本刊特約撰稿 / 朱江明

滲透華為？沒那么容易

本刊特約撰稿 / 朱江明

在華為面前，美國國家安全局可能是重量級龐大對手，但華為仍然可以把大部分的低級攻擊排除掉。

在中國訪問的美國第一夫人米歇爾逛故宮、吃藏餐、觀兵馬俑、打太極，外交活動皆按計劃有條不紊地進(jìn)行著，她的丈夫奧巴馬則跟在歐洲訪問的中國國家主席習(xí)近平進(jìn)行了會面。

而美國國家安全局（NSA）前雇員愛德華·斯諾登的新一波爆料令中美兩國關(guān)系頓生暗涌。

《參考消息》援引德國《明鏡》周刊3月22日的報道稱，NSA從2007年起進(jìn)行一項名為“攻擊巨人”的計劃，入侵了中國華為公司在深圳總部的服務(wù)器，監(jiān)控華為高管的通訊，并試圖尋找華為產(chǎn)品的技術(shù)漏洞來監(jiān)控使用華為產(chǎn)品的其他國家。

另外，在NSA監(jiān)控目標(biāo)名單上出現(xiàn)的還有中國前領(lǐng)導(dǎo)人以及商務(wù)部、外交部和銀行。

中國外交部發(fā)言人洪磊表示，中國對此類報道表示嚴(yán)重關(guān)切，要求停止非法獲取中國公司信息。在核峰會上，習(xí)近平向奧巴馬提出了這一問題。

奧巴馬進(jìn)行了“不完全”否認(rèn)，“美國不從事以獲取商業(yè)好處為目的的網(wǎng)絡(luò)間諜活動”。而美國國家副安全顧問羅茲在白宮網(wǎng)站披露的一份簡報中說，“包括中國、美國和其他世界各國，都會為了國家安全從事情報活動。”

“作為一個國家的政府，如果承認(rèn)類似的監(jiān)控丑聞顯然對國家整體形象頗為不利，然而作為一個情報機(jī)關(guān)，監(jiān)控外國公司乃至外國政府首腦本就是職責(zé)所在，基于這種考慮，NSA進(jìn)行針對中國的任何秘密監(jiān)聽活動都是有可能的?！庇性u論指出。

70歲的任正非低調(diào)而謹(jǐn)慎地經(jīng)營著華為，多年未曾接受媒體的采訪，公司也沒有上市，這家國際知名大型通信基礎(chǔ)設(shè)備供應(yīng)商頗為神秘。

對于美國情報機(jī)關(guān)而言，華為的低調(diào)神秘，尤其是創(chuàng)始人任正非的退役軍人背景，以及長期從事著敏感度極高的基礎(chǔ)通信行業(yè)，都令華為成為非常具有誘惑力的目標(biāo)。斯諾登在爆料中提到，“NSA最初希望通過偵察行動來了解華為與中國軍方的關(guān)系。”

如果可能的話，NSA到底能夠通過什么方法滲透進(jìn)入這家“神秘”的中國公司呢？

“作為一家商業(yè)機(jī)構(gòu)，不可能不做對外交流和商務(wù)合作，而商業(yè)間諜或者政府特工往往是通過這些途徑入侵企業(yè)?！遍L期負(fù)責(zé)商業(yè)安全咨詢、不愿具名的楊先生告訴《博客天下》。

商業(yè)機(jī)構(gòu)不可能調(diào)查每一位客戶的背景，多數(shù)機(jī)構(gòu)擁有大量的流動性的職位。情報機(jī)關(guān)有大量的機(jī)會進(jìn)入這家公司內(nèi)部，即便只是簡單的面談或者會晤，他們?nèi)耘f可能侵入該公司最敏感機(jī)密的區(qū)域。

“NSA是一家信號情報機(jī)構(gòu)，信號情報就是通過技術(shù)手段來獲取一個國家或者機(jī)構(gòu)的內(nèi)部信息。例如監(jiān)聽電話、傳真或者直接入侵其網(wǎng)絡(luò)?！睏钕壬f。

