“打天下靠的不是技术而是团队！”

此话出自于当代知名安全专家孙权之口，和1700多年前的东吴之主不谋而合，似都具备“问鼎天下”的气势。比起审时度势、深谋远虑，当代孙权亦不遑多让：“许多问题你得多和队友沟通，他说不定会给你新的思路，问题在不同的角度更容易被解决。因此，每个人做好自己角色的同时要明白如何配合他人，学会在什么时间点做什么事，这很重要。一个人或许能把所有事都干完，但困难程度一定远大于十个人的齐心协力！所以，团队一定是成功的根源。”

对于当下的行业形势，孙权又能一针见血：“是没有安全人员吗？车企网络的安全事故告诉我们什么？各个公司并不缺少建议和措施，而是安全行业并未得到足够的重视！”

十七年来只吃长素的他信因果、结善心，对生活、职业、社会、国家有着绝对的信念和奉献精神。他告诉笔者，我们为人要常常为他人着想，今日种下何种的因他年就会报以何种的果，所以他才愿意在车企的安全行业里燃烧自己，他相信自己的每一次负责都会为他的家庭、他生活带来最美好的回报。

（孙权   浙江寰福科技有限公司车联网信息安全专家）

孙权的父母并未受过高等教育，小学文化的他们得在这个时代里养育姐弟三人，后受奶奶影响，一大家子在很早之前就信了佛教并皆都习惯了吃素。因此，这样并不富裕却又充满信仰的家庭带给孙权最大的感受就是“做人得多付出一些”、“吃亏就是福”。

孙权就读于长春市第一汽车集团子弟11小学，小学五年级之前他也是个调皮捣蛋的孩子，逃学、打架、吸烟等都有涉及，因此没少挨老师和父亲的教训。直到有一天，孙权发现自己的父亲每天凌晨两点多出门，晚上十一点左右才回来，原来是骑三轮车到四十里地外上货卖鸡杂，每次都是卖完才能回家，为何？靠卖鸡杂勉强养活一家五口。这一刹那，孙权才体会到了父母的辛苦和不容易。

家里，孙权是最小的，又是男孩，所以得到了太多来自父母和姐姐的宠爱。但当父亲带着他重复了这一天的工作后，将自己的“求生”生活赤裸裸的展现在了孙权的面前时，孙权体会到了，原来没有文化的日子是这么过的。他从母亲那里总结了这么句话：只有学习才不会让你一辈子都做苦力。

初一后，孙权开始努力学习，好在老师没有放弃痛改前非的他，在高压和督促之下，他凭借自己的努力，以第一名的成绩考进了汽车厂子弟三中。回顾这段过往，孙权说自己曾犹豫过要不要走体育特长生，因为他曾在学习体育队，参加过省级1500米和3000米的长跑项目，拿到过第四名的成绩。而最后他还是选择了文化路线，不因别的，只因生长环境让他明白了学习的重要性。

高中。因为兴趣爱好，孙权在课余时间都会参与足球运动，也被选入了学校足球队，并参与省级比赛拿到过冠军，这些经历也奠定了他之后会重视团队合作的基础。可惜的是，高考落榜了。父母给孙权的选择，要么复读，要么进汽车厂做工人。为了不想一辈子只做个工人，孙权决定复读，他立志一定要通过学习来改变自己的命运。

“爸妈骑摩托车送我到农安实验中心复读了一年，在那里我才知道什么叫‘人外有人，天外有天’。所有人都在拼命的学习，每个人都是悖离常态的，并且永远都觉得时间是不够用的。寝室熄灯后，走廊里依旧灯火通明，一排排安置好的桌椅边都是拿小灯照明的复读人，学到凌晨三四点的大有人在。那时基本都三点一线，课堂、食堂、宿舍，走路的在学习、吃饭的在学习，有时睡觉的也在碎碎念。那时我才知道，什么叫‘你觉得你已经尽力了，但实际上你并没有’，因为永远都有人比你更拼命。”

2004年，孙权不负众望，考上了长春工业大学电子商务专业，之后他开始积极参加各种活动锻炼自己内向的性格，比如在共青团工商管理学院团委组织的工商管理学院“明日之星”里参加主持人大赛，并获得了优秀主持人奖。在大二时又被聘任为工商管理学院电子商务专业零资本创业协会学长。

在大三的时候与刘莹、康凯一起研究出了《web3.0网络虚拟社会模式研究》作品，在共青团长春工业大学委员会组织的第二届“挑战杯”中，荣获长春工业大学课外学术科技作品竞赛二等奖。

孙权总结了一下自己的专业，最后将重点放在了“导师学长制”和“实践四级制”上，这两套制度由创建了他们专业的张友生博士总结而出。张友生博士毕业于加拿大女皇大学，孙权说这样的制度有一种传帮带的感觉。

