网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

地缘政治导致的网络安全问题，不会有什么简单的解决方案——尽管确实有那么几个提案。首先就是一套国际承认的“网络行为规范”。规范的问题，是必须先得到所有人的认同，被大家所遵从，才能称其为“规范”。

微软在2016年夏天发布了一个样例。该报告承认：“网络安全规范的效果，取决于是否被忠实贯彻，以及违反者是否被追责。”然而，问责最终落到归因问题上——由于几乎无法证明归因，也就无法对偏离规范的国家问责。

微软的提案，是由独立的国际专家组，来裁决归因。“公共/私营国际组织，或许是确认规范是否被遵从的高度建设性方法，可能有助于在未来开创一个更为稳定的网络空间。”

尽管如此，想看出实际运作中是否有效，却依然很难：真的有国家会仅仅因一组评判员判定它有罪，就承担起责任吗？而且，每个被指控的国家，都可能受到其现有地缘政治影响领域的坚定支持。

规范这种东西，在不远的将来并不太可能实现；且规范往往就是，在最不可能实现的时候最需要的东西。

产品认证

产品认证，是一种提供了部分解决方案的办法。其核心思想很简单——独立授权机构分析硬软件产品，如果满足要求，就认证该产品无漏洞或后门。然后，政府和公司企业都可以将之按可信产品对待，无论来源是哪里。

多年来，发展产品认证体系的尝试从未断过。在英国，政府通信总部(GCHQ)在国家计算机安全中心(NCSC)运行有商业产品保证(CPA)框架。“基础级”认证，意味着该产品具备良好的商业安全实践，适用于低威胁环境。值得指出的是，这并不表示就没有外国政府放的后门。

更近些的倡议来自欧盟委员会：“信息及通信技术(ICT)网络安全认证”规则提案，2017年9月13日发布。该提案有2个关键元素：欧盟网络与信息安全局(ENISA)，作为永久性欧洲网络安全机构；ENISA应发展并控制新的泛欧洲产品认证体系。

提案中称：“考虑到要求高网络安全水平的技术，比如联网自治汽车、电子医疗或工业自动化控制系统(IACS)，被越来越广地应用，ICT网络安全认证，变得特别重要。”

欧盟的方法相对英国的办法有个主要的优势：ENISA与政界人士关系匪浅，与情报机构也是睦邻友好关系。CPA则是受情报机构管控；因而尽管CPA在英国境内受到信任，其对其他国家的价值，却有可能仅仅因为地缘政治紧张局势而受到怀疑。

然而，所有认证体系都有个终极问题：认证从来不能保证没有后门，也不能保证不会通过远程更新之类的方式给加上一个。认证只能断言没有找到漏洞。

逆向工程

对软件代码进行逆向工程，可能是检测漏洞和后门的最有效方式了；但却太过耗时耗钱而无法广泛使用。不过，特殊情况下还是可以这么做的；位于英国班伯里的华为网络安全评估中心(HCSEC)，就是个中案例。

中国的华为电信产品并未受到普遍信任，在2012年的时候还被美国禁用过——因恐惧有后门向中国泄露信息。该公司还被禁止参与竞标澳大利亚的国家宽带网络(NBN)。同样的情况如今在英国不再存在，尽管是通过不太寻常的路线。

2005年，英国电信(BT)与华为签订了一份电信合同，但政府部长直到2006年才被告知有安全问题。此时，内阁办公室获悉，阻止该合同签订“可能会造成严重的外交和贸易影响，还可能让政府陷入来自BT的上亿英镑索赔——根据1984年的法案，政府有责任补偿公司因遵守政府指令而遭受的损失。”

解决方案就是翻新信任。于是，2010年11月，HCSEC成立。在GCHQ和现在的NCSC监管下，再辅以来自华为的合作，英国如今可以逆向工程华为的代码，寻找任何漏洞或后门。

2015年起，NCSC CEO 塞伦·马丁领导下的HCSEC监督理事会，开始产出年度报告。最新的第3期，在2017年7月发布，其结论为：“2016-2017年间，HCSEC履行了其提供保障的责任，确保充分缓解了华为参与英国关键网络建设给英国国家安全带来的风险。我们很高兴在此基础上向国家安全顾问建议。”

简言之，逆向工程重新改造了英国政府和华为间的信任——尽管英国和中国之间可能还存在一些地缘政治紧张情绪。这对关于地缘政治和卡巴斯基实验室的讨论很重要，因为该俄罗斯安全公司也向美国政府提出了相同的配合意愿。