NSA如果派出人員滲透華為，可以直接接入其內(nèi)部網(wǎng)絡(luò)，從而更輕易地破解華為的防火墻等網(wǎng)絡(luò)安全設(shè)備。

2013年，美國《外交政策》雜志網(wǎng)絡(luò)版發(fā)表署名文章《Inside the NSA's Ultra-Secret China Hacking Group》(揭秘美國國安局絕密對華黑客小組)，披露國安局內(nèi)部存在一個名為接入技術(shù)行動部門的單位，該單位包括借調(diào)自CIA和FBI的情報人員，他們能夠?qū)嵤┧^的“網(wǎng)外行動”，即安排特工在海外目標(biāo)電腦或通信系統(tǒng)中秘密安設(shè)竊聽裝置，以便黑客可以從美國的基地遠(yuǎn)程訪問目標(biāo)的網(wǎng)絡(luò)系統(tǒng)。

像華為這樣龐大的商業(yè)機(jī)構(gòu)，大量的服務(wù)人員均能夠進(jìn)入企業(yè)內(nèi)部，以此類員工身份作為掩護(hù)是個不錯的途徑。

像華為這樣龐大的商業(yè)機(jī)構(gòu)，除了來往的客戶和合作伙伴之外，大量的服務(wù)人員如清潔工、保安或?qū)嵙?xí)生等，均能夠進(jìn)入企業(yè)內(nèi)部且流動性較大，以此類員工身份作為掩護(hù)是個不錯的途徑。

“供應(yīng)商也同樣是情報機(jī)關(guān)滲透的重要途徑?！睏钕壬f。

從2002年至今，以色列摩薩德情報機(jī)關(guān)曾經(jīng)長期利用在歐洲的偽裝公司，對伊朗走私核工業(yè)敏感部件，其目的是通過提供不合規(guī)格但是無法被檢查出的工業(yè)部件來破壞伊朗核設(shè)施的工作效率。

《紐約時報》在2010年揭露，一名瑞士商人為伊朗提供了劣質(zhì)供電設(shè)備，導(dǎo)致50～100臺離心機(jī)提前報廢且生產(chǎn)出來的核原料毫無價值，而這只是以色列為伊朗秘密提供劣質(zhì)零件的其中一家企業(yè)。

海灣戰(zhàn)爭前，美國曾經(jīng)利用法國供應(yīng)商，向伊拉克軍方提供植入木馬芯片的打印機(jī)，從而癱瘓了其部分防空雷達(dá)。

華為公司作為一家大型設(shè)備供應(yīng)商，涉及到的各方面零件供應(yīng)商成千上萬。通過供應(yīng)商直接將存在木馬病毒的零部件提供給華為公司，不僅可以長期監(jiān)控其公司內(nèi)部網(wǎng)絡(luò)，而且能夠直接對其產(chǎn)品進(jìn)行監(jiān)控。由于此類產(chǎn)品大部分均為通信基礎(chǔ)設(shè)施，必然會接入互聯(lián)網(wǎng)或者其他通信網(wǎng)絡(luò)。NSA就可以通過這些設(shè)備不斷獲得全球華為客戶的通信信息。

華為較早開始關(guān)注的是員工的安全問題。2008年，華為開始設(shè)立首席健康及安全官這個崗位，統(tǒng)籌管理華為公司員工的人身健康和企業(yè)安全，近年來在處理華為員工的海外安全工作方面頗為成功，也成功地遏制了此前因為華為員工過勞死和海外綁架事件造成的輿論危機(jī)。

2012年華為雇傭唐納德·安迪·波弟為全球首席安全官，此人曾經(jīng)是美國國防部網(wǎng)絡(luò)安全專家。有人將此舉解讀為，華為試圖通過雇傭美國背景的高級員工來扭轉(zhuǎn)美國政府的負(fù)面考慮。

當(dāng)?shù)貢r間2014年2月23日，華為高級副總裁余承東攜新品亮相世界移動通信大會新聞發(fā)布會。

然而從安全角度來說，唐納德顯然非常了解情報機(jī)關(guān)的網(wǎng)絡(luò)滲透路徑，而且有過這方面的工作經(jīng)驗，這或許是華為為了遏制外國情報機(jī)關(guān)對自身窺探的一種方法。

