鑽石舞台

孫權的父母並未受過高等教育，小學文化的他們得在這個時代里養育姐弟三人，後受奶奶影響，一大家子在很早之前就信了佛教並皆都習慣了吃素。因此，這樣並不富裕卻又充滿信仰的家庭帶給孫權最大的感受就是「做人得多付出一些」、「吃虧就是福」。

孫權就讀於長春市第一汽車集團子弟11小學，小學五年級之前他也是個調皮搗蛋的孩子，逃學、打架、吸煙等都有涉及，因此沒少挨老師和父親的教訓。直到有一天，孫權發現自己的父親每天凌晨兩點多出門，晚上十一點左右才回來，原來是騎三輪車到四十里地外上貨賣雞雜，每次都是賣完才能回家，為何？靠賣雞雜勉強養活一家五口。這一剎那，孫權才體會到了父母的辛苦和不容易。

家裡，孫權是最小的，又是男孩，所以得到了太多來自父母和姐姐的寵愛。但當父親帶着他重複了這一天的工作後，將自己的「求生」生活赤裸裸的展現在了孫權的面前時，孫權體會到了，原來沒有文化的日子是這麼過的。他從母親那裡總結了這麼句話：只有學習才不會讓你一輩子都做苦力。

初一後，孫權開始努力學習，好在老師沒有放棄痛改前非的他，在高壓和督促之下，他憑藉自己的努力，以第一名的成績考進了汽車廠子弟三中。回顧這段過往，孫權說自己曾猶豫過要不要走體育特長生，因為他曾在學習體育隊，參加過省級1500米和3000米的長跑項目，拿到過第四名的成績。而最後他還是選擇了文化路線，不因別的，只因生長環境讓他明白了學習的重要性。

高中。因為興趣愛好，孫權在課餘時間都會參與足球運動，也被選入了學校足球隊，並參與省級比賽拿到過冠軍，這些經歷也奠定了他之後會重視團隊合作的基礎。可惜的是，高考落榜了。父母給孫權的選擇，要麼復讀，要麼進汽車廠做工人。為了不想一輩子只做個工人，孫權決定復讀，他立志一定要通過學習來改變自己的命運。

「爸媽騎摩托車送我到農安實驗中心復讀了一年，在那裡我才知道什麼叫『人外有人，天外有天』。所有人都在拼命的學習，每個人都是悖離常態的，並且永遠都覺得時間是不夠用的。寢室熄燈後，走廊里依舊燈火通明，一排排安置好的桌椅邊都是拿小燈照明的復讀人，學到凌晨三四點的大有人在。那時基本都三點一線，課堂、食堂、宿舍，走路的在學習、吃飯的在學習，有時睡覺的也在碎碎念。那時我才知道，什麼叫『你覺得你已經盡力了，但實際上你並沒有』，因為永遠都有人比你更拼命。」

2004年，孫權不負眾望，考上了長春工業大學電子商務專業，之後他開始積極參加各種活動鍛煉自己內向的性格，比如在共青團工商管理學院團委組織的工商管理學院「明日之星」里參加主持人大賽，並獲得了優秀主持人獎。在大二時又被聘任為工商管理學院電子商務專業零資本創業協會學長。

在大三的時候與劉瑩、康凱一起研究出了《web3.0網絡虛擬社會模式研究》作品，在共青團長春工業大學委員會組織的第二屆「挑戰杯」中，榮獲長春工業大學課外學術科技作品競賽二等獎。

孫權總結了一下自己的專業，最後將重點放在了「導師學長制」和「實踐四級制」上，這兩套制度由創建了他們專業的張友生博士總結而出。張友生博士畢業於加拿大女皇大學，孫權說這樣的制度有一種傳幫帶的感覺。

「我們有一個零資本創業協會，創建了一個叫便宜啦的網站，類似後來出現的淘寶的，基本上每個學員都能在其上擁有自己的小店。有了小店之後，一級我們要知道怎麼去找貨源，比如義烏、廣州的批發市場，我要知道義烏的商品進貨價是多少，而我又可以賣到多少，之後就是簡單的照片、美化、上架網站，購買者校內校外都有，等於我先掌握了一個渠道，然後作為中間商賺差價。」

在這個基礎上，學員需要明白這個平台是怎麼搭建的，平台的盈利模式是什麼？平台的商業模式是什麼？它主要為誰服務？然後它的核心價值在哪兒？自己的優勢是什麼？說白了就是要明白怎麼將小店運作下去，比如怎麼拿到融資，怎麼和別人去溝通自己獨特的優勢等。

