[摘要]徐直军:“最近对华为的关注真的是关于网络安全的吗?还会有其他动机吗?他们真的在考虑其他国家民众的网络安全和隐私保护,斩魂配置要求还是可能有其他动机?”
腾讯科技讯 据国外电信行业媒体报道,在回应美国政府和情报机构提出的间谍和不诚实指控时,华为和中国变现得相当克制。
徐直军是华为的副董事长兼轮值董事长,他最近在中国为一批英国媒体举行了新闻发布会,以下的会议文字记录很长,但外媒认为它有一定价值。
需要指出的是,下面的文字记录版本经过了大量的编辑,从某种意义上说,很大一部分有价值的技术问答已经被删掉了。但是,对于目前华为被一些电信运营商排除在外的争议,并没有对其措辞进行任何修改。国外媒体也没有去掉一些所谓的空话,以还原真面目。
对话重点:
徐直军:“我认为(美国国务卿)蓬佩奥的言论只是另一个迹象,表明美国政府正在对华为展开一场精心协调的地缘政治行动。”
徐直军:“最近对华为的关注真的是关于网络安全的吗?还会有其他动机吗?他们真的在考虑其他国家民众的网络安全和隐私保护,还是可能有其他动机?”
主持人让英国媒体轮流提问:
塔姆林·马吉(Tamlin Magee),来自《计算机世界》:华为历史上有没有一个时间点,开始认为5G是一个公司的战略或是核心战略?你在2008年说过,5G这项技术还不存在,但是在若干年的时间里,我们(华为)可以赢得这个市场。
徐直军:没有你描述的那么棒。当你看一看我们所处的移动通信行业时,你会发现有一条规则要遵循,一种特定的历史模式。在2G之后,肯定会有3G,当然4G也会随之而来,然后我们就有了5G。我现在脑子里想的是6G。
在4G产品投放市场后,从研究的角度来看,我们的团队肯定会关注5G。实际上,5G不是任何一种技术的术语。这是一代移动通信技术。在4G的研究工作完成后,我们的团队自然会围绕下一代移动通信技术进行研究。5G是下一代移动通信技术的总和。
到2019年,5G的研究工作将基本完成,我们的研究团队将关注一些问题,例如未来移动通信技术将如何发展?哪些技术可能被归入下一代(即6G)的范畴?因此,他们将围绕这类问题组织他们的研究和创造性活动。我预计,到2028年、2029年或2030年,我们将看到讨论广泛的6G,就像我们今天看到的5G一样。
这就是我们这个行业的模式或规则。如果你根本不研发5G,那就意味着你没有未来。对于每一代新技术,有些公司无法跟进,有些公司会变得更加强大。
罗宾·帕格南塔(Robin Pagnamenta),来自英国《每日电讯报》:你对迈克·蓬佩奥关于中国公司在5G的推出中可以发挥的作用的评论有什么特别的回应吗?鉴于我们已经看到一些迹象表明,德国和法国可能不一定会效仿美国,这是不是一个迹象,表明中国正在赢得这场争论?
徐直军:我当然不能评论中国是否赢得了这场争论。我昨天在匈牙利看到了蓬佩奥先生的讲话,今天在波兰也看到了他的讲话,但我读的当然是中文。
我认为蓬佩奥的言论又一次表明,美国政府正在对华为展开一场精心协调的地缘政治行动。它本质上是用一台国家机器来对付一家就像芝麻一样小的公司。华为的历史不长,但我们诞生已有30年,为170个国家和地区的30多亿人提供服务。我们到底是什么样的公司?我认为,我们的客户、与我们合作的合作伙伴以及我们所服务的30多亿人将会有很好的理解。
因此,我们一直在想,我想其他许多人可能也在问这个问题,外界最近对于华为的关注是出于真正的网络安全,还是还有其他动机?他们是否真的在考虑其他国家民众的网络安全和隐私保护,或者可能有其他动机?其他一些人认为,如果华为的设备在这些国家使用,美国机构将会发现很难获得这些客户的信息,或发现更难拦截这些国家或其领导人的移动通信。我相信世界上70亿人的智慧。我认为他们清楚地看到了这些不同的可能性。
袁洋(Yuan Yang音译),来自英国“金融时报”:我看过你接受德国媒体的采访,你提到网络安全在一定程度上与政治或意识形态有关。因此,如果网络安全与政治有关,如果美国政府有政治动机,你将如何看待未来5至10年的最终结果,从某种意义上说,网络世界、科技界将被分为一个中国主导、另一个美国主导。就我个人而言,我同意你的看法,尽管我不代表英国“金融时报”发言。
