SASETalk | 十年网络安全老兵谈智能汽车安全：从信任危机到零信任防御

"SASETalk"是磐时打造的深度访谈栏目，通过与企业内资深技术专家对话，记录他们亲历的技术历程与行业观察，从个人视角解读行业发展变迁，共同探讨未来技术趋势与工程师成长路径。

本期嘉宾 PROFILE

PART.01/

安全认知的演进：

从事件中重塑理念

Q：在您的从业经历中，有哪些行业内的关键事件让您对“安全”一词的理解发生了根本性的转变？

A：我想分享三个案例，他们给我带来了三个不同维度的认知转变。

案例一 /

CASE ONE

BleedingBit 漏洞 - 从网络安全到人身安全的融合

https://www.anquanke.com/post/id/163307

“安全研究人员最近公布了两个蓝牙芯片漏洞的漏洞细节，并将之命名为 BleedingBit 。这两个漏洞可以让攻击者实现远程代码执行，因为涉及到非常多的物联网设备，包括一些医学设备如胰岛素泵、心脏起搏器等，所以这两个漏洞的危害极其严重。”

这次事件让我深刻认识到，当软件与物理世界、与人的生命深度交织时，安全的边界已从虚拟空间直接扩展到生命本身。我意识到，在物联网时代，网络安全（Security）与功能安全（Safety）的界限正在模糊甚至消失。一个用于提供便利和远程监控的蓝牙连接功能，如果缺乏顶级的、内生的安全设计，就可能从“生命线”变成潜在的风险源。

这一认知的转变彻底改变了我评估风险的维度：风险的标的不再仅仅是信息资产的价值，而是直接与人的健康甚至生命挂钩。

案例二 /

CASE TWO

ZigBee 协议攻击 - 从边界防护到零信任的理念变化

https://securityaffairs.com/97392/hacking/philips-smart-light-bulbs-hack.html

“攻击者利用 ZigBee 无线通信协议中的漏洞，通过攻击一只智能灯泡，便能以蠕虫病毒的方式感染同一网络中的其他灯泡，进而攻击控制桥梁渗透进入家庭WIFI，最终渗透到家庭WIFI中的笔记本电脑和路由器。”

这次事件打破了我对“物理隔离即安全”的传统认知，揭示了在高级别攻击下，不同网络域之间的“空气间隙”可以被无形穿透。攻击链条显示，攻击始于一个看似不起眼的智能灯泡，通过利用协议漏洞，最终竟能威胁到整个网络的核心系统。这揭示了现代互联系统中复杂的、隐性的信任链的脆弱性。安全不能再依靠简单的网络区域划分和边界防护，“内部网络绝对可信”的假设需要被彻底摒弃，零信任架构中“从不信任，始终验证”的理念变得至关重要。

案例三 /

CASE THREE

摄像头隐私泄露 - 从技术问题到社会信任危机

“黑客大规模破解家用摄像头，导致用户最为私密的家庭生活场景被放在网上公开售卖或直播。”

这系列事件显现出安全问题的终极冲击，往往不是技术本身，而是用户信任和社会伦理的崩塌。当人们出于安全目的安装的摄像头，反而成为隐私泄露的源头时，这动摇了用户对数字服务最基本的信任基础。当企业不仅未能保护好数据，其产品甚至成为隐私泄露的源头时，这便从技术安全问题演变为商业伦理甚至社会公信力问题。我意识到，安全与隐私保护必须成为产品设计的起点，是企业的核心社会责任，而不仅是合规成本或技术补丁。

BleedingBit 漏洞表明，网络攻击可直接造成物理世界的伤害。ZigBee 攻击证明，固化的信任边界不堪一击，必须在系统内部构建持续验证的机制。摄像头泄露事件警示我们，安全失败不仅导致技术故障，更会引发信任破产，因此必须是企业高层的战略核心。

行业威胁的洞察：

被低估的“系统性信任危机”

Q：作为一名从业十余年的网络安全专家，在您看来，当前智能汽车面临的最严峻、却最容易被低估的安全威胁是什么？

A：在我来看，当前严峻却容易被忽视的安全威胁是隐藏在“软件定义汽车”背后的“系统性信任链危机”。它渗透在汽车设计、生产、运营全生命周期。可以从三个方面来阐述：

软件供应链的“透明性危机”

智能汽车代码量极大，预计在高级别自动驾驶阶段将超过10亿行，且多来自第三方供应商，车企难监管所有代码与安全实践。开发测试阶段遗留的后门或调试接口若未关闭，将成为潜伏的致命威胁。

车云API接口的“边界失控”

车云通信中特别是远程控制、OTA升级等API 接口是攻击者常用通道，攻击者可能利用简单的公开信息（如车架号）结合 API 漏洞实现低成本远程攻击，例如解锁车门甚至启动引擎。云平台被突破可能导致大规模车辆批量操控。

数据聚合的“隐私迷宫”

