侵权投诉
订阅
纠错
加入自媒体

徐直军接受6家英国媒体采访实录

2019-02-18 08:58
来源: 芯智讯

8、计算机世界 记者:有一个很有意思的发现,历史上华为跟“五眼国家”中的两个——加拿大、英国的关系都很好的,想问一下华为跟五眼国家的情报机构关系如何?我猜测情报机构既然有能力对光纤通信进行监听,应该有能力对通信盒子里的通信进行监听,华为多大程度上跟五眼国家的情报机构进行合作?

徐直军:我对华为跟情报机构合作情况不清楚,但是华为跟英国的GCHQ合作我是清楚的。我们跟英国的合作是建设性的合作,不是简单的YES or NO,而是基于各自关心的课题来找到技术上和监督上的解决方案,使得合作能够开展下去。

华为跟英国政府以及英国产业界合作,一直是中英合作的一个典范。过去中英政府之间的交流、民间的交流一直把华为在英国的投资、发展以及跟英国政府的合作方式当作一个范例。中西方在价值观不同、文化背景不同情况下,还是能够开创出建设性、友好的合作方式的范例,使得华为也愿意在英国不断地投资、不断地发展。也让英国的运营商能够去使用华为的技术、产品和解决方案,服务于英国人民。

两种价值观和文化背景不同的合作,要么YES or NO,很难坐下来建设性地找到解决办法,解决各自关注的问题,促进合作。

我们和英国合作得好的原因之一就是英国的开放和自由贸易精神。英国崇尚用规则、用监管等办法来解决问题,而不是简单的YES or NO。这也是英国之所以成为自由、开放国家的关键之所在。

9、PC Pro 记者:我的问题和“融合”这个词紧密相关,今天上午看了华为企业业务方面,是IP网络的服务平台。大家都在提,做网络的监控,这里面所有的网络流量都在这里,面临了挑战。另外,还有运营商网络,有ATM,还有其他标准。现在政府在这块要求跟企业网络要求一样,但是它所用的工具非常不同的。有没有可能5G数据流量在做传输时遵循企业网络标准做信息的发布。这样的话有没有可能解决现在安全担忧的问题。现在很多人担心前端就是一个单的盒子,所有的东西都在运营商网络去传,企业业务拓展以及华为的布局有没有帮助解决华为在网络基础设施面临的网络安全挑战?

徐直军:如果所有的网络安全挑战是技术问题,那本质上就可以通过技术和监督来解决。大家都清楚,网络安全现在是全球共同面临的挑战。所以,5G在选择技术、标准的制定的过程中就特别关注安全相关问题。5G使用的技术和构建的标准相比2G、3G、4G更安全,这一点你可以找3GPP专家、GSMA专家了解验证。

而且5G传输的关键信息可以进行256位的加密,意味着要用还没有出来的量子计算机才能解密。

10、PC Pro 记者:您现在提到的是基于空口的无线通信,现在担心的是基础设施层面。

徐直军:5G是手机到基站,基站上去就是网络,华为在英国网络只提供了基站设备。基站以上的网络跟华为没直接关系。

Robert的文章也特别说了,网络的“核心”部分华为没有进入。

基站以上跟华为没关系,都是其他厂商的设备。

11、金融时报 记者:刚才的解释是在英国华为只提供基站,从用户的端口到基站是加密的过程,到了基站以后数据被解密进入IP网络?

徐直军:解密是运营商或者政府的事情,加密也是运营商或者政府的事情。

金融时报:通过你们的设备做出加密?

徐直军:我们不能掌握密钥,掌握全球的密钥不就翻天了吗?各个国家掌握自己的密钥。

12、 金融时报 记者:关于去年的NCSC 2018年的报告,主要的问题是关于华为软件中第三方部件,有人说这样的问题是因为华为的公司文化,华为比欧洲公司更愿意从不同来源得到部件。极端一点说美国起诉书中提到华为之前鼓励员工拿到别的公司技术这个例子,这是一个很极端的例子。你们怎么用计划的20亿美元开发解决第三方部件的问题,您认为第三方部件问题来自于哪里?是公司文化还是怎样的原因?这个时间段怎么解决这个问题?

