博智视野

03

2024/11 

前言

The preface

为国家安全锻矛铸盾

博御天下 智行千里

忠于使命、臻于品质

精于技术、勇于担当

目录

contents

Company dynamics

03

公司动态

activities of the Party organization

02

05

01

IMPORTANT EVENTS

04

行业政策解读

INDUSTRY  POLICY  INTERPRETATION

20

13

目录

contents

Learning Garden

06

Employee entertainment

07

员工文苑

Management experience

管理心得

博智大事记

IMPORTANT EVENTS

大事记

博智大事记

IMPORTANT EVENTS

7月

博智大事记

IMPORTANT EVENTS

2024年7月16日，嘶吼安全产业研究院发布《嘶吼2024网络安全产业图谱》，博智安全科技股份有限公司被评为网络靶场全国第一，并入选28大细分领域。

7月

2024年7月，博智安全科技股份有限公司重磅推出工业资产测绘与脆弱性评估系统3.0版本，该系统可以准确识别互联网上设备的暴露情况，发现联网设备潜在的漏洞和风险，通过内置POC库确认资产脆弱性，更加准确全面的掌握联网资产安全风险态势。

博智大事记

IMPORTANT EVENTS

根据中共江苏省委网络安全和信息化委员会办公室《关于开展2024年度江苏省网络安全服务资源池申报工作的通知》，共54家单位进入2024年度江苏省网络安全服务资源池，博智安全科技股份有限公司成功入选应急处置服务类、新技术安全服务类和网络安全持续改进服务类三个类别。

2024年7月10日，麒麟软件安全生态联盟2024年第二次工作会议在北京成功召开，博智安全科技股份有限公司受邀参会，并正式成为麒麟软件安全生态联盟新晋会员单位。

7月

博智大事记

IMPORTANT EVENTS

2024年7月23日，博智安全科技股份有限公司与深信服科技股份有限公司签署战略合作协议，双方约定建立全面的战略合作关系，深信服高级副总裁罗友军、ISV业务部总经理李保国、解决方案专家武立忠、高级销售经理李玉鹤，博智安全副总裁郑轶、副总裁王路路、总工程师胡志锋共同出席了签约仪式。

2024年7月28日，全国工业互联网安全前沿技术师资培训在成都信息工程大学举办，本次培训由成都信息工程大学网络空间安全学院、工业与信息化部电子第五研究所、博智安全科技股份有限公司共同主办。

7月

博智大事记

IMPORTANT EVENTS

2024年8月，在江苏省工信厅指导下开展2024年工业软件优秀产品和应用解决方案评选活动，博智工业互联网安全应急处置工具箱和博智装备网络安全试验鉴定解决方案，分别斩获2024年江苏省工业软件优秀产品和应用解决方案。

2024年8月，2024中国自动化产业年会（CAIAC2024）暨第十九届中国自动化产业世纪行于北京举行，博智安全科技股份有限公司荣获”2023年度优质工业安全服务商“，这是博智安全连续第四年获该项殊荣。

8月

博智大事记

IMPORTANT EVENTS

9月5日，CNVD平台完成2023年度技术组支撑单位的能力评价工作。通过综合考量企业提交情况和平台统计数据，从漏洞收集工作、漏洞发现工作、漏洞威胁风险大数据工作、漏洞技术分析工作、重大漏洞事件响应工作和集体任务协作六个能力象限，对支撑单位的年度工作情况进行了统计和评价，并对优秀支撑单位和行业单位进行表彰。

9月

博智大事记

IMPORTANT EVENTS

9月10日，第六届“纵横”网络空间安全创新论坛在广东广州举办，来自中央国家机关、军队有关单位、地方高校、科研院所和部分高新技术企业的千余名专家和代表参加，围绕贯彻落实总体国家安全观、建设网络强国战略部署，推动网络安全建设进行深入研讨交流。博智安全科技股份有限公司（以下简称“博智安全”）专注于国防安全领域，受邀出席本次创新成果展，博智安全非攻研究院副院长程旺宗作《电力专用设备漏洞挖掘技术研究》报告分享。

为深入贯彻习近平总书记关于实战型人才培养的重要指示精神，落实中央网信办关于国产化建设和教育部“实战能力攀登工程” 等有关重要文件精神，华中科技大学网络空间安全学院校企合作研讨会于9月21日在武汉国家网安基地召开。博智安全科技股份有限公司（以下简称“博智安全”）深度参与本次研讨会，亮点纷呈。