“我们有一个零资本创业协会，创建了一个叫便宜啦的网站，类似后来出现的淘宝的，基本上每个学员都能在其上拥有自己的小店。有了小店之后，一级我们要知道怎么去找货源，比如义乌、广州的批发市场，我要知道义乌的商品进货价是多少，而我又可以卖到多少，之后就是简单的照片、美化、上架网站，购买者校内校外都有，等于我先掌握了一个渠道，然后作为中间商赚差价。”

在这个基础上，学员需要明白这个平台是怎么搭建的，平台的盈利模式是什么？平台的商业模式是什么？它主要为谁服务？然后它的核心价值在哪儿？自己的优势是什么？说白了就是要明白怎么将小店运作下去，比如怎么拿到融资，怎么和别人去沟通自己独特的优势等。

到了第三级，关乎于优化，像各种推广，学员需要基于现有的一些模式进行商业的变现、流量的变现。到了第四级，就需要写出论文。而这每一级都是由学长来带领的，比如大二带领大一，大三带领大二。这就是所谓的“导师学长制”和“实践四级制”。

“我们当时所研究的web3.0，就是对当下的个人品牌时代做了总结。这时代，大家越来越多的习惯于手机这样的终端而放弃了PC，个人品牌因此得到了极大的提升，主要原因在于技术成本越来越低了，简单一个手机就可以完成之前我说的一二三级，因此我可以把个人品牌形象定义得更清楚，就像抖音，只要我在某个领域里是专家，我就能通过带货在这个领域里获得利润，而带货只是其中的一种方式，主要是营造自己的个人形象和个性化的展示。”

孙权指出，原来的商业价值和社会价值需要各种包装和规则，但在web3.0时代可以仅通过一部手机就能把自己的故事、段子给创建好。而这种关乎社会工程学的总结和安全之间的关联在哪儿？在于它们共同所蕴涵的痕迹上。

孙权说：“网络安全无非就是攻防，在攻的领域里，我们要找到足够多的痕迹，而当人们的安全意识不足时，它就会流露出很多的痕迹，这些痕迹会涉及到人们的资产，能够定位人们的账号、密码、IP，最后通过这些隐私信息不法者就能攻入到内部进行破坏或盗取。而通过社会工程学的研究，就能看到这些痕迹在做着某些趋向的转移，比如越来越多的情况显示，人们会将个人信息保存于手机等终端。”

而大学里真正和安全领域直接挂钩的事件是，孙权每次到学校机房安装游戏，所装的游戏在重启后都会消失。经过乐此不疲的研究，孙权发现学校机房的电脑系统有问题，而只要把游戏软件加成白名单，系统就不会再对它进行删除了，可谓皇天不负有心人啊。

2011年，孙权正式从事安全行业，于国凯英公司里他见识到了什么才是真正的安全团队。

“为了完成领导们交办的任务，可以说是攻坚克难、不睡不休啊。就这么形容吧，我是第一缕阳光出来时的倾听者，也是任务的见证者，最后还是任务的完成者。在国凯英的六年里，我生物钟都快颠倒了，基本上大家都在睡觉的时候，我们需要工作，因为蓝军常会在红军防守松懈的时候进行攻击，才能出奇制胜。而更多的，我觉得是为自己积累了一些安全技术能力。”

2018年，孙权进入上海电信理想公司安全团队，负责上海电信内部项目上线前的风向评估，包括主机系统的配置核查、漏洞扫描，web应用的源代码扫描、web应用安全的扫描、渗透测试等。孙权说自己是到了电信后才了解到国内的安全水平是有高低、层次之分的。

“我们发现漏洞需要修复后，需要进行复测通过标准才能上线。同时我们还要做电信外部项目定期的风险评估，网络安全等级保护相关的系统及应用的安全防护能力等，跑遍了上海电信的每一个局，内部和外部都做了全面的风险评估。比如说我们给银联、麦当劳、中国银行等做过风险评估，内网的、公网的，包括一些独立的项目等。而我觉得最有意义的是，你可以通过这些经历学到不同的技能，更可以在空余时间去考许多证。”

由于在国凯英年间未能获取额外的专业证书，孙权在上海电信理想公司就职时参加了各种安全会议，并考取了各种考安全证书，如《国家反计算机入侵和防病毒研究中心颁发INSPC证书》、《2019年度OPPO SRC优秀白帽子》、《CCSSP国际注册云安全系统认证专家》、《RC²商业安全师》、人社部颁发《OSTA信息安全防护三级证书》、《人社部软件行业协会参与培训证明》等，并在第一届进口博览会中协助处理相关安全事件。