徐直军:首先,你的理解是错误的,你提到的第三方软件主要是美国风河公司的操作系统叫“VxWorks”,我们原来以为用美国公司的操作系统英国政府最相信了,后来发现不是这样的。

任何一个产品无论是硬件还是软件都会基于一个操作系统来开发,就像所有软件商都基于windows、Linux开发一样。我们做基站软件也要基于一个操作系统来开发,英国网上运行的华为基站用的就是VxWorks。当然,还有一些第三方的软件和开源软件。报告中提到是,对所有第三方软件管理中有改进的地方,而不是不能用(第三方软件),(如果)不能用的话,就要靠每家公司把所有的软件做出来,每家都要做一个windows,每家都要做一个Linux,每家都要做Oracle类似的数据库,这是不可能的。

我们后来找到了风河公司,他们告诉我们,这个软件以及华为正在用的这些版本,在英国各行各业,甚至一些比电信行业更敏感的行业里都在大规模使用。华为在软件开发过程中使用其他公司的操作系统、数据库以及开源软件,这些跟华为文化没关系,这是所有做产品的企业必然的选择,因为(一家公司)不可能做所有的东西。

现在大家有一个疑问,华为软件工程能力的提升为什么要花三到五年时间,为什么还要投20亿美金额外的投资?

把这个问题说明白了需要比较长的时间,不知道大家愿不愿意听。

华为最早跟英国政府合作成立HCSEC,主要是因为英国政府担心华为产品有后门。我们把源代码送到HCSEC,让英国有DV认证的英国公民看源代码,以此证明没有后门,看出来的结果也是没有后门。这是最初的目的。

全世界都知道华为敢于把源代码放到英国的HCSEC,让英国有DV认证的英国公民来看源代码,证明了我们没有后门。Robert在文章上也讲了,GCHQ也清楚了,所以现在其他国家担忧的后门的问题,其实在英国早就解决了。在我们决定把源代码拿到英国这个过程中,后门问题就解决了。

解决这个问题之后,HCSEC要看一看华为产品的防攻击、防渗透、防各种威胁的能力怎么样。在增强华为产品的防攻击、防渗透能力上,我们做了八年的工作。经过八年的努力,可以说,这个行业中华为产品在这方面是最强的,而且不是我们自己说的,是一家美国公司,Cigital公司通过评估和调查做的结论。

Cigital是一家专业的软件安全工程成熟能力进行评估的美国公司,从2013年开始,每年对我们产品的安全管理进行评估,有12个评估项目,我们有9项达到了业界最高级水平,其他三项也高于业界的平均水平。

但是大家很清楚,安全威胁的环境在发生变化,攻击渗透的技术不断进步,黑客能力水平越来越高。单单安全能力强,防攻击、防渗透能力很强,就好比是一个椰子,外壳很坚硬。万一外壳攻破了会怎么样?不能像椰子一样里头是一堆水。

所以,我们共同的关注点就从外面转到了里面。里面怎么样涉及到韧性,涉及到开发过程是不是高质量,是不是可信。从结果角度上升到了过程角度,结果要好,过程也要好。

HCSEC是可以看到华为的源代码的,(代码)是不是可读,是不是易修改、易构建都知道,好比一个人是赤裸在那里。

现在CESC的问题是,你们的代码不够漂亮。代码是华为三十年在通信行业,像windows一样累积起来的三十年代码,华为的代码要在不漂亮,易读、易修改等方面进行改进,还要把过程改进。不但结果是高质量,可信的,过程也要是可信的,才能证明可信。这就把焦点聚焦到整个软件的生产过程,我们叫做软件工程与实践,而且用面向未来的标准来对应历史上三十年的所有代码。

过去面临的安全风险、使用的软件技术、编程能力跟现在是有差别的,跟未来要求肯定更有差别。把历史上三十年的所有代码进行重构、重写。这个投资是巨大的,而且对华为现在进行的满足客户需求进度产品上是有冲击的。