有人懷疑，一位美國的安全管理人員能否有效幫助中國公司對抗美國的情報機(jī)構(gòu)。

“情報戰(zhàn)場是沒有硝煙的戰(zhàn)爭，因此其對抗存在文明底線，暴力攻擊和暗殺并不是常態(tài)化的任務(wù)。尤其是NSA這樣的技術(shù)偵察機(jī)構(gòu)，對抗雙方的勝負(fù)是技術(shù)手段。對抗并不一定是敵我分明的對壘，NSA也絕對不可能承認(rèn)自己曾經(jīng)參與過這樣的行動。”楊先生說，“美國籍高管只要遵守情報戰(zhàn)線的底線，在政治方面的壓力就不會太大。而作為跨國公司的高管人員，其薪酬待遇也是情報機(jī)構(gòu)難以收買的?！?/p>

曾經(jīng)在以色列情報機(jī)構(gòu)任職的Adi告訴《博客天下》，“日常常規(guī)檢查和安全措施可以有效遏制大部分的滲透工作?！?/p>

“低階層的流動性員工和往來客戶在其進(jìn)入公司設(shè)施的時候，應(yīng)該杜絕其進(jìn)入公司的核心辦公區(qū)域，同時企業(yè)內(nèi)部的網(wǎng)絡(luò)接入口，也必須做出相應(yīng)的隔絕處理?！?/p>

Adi說，“不僅應(yīng)該避免在企業(yè)內(nèi)部聯(lián)網(wǎng)電腦中插入不明來源的U盤和其他帶有數(shù)據(jù)儲存功能的設(shè)備，而且應(yīng)該嚴(yán)格限制來賓及非認(rèn)可用戶使用公司內(nèi)部的無線網(wǎng)絡(luò)。這樣可以抵御大部分低成本的滲透，有效避免企業(yè)機(jī)密外泄?！?/p>

“離職員工的安全管理也同樣是一門學(xué)問，而中國企業(yè)過去并不注重這方面的問題?！睏钕壬f。

“百度前員工參與刪帖受賄事件”顯示出離職員工在了解企業(yè)內(nèi)部的管理規(guī)章制度和關(guān)鍵人員聯(lián)絡(luò)圖譜時，能夠持續(xù)在企業(yè)內(nèi)發(fā)揮影響力。企業(yè)要杜絕因此而產(chǎn)生的安全隱患，需要非常高的管理技巧。

“如果一名員工被企業(yè)遣散，那么企業(yè)在遣散這名員工之前必須做好安全準(zhǔn)備工作。使用的工作電腦和企業(yè)內(nèi)部網(wǎng)絡(luò)接入賬戶必須及時控制。同時在其離職的時候，只能帶走個人物品，任何工作相關(guān)的物件都應(yīng)該留在企業(yè)內(nèi)部。這么做看起來不近人情，卻非常必要?！盇di說。

楊先生認(rèn)為企業(yè)有必要對供應(yīng)商也進(jìn)行安全管理：“首先得對供應(yīng)商的級別進(jìn)行分類，你不可能對所有的企業(yè)供應(yīng)商進(jìn)行背景調(diào)查，那樣成本會相當(dāng)高。比如你們公司的衛(wèi)生紙供應(yīng)商，就沒必要進(jìn)行背景調(diào)查，因為他們的產(chǎn)品是無法被植入木馬或者竊聽器的?！?/p>

“核心器材的供應(yīng)商，必須做好調(diào)查工作。尤其是涉及到電腦系統(tǒng)軟硬件的供應(yīng)商，如果他們被滲透則幾乎等于將自己的企業(yè)機(jī)密完全拱手相讓。因此無論合作了多長時間的生意伙伴，在每一次采購的環(huán)節(jié)中都進(jìn)行安全抽查是很有必要的?！睏钫f。

現(xiàn)在國外開始流行一種間諜檢查法，聘請專業(yè)的安全顧問通過授權(quán)的滲透行動來檢查企業(yè)安全制度是否存在漏洞。簡單來說就是自己雇傭商業(yè)間諜來入侵自己的企業(yè)，以便檢查企業(yè)安全中的疏忽。

國內(nèi)IT行業(yè)已經(jīng)開始采取這樣的檢查法，雇傭黑客尋找自己企業(yè)網(wǎng)絡(luò)的漏洞。

對華為這樣的大公司而言，公司可能無法徹底杜絕專業(yè)情報機(jī)關(guān)的偵察和滲透，通過各種措施盡力降低此類活動的危害水平，卻是完全可能的?！?/p>