孙权认为自己在电信工作中找到了自己人生的转折点。当时电信研究院有一个国家级实验室，正巧孙权个人又对IOT的安全非常感兴趣，家里几台电视都拆开研究过，因为IOT领域里都是和生活息息相关的内容，于是他就会协助实验室去做一些安全测试和分享。孙权那会儿每天都会接触车企的安全，这也就为他之后会进入汽车领域做信息安全奠定了基础。

测试流程很有意思，得到授权后，先通过实验室里的设备进行固件提取，然后抓他的包，发现其硬件本身的应用有漏洞，然后读到其连接后台的配置文件，直接连到服务器，相当于通过这个设备打开它的开发者模式，找到开关读取他的数据，最终将远程的服务器拿到手，便能确认他是有风险的。发现这些问题之后，我们将风险列出，然后再给相关人员做一些培训。就我自己家里的那两辆车，基本上我都可以打开它的开发者模式，然后通过电脑对他进行调试或安装。”

与此同时，孙权说自己很幸运能在2019年加入诸子云甲方社群，结识了许多甲方做安全的朋友和老师，并在张威老师的引荐下共同研究推出了《2019TISAX汽车行业信息安全可靠性评估研究报告》，并于2021年进行更新。

从电信离职之后，孙权因朋友介绍来到了雷诺日产三菱在上海的研发中心，负责网络安全和数据安全。他在此期间参与过汽车行业的标准制定，评审过供应商的安全能力，参与过整个信息安全的规划和实施过程，其职能是发现风险并提出有效的处理方案以降低公司损失。

可以看到，在长春这样一个以汽车制造业为主的城市里，孙权可谓具有汽车情怀，小学、初中、职业规划等都离不开汽车的范畴，这也就是为什么“车企安全”对孙权来说就是最适合的职业道路了。

在孙权的人生中，他认为有一人非常重要，他叫姚庆礼,英文名Debe。此人与孙权之间长期保持着良好的沟通和交往，也都对车联安全有着相同的兴趣。正是因为此人的引领和指导，孙权于2020年来到了上汽零束，参与零束安全实验室的相关工作。

孙权告诉笔者，初到上汽零束，他觉得安全从业人员非常之少，于是就和供应商一起尝试建立一个自发的漏洞验证平台，不但能够验证漏洞还能培养人才。

当初的规划是把整车里所有的漏洞进行验证，并且能够迅速的将平台搭建起来。其次，就是怎么通过流程、资源把需要的人才打造出来，类似于蓝军的培养计划。拿电影相比的话，就好比《士兵突击》里的许三多从钢七连到特战老A成员，重点在于其能力的成长和变化，又类似于《特战荣耀》里杨洋从特勤连到猎豹突击队成员。人员的能力、变化都是分层次的，可一起规划进漏洞验证平台里。

包括资产库，资产就是以整车为标准，应着那句伟大的口号“让车成为人类生命的伙伴”，不禁遐想是不是每一个零部件其实都有自己的生命呢？孙权愿意赋予其生命，因此从0到sop，到车辆报废，每一个节点发现了什么漏洞、有多少个漏洞、属于什么分类、什么威胁等级等，都能在虚拟车的画面上显示出来。而如果要看其中某一个漏洞的话，可以立刻的把此漏洞的环境部署起来，之后可以去实际的操作此漏洞的验证过程。

另一方面，孙权会把操作漏洞验证的过程录成视频存起来，当有人需要借阅的时候立马就能呈现，方便随时复盘。这种虚拟化的展示过程不会过多的浪费资源，而且也便于立刻部署、立刻验证，验证结束后还能立刻反馈结果，形成一个准确的证据。这就是资产库，能把每一辆车、每一个零件、软件、硬件、系统等所存在的漏洞全部罗列出来。

资产清晰后就是漏洞库，发现了哪些漏洞，对应的版本，对应的编号是什么。而所谓的靶标库就是基于这些漏洞，它对应的是哪个版本的软件、哪个版本的硬件、哪个版本的系统，这就是靶标库的范畴。接着是武器库，相当于这个漏洞该怎么去验证，需要用到哪些工具、哪些脚本、哪些语言去编写对应的攻击链接。最后是多个库联动的场景库，覆盖每一个攻击面，以上就是孙权当初所规划的产线环境，用他的话来说，就是需要老A和猎豹突击队的能力。

至于人员的基础能力该如何培养，孙权将其分为三级阶梯。第一阶是车联网信息安全知识选拔赛（考验知识能力），即人员对相关知识要有了解；第二阶是车联网CTF攻防选拔赛（考验攻击动手能力），即人员要知道怎么去攻击；第三阶是车联网信息安全AWT选拔赛（考验动态防御动手能力），即人员要知道怎么去防守，只有三阶都通过了才能到线上生产环境。