徐直军:网络安全本身当然是一个技术问题,需要专门知识来解决,这也是世界上所有的科学家和工程师一直在努力解决的问题,试图解决网络安全问题。
在这种情况下,华为一直在与不同的政府和行业合作伙伴合作,希望能够制定出商定的标准,以便人们能够采用这些标准来衡量来自所有供应商的产品的安全性。最近,我们看到了5G和网络安全之间的紧密耦合,我想人们很清楚这些耦合的来源是什么。
当我们考虑5G的主要设备供应商时,您可以看到诺基亚、爱立信、华为、三星和中兴。如你所见,这里没有美国公司。中国和欧洲一直在共同努力,试图为5G以及移动通信技术的未来制定一个统一的全球标准,以降低该行业所有参与者的总体成本并提高其投资回报。
通过业界的共同努力,我们正在看到一个统一的全球5G标准。这意味着所有的玩家在开发5G相关产品时都可以遵循这一标准。但现在,一些政客已经把5G或网络安全变成了政治或意识形态上的讨论,我认为这是不可持续的。因为我相信科技就是科技。最终,它将依靠科学家和工程师来实现。我相信科学家和工程师们更希望有一个统一的全球标准,这样人们就可以遵循这个标准来开发更好的产品。
当然,当我们考察不同的国家/地区时,他们当然有选择的余地,考虑到他们自己的具体情况,在部署他们的网络时,他们可以选择他们认为合适的供应商。当我们回顾移动通信行业的历史时,这是很自然的。华为的4G设备并没有在世界上所有的国家部署。当然,我们也不希望我们的5G设备能被所有国家的客户所选用。相反,我们会把重点放在为选择华为的国家和电信运营商提供良好的服务上。
举个例子,中国移动广州公司没有选择华为的4G设备,尽管广州离我们的总部很近。我觉得这很正常。而且你知道,澳大利亚的市场规模甚至比广州的中国移动还要小。我们的设备不是中国移动广州公司使用的,所以我认为在某些国家我们没有被选中是没有问题的。
我们的能力有限。当然,我们不能为所有国家的所有客户服务。当然,我们不能主宰整个市场——即使在离我们总部很近的(一些)市场,我们的设备也没有被使用。所以这在我们这个行业是很正常的。相反,我们将继续专注于为愿意与华为合作的国家和客户服务。
马丁·兰迪(Martyn Landi),来自“PA”:就英国而言,去年年底,军情六处(MI6)负责人和国防大大都提出了一些模糊的建议,称他们对华为的安全不确定。我最近看到英国“王子信托”说它将停止接受华为公司的捐赠。我希望知道从你的角度看,考虑到我们刚刚谈到的所有事情,这方面的事情是多么让华为沮丧,因为还需要处理这样的事情。
徐直军:英国政府一直担心华为设备的安全问题。这正是华为与英国政府合作建立CSEC网络安全评估中心(Cyber Security Assessment Center)的原因所在,该中心将与英国政府建立合作伙伴关系,以解决这些担忧。因此,这是英国政府和华为之间的一个开放合作模式,以解决围绕华为设备部署在英国网络中的担忧。
就在今天早上,我在英国“金融时报”上看到了GCHQ(英国政府通信总局)主任罗伯特·汉尼根(Robert Hannigan)撰写的一篇文章。那篇文章很好地解释了你提出的所有问题,我建议你看一看。
为了保护英国的网络安全,更好地为英国人民服务,英国政府通信总局建立了一系列的制度和机制,以确保对移动通信网络的健全管理和监管。我也同意罗伯特在副标题上所说的,技术上的判断应该是对潜在的威胁保持清醒的认识。它不应简单地政治化。我认为罗伯特在回答你的问题方面做得比我好。
然后,问题的第二部分,王子信托停止接受华为的捐赠,我认为华为对此并不感到沮丧。我们之所以决定向王子信托基金会捐款,是因为我们非常尊重他们在帮助青年人方面取得的杰出成就。这与政治无关。令我们遗憾的是,他们做出这一决定是基于围绕华为的不完全和毫无根据的对话,而不是基于事先与华为对话。
如果我们后退一步,我认为如果王子信托接受或不接受华为的捐款,将不会对华为产生影响。但是,正如我刚才所说,我们对基金会过去在帮助青年人方面所做的工作表示最大的敬意。
塔姆林·马吉(Tamlin Magee),来自“计算机世界”(Computer World):我发现华为与加拿大和英国这两个“五眼联盟”国家有着良好的历史关系,这一点令人感兴趣。所以我很好奇你能不能把华为和五眼国家的情报机构的关系再扩大介绍一些。我在这里只是猜测,但是我认为如果他们有能力拦截光纤通信,那么他们可能有能力从一个(电信设备)盒子里截获通信,所以我只是想知道华为在多大程度上已经与五眼联盟国家的情报机构进行了合作。
