小鹏汽车信息安全工程师(渗透方向)
任职要求
1. 本科及以上学历,有甲方安全经验优先; 2. 了解通用加密算法、Selinux特性、安全启动原理、安全刷写原理、TEE原理、RTOS系统特性、硬件电路构成; 3. 熟悉嵌入式/安卓/linux安全、硬件安全、代码审计、固件逆向分析、以太/CAN/UDS/DOIP协议特性。 4. 了解国内外安全认证要求,例如:WP29 R155、《汽车整车信息安全技术要求》、ISO 21434; 5. 熟悉常规编程语言 python、 go、 java、C 中任意两种语言; 加分项: 1、具有中大型安全平台开发成品经验; 2、参加过车联网安全比赛或车联网安全公开演讲; 3、参与过 R155、R156 获证过程。
工作职责
1. 负责整车攻防渗透,并根据业务特性与漏洞原理,输出可落地的修复方案; 2. 负责大屏、Tbox、OBD、无线电、车控APP等ECU应用的安全方案设计、评审、验收; 3. 负责拉通业务团队进行需求安全评审。
方向1:安全合规、运营与技术 负责整车项目、自研系统(如座舱/智驾)及委外零部件的安全管理及运营工作,包括不限于: 1. 跟进行业安全法规及标准,结合合规要求支撑企业安全体系及能力建设等管理工作; 2. TARA分析、安全需求设计、方案设计等技术工作; 3. 推动安全需求及方案落地,漏洞管理与推修、应急响应等运营工作。 方向2:渗透测试与功能验证 负责理想汽车从零部件到整车的信息安全功能验证、渗透测试,自动化渗透与检测能力建设。
工作职责 1.负责信息安全管理体系、流程、制度的设计和优化,保证管理制度的合理性和落地性; 2.负责公司的信息安全教育及宣传,建设安全文化,提升全员安全意识,并对全员安全意识进行考核; 3.负责公司内外部信息安全审计的规划与执行,应对外部体系审核,就审核问题进行排查与整改; 4.负责公司安全系统的日常运维、策略优化、故障处理; 5.参与公司信息安全建设项目,信息安全事件应急处置等工作
1、负责Android系统、应用相关的安全开发与研究; 2、负责Android系统、应用相关的安全渗透与对抗; 3、负责Android系统、应用相关的业务安全防护与方案设计; 4、负责公司安全体系建设、行业安全标准建设。
信息安全方向: 1、网络&应用安全 - 领导信息安全风险评估、漏洞扫描、渗透测试,制定有效的风险缓解与应急响应计划;监控公司核心系统、平台与数据的安全态势,建立高效的威胁检测与响应机制(SIEM、SOC); 2、数据安全 - 建立完善的数据资产分级体系,并设计和建设体系化的数据安全工程体系和防控体; 3、安全制度和培训 - 联动研发、运维、法务、合规等部门推动全公司的安全措施实施,主导全员安全培训与安全意识提升计划; 4、安全技术研究 - 关注前沿安全技术动态,推进零信任架构、DevSecOps、AI驱动安全等新技术应用。 应用安全方向: 1、参与SDLC(安全开发生命周期)能力的建设,包括安全流程、自动化工具(黑盒/白盒/灰盒)、指标体系等; 2、负责公司应用系统和APP的安全测试,发现应用/数据/隐私相关风险漏洞; 3、负责日常应用安全事件的分析和应急响应,跟进前沿安全技术领域研究。 数据安全方向: 1、分析数据安全需求,负责数据安全产品的系统设计&核心功能开发和维护工作,包括但不限于加解密、脱敏、UEBA、数据网关等; 2、组织开展数据安全风险评估,识别潜在漏洞并提出可行的改进措施; 3、负责数据安全技术方案选型、系统部署与运维,推动安全能力落地。