"SASETalk"是磐時打造的深度訪談欄目，通過與企業(yè)內資深技術專家對話，記錄他們親歷的技術歷程與行業(yè)觀察，從個人視角解讀行業(yè)發(fā)展變遷，共同探討未來技術趨勢與工程師成長路徑。

本期嘉賓 PROFILE

PART.01/

安全認知的演進：

從事件中重塑理念

Q：在您的從業(yè)經(jīng)歷中，有哪些行業(yè)內的關鍵事件讓您對“安全”一詞的理解發(fā)生了根本性的轉變？

A：我想分享三個案例，他們給我?guī)砹巳齻€不同維度的認知轉變。

案例一 /

CASE ONE

BleedingBit 漏洞 - 從網(wǎng)絡安全到人身安全的融合

https://www.anquanke.com/post/id/163307

“安全研究人員最近公布了兩個藍牙芯片漏洞的漏洞細節(jié)，并將之命名為 BleedingBit 。這兩個漏洞可以讓攻擊者實現(xiàn)遠程代碼執(zhí)行，因為涉及到非常多的物聯(lián)網(wǎng)設備，包括一些醫(yī)學設備如胰島素泵、心臟起搏器等，所以這兩個漏洞的危害極其嚴重?！?/p>

這次事件讓我深刻認識到，當軟件與物理世界、與人的生命深度交織時，安全的邊界已從虛擬空間直接擴展到生命本身。我意識到，在物聯(lián)網(wǎng)時代，網(wǎng)絡安全（Security）與功能安全（Safety）的界限正在模糊甚至消失。一個用于提供便利和遠程監(jiān)控的藍牙連接功能，如果缺乏頂級的、內生的安全設計，就可能從“生命線”變成潛在的風險源。

這一認知的轉變徹底改變了我評估風險的維度：風險的標的不再僅僅是信息資產(chǎn)的價值，而是直接與人的健康甚至生命掛鉤。

案例二 /

CASE TWO

ZigBee 協(xié)議攻擊 - 從邊界防護到零信任的理念變化

https://securityaffairs.com/97392/hacking/philips-smart-light-bulbs-hack.html

“攻擊者利用 ZigBee 無線通信協(xié)議中的漏洞，通過攻擊一只智能燈泡，便能以蠕蟲病毒的方式感染同一網(wǎng)絡中的其他燈泡，進而攻擊控制橋梁滲透進入家庭WIFI，最終滲透到家庭WIFI中的筆記本電腦和路由器?！?/p>

這次事件打破了我對“物理隔離即安全”的傳統(tǒng)認知，揭示了在高級別攻擊下，不同網(wǎng)絡域之間的“空氣間隙”可以被無形穿透。攻擊鏈條顯示，攻擊始于一個看似不起眼的智能燈泡，通過利用協(xié)議漏洞，最終竟能威脅到整個網(wǎng)絡的核心系統(tǒng)。這揭示了現(xiàn)代互聯(lián)系統(tǒng)中復雜的、隱性的信任鏈的脆弱性。安全不能再依靠簡單的網(wǎng)絡區(qū)域劃分和邊界防護，“內部網(wǎng)絡絕對可信”的假設需要被徹底摒棄，零信任架構中“從不信任，始終驗證”的理念變得至關重要。

案例三 /

CASE THREE

攝像頭隱私泄露 - 從技術問題到社會信任危機

“黑客大規(guī)模破解家用攝像頭，導致用戶最為私密的家庭生活場景被放在網(wǎng)上公開售賣或直播?！?/p>

這系列事件顯現(xiàn)出安全問題的終極沖擊，往往不是技術本身，而是用戶信任和社會倫理的崩塌。當人們出于安全目的安裝的攝像頭，反而成為隱私泄露的源頭時，這動搖了用戶對數(shù)字服務最基本的信任基礎。當企業(yè)不僅未能保護好數(shù)據(jù)，其產(chǎn)品甚至成為隱私泄露的源頭時，這便從技術安全問題演變?yōu)樯虡I(yè)倫理甚至社會公信力問題。我意識到，安全與隱私保護必須成為產(chǎn)品設計的起點，是企業(yè)的核心社會責任，而不僅是合規(guī)成本或技術補丁。

