的企业机密完全拱手相让。因此无论合作了多长时间的生意伙伴，在每一次采购的环节中都进行安全抽查是很有必要的。”杨说。

现在国外开始流行一种间谍检查法，聘请专业的安全顾问通过授权的渗透行动来检查企业安全制度是否存在漏洞。简单来说就是自己雇佣商业间谍来入侵自己的企业，以便检查企业安全中的疏忽。

国内IT行业已经开始采取这样的检查法，雇佣黑客寻找自己企业网络的漏洞。

对华为这样的大公司而言，公司可能无法彻底杜绝专业情报机关的侦察和渗透，通过各种措施尽力降低此类活动的危害水平，却是完全可能的。■