我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师:
做到欲望极简,了解自己的真实欲望,不受外在潮流的影响,不盲从,不跟风。把自己的精力全部用在自己。一是去掉多余,凡事找规律,基础是诚信;二是系统思考、大胆设计、小心求证;三是“一张纸制度”,也就是无论多么复杂的工作内容,要在一张纸上描述清楚;四是要坚决反对虎头蛇尾,反对繁文缛节,反对老好人主义。
不觉间来到八月,横坐在电脑前,敲击点文字,对自己也算一个时间的记忆,多年后再次点击,也期待那时会像触发记忆的闸口,让现在的这点岁月传递至那时那刻。 一、汽车行业网络安全新挑战与应对之策 在科技飞速发展的当下,汽车行业正经历着前所未有的深刻变革,其中汽车软件含量的持续攀升已成为不可逆转的趋势。这一趋势不仅重塑了汽车的功能与性能,更将汽车行业推到了网络安全的前沿阵地。那么,随着汽车软件含量不断增加,汽车行业参与者究竟需要了解哪些网络安全知识呢?这背后又隐藏着怎样的行业趋势与变革力量呢? 1、汽车软件激增—网络安全知识需求凸显 近年来,汽车行业呈现出四大颠覆性趋势,即自动驾驶、车联网、电动汽车和共享出行。这四大趋势犹如四股强大的洪流,汇聚成推动汽车行业变革的磅礴力量,成为行业领导者议程上的重中之重。 自动驾驶技术让汽车从传统的交通工具转变为具备自主决策能力的智能移动终端,其依赖于复杂的传感器、算法和软件系统来实现对环境的感知、决策和行动控制。车联网则实现了汽车与外界(包括其他车辆、基础设施、云端服务器等)的实时互联互通,使汽车能够获取海量的信息并实现远程控制和管理。电动汽车以电力驱动替代了传统的燃油发动机,其电池管理系统、电机控制系统等核心部件都高度依赖软件来实现精准控制和优化运行。共享出行模式则借助互联网平台和智能调度系统,实现了汽车资源的高效共享和利用,改变了人们的出行方式和汽车的使用模式。 这些创新无一不是建立在车载系统数字化、汽车 IT 系统向后端延伸以及软件普及的基础之上。现代汽车已经不再是简单的机械产品,而是成为了信息集散地,承载着大量的用户数据、车辆运行数据和敏感信息。与此同时,这也使得汽车成为了网络攻击的诱人目标。黑客可以通过攻击汽车的电子系统,窃取用户隐私信息、控制车辆行驶状态,甚至引发交通事故,给用户的生命财产安全带来严重威胁。因此,汽车行业参与者必须深入了解网络安全知识,包括但不限于数据加密技术、访问控制策略、入侵检测与防御系统、安全漏洞管理等方面的知识,以保障汽车的信息安全和运行安全。 2、网络安全趋势与驱动因素—行业范式转变的催化剂 汽车行业网络安全正呈现出一些具体的趋势和驱动因素,这些因素相互交织、相互影响,共同推动着汽车行业向网络安全的新范式转变。 A:技术融合加速网络安全挑战升级 随着自动驾驶、车联网等技术的不断发展,汽车与外界的信息交互越来越频繁,涉及的通信协议和网络架构也越来越复杂。不同技术之间的融合使得汽车系统的边界变得模糊,增加了安全漏洞的出现概率。例如,自动驾驶汽车需要与交通基础设施、其他车辆进行实时通信,以获取路况信息和协同行驶指令。然而,这些通信链路可能存在被攻击的风险,黑客可以通过篡改通信数据来干扰自动驾驶系统的正常运行,导致车辆失控。 B:法规政策推动网络安全标准建立 为了保障汽车行业的信息安全和用户权益,各国政府和监管机构纷纷出台了一系列相关的法规政策,要求汽车制造商和供应商加强网络安全管理。例如,欧盟颁布了《通用数据保护条例》(GDPR),对汽车企业收集、存储和使用用户数据的行为进行了严格规范;美国国家公路交通安全管理局(NHTSA)也发布了关于汽车网络安全的指导原则,要求汽车企业建立完善的网络安全管理体系。