徐直军:我不太清楚华为与你提到的那些国家的情报机构的合作情况,但我知道华为在英国与英国政府通信总局(GCHQ)的合作。华为与英国的合作是建设性的合作。这不是简单的“是”或“否”。相反,在我们努力寻找技术和监管解决方案时,这是基于各自的优先事项,以便伙伴关系能够继续下去。华为与英国政府和英国产业界的合作一直是中英合作的典范。华为在英国的投资和发展,以及它与英国政府的接触,一直被视为中英两国政府和民间交往的一个案例。这是一种建设性和友好的合作模式,有助于解决和弥合东西方价值观和文化的差异,使华为能够在英国不断投资和发展,使我们的电信客户能够利用华为的技术、产品和解决方案为英国人民服务。
因为我们看到,在许多情况下,鉴于价值观和文化的差异,各方要么走向对抗,要么赞成或反对,而没有中间立场。有关各方很难找到一种建设性和友好的合作模式,很好地解决彼此的关切和优先事项。华为与英国的合作一直很好。这在很大程度上是因为英国一直是自由贸易的坚定拥护者。英国利用明确的规则和合理的监管来解决他们可能存在的潜在担忧。我相信这是英国成为一个开放和自由国家的基石。
史蒂夫·卡西迪(Steve Cassidy),来自《PC Pro》:我想我的问题是关于“融合”的。今天上午,我们看到了一个企业的某部门,这是一个IP网络服务平台。在这个空间中,人们对网络监控和网络分析取证变得非常感兴趣,因为这很困难,而这就是所有流量的所在。在电信领域,在通信公司领域,不仅仅是网络。有自动取款机,还有其他标准可用。但可以肯定的是,政府对你们行为的要求与企业的要求是一样的。然而,这些工具是非常不同的。您是否看到了一种融合趋势,5G流量使用企业标准进行传输,因此可以利用企业信息披露。你认为这是否有助于解决这样的问题:只有一个盒子在前面亮着灯,却没有人知道它产生了什么流量,这似乎是恐惧的来源?那么,如果这是一个问题,那么企业中的工作是否有助于解决电话基础设施中的问题呢?
徐直军:如果所有的网络安全挑战都是技术问题,我想我们当然可以找到技术或法规的解决方案来解决这些问题。众所周知,网络安全是世界上每个人都面临的挑战。因此,人们在选择5G相关技术和定义5G相关标准时,特别关注网络安全问题。从标准的角度来看,从所选择的技术来看,5G比前几代移动通信技术(2G、3G或4G)更安全。我认为,当人们与来自3GPP或GSMA的专家交谈时,可以很容易地验证这一点。通过5G网络传输的信息内含256位加密。这意味着人们必须使用量子计算机来破解这些传输的信息,而量子计算机在今天的市场上还没有出现。
史蒂夫·卡西迪(Steve Cassidy),PC Pro:嗯,是的,但这就是我所说的融合,因为这还是个未知数。人们关心的是基础设施。这是同一条道路上非常不同的部分。
徐直军:如果你看一下5G,你会发现有信号从手机上传到基站,然后再转移到IP网络。在英国网络中,华为只提供基站。对于基站上方的网络层,华为不提供任何设备。这也写在罗伯特的文章里。当时专门做出的决定是,不应该让像华为这样的单一供应商来提供整个网络,而接入上面的网络层是由其他供应商提供的。我们只提供基站。
袁洋:这实际上是史蒂夫问题的后续问题。华为只在英国提供基站。基本上是对从用户设备传输到基站的数据进行加密,以及当您进一步将该信息从基站传输到其他网络层时,华为是否解密了该信息。
徐直军:不是加密,就是解密,这是电信运营商或政府的事。加密密钥要么掌握在政府手中,要么掌握在电信运营商手中,当然不在华为手中。
袁洋:我注意到,在2018年的NCSC报告中,他们指出了华为产品中使用的第三方组件的改进情况。一些人认为,这与华为的企业文化有关。与欧洲公司相比,华为似乎更愿意接受来自不同来源的部件,因为你在生产自己的产品。在一些极端的争论中,比如美国当局的指控称华为甚至鼓励员工从其他公司获取技术。因此,您有20亿美元的研发预算,用于解决这个第三方零组件问题。使用第三方组件问题是否与华为的企业文化有关?另外如果有一些理由的话,你计划在未来几年内如何应对这些挑战?