到了第三級，關乎於優化，像各種推廣，學員需要基於現有的一些模式進行商業的變現、流量的變現。到了第四級，就需要寫出論文。而這每一級都是由學長來帶領的，比如大二帶領大一，大三帶領大二。這就是所謂的「導師學長制」和「實踐四級制」。

「我們當時所研究的web3.0，就是對當下的個人品牌時代做了總結。這時代，大家越來越多的習慣於手機這樣的終端而放棄了PC，個人品牌因此得到了極大的提升，主要原因在於技術成本越來越低了，簡單一個手機就可以完成之前我說的一二三級，因此我可以把個人品牌形象定義得更清楚，就像抖音，只要我在某個領域裡是專家，我就能通過帶貨在這個領域裡獲得利潤，而帶貨只是其中的一種方式，主要是營造自己的個人形象和個性化的展示。」

孫權指出，原來的商業價值和社會價值需要各種包裝和規則，但在web3.0時代可以僅通過一部手機就能把自己的故事、段子給創建好。而這種關乎社會工程學的總結和安全之間的關聯在哪兒？在於它們共同所蘊涵的痕跡上。

孫權說：「網絡安全無非就是攻防，在攻的領域裡，我們要找到足夠多的痕跡，而當人們的安全意識不足時，它就會流露出很多的痕跡，這些痕跡會涉及到人們的資產，能夠定位人們的賬號、密碼、IP，最後通過這些隱私信息不法者就能攻入到內部進行破壞或盜取。而通過社會工程學的研究，就能看到這些痕跡在做着某些趨向的轉移，比如越來越多的情況顯示，人們會將個人信息保存於手機等終端。」

而大學裡真正和安全領域直接掛鈎的事件是，孫權每次到學校機房安裝遊戲，所裝的遊戲在重啟後都會消失。經過樂此不疲的研究，孫權發現學校機房的電腦系統有問題，而只要把遊戲軟件加成白名單，系統就不會再對它進行刪除了，可謂皇天不負有心人啊。

2011年，孫權正式從事安全行業，於國凱英公司里他見識到了什麼才是真正的安全團隊。

「為了完成領導們交辦的任務，可以說是攻堅克難、不睡不休啊。就這麼形容吧，我是第一縷陽光出來時的傾聽者，也是任務的見證者，最後還是任務的完成者。在國凱英的六年裡，我生物鐘都快顛倒了，基本上大家都在睡覺的時候，我們需要工作，因為藍軍常會在紅軍防守鬆懈的時候進行攻擊，才能出奇制勝。而更多的，我覺得是為自己積累了一些安全技術能力。」

2018年，孫權進入上海電信理想公司安全團隊，負責上海電信內部項目上線前的風向評估，包括主機系統的配置核查、漏洞掃描，web應用的源代碼掃描、web應用安全的掃描、滲透測試等。孫權說自己是到了電信後才了解到國內的安全水平是有高低、層次之分的。

「我們發現漏洞需要修復後，需要進行複測通過標準才能上線。同時我們還要做電信外部項目定期的風險評估，網絡安全等級保護相關的系統及應用的安全防護能力等，跑遍了上海電信的每一個局，內部和外部都做了全面的風險評估。比如說我們給銀聯、麥當勞、中國銀行等做過風險評估，內網的、公網的，包括一些獨立的項目等。而我覺得最有意義的是，你可以通過這些經歷學到不同的技能，更可以在空餘時間去考許多證。」

由於在國凱英年間未能獲取額外的專業證書，孫權在上海電信理想公司就職時參加了各種安全會議，並考取了各種考安全證書，如《國家反計算機入侵和防病毒研究中心頒發INSPC證書》、《2019年度OPPO SRC優秀白帽子》、《CCSSP國際註冊雲安全系統認證專家》、《RC²商業安全師》、人社部頒發《OSTA信息安全防護三級證書》、《人社部軟件行業協會參與培訓證明》等，並在第一屆進口博覽會中協助處理相關安全事件。

孫權認為自己在電信工作中找到了自己人生的轉折點。當時電信研究院有一個國家級實驗室，正巧孫權個人又對IOT的安全非常感興趣，家裡幾台電視都拆開研究過，因為IOT領域裡都是和生活息息相關的內容，於是他就會協助實驗室去做一些安全測試和分享。孫權那會兒每天都會接觸車企的安全，這也就為他之後會進入汽車領域做信息安全奠定了基礎。

測試流程很有意思，得到授權後，先通過實驗室里的設備進行固件提取，然後抓他的包，發現其硬件本身的應用有漏洞，然後讀到其連接後台的配置文件，直接連到服務器，相當於通過這個設備打開它的開發者模式，找到開關讀取他的數據，最終將遠程的服務器拿到手，便能確認他是有風險的。發現這些問題之後，我們將風險列出，然後再給相關人員做一些培訓。就我自己家裡的那兩輛車，基本上我都可以打開它的開發者模式，然後通過電腦對他進行調試或安裝。」

