目前汽车功能安全这个领域是已经火了,未来随着车辆网、智能座舱、ADAS的爆发增长,作为IOT一部分的汽车,其信息安全的会跟今天的功能安全一样,被国内各大OEM重视(PS:信息安全国外已经很重视了,国内没办法,总是慢一拍)。那么作为一名有意向进入汽车信息安全领域的小伙伴,如何考虑汽车信息安全工程师这个岗位呢?以下见解,不喜勿喷。
vehicle security engineer,注意是security不是cybersecurity,是攻城狮不是程序猿。
首先就security来讲,汽车因为其产业的特殊性,安全要求级别高(毕竟人命关天)、汽车产业链长。作为信息安全工程师,必须要考虑整个汽车生态链的安全,即security,而不是仅仅关注汽车本身的安全,即cyebrsecurity。如果作为OEM安全团队的一员,security是一定需要考虑的,毕竟产品做得再好,别人不好好用或者自己监督不到位,产品再好也没用,最大的威胁在于人以及流程。至于如何解决不包含cybersecurity的汽车信息安全,可以参考各类最佳实践以及咨询专业的安全管理公司。
再说一下cybersecurity,汽车本身的安全而言,抛开安全产品的研发,即程序猿和辛苦的硬件工程师们,主要可以分为系统需求工程师和安全测试工程师。系统需求工程师需要对汽车系统有一个系统的认识,你需要熟悉各种车内ECU、各种通信协议、各种常见的攻击方式、各类安全标准(希望你看到这篇文章的时候,21434已经出来了),如果项目团队够大,也可以专注于几个领域;平时还得follow一下又没有自己领域的漏洞啊、攻击事件等等,还要根据后面的研发和测试团队反馈的结果,不断完善需求,怎么来说,你不一定要懂的精细,但你一定要懂的全面。安全测试工程师,相信很多人都想从事的领域,细分为正向安全测试工程师和反向的安全测试工程师,正向安全测试,你需要对系统工程师提出的安全需求进行一项项的功能性测试,看是否满足,不要想着会很轻松,量多而且还需要搭建各类测试台架,不过精通脚本或许可以减少很大的工作量;反向的安全测试工程师,类似于渗透测试,在这个领域,你就不要想所有的你都会,无线、嵌入式系统安全、操作系统安全、web安全这些你很难都会的,一定要先专注一个领域,慢慢来,相对于黑客而言,你有更加系统且昂贵的工具,你还有机会接触源码,所以相对于黑客,你会轻松那么一点点,记住,只是一点点。
再次说一下,安全无小事,一定要仔细再仔细,模糊不清的,一定要列出来,即时是你自己知道的,也要列出来。你的知道不是大家的知道,一定要落实到文字、文件上,后面一定要核验。信息安全可以有待定,但实现了的安全,只有是或否。
3298
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