9月

activities of the Party organization

activities of the Party organization

       胡燕书记强调，组织党员过“政治生日”具有十分重要的政治意义，通过“政治生日”这种庄严的仪式，有利于进一步强化党员的身份意识和责任意识，明确个人的政治信仰，增强集体荣誉感和归属感。进一步鼓励大家学习研究党的历史，把党的优良品质传承发扬下去，在平凡的工作岗位中不忘初心，脚踏实地干好本职工作，以奋发向上的姿态、积极饱满的热情投入到企业发展中去。

公司动态

Company dynamics

业绩快报：

More than Security. 不止安全

       在经营情况方面，公司紧紧围绕年度经营目标，稳步推进各项工作，实现业绩的稳定增长，截止到2024年9月底，营业收入较去年同期增长了48.4％。

       在新增业务方面，公司2024年1-9月共新签订合同397项；随着业务体量的增加，销售费用支出虽比上一季度有所提高，但相比去年同期下降约9.31％，管理费用相比去年同期下降约19.88％，研发费用相比去年同期下降约22.2％，以上数据体现出公司通过推动组织结构优化，合理分配人员，加强部门协同等措施，保证产出的同时节省了开支，实现了资源的充分利用和整体的降本增效，为公司稳中向好发展提供了坚实基础。

知识产权

       截止到2024年9月30日，公司累计获得各类知识产权375项，具体如下：专利69项，著作权300项，商标6项； 其中2024年1-9月新增专利20项，著作权26项。

公司动态

Company dynamics

总部新大楼建设进程

公司动态

Company dynamics

       博智大楼于2021年1月26日正式开工建设,截止到2024年9月30日，项目整体已完成95%,现处于安装调试和园区绿化阶段。

       大楼计划11月完成幕墙工程收尾和专项验收；电梯调试已完成专项验收；报防雷、节能已完成验收，档案验收资料正在准备中；室外景观苗木种植，局部硬质铺装正在有序进行。

       预计2024年12月完成档案验收、消防联动调试；预计2025年1月完成规划验收，同年3月完成消防验收，并在3月底组织竣工验收并办理备案手续。                                 

资质荣誉

公司动态

Company dynamics

公司动态

Company dynamics

荣誉名称

颁发单位

资质荣誉

随着智能网联汽车行业的迅猛发展，汽车已不再仅仅是传统的交通工具，而是逐渐演变成为具备高度智能化和网络连接能力的移动终端。这种转变使得车辆、乘客与外部环境之间的信息交互变得更加便捷，但同时也带来了一系列新的信息安全挑战。

由中国工业和信息化部主管，中国汽车技术研究中心有限公司等机构参与起草的GB 44495-2024《汽车整车信息安全技术要求》这一国家强制性标准已于2024年8月23日正式对外发布，并计划于2026年1月1日起正式生效。该标准不仅涵盖了汽车信息安全管理体系的要求，还包含了信息安全一般要求、技术要求、检查与测试方法，以及同一型式判定等内容。它是国内首个将体系要求纳入标准之中，要求企业必须制定详尽的流程和规范，以确保风险管理工作的有序进行，从而有效降低人为错误和疏漏的可能性。

标准中对信息安全的技术要求覆盖了车辆的外部连接安全、通信安全、软件升级安全以及数据安全等多个关键领域，为汽车制造商在信息安全方面提供了全面的指导和支持。GB 44495-2024强标适用于M类、N类及至少装有1个电子控制单元（ECU，Electronic Control Unit）的O类车辆。

GB 44495-2024《汽车整车信息安全技术要求》解读

作者：邓勇（工业互联网安全产品运营部）            

行业政策解读

INDUSTRY  POLICY  INTERPRETATION

GB 44495-2024强标指出了车辆制造商应具备车辆全生命周期的汽车信息安全管理体系，规定车辆产品开发流程应遵循汽车信息安全管理体系，同时对车辆制造商针对风险识别、管理、评估的组织流程、责任和治理措施提出了明确的要求。

在企业内部管理汽车信息安全的过程方面，企业需要建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程，并确保车辆风险评估保持最新状态；企业需要建立用于车辆信息安全测试的过程，以及针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报机制。并且，企业需要针对车辆不同零部件具有的信息安全风险，建立管理企业与零部件供应商、服务供应商之间信息安全依赖关系的过程，控制与供应商相关的外部风险。

行业政策解读

INDUSTRY  POLICY  INTERPRETATION

GB 44495-2024强标指出了车辆产品开发流程应遵循汽车信息安全管理体系要求，规定了应识别车辆的关键要素，对车辆进行详细的风险评估，合理管理已识别的风险。

应通过适当和充分的测试来验证所实施的信息安全措施的有效性，并针对车辆实施相应措施，以识别和防御针对该车辆的网络攻击、网络威胁和漏洞，并为车辆生产企业在识别与车辆相关的网络攻击、网络威胁和漏洞方面提供监测能力，以及为分析网络攻击、网络威胁和漏洞提供数据取证能力。