與此同時，孫權說自己很幸運能在2019年加入諸子云甲方社群，結識了許多甲方做安全的朋友和老師，並在張威老師的引薦下共同研究推出了《2019TISAX汽車行業信息安全可靠性評估研究報告》，並於2021年進行更新。

從電信離職之後，孫權因朋友介紹來到了雷諾日產三菱在上海的研發中心，負責網絡安全和數據安全。他在此期間參與過汽車行業的標準制定，評審過供應商的安全能力，參與過整個信息安全的規劃和實施過程，其職能是發現風險並提出有效的處理方案以降低公司損失。

可以看到，在長春這樣一個以汽車製造業為主的城市裡，孫權可謂具有汽車情懷，小學、初中、職業規劃等都離不開汽車的範疇，這也就是為什麼「車企安全」對孫權來說就是最適合的職業道路了。

在孫權的人生中，他認為有一人非常重要，他叫姚慶禮,英文名Debe。此人與孫權之間長期保持着良好的溝通和交往，也都對車聯安全有着相同的興趣。正是因為此人的引領和指導，孫權於2020年來到了上汽零束，參與零束安全實驗室的相關工作。

孫權告訴筆者，初到上汽零束，他覺得安全從業人員非常之少，於是就和供應商一起嘗試建立一個自發的漏洞驗證平台，不但能夠驗證漏洞還能培養人才。

當初的規劃是把整車裡所有的漏洞進行驗證，並且能夠迅速的將平台搭建起來。其次，就是怎麼通過流程、資源把需要的人才打造出來，類似於藍軍的培養計劃。拿電影相比的話，就好比《士兵突擊》里的許三多從鋼七連到特戰老A成員，重點在於其能力的成長和變化，又類似於《特戰榮耀》里楊洋從特勤連到獵豹突擊隊成員。人員的能力、變化都是分層次的，可一起規划進漏洞驗證平台里。

包括資產庫，資產就是以整車為標準，應着那句偉大的口號「讓車成為人類生命的夥伴」，不禁遐想是不是每一個零部件其實都有自己的生命呢？孫權願意賦予其生命，因此從0到sop，到車輛報廢，每一個節點發現了什麼漏洞、有多少個漏洞、屬於什麼分類、什麼威脅等級等，都能在虛擬車的畫面上顯示出來。而如果要看其中某一個漏洞的話，可以立刻的把此漏洞的環境部署起來，之後可以去實際的操作此漏洞的驗證過程。

另一方面，孫權會把操作漏洞驗證的過程錄成視頻存起來，當有人需要借閱的時候立馬就能呈現，方便隨時復盤。這種虛擬化的展示過程不會過多的浪費資源，而且也便於立刻部署、立刻驗證，驗證結束後還能立刻反饋結果，形成一個準確的證據。這就是資產庫，能把每一輛車、每一個零件、軟件、硬件、系統等所存在的漏洞全部羅列出來。

資產清晰後就是漏洞庫，發現了哪些漏洞，對應的版本，對應的編號是什麼。而所謂的靶標庫就是基於這些漏洞，它對應的是哪個版本的軟件、哪個版本的硬件、哪個版本的系統，這就是靶標庫的範疇。接着是武器庫，相當於這個漏洞該怎麼去驗證，需要用到哪些工具、哪些腳本、哪些語言去編寫對應的攻擊鏈接。最後是多個庫聯動的場景庫，覆蓋每一個攻擊面，以上就是孫權當初所規劃的產線環境，用他的話來說，就是需要老A和獵豹突擊隊的能力。

至於人員的基礎能力該如何培養，孫權將其分為三級階梯。第一階是車聯網信息安全知識選拔賽（考驗知識能力），即人員對相關知識要有了解；第二階是車聯網CTF攻防選拔賽（考驗攻擊動手能力），即人員要知道怎麼去攻擊；第三階是車聯網信息安全AWT選拔賽（考驗動態防禦動手能力），即人員要知道怎麼去防守，只有三階都通過了才能到線上生產環境。