BleedingBit 漏洞表明，網(wǎng)絡攻擊可直接造成物理世界的傷害。ZigBee 攻擊證明，固化的信任邊界不堪一擊，必須在系統(tǒng)內部構建持續(xù)驗證的機制。攝像頭泄露事件警示我們，安全失敗不僅導致技術故障，更會引發(fā)信任破產(chǎn)，因此必須是企業(yè)高層的戰(zhàn)略核心。

行業(yè)威脅的洞察：

被低估的“系統(tǒng)性信任危機”

Q：作為一名從業(yè)十余年的網(wǎng)絡安全專家，在您看來，當前智能汽車面臨的最嚴峻、卻最容易被低估的安全威脅是什么？

A：在我來看，當前嚴峻卻容易被忽視的安全威脅是隱藏在“軟件定義汽車”背后的“系統(tǒng)性信任鏈危機”。它滲透在汽車設計、生產(chǎn)、運營全生命周期?？梢詮娜齻€方面來闡述：

軟件供應鏈的“透明性危機”

智能汽車代碼量極大，預計在高級別自動駕駛階段將超過10億行，且多來自第三方供應商，車企難監(jiān)管所有代碼與安全實踐。開發(fā)測試階段遺留的后門或調試接口若未關閉，將成為潛伏的致命威脅。

車云API接口的“邊界失控”

車云通信中特別是遠程控制、OTA升級等API 接口是攻擊者常用通道，攻擊者可能利用簡單的公開信息（如車架號）結合 API 漏洞實現(xiàn)低成本遠程攻擊，例如解鎖車門甚至啟動引擎。云平臺被突破可能導致大規(guī)模車輛批量操控。

數(shù)據(jù)聚合的“隱私迷宮”

智能汽車采集大量敏感數(shù)據(jù)，流轉的各環(huán)節(jié)均存在風險。如車載系統(tǒng)（如MCU媒體控制單元）即使在車輛報廢后，仍可能存有未徹底清除的敏感信息并在市場上流通。同時，數(shù)據(jù)違規(guī)收集、共享利用不規(guī)范等問題也十分突出，當用戶的私密座艙空間無法得到安全保障，將嚴重影響用戶對智能網(wǎng)聯(lián)服務的信任。

職業(yè)路徑的抉擇：

從“救火”到“防火”的使命

Q：從一線安全專家到咨詢顧問，您為何選擇了這條職業(yè)發(fā)展路徑？

A：首先，是追求更廣泛的安全提升。在擔任一線安全專家期間，我的工作成果主要服務于單一產(chǎn)品或一家企業(yè)。我清晰地看到，整個汽車供應鏈的網(wǎng)絡安全水平提升，遠比單個節(jié)點的強大更為重要。作為顧問，我能將過去積累的最佳實踐和踩過的“坑”，轉化為可復用的方法論，幫助更多的企業(yè)從一開始就“做對”，從而提升整個產(chǎn)業(yè)鏈的安全基線。

其次，是應對行業(yè)的核心挑戰(zhàn)。汽車網(wǎng)絡安全是一個強合規(guī)驅動、且技術迭代極快的領域。許多企業(yè)面臨的困境不是缺乏技術專家，而是如何將21434、WP.29 R155等抽象的標準要求，與企業(yè)具體的研發(fā)流程、組織架構和現(xiàn)有技術棧進行深度融合。我十余年的一線攻防和架構經(jīng)驗，恰恰能在這里發(fā)揮關鍵作用。我不僅能告訴客戶標準“是什么”，更能結合真實的攻擊案例和系統(tǒng)架構設計，解釋“為什么”要這么做，以及“如何”在資源約束下最經(jīng)濟高效地落地。這種將合規(guī)要求、技術實現(xiàn)與商業(yè)可行性相結合的能力，是純粹的技術或純粹的合規(guī)角色難以替代的，也是顧問工作的核心價值所在。

最后，是對自我成長的追求。顧問角色要求我不斷站在行業(yè)前沿，面對不同客戶各異的業(yè)務場景和技術基礎，這迫使我一直保持學習和思考的狀態(tài)。這個角色讓我能持續(xù)深化對行業(yè)的理解，并將這種認知反哺給客戶，共同應對未來的安全挑戰(zhàn)。這是一個雙向賦能、共同成長的過程，非常有吸引力。