面对当前网络环境的复杂性，信息技术的快速进步使得外部有线和无线连接成为攻击者的主要入侵手段，安全威胁如非法连接、数据泄露和恶意软件感染等问题日益严重。因此，GB 44495-2024在技术规范中首先强调了对外部连接安全的防护，目的是防止攻击者通过外部连接进入汽车系统，从而避免敏感数据的泄露、未授权访问和恶意攻击，确保汽车业务的持续运行和稳定性。主要的测试对象涵盖了TBOX、工业以太网接口、Wi-Fi接口、关键零部件的固件、第三方应用程序、APP、USB接口以及CAN诊断接口等。外部连接安全测试要求图如下所示：

通信网络是现代社会数据传输的核心，对汽车与外界的数据交互至关重要。面对黑客攻击、病毒和数据泄露等安全威胁，通信安全保护数据的保密性、完整性和可用性，对维护企业利益和国家安全具有重大意义。GB 44495-2024信息安全标准将通信安全作为重点，确保信息系统和数据传输的安全性，测试对象包括网络协议、WLAN、蓝牙、V2X通信、射频钥匙和OBD接口等。通信安全技术测试要求如下图所示：

行业政策解读

INDUSTRY  POLICY  INTERPRETATION

软件升级是提升系统性能、修复漏洞和改善用户体验的关键方式。但升级过程也可能引入安全风险，如系统不稳定、数据丢失或被恶意软件利用，威胁系统安全。攻击者可能通过伪装升级包或在升级时窃取信息来发动攻击。因此，确保软件升级的安全性对于抵御外部威胁、保护系统安全极为重要。主要测试对象包括车载软件升级系统的ECU、网络通信协议、升级包和升级日志等。软件升级安全技术测试要求如下图所示：

随着汽车信息化的不断进步，数据在其全生命周期中的安全性变得越来越重要。网络攻击、数据泄露和内部误操作等安全事件频发，对个人隐私、企业运营和国家安全构成了严重威胁。车内数据安全不仅涉及个人隐私保护，防止敏感信息泄露和滥用，还直接关联到行车安全

行业政策解读

INDUSTRY  POLICY  INTERPRETATION

关键参数的不当修改可能引发严重后果。因此，强化数据安全保护对于提供可靠的信息安全保障和确保车辆关键参数安全至关重要。GB 44495-2024标准中，数据安全部分的主要测试对象包括IVI、TBOX、网关和ADAS域控制器等关键车内组件。数据安全技术测试要求如下图所示：

      随着网络通信技术和汽车产业的快速发展，车联网内数据交互日益频繁，同时，车联网的安全问题也日益严重，软件集成和车机协同互联带来了许多安全问题。2021年9月15日，工业和信息化部发布了《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》，要求车企加强车联网网络安全和数据安全。2025年，绝大部分新的车型将具备自动驾驶和联网功能。

      车联网领域面临安全防护能力弱、检测不全面，合规检测困难、认证机制和访问控制明显不足、安全测试成本高，测试工具零散等安全痛点。因此国家出台了相关国家标准及政策法规，包括《GB 44495-2024信息安全技术要求》、《车联网服务平台网络安全防护要求》、《GB/T 40855-2021《电动汽车远程信息服务与管理系统信息安全技术要求及试验方法》、《GB/T 40861-2021汽车信息安全通用技术要求》、《GB/T 40857-2021汽车网关信息安全技术要求及试验方法》、《GB/T 40856-2021车载信息交互系统信息安全技术要求及试验方法》等。

     针对车联网领域有效的测试方法主要包括车载系统合规检测、车载固件检测、车载系统漏洞检测、车联网APP检测、车载网络安全检测、wifi安全检测、蓝牙安全检测、密码破解测试等，有效的测试方法如下图所示：

管理心得

Management experience

     管理的精髓，在于我们秉持的管理观念，它不仅塑造了我们的管理行为，也决定了我们如何审视管理的本质。探寻“管理为何”的深层次问题，实则是对管理观念的深刻反思。唯有清晰的管理愿景作为灯塔，方能指引出明确的管理路径与适宜的评判标准。在此，我们倡导的组织管理哲学，蕴含三大核心支柱：

       管理的核心使命，在于对绩效的不懈追求。绩效，是效益与效率的和谐共生，它要求我们在追求高效益的同时，确保时间成本的最优化。因此，无论管理策略与行为如何多样，唯有那些能实质提升绩效的，方为有效之道；反之，则无异于管理资源的无谓消耗。