徐直军:首先,我想说你的理解是不正确的。您所指的第三方软件称为VxWorks。这是一种操作系统,是由一家名为WindRiver的美国公司提供的。我们以为使用一家美国公司的操作系统会让英国政府更容易相信这一点,但事实却并非如此。
对于任何产品,无论是硬件还是软件,您都必须依赖于操作系统,就像您进行产品开发一样。例如,开发人员在开发应用软件时使用Windows或Linux,因此在开发基站软件时必须使用操作系统。对于部署在英国的华为基站,我们从WindRiver选择了VxWorks。当然,还有其他第三方软件和开源软件。
OB报告本质上说的是,华为必须在某些方面改进我们管理第三方软件的方式。这并不是说这些软件根本就不能使用,因为如果是这样的话,这意味着所有的公司可能不得不重新发明轮子,或者重新开发他们的产品中内置的软件。这意味着您必须重新开发Windows、Linux或是甲骨文公司的数据库,这是不可能的。
在报告中提到这个问题之后,我们和WindRiver谈过了。他们告诉我们,VxWorks和我们当时在英国网络中使用的版本在英国其他行业的应用更为广泛,其中一些行业比电信行业更为敏感。
因此,在我们的软件开发中,我们使用了来自第三方的操作系统和数据库。我们也使用开源软件。这与我们的企业文化无关。这对所有公司来说都是非常自然的,只要他们致力于产品的开发,因为,正如我刚才提到的,你不能重新发明所有的轮子。我知道有些人可能会质疑为什么你需要三到五年的时间来提高你的软件工程能力。增加20亿美元投资的目的是什么?我想我可能需要一段时间来回答这个问题。我不知道你是否愿意和我在一起。
在我们与英国政府建立CSEC时,它主要是为了解决英国政府的担忧,即华为的产品是否存在后门。然后,我们将我们的源代码提供给CSEC,然后由英国国民通过GCHQ的DV许可检查。他们查看了源代码,发现在我们的产品中没有后门。
我们向英国CSEC提供了源代码,CSEC进行了广泛的测试,这证明华为的设备没有后门。这也是罗伯特在他的文章中提到的,他说,NCSC在华为的设备中没有发现任何后门。
一些国家目前对后门的担忧早已在英国得到了解决。我认为,从华为决定将我们的源代码提供给英国进行测试以来,围绕后门的整个讨论一直都是针对英国的。接下来,CSEC的下一步就是研究华为的产品,看看华为的产品有多强大,防止自己受到攻击、渗透和可能的威胁。这是人们谈论的第二个阶段,也就是安全问题。
然后,我们花了八年时间来提高华为产品抵御可能的攻击和渗透的防御能力,并提高华为设备的弹性。通过过去几年的努力,今天的华为在这些方面是最强大的,而这并不是我们自己所宣称的。它基于一家专门从事这一领域的美国公司Cigital的客观和广泛的评估和测试。Cigital是一家从事软件安全工程成熟度评估的专业公司。
自2013年起,他们开始对华为产品进行产品安全评估。他们在12个实践领域中进行年度测试和审查。华为在9个实践领域跻身行业前列。在其余三家公司中,华为的表现好于行业平均水平。但我们也意识到,安全的威胁环境在不断变化,围绕攻击和渗透的技术不断发展,黑客正在变得越来越强大。如果你只有强大的安全能力或强大的防御能力,对可能的攻击和渗透,这就像一个椰子,那里的外壳是非常硬的。但如果外壳是裂开的呢?它将不会像一个真正的椰子,在那里你只有水在里面。然后,与英国合作的重点领域已经扩大,不仅是看椰子的外壳,还包括里面的东西,本质上是设备的弹性,不仅是结果,还包括产品开发过程的高质量和可信性,因此范围从安全扩展到了弹性,从只有结果到结果和过程。
请记住,CSEC可以访问华为的源代码,因此他们可以很容易地判断这些源代码是否以可读、易于修改的方式编写,以及代码库是否健壮。我们就像“裸体”站在CSEC面前。然后CSEC说,好吧,你的代码库并不漂亮。你知道,这是一个已经存在了30年的代码库。这是通信行业的特点。它也像Windows软件一样。遗留的代码库不断积累,他们说华为需要改进我们的代码可读性、可修性以及代码生成过程,以便我们在结果和过程上都提供高质量和可信性。然后这就是重点和范围如何被扩大到包括软件开发过程,或者换句话说,软件工程能力和实践。然后,我们的想法是采用一种坚实而健壮的标准,在测量和要求改进我们已经存在了30年的遗留代码库时,这一标准是面向未来的。