在这件事情上,我们跟NCSC有相当一段时间剧烈的冲突,(华为)只愿意对新增代码达到要求,而不愿意对历史的代码进行重构。几乎所有的高管都去碰撞过,但在碰撞过程中,不断地加深理解,重构也好、过程质量做好也好,这不是一件简单的事情,对于华为公司未来的发展、未来真正建立可信是有价值的。

未来世界是一个云化,智能化,软件定义一切的世界,关键在于软件,软件必须得到对政府相关机构及客户的信任。信任既要结果可信,也要过程可信,既要结果质量,也要过程质量。这对于华为公司实现远大的理想至关重要。

所以我亲自去了NCSC两次,跟他们进行交流,发现不能再相互碰撞下去,这不仅仅是为了满足NCSC的要求,更是华为公司面向未来必须要采取的行动和措施,所以我回来说服了相关领导,在董事会决策要做软件工程能力提升的变革。

13、金融时报 记者:请问大概什么时候?

徐直军:去年年底。董事会通过激烈的辩论后,决策要开始彻底地进行软件工程能力提升变革,目标就是要打造可信的产品。变革要花三到五年时间,根据我们面向未来的标准和要求,彻底地变革整个软件的生产过程,同时对历史上所有的代码以未来的标准进行重构。

既要满足客户需求、又要重构,必须要有新的投资,才有20亿美金额外投资,这20亿美金主要是用于历史代码的重构以及所有工程师训练等等相关变革的费用。遗憾的是我成了变革的责任人,使得我未来五年要增加很多工作。最近这段时间,我花了大量的时间在做变革相关的事情。

20亿美金只是启动资金,肯定是不够的,希望通过三五年的努力真正能够打造让各国政府信任、让客户信任的产品。这样的话,华为未来就有更好地发展。为此我们的创始人新年第一封邮件向所有员工发了一封信--“全面提升软件工程能力与实践,打造可信的高质量产品”。

什么叫过程质量?举一个简单的例子。大家可能觉得中餐很好吃,但是应该很少有人去厨房看过。厨师用什么动作、什么过程、什么东西把这个菜炒出来,很多人不知道。

现在要走进厨房,对于厨师炒菜建立一套流程、标准、行为规范。厨师不按这个动作做,那么做出的菜可能就难吃一点,纠正过来又变得好吃了。这就是我们做软件能力提升变革,要把整个软件生产过程、以及生产出来的代码实现高质量、实现可信。

这很挑战,但是也是我们必须要做的事情。所以为什么要三到五年,为什么20亿美金只是启动资金。

其实我们现在还搞不清楚未来总要投多少钱。

当然,华为有一个优势,我们不是上市公司,现在少挣点钱没关系。只要有未来,就是最大的胜利。员工都是股东,大家可以理解,现在利润低一点是可行的,但没有未来是不行的。

14、新政治家 记者:能不能大概估一下把整个代码进行重构的话可能成本有多大?

徐直军:我们正在做高阶设计,还没有估出来。估出来告诉你,希望在3月底把高阶计划做完。

我想强调一下,刚刚提到的的问题不是华为独有的,而是整个产业界的公司都有。(不同公司)在不同领域上改进可能都不一样,但没有一家是完美的。而且这还是一个动态变化的情况。(如果)任何企业把代码送到英国去,让英国有DV证书的公民去看,(他们也)同样会发现很多问题。

15、每日电讯报 记者:刚才提到变革成本问题,想问在整个变革过程中对于这些代码的重构,HCSEC在验证监督方面会发挥什么样的作用,时间轴怎样的?

徐直军:所有重构后的代码,只要是用在英国网上的(代码)都会被HCSEC检视。结果好坏NCSC是知道的。我们现在说的都只是期待,最终要靠结果来验证,到底做得怎么样。

华为在英国建立HCSEC目的就是要找问题,就是希望它能够发现问题,推动我们进步。而不仅仅为了找后门,(因为)后门(根本)不存在。2018年,华为为HHCSEC投资600万欧元,给华为找问题上,这是存在价值的。从我的角度来讲,这对所有的研发团队也是一个促进、也是一个验证。

<上一页  1  2  3  下一页>  
声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号