关于汽车信息安全工程师这个职业

       目前汽车功能安全这个领域是已经火了，未来随着车辆网、智能座舱、ADAS的爆发增长，作为IOT一部分的汽车，其信息安全的会跟今天的功能安全一样，被国内各大OEM重视（PS：信息安全国外已经很重视了，国内没办法，总是慢一拍）。那么作为一名有意向进入汽车信息安全领域的小伙伴，如何考虑汽车信息安全工程师这个岗位呢？以下见解，不喜勿喷。

      vehicle security engineer，注意是security不是cybersecurity，是攻城狮不是程序猿。

      首先就security来讲，汽车因为其产业的特殊性，安全要求级别高（毕竟人命关天）、汽车产业链长。作为信息安全工程师，必须要考虑整个汽车生态链的安全，即security，而不是仅仅关注汽车本身的安全，即cyebrsecurity。如果作为OEM安全团队的一员，security是一定需要考虑的，毕竟产品做得再好，别人不好好用或者自己监督不到位，产品再好也没用，最大的威胁在于人以及流程。至于如何解决不包含cybersecurity的汽车信息安全，可以参考各类最佳实践以及咨询专业的安全管理公司。

       再说一下cybersecurity，汽车本身的安全而言，抛开安全产品的研发，即程序猿和辛苦的硬件工程师们，主要可以分为系统需求工程师和安全测试工程师。系统需求工程师需要对汽车系统有一个系统的认识，你需要熟悉各种车内ECU、各种通信协议、各种常见的攻击方式、各类安全标准（希望你看到这篇文章的时候，21434已经出来了），如果项目团队够大，也可以专注于几个领域；平时还得follow一下又没有自己领域的漏洞啊、攻击事件等等，还要根据后面的研发和测试团队反馈的结果，不断完善需求，怎么来说，你不一定要懂的精细，但你一定要懂的全面。安全测试工程师，相信很多人都想从事的领域，细分为正向安全测试工程师和反向的安全测试工程师，正向安全测试，你需要对系统工程师提出的安全需求进行一项项的功能性测试，看是否满足，不要想着会很轻松，量多而且还需要搭建各类测试台架，不过精通脚本或许可以减少很大的工作量；反向的安全测试工程师，类似于渗透测试，在这个领域，你就不要想所有的你都会，无线、嵌入式系统安全、操作系统安全、web安全这些你很难都会的，一定要先专注一个领域，慢慢来，相对于黑客而言，你有更加系统且昂贵的工具，你还有机会接触源码，所以相对于黑客，你会轻松那么一点点，记住，只是一点点。

       再次说一下，安全无小事，一定要仔细再仔细，模糊不清的，一定要列出来，即时是你自己知道的，也要列出来。你的知道不是大家的知道，一定要落实到文字、文件上，后面一定要核验。信息安全可以有待定，但实现了的安全，只有是或否。