孙权指出，在他的这个产线里他会不停的要求相关人员去操练，200遍、300遍、上千遍的去练习，这样才能将能力和水平提升上去。

孙权不但对企业的制度有所规划，他更是严于律己，为了提升自己的能力，孙权在此期间又获得了许多荣誉和证书。2020年CVVD智能网联汽车安全知识挑战赛中孙权一往无前；2021年首届智能汽车网络安全技能大赛，他和队友夺得了第八名的成绩并获得优胜奖；同年，他还获得了2021年清华大学苏州研究院《车联网信息安全测试工程师》证书，并获得了2021年首届CVVD首届车联网漏洞挖掘赛优胜奖，还有2021年中国（沈阳）智能网联汽车大赛信息安全挑战赛跟团队一起获得金奖。

除了对自身有所要求外，在国家遇到困难的时候，孙权也是义不容辞。武汉疫情期间，孙权和有家国情怀的老师、朋友，一起通过安全知识的分享，共同支援武汉抗击疫情，并在加油武汉公益直播被评为2020年度INSEC网络安全公益大使。

当前在浙江寰福科技有限公司负责信息安全工作的孙权，其工作内容除了日常的安全维护以外，还包括车联网信息安全和隐私安全体系的建立，而他主要用到的方法论就来源于ISO27701、ISO27001、ISO21434国际标准。孙权指出，ISO27701、ISO27001分别是信息安全管理体系和隐私安全管理体系，各标准中都有一、二、三、四阶文件，一阶文件说明方针，二阶文件指明方法，三阶文件指明流程和规范，四阶文件指明具体工作方法，而这些内容都对应了佛、道、党的主旨和内涵。

立佛、立道、立人民。佛教，三皈五戒。三皈者：一阪依佛；二皈依法；三皈依僧。五戒者：一不杀生；二不偷盗；三不邪淫；四不妄语；五不饮酒。到了道家是所谓的三纲五常。而我们中华人民共和国伟大的领袖毛主席也曾提出过三大纪律八项注意，我们的党章是全心全意为人民服务。

所以，彼此互通的方针被确立之后，就明确了每个人需要去做什么，每一步应该怎么样去做，这才是团队会成功的关键所在。表面上，孙权通过标准里一二三四各阶文件去指导公司的运营，打造安全体系的能力。核心处，孙权用道家所提的“道法术器”来描述四阶文件。道就是所谓的方针政策，法即方法论，术是流程和规范，器指工具如何运用。

“佛教的本质其实是让众人都去种善因得善果，‘但行好事，莫问前程’。对比至安全体系的方法论中，就是让我们尽量的去优化自己内心的流程，不做坏事。因果关系里，所有干坏事的最终结果都是害了自己，因此我们得把车辆的安全措施做到位，就像ISO/SAE21434明确做过的规定：以确保网络安全得到重视，减少车辆网络攻击的强度，从而减少数据丢失或保护人员生命。”

问至有什么事让孙权感到成就感，孙权引用了俞敏洪的话语：“要成为参天大树，我们得积累自己的厚度，最重要的就是和对的人一起合作、和有相同兴趣的人一起共事。比如大家都是车联网信息安全圈子里的朋友，我们就会执着的去追求车联网信息安全相关的知识，我们会一起花钱做研究，再从研究中总结各种问题。只有在这样的氛围中，彼此才会在行业里不断的进步。”

说到2022年CICV汽车漏洞挖掘赛线上的比赛，孙权颇为自豪。和几个朋友连续三天为了40道比赛题目不断地学习、不断地拼搏，每天只能睡两三个小时，从黎明到黑暗之间，有的只是坚持不懈的精神和荣辱与共的队友，最后在共同的奋斗下取得了线上比赛的二等奖，孙权觉得这是在自己的人生中见证到了“付出和回报”。

最后说到对行业的建议和展望，孙权认为汽车信息安全行业缺少一些相关的认证和培养体系，比如类似于CISP-PTE，即没有汽车信息安全渗透测试工程师，缺少汽车信息安全专业人员，因此他希望以后业内可以多一些关于人才培养的建设，这样才能推动汽车信息安全行业的发展。

从大方向上来看，国家陆续颁布了车联网安全相关的政策和法规，说明国家在车企方面投入了大量的资金、大量的成本，也就意味着之后社会发展的重点方向会从房产过度到车企，孙权觉得汽车或会成为下一个经济增长的爆发点。

而从各个企业的动态来看，小米开始造车了、苹果开始造车了、OPPO也在造车，还有很多国内的企业都开始造车了。因此，车联网安全一定是之后的发展趋势，国家政策的倾斜也就意味着行业发展所向。孙权对此有着极大的盼望，他认为行业之后一定会蓬勃发展，所以他希望业内、社会以至于个人都要注意数据的安全、网络的安全、信息的安全，这样我们的社会才会越来越繁荣昌盛。

推荐阅读

人物 | 朱诚：好奇尚异，坦然自若

齐心抗疫 与你同在