孫權指出，在他的這個產線里他會不停的要求相關人員去操練，200遍、300遍、上千遍的去練習，這樣才能將能力和水平提升上去。

孫權不但對企業的制度有所規劃，他更是嚴於律己，為了提升自己的能力，孫權在此期間又獲得了許多榮譽和證書。2020年CVVD智能網聯汽車安全知識挑戰賽中孫權一往無前；2021年首屆智能汽車網絡安全技能大賽，他和隊友奪得了第八名的成績並獲得優勝獎；同年，他還獲得了2021年清華大學蘇州研究院《車聯網信息安全測試工程師》證書，並獲得了2021年首屆CVVD首屆車聯網漏洞挖掘賽優勝獎，還有2021年中國（瀋陽）智能網聯汽車大賽信息安全挑戰賽跟團隊一起獲得金獎。

除了對自身有所要求外，在國家遇到困難的時候，孫權也是義不容辭。武漢疫情期間，孫權和有家國情懷的老師、朋友，一起通過安全知識的分享，共同支援武漢抗擊疫情，並在加油武漢公益直播被評為2020年度INSEC網絡安全公益大使。

當前在浙江寰福科技有限公司負責信息安全工作的孫權，其工作內容除了日常的安全維護以外，還包括車聯網信息安全和隱私安全體系的建立，而他主要用到的方法論就來源於ISO27701、ISO27001、ISO21434國際標準。孫權指出，ISO27701、ISO27001分別是信息安全管理體系和隱私安全管理體系，各標準中都有一、二、三、四階文件，一階文件說明方針，二階文件指明方法，三階文件指明流程和規範，四階文件指明具體工作方法，而這些內容都對應了佛、道、黨的主旨和內涵。

立佛、立道、立人民。佛教，三皈五戒。三皈者：一阪依佛；二皈依法；三皈依僧。五戒者：一不殺生；二不偷盜；三不邪淫；四不妄語；五不飲酒。到了道家是所謂的三綱五常。而我們中華人民共和國偉大的領袖毛主席也曾提出過三大紀律八項注意，我們的黨章是全心全意為人民服務。

所以，彼此互通的方針被確立之後，就明確了每個人需要去做什麼，每一步應該怎麼樣去做，這才是團隊會成功的關鍵所在。表面上，孫權通過標準里一二三四各階文件去指導公司的運營，打造安全體系的能力。核心處，孫權用道家所提的「道法術器」來描述四階文件。道就是所謂的方針政策，法即方法論，術是流程和規範，器指工具如何運用。

「佛教的本質其實是讓眾人都去種善因得善果，『但行好事，莫問前程』。對比至安全體系的方法論中，就是讓我們儘量的去優化自己內心的流程，不做壞事。因果關係里，所有幹壞事的最終結果都是害了自己，因此我們得把車輛的安全措施做到位，就像ISO/SAE21434明確做過的規定：以確保網絡安全得到重視，減少車輛網絡攻擊的強度，從而減少數據丟失或保護人員生命。」

問至有什麼事讓孫權感到成就感，孫權引用了俞敏洪的話語：「要成為參天大樹，我們得積累自己的厚度，最重要的就是和對的人一起合作、和有相同興趣的人一起共事。比如大家都是車聯網信息安全圈子裡的朋友，我們就會執着的去追求車聯網信息安全相關的知識，我們會一起花錢做研究，再從研究中總結各種問題。只有在這樣的氛圍中，彼此才會在行業里不斷的進步。」

說到2022年CICV汽車漏洞挖掘賽線上的比賽，孫權頗為自豪。和幾個朋友連續三天為了40道比賽題目不斷地學習、不斷地拼搏，每天只能睡兩三個小時，從黎明到黑暗之間，有的只是堅持不懈的精神和榮辱與共的隊友，最後在共同的奮鬥下取得了線上比賽的二等獎，孫權覺得這是在自己的人生中見證到了「付出和回報」。

最後說到對行業的建議和展望，孫權認為汽車信息安全行業缺少一些相關的認證和培養體系，比如類似於CISP-PTE，即沒有汽車信息安全滲透測試工程師，缺少汽車信息安全專業人員，因此他希望以後業內可以多一些關於人才培養的建設，這樣才能推動汽車信息安全行業的發展。

從大方向上來看，國家陸續頒布了車聯網安全相關的政策和法規，說明國家在車企方面投入了大量的資金、大量的成本，也就意味着之後社會發展的重點方向會從房產過度到車企，孫權覺得汽車或會成為下一個經濟增長的爆發點。

而從各個企業的動態來看，小米開始造車了、蘋果開始造車了、OPPO也在造車，還有很多國內的企業都開始造車了。因此，車聯網安全一定是之後的發展趨勢，國家政策的傾斜也就意味着行業發展所向。孫權對此有着極大的盼望，他認為行業之後一定會蓬勃發展，所以他希望業內、社會以至於個人都要注意數據的安全、網絡的安全、信息的安全，這樣我們的社會才會越來越繁榮昌盛。

推薦閱讀