定义未来：云朋和他的车联网安全｜人物

搞安全的云朋目前所在的部门，名为“自动驾驶事业部”——从这七个字里，你根本看不出它和安全有一丝一毫的的联系。在这样一个部门里，云朋所做的事情，又的的确确就是安全。

这就让人费解了：在一个看上去和安全毫无关系的部门里搞安全，他所做的究竟是什么样的安全？

事实上，云朋所做的事情，一般人知之甚少。“总体来看，我们的发声的确是比较少。”云朋告诉我们，“但实际上，我们在安全方面做了挺多事情。对我们来说，还是工程师文化——不怎么爱说，以踏踏实实地干活为主。”

而现在，“不爱说”的云朋终于发声了：历经安氏、华为和百度，从传统安全到车联网，云朋的安全之路上，又会有怎样的一番风景？

一、“我们的今天，终将定义未来”

有人将今天这个时代称为“智能汽车的战国时代”：随着人工智能的发展，人们突然发现，从前只能在科幻电影中见到的智能车，如今已经离我们不再遥远了。在海外，各大厂商开始争相抢占高地，试图定义这个全新的领域；而在国内，智能汽车也开始受到瞩目并被寄予厚望。

但无法忽视的是，希望背后所隐藏着的，是巨大的风险。

2015年的Blackhat大会上，白帽黑客查理·米勒（Charlie Miller）和克里斯·瓦拉塞克（Chris Valasek）对车载系统Uconnect的入侵演示，让公众目瞪口呆：他们邀请《连线》杂志记者安迪·格林伯格（Andy Greenberg）低速驾驶一辆切诺基，然后在16公里外的一处地下室发动了攻击。莫名其妙地，空调、广播、雨刮器忽然依次打开，紧接着，车辆开始失去控制，刹车彻底失灵。最终，车子冲出路面，在一个斜坡处停了下来——如果这并非演示，而是真实的驾驶场景，后果简直不堪设想。几周后，克莱斯勒公司宣布召回140万辆存在软件漏洞的汽车。这是全球首例因黑客入侵主动召回汽车的危机事件。

这并非一个顾例：就在去年，媒体曝出宝马车载系统ConnectedDrive网页版存在0day漏洞，黑客可以随意更改行车路线，或者远程锁定或解锁车辆。

车联网在不断发展，汽车变得越来越智能，其中存在的安全隐患也随着一次又一次的危机事件日渐成为公众热议的焦点——而云朋的着眼点恰在于此。

“过去我们说安全是锦上添花，而今天这个时代，物联网特别是汽车安全，变得更加重要了。”云朋分析道，“传统的信息安全即使损失再大，说到底也就是钱，可是汽车呢？这就是要命的东西了。我们做汽车安全，就是基于这个原因。”

“我们所做的和传统安全有关，但是独立性更强，目的是在系统建立之初，就将安全作为其中的一部分。”云朋举起桌上的手机，“安全如果只是反复加保护壳会很容易被攻破；而像苹果这样将安全作为产品的一部分深入融合，现在我们发现，IOS系统会更安全些。”

与传统安全相比，云朋所做的汽车安全，将呈现出一个崭新的形态，云朋将其称之为“布道”:“我们要定义的是未来需要防御的东西，汽车安全的责任更大，并且在万物互联的时代，责任将会越来越大。”“我经常说，我们今天所做的，终将定义未来。”他总结道。

这话说起来容易，做起来却并不简单：要走出一条新路来，靠的不仅仅是技术，更需要对于全局和方向的把握——方向不对，再精湛的技术都只会走进死胡同。

而云朋所擅长的，恰恰就在这里。

二、从深入到升华

启明星辰副总裁“大潘”潘柱廷，曾经提出过安全的“南向”和“北向”的概念：“南向人才”精通漏洞挖掘、渗透攻击、数据分析等技术活动；而“北向人才”长于大方向的把控。从某种意义上，云朋便属于“北向人才”——而对于方向的把握，来自于技术实践经验的积累。

对于云朋来说，2004年是一个重要的节点：这一年，他开始从Hacker转向更广阔的天地。此后的一段时间里，他将安全领域中的各个方向都摸了个遍：“Hacker我做过，病毒我也写过，之后写代码写了很久，也写过杀软、杀木马工具，还有基于网络的检测软件。”2006年进入安氏，云朋主要负责的是防止内部网络入侵的驱动；而到了华为，他开始从事架构方面的工作——将长期修炼的技术内化，并升华到新的层次。

“我更擅长从基础的逻辑，做一个整体的安全架构。告诉他关键点在哪里，未来的目标是怎样的，我们应该怎么做。”当需要做大数据安全分析产品的时候，云朋会亲手搭建基于大数据检索的安全平台，与众不同的是，他选择了Elasticsearch：“我觉得ES和我的目标接近，更多人应该用起来它，就一边汉化它，一边分析它的瓶颈，然后带领大家搭起来。”回忆起这段经历，云朋谈到了自己的心得：“你需要知道大数据到底是怎么回事，如果我们做基于大数据的产品，就要知道它的结构怎么做。如果你亲自动手，又怎么知道系统是什么样的，你就只能告诉下面的兄弟，做大数据，可是具体怎么做呢？不知道。”

云朋分析了自己的经历带来的优势：“首先，除了防火墙的代码，剩下几乎所有安全产品的代码我都写过，做过商业化的产品；第二，有幸做过六到七年黑客·，从攻击到防御，研发到code，我知道他们中间的关联性是怎样的，怎么做能更好地贴合安全产品，而不是盲从于其他人；第三，我喜欢跨界做商业评论，看到安全公司PR的文章，就可以想象他是怎样的产品，想象出功能，再思考功能是怎么实现的。”十年下来，云朋对自己的评价是，“现在看起来，刚刚好。”