这些法规政策的出台促使汽车行业参与者必须重视网络安全问题,加大在网络安全技术研发和安全管理方面的投入,以满足法规要求。 C:消费者安全意识提升促使企业重视 随着消费者对汽车网络安全问题的关注度不断提高,他们在购买汽车时不仅会考虑车辆的性能和价格,还会关注汽车的安全性和隐私保护能力。消费者希望自己的个人信息和车辆行驶数据能够得到妥善保护,避免被泄露和滥用。因此,汽车企业为了满足消费者的需求,提升品牌形象和市场竞争力,必须加强汽车网络安全防护,提供更加安全可靠的产品和服务。 这些驱动因素将引发汽车行业的一次范式转变。传统的汽车行业主要关注汽车的机械性能和制造工艺,而网络安全将成为未来汽车行业的核心竞争力之一。汽车企业将从单纯的产品制造商转变为提供安全、智能出行解决方案的综合服务商,网络安全将贯穿于汽车的设计、研发、生产、销售和售后服务的全过程。 D:价值链重塑:网络安全驱动下的行业新格局 汽车行业长期确立的价值链将在网络安全驱动因素的作用下发生深刻重塑。传统的汽车价值链主要包括零部件供应商、汽车制造商、经销商和售后服务商等环节,各环节之间相对独立,信息流通不畅。 在网络安全时代,汽车价值链将向更加智能化、协同化和安全化的方向发展。零部件供应商需要具备更强的网络安全研发能力,确保所提供的零部件符合汽车制造商的网络安全标准,避免因零部件安全漏洞导致整个汽车系统受到攻击。汽车制造商将承担起网络安全管理的主体责任,建立完善的网络安全管理体系,加强对汽车全生命周期的网络安全监控和防护。同时,汽车制造商还将与科技公司、网络安全企业等开展深度合作,共同研发先进的网络安全技术和解决方案。 经销商和售后服务商的角色也将发生转变。他们不仅需要提供传统的销售和维修服务,还需要具备网络安全服务能力,能够为用户提供汽车网络安全检测、漏洞修复、数据备份等服务。此外,随着车联网的发展,汽车数据的价值将不断凸显,数据管理和运营将成为汽车价值链中的一个重要环节。汽车企业将通过收集和分析汽车数据,为用户提供个性化的服务和产品推荐,同时也可以将数据共享给其他合作伙伴,实现数据的价值最大化。 3、积极准备迎接市场发展与细分增长 面对即将到来的市场发展和预期的细分市场增长,行业内外参与者需要做好充分准备,以应对网络安全带来的挑战和机遇。 A:汽车制造商,强化网络安全战略布局 汽车制造商应将网络安全纳入企业战略规划的核心部分,加大对网络安全研发的投入,建立专业的网络安全团队,负责汽车网络安全的研发、测试和管理。同时,汽车制造商还应加强与供应商的合作,建立严格的供应商准入机制和安全评估体系,确保供应链的安全可靠。此外,汽车制造商还应积极开展网络安全宣传和培训活动,提高员工的网络安全意识和技能水平。 B:零部件供应商,提升网络安全技术能力 零部件供应商应认识到网络安全的重要性,加大对网络安全技术的研发和应用力度,提升零部件的安全性和可靠性。例如,零部件供应商可以采用安全芯片、加密技术等手段,保护零部件中的数据安全;同时,还应建立完善的漏洞管理机制,及时发现和修复零部件中的安全漏洞。此外,零部件供应商还应加强与汽车制造商的沟通和协作,及时了解汽车制造商的网络安全需求,提供符合要求的零部件产品。 C:科技公司和网络安全企业,发挥技术优势深度合作 科技公司和网络安全企业应充分发挥自身的技术优势,与汽车企业开展深度合作,共同研发先进的汽车网络安全技术和解决方案。例如,科技公司可以利用人工智能、大数据等技术,实现对汽车网络安全的实时监测和预警;网络安全企业可以提供专业的安全咨询服务和安全评估服务,帮助汽车企业发现和解决网络安全问题。此外,科技公司和网络安全企业还应加强行业自律,共同推动汽车网络安全标准的制定和完善。 D:监管机构和行业协会,加强监管与引导 监管机构应加强对汽车网络安全的监管力度,完善相关法规政策,加大对违规行为的处罚力度,确保汽车行业的网络安全秩序。