当然,安全风险、软件技术是不同的,人们的编码技巧也是不同的。与未来的需求相比,自然会有一些差距,所以这意味着所有遗留代码都必须进行重构,或者用简单的话说就是重新编写。正如您可以想象的那样,投资是巨大的,这也会影响到我们今天在市场上为客户提供的功能和功能方面的项目进度。
在这个特定的主题上,华为和NCSC之间的争论由来已久,因为我们希望把重点放在增量的新代码上,而不是重构所有的遗留代码。
几乎所有华为高管都参与了与NCSC的这场辩论,在这一过程中,我们自己也对遗留代码重构的含义有了更深入的了解,在开发过程中也建立了高质量和可信性。我们意识到,这绝对不仅仅是为了解决英国的关切,它具有很大的份量,在一定程度上是华为未来发展的基础。正如我们所知,“云、智能和软件定义了一切”正变得越来越普遍,未来的世界将把软件视为其中非常关键的一部分。为了获得客户或政府部门的信任,我们不仅要确保结果的高质量和可信性,而且还要确保生产这些软件的过程的高质量和可信性。我们认为这是华为实现我们长远目标的基础或基石。
我亲自去和NCSC谈了两次,我意识到我们不能继续对抗了。这不是为了满足来自NCSC的要求,而是华为必须为我们的长期发展做些什么。然后,我设法说服了领导团队中的其他高管,我们达成了一项董事会决议,着手进行一项全面的软件工程改造计划。
袁洋:那是什么时候发生的事情?
徐直军:这是去年年底的事。事实上,我们董事会对这一决定的辩论相当激烈,最后,我们决定从根本上提高我们的软件工程能力和实践,目标是建设高质量和值得信赖的产品。这一转变需要三至五年时间才能完成。本质上,我们将采用未来的标准、未来的需求来重建我们的软件开发过程,并且在我们重构遗留代码的过程中,我们将遵循这些未来的标准。从这个角度来看,在进行代码重构时,您必须同时努力满足即将到来的客户需求,但您肯定需要额外的研发预算。
这就是20亿美元的来源。从本质上说,这将主要用于遗留代码重构、培训我们的研发工程师,等等。
不幸的是,我是这个转型计划的负责人,这意味着我在未来五年将有更多的工作要做。我最近花了很多时间在这个项目上。而这20亿美元只是一个初始的启动基金。这绝对是不够的。
我希望,通过今后三、五年的努力,我们能够真正生产出政府和客户信赖的产品,以支持和维持华为的长远发展。正因为如此,我们的创始人兼首席执行官任先生发出了一封全体员工公开信,作为2019年发布的第一份公司文件。它是关于全面提高软件工程能力和实践,以建立高质量和值得信赖的产品。我可以给你一个简单的类比来解释什么是高质量的过程。
我想你可能会喜欢中国菜。但你可能没有参观和检查过厨房。我想你不会知道厨师为了制作摆在餐桌上的中国菜而采取的是什么样的动作,什么样的活动。现在,我们要走进厨房,制定一套完整的程序、流程、标准和行为准则,这样厨师就可以按照这些步骤生产出美味的食物了。如果厨师在这个过程中没有遵循特定的步骤或活动,可能最终的食物就不会那么美味了,然后你必须确定哪些特定的动作是厨师没有遵循的,然后纠正它,然后食物就会再次变得美味了。这就是我们的软件工程改造计划的本质所在。它涉及到最终交付高质量和可信的软件代码,以及软件生产过程的高质量和可信性。
我想说,这是一段非常具有挑战性的旅程,但这是我们必须完成的任务。我认为这是我对你的问题的答复,为什么要花三至五年时间,为什么要花20亿美元,我认为这肯定是不够的。坦率地说,我不知道需要多少钱来支持这个转变计划。不过,我们当然有一个好处,就是我们不是一家上市公司,所以如果我们今天赚得少一点,那是完全没有问题的。只要有未来,这将是我们最大的胜利。我们的许多员工持有公司股票。我想他们会理解这个选择的。从长远来看,他们宁愿今天盈利能力较低,也不愿让公司在没有长远未来的今天获得更多股息。(腾讯科技审校/承曦)