合規(guī)實踐的破局：

從標準條文到體系落地

Q：當前，智能網(wǎng)聯(lián)汽車的網(wǎng)絡安全正受到前所未有的關注。在您看來，整車廠及零部件供應商在推進ISO/SAE 21434合規(guī)過程中，面臨的核心挑戰(zhàn)是什么？您作為顧問，如何幫助他們應對？

A：在智能網(wǎng)聯(lián)汽車快速發(fā)展的背景下，整車廠及零部件供應商在推進ISO/SAE 21434合規(guī)時，確實面臨一些普遍且深刻的挑戰(zhàn)。這些挑戰(zhàn)的核心往往不在于“是否要合規(guī)”，而在于“如何將合規(guī)要求高效、扎實地融入現(xiàn)有的產(chǎn)品研發(fā)和工程實踐”，避免流程與實戰(zhàn)“兩張皮”。結合當前的行業(yè)實踐和監(jiān)管趨勢，我認為挑戰(zhàn)主要集中在以下三個方面，而我們的顧問工作也正是圍繞這些痛點展開。

體系融合與流程落地之困

許多企業(yè)現(xiàn)有的研發(fā)流程（如功能安全ISO 26262、質量管理ASPICE）與ISO 21434引入的網(wǎng)絡安全要求相互獨立，難以協(xié)同，導致開發(fā)團隊負擔加重，甚至出現(xiàn)“為認證而認證”的情況。監(jiān)管要求也正趨于嚴格，強調全生命周期的可追溯和可驗證。

我們的應對是推動“一次開發(fā)，多重合規(guī)”的流程融合。我們協(xié)助客戶將網(wǎng)絡安全活動（如威脅分析與風險評估TARA）無縫嵌入其既有的 “V” 模型開發(fā)流程中。例如，在系統(tǒng)需求規(guī)格中同時定義功能需求和安全需求，在軟件架構設計中并行進行威脅建模和設計模式檢查。這樣不僅提升了效率（有實踐表明需求變更率可降低超過50%），更確保了合規(guī)要求的切實落地。

TARA的深度與實效性不足

TARA是21434的核心，但企業(yè)常面臨資產(chǎn)識別不全、風險評估主觀性強、分析結果無法有效轉化為具體可驗證的安全需求等問題。

我們的應對是通過聯(lián)合辦公的形式，引導客戶進行場景化、深度的TARA實操。我們不僅傳授方法論，更會結合真實的攻擊案例（如針對CAN總線、OTA升級的攻擊路徑），帶領客戶團隊系統(tǒng)性地識別資產(chǎn)、構思威脅場景、評估影響和攻擊可行性，并最終導出清晰、可追溯的網(wǎng)絡安全目標和具體技術需求。目標是讓TARA從一份合規(guī)文檔，變成真正指導安全設計和測試的路線圖。

供應鏈安全協(xié)同與安全文化培育之難

汽車供應鏈長且復雜，主機廠如何將安全要求有效傳遞至各級供應商并驗證其交付物的安全性是一大難題。同時，企業(yè)內部開發(fā)團隊可能更關注功能實現(xiàn)，將安全活動視為額外負擔，缺乏主動的安全意識。

我們的應對是雙管齊下。在供應鏈管理上，我們幫助客戶制定清晰的、針對不同層級供應商的網(wǎng)絡安全要求包和驗收標準，并建立供應商能力評估與共享機制。在內部安全文化上，我們提供從管理層到開發(fā)層的定制化培訓，并將安全要求轉化為工程師易懂的規(guī)范、指南和檢查表，同時推動將網(wǎng)絡安全指標納入績效考核，從而提升整個組織的安全內生動力。

總而言之，作為顧問，我們的核心價值在于扮演“翻譯官”和“架構師”的角色，將抽象的標準要求轉化為客戶研發(fā)體系中原生、可執(zhí)行的一部分，幫助他們不僅獲得認證，更建立起能夠持續(xù)演進、適應未來威脅的真正安全能力。