行业协会应发挥桥梁和纽带作用,组织企业开展网络安全技术交流和合作,推动行业网络安全水平的提升。同时,行业协会还可以开展网络安全培训和认证活动,提高行业从业人员的网络安全素质。 随着汽车软件含量的不断增加,汽车行业网络安全已成为行业发展的关键问题。汽车行业参与者必须深入了解网络安全知识,积极应对网络安全趋势和驱动因素带来的挑战,重塑汽车价值链,做好充分准备迎接市场发展和细分市场增长。只有这样,汽车行业才能在网络安全时代实现可持续发展,为用户提供更加安全、智能的出行体验。 二、网络安全正成为汽车质量的新维度 在汽车行业加速迈向智能化、网联化的进程中,网络安全已不再是一个遥远的议题,而是正以雷霆之势成为衡量汽车质量的新维度,深刻影响着汽车产业的未来发展格局。 1、联网汽车网络安全风险浮出水面 回首过去几年,安全研究人员犹如敏锐的探险家,在联网汽车这片充满未知的领域中不断揭示出各种技术漏洞。这些漏洞就像隐藏在汽车电子系统中的定时炸弹,随时可能被恶意攻击者引爆,给用户的生命财产安全带来严重威胁。 在众多案例中,攻击者展现出了惊人的技术能力和破坏潜力。他们通过精心设计的攻击手段,能够入侵汽车的电子控制单元(ECU),篡改车辆的行驶参数,如控制刹车系统、调整发动机转速等,使车辆失去控制。还有一些攻击者利用车联网的通信漏洞,窃取用户的个人信息,包括行驶轨迹、联系人信息等,严重侵犯了用户的隐私。 值得庆幸的是,许多攻击者在发现这些漏洞后,秉持着负责任的态度,将他们的发现及时告知原始设备制造商(OEM)。这使得 OEM 能够在恶意攻击者利用这些漏洞造成危害之前,迅速采取措施修复问题,为汽车网络安全筑起了一道临时的防线。然而,这种依赖于攻击者主动告知的方式显然不是长久之计,它无法从根本上解决联网汽车面临的网络安全风险。随着汽车网联化程度的不断提高,攻击者的手段也将日益复杂和隐蔽,汽车行业必须建立起更加完善、主动的网络安全防护体系。 2、法规革新—为汽车网络安全划定监管红线 目前,针对车辆中硬件和软件安全的具体技术流程,汽车行业可参考的标准和指南范围十分狭窄。仅有的一些标准,如硬件加密标准或电子控制单元(ECU)之间的安全通信标准,就像零散的拼图碎片,难以构建起一个完整、系统的网络安全防护框架。这种情况使得汽车企业在开发和生产过程中缺乏明确的指导,网络安全水平参差不齐。 变革的曙光已经显现。联合国欧洲经济委员会(UNECE)下属的世界车辆法规协调论坛(WP.29)正积极行动起来,计划发布关于网络安全和空中下载(OTA)软件更新的新法规。这一举措具有里程碑式的意义,它将网络安全视为确保在 UNECE WP.29 成员国获得市场准入和型式认证的必要条件。这意味着,未来汽车企业要想将其产品推向这些成员国的市场,就必须满足严格的网络安全要求,否则将面临无法上市销售的困境。 UNECE WP.29 的法规为汽车行业价值链上的参与者设定了监管框架和最低要求,犹如为汽车网络安全划定了一条不可逾越的红线。它迫使汽车企业从战略层面重视网络安全问题,加大对网络安全研发的投入,提升自身的网络安全防护能力。然而,这些法规也存在一定的局限性。它们主要侧重于宏观层面的监管要求,并未提供将要求转化为具体运营实践的详细实施指南。这使得汽车企业在实际操作过程中可能会面临困惑,不知道如何具体落实这些法规要求。 3、标准引领—构建汽车网络安全通用实践体系 为了弥补法规在实施指导方面的不足,新的国际标准化组织(ISO)/汽车工程师学会(SAE)标准应运而生。其中,仍在起草中的 21434 标准《道路车辆——网络安全工程》以及 ISO 24089 标准《道路车辆——软件更新工程》(24809)具有重大的指导意义。 