智能汽车采集大量敏感数据，流转的各环节均存在风险。如车载系统（如MCU媒体控制单元）即使在车辆报废后，仍可能存有未彻底清除的敏感信息并在市场上流通。同时，数据违规收集、共享利用不规范等问题也十分突出，当用户的私密座舱空间无法得到安全保障，将严重影响用户对智能网联服务的信任。

职业路径的抉择：

从“救火”到“防火”的使命

Q：从一线安全专家到咨询顾问，您为何选择了这条职业发展路径？

A：首先，是追求更广泛的安全提升。在担任一线安全专家期间，我的工作成果主要服务于单一产品或一家企业。我清晰地看到，整个汽车供应链的网络安全水平提升，远比单个节点的强大更为重要。作为顾问，我能将过去积累的最佳实践和踩过的“坑”，转化为可复用的方法论，帮助更多的企业从一开始就“做对”，从而提升整个产业链的安全基线。

其次，是应对行业的核心挑战。汽车网络安全是一个强合规驱动、且技术迭代极快的领域。许多企业面临的困境不是缺乏技术专家，而是如何将21434、WP.29 R155等抽象的标准要求，与企业具体的研发流程、组织架构和现有技术栈进行深度融合。我十余年的一线攻防和架构经验，恰恰能在这里发挥关键作用。我不仅能告诉客户标准“是什么”，更能结合真实的攻击案例和系统架构设计，解释“为什么”要这么做，以及“如何”在资源约束下最经济高效地落地。这种将合规要求、技术实现与商业可行性相结合的能力，是纯粹的技术或纯粹的合规角色难以替代的，也是顾问工作的核心价值所在。

最后，是对自我成长的追求。顾问角色要求我不断站在行业前沿，面对不同客户各异的业务场景和技术基础，这迫使我一直保持学习和思考的状态。这个角色让我能持续深化对行业的理解，并将这种认知反哺给客户，共同应对未来的安全挑战。这是一个双向赋能、共同成长的过程，非常有吸引力。

合规实践的破局：

从标准条文到体系落地

Q：当前，智能网联汽车的网络安全正受到前所未有的关注。在您看来，整车厂及零部件供应商在推进ISO/SAE 21434合规过程中，面临的核心挑战是什么？您作为顾问，如何帮助他们应对？

A：在智能网联汽车快速发展的背景下，整车厂及零部件供应商在推进ISO/SAE 21434合规时，确实面临一些普遍且深刻的挑战。这些挑战的核心往往不在于“是否要合规”，而在于“如何将合规要求高效、扎实地融入现有的产品研发和工程实践”，避免流程与实战“两张皮”。结合当前的行业实践和监管趋势，我认为挑战主要集中在以下三个方面，而我们的顾问工作也正是围绕这些痛点展开。

体系融合与流程落地之困

许多企业现有的研发流程（如功能安全ISO 26262、质量管理ASPICE）与ISO 21434引入的网络安全要求相互独立，难以协同，导致开发团队负担加重，甚至出现“为认证而认证”的情况。监管要求也正趋于严格，强调全生命周期的可追溯和可验证。

我们的应对是推动“一次开发，多重合规”的流程融合。我们协助客户将网络安全活动（如威胁分析与风险评估TARA）无缝嵌入其既有的 “V” 模型开发流程中。例如，在系统需求规格中同时定义功能需求和安全需求，在软件架构设计中并行进行威胁建模和设计模式检查。这样不仅提升了效率（有实践表明需求变更率可降低超过50%），更确保了合规要求的切实落地。

TARA的深度与实效性不足

TARA是21434的核心，但企业常面临资产识别不全、风险评估主观性强、分析结果无法有效转化为具体可验证的安全需求等问题。

我们的应对是通过联合办公的形式，引导客户进行场景化、深度的TARA实操。我们不仅传授方法论，更会结合真实的攻击案例（如针对CAN总线、OTA升级的攻击路径），带领客户团队系统性地识别资产、构思威胁场景、评估影响和攻击可行性，并最终导出清晰、可追溯的网络安全目标和具体技术需求。目标是让TARA从一份合规文档，变成真正指导安全设计和测试的路线图。

供应链安全协同与安全文化培育之难

汽车供应链长且复杂，主机厂如何将安全要求有效传递至各级供应商并验证其交付物的安全性是一大难题。同时，企业内部开发团队可能更关注功能实现，将安全活动视为额外负担，缺乏主动的安全意识。

我们的应对是双管齐下。在供应链管理上，我们帮助客户制定清晰的、针对不同层级供应商的网络安全要求包和验收标准，并建立供应商能力评估与共享机制。在内部安全文化上，我们提供从管理层到开发层的定制化培训，并将安全要求转化为工程师易懂的规范、指南和检查表，同时推动将网络安全指标纳入绩效考核，从而提升整个组织的安全内生动力。

总而言之，作为顾问，我们的核心价值在于扮演“翻译官”和“架构师”的角色，将抽象的标准要求转化为客户研发体系中原生、可执行的一部分，帮助他们不仅获得认证，更建立起能够持续演进、适应未来威胁的真正安全能力。