“深入、抽象、架构”，云朋将自己的思路总结为：“一定要有一个整体的、抽象的轮廓，然后把它落到每一个基本点。”，“抽象并不意味着远离实际，抽象的东西，要能做得具体、深入，精研一个领域并且成为专家，其实就是回到了原点，回头去看就会看的更清。只有做到了极致，才能看的很开阔。”对如今的云朋来说，这个领域就是智能车安全。

三、新的道路、新的安全

离开华为后，云朋选择了百度，理由非常简单：“首先，我估计一辈子都得在IT行业了，回老家去肯定饿死；其次，国际化的IT公司我待过了，那就找个大的互联网公司。”

智能汽车安全既是公司的安排，也是云朋自己的选择：“好多个技术方向放在你面前，你可以选择自己感兴趣的。我觉得物联网是必然的趋势，而单独做车联网，我觉得做不出来，以自动驾驶为依托进入车联网领域，是一个很好的落地点。第二，自动驾驶涉及到人工智能，未来人工智能会不会出现问题，我们正好可以研究一下，我觉得还是很有乐趣的。”

对云朋来说，这将是一个值得探索的新世界。

针对智能汽车这一新生事物，一反传统信息安全对复杂技术的追求，云朋的目标是“做一个简单的东西”：“做一个很复杂的东西，其实几乎没什么挑战，引进很多厉害的算法——用上很多说起来朗朗上口，你又不知道是什么意思的东西，这叫花拳绣腿，一拳过去就击倒对方的才有用。”

然而，要做到这一点并并不像说起来那么容易。“你必须说服自己，因为你可能会觉得，自己怎么这么Low，基于深度检测的方法去检测数据包中的不安全值、简单的黑白名单，没什么技术含量，刚毕业我就会啊——但安全不是秀技术，而是需要适应不同的场景，不是做的简单，想法就简单。”

追求简单，其实和云朋的另一个目标有关：稳定。这是他基于汽车这一场景的特殊考量。

“汽车不同于电脑——电脑有显示器，汽车只有发动机、刹车、油门，不够稳定的后果是，一旦出现问题，来不及补救，整个系统就挂了。”云朋半开玩笑地分析道，“电脑上的东西不稳定，人家会骂，什么烂软件，又蓝屏了，在汽车里不会有人骂你——高速行驶的状态下，系统挂了就直接死了。”

而第三个要素是云朋从亲身经历中总结出来的：一天深夜，驾车行驶在三环上的云朋突然收到汽车的轮胎报警，他只好停下来检查一番，却发现并没有问题，这件小事给了他新的启示：“车的防御手段和传统安全不同，电脑上可以不断报警，报了我看一下就完了，车里呢？一边高速行驶，一边不断报警，你让司机怎么想？同时，报警还要精准，不能是模棱两可的东西。”他又举了个例子，“我带着一家老小出门，你告诉我摄像头可能有问题——究竟是有问题还是没问题？”

“简单、稳定、精准”，这便是云朋定义的智能车安全。

四、挑战与机遇

无论对于云朋，还是整个安全行业，智能汽车无疑都是一个新的挑战。

看似简单的心得，其实是云朋在一年多的实验过程中，通过拆解车辆总结出来的；“车子和电脑不同的是，车子的安全模块是内置的，这就不仅仅是简单的信息层面，而是需要硬件基础才能做好——一个芯片你起码要知道插在哪里，有了问题，你也没法通过显示器上的信息来解决。做汽车安全，要有能力拆解车，并且对车的网络结构要有深入了解，这是一个挑战。”

而通过对汽车的深入了解，云朋对智能汽车安全的整体态势也有了把握：“我看到的一些情况是，一些公司还是在用传统的方法，比如数据加密和可行性认证、做一个防火墙解决方案，但是车联网安全最后是要抛开屏幕的，车联网要符合车的本质。”他向我们分析了车联网安全的独特性：“车的本质是要完成一个物理上的动作，分为两部分，一部分是传统的，和屏显APP有关，另一个是控制系统。而控制系统又分为一般的控制，比如车窗加热；另一部分则是核心控制系统，关键是底盘。现在大部分公司还在做第一层。”

云朋将关注点放在了车辆本身：“汽车安全关键在于事故，那么我们要去关注事故的成因，比如，一个指令的最后一步是传输到核心模块，我们就不让指令到那个位置。在攻击面、攻击路径这一层，我们要解决80%的传统信息安全问题，剩下的20%才是解决车辆的特性，解决怎么整合信息安全与功能安全”。

“汽车安全很独特，需要跨界和融合，”云朋总结道，“然而这也是很大的机遇。车是一个很大基数的消费市场，比电脑更贵，又涉及到人身安全。现在看来，大部分厂商都注意到这个问题了，需要的仅仅是时间。”

“你不能选择命运，而是命运选择你”，在回顾过往时，云朋这样说道。如今看来，云朋是一个幸运儿：命运给了他一条独特的道路，经历了安全的内化与升华，在智能车领域，他可以将自己的能力发挥得淋漓尽致了——而安全和汽车的碰撞，在他的手中将会迸发出怎样的火花？显然，这十分让人期待。

安在关注网络安全领域的价值发现和趋势，关注该领域的大小人物和大小公司，如果您希望寻求报道，或者爆料，欢迎随时和我们联系。我们将以最专业的自媒体团队，做出有价值有看点的报道。让您的故事被更多人了解，让您的项目第一时间受到投资人的关注。

可以发送相关请求到[email protected] ，也可以添加小编微信，提交报道申请，需要强调的是，我们不做任何收费报道，不接受任何软文请求。