这两个标准像一本的“操作手册”,明确了车辆生命周期内从开发到生产再到售后服务的网络安全和软件更新方面的组织、流程和技术要求。在车辆开发阶段,标准要求汽车企业建立完善的网络安全管理体系,对车辆的电子系统进行全面的安全评估和设计,确保从源头上消除安全隐患。在生产阶段,标准规定了严格的生产流程和质量控制要求,防止在生产过程中引入安全漏洞。在售后服务阶段,标准要求汽车企业建立有效的软件更新机制,及时修复车辆在使用过程中发现的安全漏洞,保障车辆的长期安全运行。 这些标准的实施将使行业能够形成针对车辆开发和制造的通用网络安全实践。汽车企业可以依据这些标准,统一自身的网络安全管理流程和技术要求,提高网络安全防护的效率和水平。同时,标准还允许对实践的遵守情况进行评估,并由第三方进行认证。这意味着汽车企业可以通过获得第三方认证来证明自己对标准的遵守情况,增强市场竞争力。例如,在原始设备制造商和供应商之间的合同中,双方可以明确要求对方遵守相关标准,并通过第三方认证来确保合同的执行。这将有助于建立一个公平、透明、有序的汽车网络安全市场环境,促进汽车行业的健康发展。 网络安全正以不可阻挡之势成为汽车质量的新维度。从漏洞频现的风险警示,到法规革新的监管驱动,再到标准引领的实践构建,汽车行业正经历着一场深刻的网络安全变革。汽车企业必须积极应对这一变革,加强网络安全研发和管理,提升自身的网络安全防护能力,以适应未来市场的发展需求。只有这样,汽车行业才能在网络安全时代实现可持续发展,为用户提供更加安全、可靠的出行体验。 三、新技能与人才—筑牢现代车辆软硬件安全的基石 在汽车行业加速向智能化、网联化狂飙突进的当下,保障现代车辆中硬件和软件的安全已不再是一道可选题,而是关乎企业生死存亡、行业健康发展的必答题。为达成这一目标,满足日益严苛的监管要求以及客户对安全出行的殷切期望,汽车行业正经历着一场全方位、深层次的变革,其中,员工技能的提升与新工作方式的采用成为了这场变革的核心驱动力。 1、全员赋能—技能升级覆盖全链条 现有汽车行业的员工,无论身处开发周期的哪个关键环节——规格制定、设计、开发、集成还是测试阶段,都如同置身于一场没有硝烟的网络安全保卫战中,必须掌握全新的技能,并采用与以往截然不同的工作方式。这就好比一支训练有素的军队,每个士兵都要熟悉新的战术和武器,才能在战场上立于不败之地。以开发阶段为例,工程师们不仅要精通传统的汽车工程技术,还需深入学习网络安全知识,了解如何防范黑客攻击、保护车辆电子系统的数据安全。在设计阶段,设计师们要将网络安全理念融入到车辆的每一个细节中,从硬件架构到软件算法,都要经过严格的安全评估。 而采购、项目管理、经销商以及客户沟通等其他领域的员工,同样不能置身事外。他们就像汽车生态系统的各个环节,环环相扣,任何一个环节的疏忽都可能导致整个系统的安全漏洞。采购人员需要具备识别供应商网络安全能力的眼光,确保所采购的零部件和软件都符合严格的安全标准;项目管理人员要将网络安全纳入项目管理的全流程,合理安排资源,确保安全措施得到有效落实;经销商要了解车辆网络安全的基本知识,能够为客户提供准确的安全使用建议;客户沟通人员则要及时向客户传达车辆安全信息,增强客户的安全意识。因此,这些领域的员工都需要接受与网络安全相关的技能提升培训,形成全员参与、共同守护车辆安全的良好氛围。 2、流程重塑—构建严密风险管理网络 除了提升员工技能,原始设备制造商(OEM)和价值链上的其他企业还必须高瞻远瞩,建立更严格的网络风险管理流程和合规文档。这就如同为企业打造了一套坚固的铠甲,能够有效抵御外部的网络攻击和内部的管理风险。修改系统或采用新系统,不再是简单的技术决策,而是取决于公司的组织架构和成熟度。