青蓮雲董方：以物聯網安全為家，仗義行俠

清初，天山七劍飛紅巾、武瓊瑤、桂仲明、冒浣蓮、易蘭珠、張華昭、凌未風以天山為家，仗義行俠。飄零慣，金戈鐵馬，拼葬荒丘。

而今，青蓮雲也有七人執劍，直指物聯網安全江山。

這七人的為首之人是CEO董方。

口述：董方 文：又田

我開始接觸安全是在2003年，正值大二，通過一個十幾人的線上聊天室開始自學網路安全，裡面的人大多都是學生，全憑著興趣一門心思的做研究。之後我們幾個人成立了一個民間的網路安全組織：80SEC，專註於Web安全方向的攻防技術研究。

畢業後我進入啟明星辰做了三年偏傳統的信息安全，之後又來到搜狐做了三年的甲方安全，但都圍繞著基於Web應用的業務安全這條主線。

2011年底是我第一次創業，發布了一款叫做「日誌寶」的數據分析產品，以SaaS服務的方式為企業客戶提供的日誌進行大數據安全分析。客戶可以把伺服器、網站日誌傳到日誌寶雲端，通過雲端安全引擎進行安全分析和在線的免爬蟲漏洞掃描。

雖然日誌寶是個免費服務，效果卻意料之外的實用，可以精準檢測到傳統基於規則分析所無法識別的黑客攻擊和後門文件，這家公司也就成了青蓮雲的母公司。

但我第一次創業並不算順利。2011年，彼時底層的大數據分析平台技術並不完善，也缺乏基於流處理的數據分析引擎，日誌寶在短期內匯聚了上百億條數據，底層的數據存儲和分析效率已成問題。

2013年初，機緣巧合下我們的產品和團隊被360所收購，團隊的研發方向演變為雲安全及雲上的業務安全，團隊輸出的產品包括雲WAF、安全CDN、高防IP等雲安全技術。

隨著物聯網市場的興起，360以「兒童手錶」首次踏足智能硬體領域，從此開始一路征戰智能硬體市場。2014年，360成立雲事業部，我出任雲事業部產品總監。

實際上我們整個團隊不僅僅要負責360雲的產品化相關工作，同時也需要針對智能硬體雲平台和IoT安全進行技術預研究。當時360信息安全部的頂尖黑客們負責尋找各類智能硬體設備的安全漏洞，但我們團隊更多的思考在於：如何實現一種低成本、輕量級、普適性的後端安全技術架構來解決聯網設備的安全隱患。

在這一過程中，我發現了一個問題。

360彙集了一群業界頂尖黑客，投入了非常多的人力和研發成本才能把產品做得足夠安全，但是外面林林總總的智能硬體產品，誰來保證他們的安全？誰又應該是他們的安全團隊？這一瞬間的思考讓我萌生了二次創業的想法。

時間行至2016年，360調整組織結構將企業安全與智能硬體分開來。此時我們團隊無論跟隨哪一方向團隊價值都不能最大化輸出，我決定離職創業，雲事業部團隊的七位同事也跟隨我集體辭職創業。

這7位就是青蓮雲的核心創始團隊，7人「各懷絕技」，有的擅長嵌入式開發，有的擅長雲端高性能計算，有的專註黑客攻防對抗，有的擅長APP的安全檢測和加固等等。

青蓮雲的來龍去脈即是如此，一切的機緣巧合，都始於我們趕上了智能硬體產業發展的熱潮。

還在360工作時，我曾走訪過多家智能硬體生產商，用一句話概括多數廠商的技術架構是：上行下行，能通就行。

很通俗的一句話，什麼意思？

設計一個智能硬體背後需要有雲服務的支撐，要考慮多活、災備、冗餘、負載、擴容等，以及各種來自網路的黑客攻擊行為的檢測和防禦。而大部分廠商出於成本考慮和缺乏安全經驗積累，在最基礎的硬體架構和後端服務架構上都不會考慮安全問題，買上幾台阿里雲伺服器開始調試，能通就開始量產。

但這種圖快的打法終不是長久之計，所以在2016年青蓮雲成立之初，我們的打法是給用戶提供一套將物聯網安全防禦策略融合在內的雲產品，即我們第一個產品青蓮雲，一套穩定的物聯網後端雲。

2016年的國內物聯網仍處於萌芽期，各大廠商埋頭做產品，做體驗，構想各種不確定的用戶需求。此時提供以安全為核心的一整套物聯網服務顯然不合適，未解決溫飽問題，誰會買豪車呢？

在推出青蓮雲後，2016年底我們開始深度拜訪客戶，傾聽客戶產品的市場反饋。卻在此時發現一個現象，一些長尾客戶對青蓮雲產品的接受度較高，但對於如美的、海爾等頭部客戶來說，其自身的研發能力較強，往往會選擇購買阿里雲、亞馬遜伺服器，並在其上自主研發企業物聯網雲平台。

