小米薪资也够有性价比的

《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

营销奇才雷军，小米 SU7 Ultra 定价 52.99 万元，在短短两小时内售出 10000 台。

米粉群体的消费观念也发生了显著变化，从曾经热衷于 1999 元的小米产品，到如今对 52.99 万元的高端车型也趋之若鹜。

雷军最初放出风声可能定价 80 万元，然而在发布会上最终定为 52.99 万元。这一价格调整，让那些有能力购买的人感觉仿佛以 52.99 万元的价格买到了价值 80 万元的车，真是物超所值。

众多网友纷纷发文调侃雷总，“要不您再涨涨价，涨到 80 万元吧。现在 52.99 万元我买不起，可我的朋友能买得起，这让我心里很不是滋味啊。”

再来看看小米今年春季招聘所提供的薪资待遇，怎么看着薪资还不如蔚小理呢？？

难道这薪资也是主打性价比？

公司	校招薪资爆料	城市	岗位名称
小米汽车	39*15	北京	自动驾驶
小米汽车	24*15	北京	软开
小米汽车	23k*15	北京	测试
小米汽车	22k*15	北京	软开
小米汽车	18k*15	上海	电池系统测试
小米汽车	22* 15+0.8* 12	北京	服务端开发工程师
小米汽车	30w	南京	机械岗
小米汽车	23*15	上海	动力集成测试
小米汽车	23*15	上海	算法
小米汽车	16k*15	北京	产品经理
小米汽车	18.5*16	南京	热管理

以上数据来源OfferShow

但是不管怎么样，这个薪资相比传统网安行业还是好上很多倍，该冲还是得冲，看看下面这几道题你会不会？

1. OTA更新安全

题目：某车企OTA系统采用A/B分区更新，但仍遭中间人攻击替换固件。分析可能的原因，并提出完整的签名验证和回滚防御方案。

答案：

• 攻击原因：

  • 未验证固件签名或使用弱算法（如MD5）；

  • 回滚保护缺失，可降级至旧版本漏洞；

  • 传输层未加密（如HTTP明文下载）。

• 防御方案：

  • 签名算法：ECDSA P-384或EdDSA，私钥存储在HSM；

  • 版本控制：固件头包含版本号和防回滚计数器；

  • 安全下载：HTTPS+证书固定（Certificate Pinning）；

  • 完整性校验：启动时Bootloader验证固件哈希链。

2. 车内网络隔离

题目：设计一种基于以太网的车载网络架构，实现娱乐域、动力域和ADAS域的安全隔离，并说明如何防御跨域攻击。

答案：

• 架构设计：

  • 物理隔离：不同域使用独立交换机/VLAN；

  • 防火墙规则：ADAS域仅允许来自传感器的特定报文；

  • 网关过滤：中央网关（如NXP S32G）检查报文内容（如DDS Topic权限）；

  • 参考标准：ISO 13400（DoIP）和AUTOSAR防火墙配置。

• 跨域防御：禁止娱乐域直接访问CAN总线，所有跨域通信需经安全网关审批。

3. 隐私保护合规

题目：根据欧盟GDPR和中国《汽车数据安全管理若干规定》，列举车联网系统必须实现的用户数据保护技术措施。

答案：

• 技术措施：

  1. 数据最小化：仅收集必要数据（如匿名化位置信息）；

  2. 本地存储：敏感数据（如车内录音）默认存于本地，非加密不上传；

  3. 用户授权：明确征得用户同意（如人脸数据使用）；

  4. 数据脱敏：车牌、人脸等标识符实时模糊化；

  5. 访问控制：基于RBAC的日志审计，防止内部泄露。

4. ECU安全启动

题目：描述ECU安全启动（Secure Boot）的实现流程，并解释如何通过信任链（Chain of Trust）确保固件完整性。

答案：

• 启动流程：

  1. Boot ROM验证Bootloader签名（使用OEM公钥）；

  2. Bootloader验证内核镜像哈希值；

  3. 内核加载驱动前校验数字签名；

  4. 应用层通过TEE（如TrustZone）执行敏感操作。

• 信任链：每级代码均验证下一级签名，形成从硬件根信任到应用的完整链条。

5. 无线攻击防御

题目：针对TPMS（胎压监测系统）的无线信号窃听和欺骗攻击，提出两种防御方案并分析其优缺点。

答案：

• 方案一：AES-128加密TPMS射频信号（如Schrader EZ-Sensor）。

  • 优点：有效防御窃听/重放；

  • 缺点：增加ECU处理延迟，密钥分发复杂。

• 方案二：动态ID轮换（每次启动更换传感器标识）。

  • 优点：低计算开销；

  • 缺点：无法防御实时中间人攻击。

6. 自动驾驶传感器安全

题目：如何通过LiDAR点云数据检测物理层欺骗攻击（如虚假障碍物注入）？给出算法设计思路。

答案：

• 检测方法：

  1. 时序一致性检测：连续帧间障碍物运动轨迹应符合物理规律（如加速度限制）；

  2. 多传感器融合：LiDAR与摄像头、雷达数据交叉验证；

  3. 噪声分析：真实LiDAR点云具有特定噪声模式，欺骗数据过于“干净”；

  4. 参考论文：使用GAN生成对抗样本检测模型。

7. 合规与标准

题目：解释UNECE WP.29 R155和R156法规对车联网安全的强制性要求，及车企应如何构建CSMS（网络安全管理系统）。

答案：

• R155要求：

  • 建立CSMS，覆盖车辆全生命周期；

  • 风险评估和漏洞管理；

  • 安全事件响应和OTA更新能力。

• R156要求：软件更新流程合规性，确保签名验证和回滚防御。

• CSMS构建：

  1. 组织架构：设立CSO和网络安全团队；

  2. 流程文档化：威胁分析、渗透测试流程；

  3. 供应商管理：要求Tier1供应商符合ISO/SAE 21434；

  4. 认证：通过第三方审核（如TÜV Süd认证）。