企业需要像精密的钟表一样,对角色、职责进行精准调整,明确每个部门和岗位在网络安全管理中的具体任务和权限。同时,建立评估和管理车辆网络风险的正式流程,就像为企业安装了一个敏锐的雷达,能够及时发现潜在的安全威胁,并采取有效的措施进行应对。 3、快速响应—打造事件应对“特种部队” 在新环境下,网络安全威胁如同隐藏在暗处的幽灵,随时可能现身。原始设备制造商需要具备如同特种部队般的快速响应能力,能够在安全事件发生的瞬间做出反应。无论是企业自身发现新的或潜在漏洞,还是车辆遭受恶意黑客攻击,都要迅速启动应急预案,调动组织、流程和技术力量,对事件进行全面评估和处理。这就像一场与时间的赛跑,每一秒的延误都可能导致更严重的后果。例如,当车辆遭受黑客攻击时,企业要能够迅速定位攻击源,切断攻击路径,同时对受影响的车辆进行远程修复,确保车辆的安全运行。 在整个车辆生命周期内提供安全补丁,对于车辆的安全运行至关重要。车辆的使用寿命通常长达十年甚至更久,在这漫长的岁月里,网络安全威胁不断演变,软件漏洞也可能随时出现。因此,车辆需要像一艘在茫茫大海中航行的船只,定期进行维护和更新,以确保始终处于安全状态。这使得车辆更类似于飞机或船舶,它们的软件更新周期比个人电脑、智能手机、平板电脑和智能家电等消费产品的更新周期要长得多。这就要求企业建立完善的软件更新机制,能够及时、准确地向车辆推送安全补丁,保障车辆的安全性和可靠性。 4、市场扩容—细分领域蕴含无限商机 预计未来十年,汽车网络安全市场规模将如同一颗冉冉升起的新星,扩大近一倍。我们将汽车网络安全市场细分为三个部分:网络安全硬件、网络安全相关软件开发工作以及网络安全流程和解决方案。这三个部分就像汽车网络安全市场的三驾马车,共同推动着市场的蓬勃发展。 网络安全硬件是车辆安全的第一道防线,它包括各种加密芯片、安全模块等,能够为车辆的数据传输和存储提供硬件级别的保护。网络安全相关软件开发工作则是车辆安全的核心,通过开发先进的安全算法、安全操作系统等软件,能够有效防范黑客攻击,保护车辆的电子系统。网络安全流程和解决方案则是将硬件和软件有机结合,为企业提供全方位的网络安全管理服务,包括风险评估、安全监测、应急响应等。 5、战略博弈—各参与方竞逐市场高地 为了在这个不断增长的网络安全市场中攫取价值,价值链上的各参与方正各显神通,采取不同的战略。原始设备制造商(OEM)正谋求垂直整合,就像一位全能的工匠,自行研发网络安全组件,甚至软件栈,以实现对车辆安全的全面掌控。这种方式能够减少对外部供应商的依赖,提高安全性能的稳定性和可控性。 供应商则沿着价值链向上和向下拓展业务,如同一位勇敢的探险家,不断开拓新的领域。他们不仅提供传统的零部件和软件,还提供专业的网络安全咨询服务,帮助企业提升网络安全管理水平。初创企业则携创新解决方案进入市场,就像一群充满活力的创新者,带来了专门的威胁检测应用程序或作为服务的车辆安全运营中心(SOC)。这些创新解决方案能够为企业提供更加灵活、高效的网络安全服务,满足企业多样化的需求。 信息技术(IT)和运营技术(OT)公司正拓展至相邻的汽车网络安全市场,如同一位跨界明星,凭借其在信息技术领域的优势,为汽车行业提供后端解决方案或网络安全组件。半导体公司则通过多种举措向价值链上游拓展,就像一位精明的商人,提供针对其芯片优化的软件,提高芯片的安全性能和应用价值。 在这场汽车网络安全的变革中,新技能和人才是保障车辆软硬件安全的关键,严格的流程和快速响应能力是企业应对安全威胁的法宝,而市场的扩容和各参与方的战略博弈则为行业发展带来了新的机遇和挑战。只有紧跟时代步伐,不断提升自身实力,汽车行业才能在这场变革中立于不败之地,为用户提供更加安全、可靠的出行体验。 搁笔分享完毕! 愿你我相信时间的力量 做一个长期主义者