此時，青蓮雲的產品形態就處於一個尷尬的定位。

如何能夠拿到這些金字塔尖的客戶？雲和雲安全的關係給了我們很大的啟發。

舉個例子：雲盾作為阿里的安全部門很早就存在其中，為阿里雲提供安全解決方案，直到後來，阿里雲產品和雲盾的技術積累陸續成熟後，雲盾才獨立商業化運行，無論客戶使用亞馬遜或是微軟的雲，都可以使用阿里雲盾的安全服務。

回到青蓮雲，我們是否能遵循雲和雲安全的思路，將本就融合在青蓮雲中的安全防禦策略與後端雲引擎分離開來呢？

如果客戶有自己的雲平台，那我們提供物聯網安全產品和服務，如果客戶什麼都沒有，那我們就提供一整套的解決方案，幫助客戶安全且快速的落地產品。這也是2017年我們所做的。

實際上我們每次與客戶接觸都是從科普開始，物聯網如何不安全了？為什麼會不安全？怎麼能做到相對安全？

「No More Free Bugs」，我開始考慮將多年的物聯網安全經攻防和研發經驗提煉成物聯網安全培訓體系，以物聯網安全10堂課的形式輸出給客戶。這10堂課覆蓋嵌入式安全研發，雲端安全研發，引擎安全研發，核心通信技術、APP安全研發5個維度，每堂課售價從8000到1.5萬不等。

在貫穿物聯網安全10堂課培訓之後，另一個切入點也隨之而來，即物聯網安全測評服務。也就是通過團隊自研的內部安全測試工具集加上額外的黑客手段向客戶證明其產品是存在安全隱患的。

物聯網安全與網路安全的最大區別，是一旦產品出現漏洞很難通過遠程打補丁的方式修補，銷售量越高的產品一旦出現問題相應修復成本會越高。所以在產品還沒有走出家門的時候進行測評，相當於全身體檢，一旦出現病症可以對症下藥。

比如鏈路層出現漏洞，可能受到設備重放或設備偽造攻擊，我們會提供針對鏈路層安全的整套解決方案；如果是安裝了有漏洞的第三方軟體，出現弱口令以及系統層面的配置安全問題，我們會拿出針對嵌入式操作系統的安全解決方案。

物聯網安全主要分為端管雲三個層面的安全，在端的層面我們有針對通信鏈路的獨立安全解決方案，在雲的層面我們有一個完整的物聯網安全雲平台。此外，雲上基於物聯網硬體設備的數據安全分析更是我們的優勢，由於移動互聯網的成熟度已經非常高，所以目前對APP安全則相對涉足較少，所謂術業有專攻即是如此。

也就是說，青蓮雲給客戶享受的是「4+1」全套大保健，1就是安全諮詢服務，將測評與培訓打包在一起，將不同客戶測評報告中的漏洞原因編寫到安全培訓中，使培訓更加具體，更接地氣。4就是我們有四套物聯網安全產品，哪疼治哪。

實際上，我們扮演的是《星球大戰》中安納金的角色，身處光明時，他是絕地武士會天賦異稟的武士安納金·天行者，墜落黑暗則化身屠夫達斯·維德，青蓮雲團隊同時兼備了物聯網安全的攻防兩端能力。

很多人會問我，安全公司賺錢嗎？

這需要分長短期來看，安全行業永遠不存在一夜暴富。無論是1998年成立的啟明星辰，還是上市又退市的360，不難發現安全公司很少有泡沫，每家都在踏實做事，逐步成長。這是一個慢熱的市場，物聯網安全更是如此，它並非ofo、團購，它不是一個產品模式的變化，也不是消費習慣的變化，而是一個網路時代的變遷。

物聯網安全的發展除了需要時間的沉澱更需要與企業建立長期信任感，只有對方充分信任安全公司才會把最敏感的東西交給對方。在這其中安全公司需要做的就是向企業證明你懂安全、懂業務、懂體系建設，但這並不是一件容易的事情，還需要一個周期。

因此物聯網廠商對於安全的支出仍處於緩慢上升的趨勢，畢竟一下割肉太多誰都會疼。相應的，安全公司賺錢也是隨著物聯網業務的發展，量不會一次太大。

對於青蓮雲來說，我們已經有了穩定的收入，但創業嘛，早期肯定是虧損的。只要有收入就足以證明當前的模式是可延續的，而我們2018年的目標就是希望把盈虧做平。

董方並沒有自己的獨立辦公室，他覺得這些沒什麼必要。

這位黑客出身的CEO格外有俠客精神，他把自己當成傳教士，覺得承載著責任與義務去告訴別人真實的物聯網，物聯網攻擊更非天方夜譚，而是近在身邊。

採訪最後，董方告訴雷鋒網，他與跟隨他的七位「劍客」的初心很簡單：我們每服務一個客戶，就讓這個物聯網世界更安全了一點，這種成就感讓大家非常滿足。

但這看上去簡單的夢想，也許承載了一份很重的重量。

雷鋒網宅客頻道（微信公眾號：letshome），專註先鋒科技領域，講述黑客背後的故事，歡迎關注雷鋒網宅客頻道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！