       现象透视一：功劳与苦劳的辨识：在日常管理的舞台上，常闻“苦劳”之声，如“我虽无功，却有苦劳”。这种以自我付出为衡量标准的观念，忽视了绩效的实际产出。我们需明确，唯有实实在在的成果——功劳，方能铸就绩效的辉煌；而单纯的苦劳，不过是无果之花，难以转化为组织成长的养分。

       现象透视二：能力与态度的平衡艺术：能力与态度，管理天平的两端，需审慎平衡。过度偏重态度，往往导致“劣币驱逐良币”，让真正有能力者难以施展，而能力欠缺者却因态度端正而安享其成。我们应深知，能力是绩效的源泉，态度则需转化为能力方能见效。因此，倡导以能力为核心，同时鼓励积极态度的管理文化，方为正道。

作者： 董雷刚   

我们倡导的管理观

管理心得

Management experience

       管理，简而言之，即是对权力、责任与利益的合理分配。这一分配过程，需确保三者构成一个稳固的等边三角形，任何一方的失衡都将导致管理的失败。管理者应避免将权力与利益独揽，而将责任推卸；或仅保留权力，而将利益与责任一并转移。管理的智慧，在于基于责任明确的基础上，合理配置资源，确保每位成员都能分享到管理成功的果实。

三、管理始终为经营服务

       管理，是经营的坚实后盾，其核心价值在于为经营服务。经营与管理，如车之双轮，鸟之双翼，相辅相成。经营负责选对方向，管理则确保路径的顺畅与高效。管理策略的选择，应紧密贴合经营战略的需求。无论是成本控制、品质提升，还是流程优化、柔性管理，管理行为的每一步都应服务于经营目标的实现，确保组织在正确的轨道上稳健前行。

       综上所述，我们的组织管理哲学，是对绩效的执着追求，是对权力、责任与利益分配的精准把握，更是对经营战略的坚定服务。在这一理念的引领下，我们将致力于构建高效、和谐、持续发展的组织生态。

一种JDK内存过高的动态合并微服务处理方法

作者：宋恒嘉（技术平台部）     

学习园地

Learning Garden

在此基础上，公司于2019年开始对所有产品线的项目基于Spring Cloud进行了微服务化改造，同时将各个项目的公共业务部分剥离出来，形成了一套业务中台系统，业务中台系统由网关、注册中心、用户中心和系统管理四个微服务构成。每一套新的软件产品都集成了业务中台系统，业务软件只需关注自己业务侧的代码实现，无需关注公共的业务逻辑处理。在分布式环境下，将微服务通过docker-compose或Kubernetes部署在服务端，这种插拔式的微服务设计方法，取得了良好的效果，避免了很多重复的工作。

Martin Fowler于2014年3月提出了微服务化的概念，自此之后，软件系统由SOA架构逐步向微服务架构发展和演变。微服务是指将一个大型的、复杂的软件系统拆分为一个或多个微服务，系统中的每一个微服务都可以被独立部署和使用，每个微服务之间都是松耦合的，每个微服务都可以提供自己单独的业务能力。目前国内外使用较多的微服务框架为Spring Cloud和Dubbo。本文选用Spring Cloud 作为微服务框架，因为Spring Cloud针对服务发现注册 、配置中心 、消息总线 、负载均衡 、断路器 、数据监控等操作为开发者提供了一套更为简易的编程模型，使开发者能够在Spring Boot的基础上轻松地实现功能的微服务化。

中台4个微服务在基于Open Java Development Kit (openjdk)运行时，占用的内存在3G左右。但是在某些场景下，业务中台需要在单机环境下也能够支持运行，常用的是8G、16G内存，某些极端环境为4G内存。如果业务中台占用3G内存，将导致项目侧的微服务没有过多的内存空间可以使用，如果过度降低Java Virtual Machine(Java虚拟机)参数可能会导致功能不可用，为此需要针对单机环境实现一套新的代码。

针对这一问题，本文阐述了一种在Maven编译和打包时动态合并微服务、动态去除注册中心的方法，将业务中台的微服务进行动态整合、共享jdk，只需要1.1G内存即可以提供业务中台最基本的功能，解决了使用同一套代码在内存有限的单机环境下仍然可以正常运行的问题。

学习园地

Learning Garden

注册中心采用的是Spring Cloud Eureka组件，当各个微服务节点启动后，会自动向Eureka Server发起注册申请，Eureka Server中的服务注册表将会存储所有可以使用的微服务节点信息，注册中心正常启动时需要占用1G内存左右。

网关采用的是Spring Cloud Gateway组件，它是所有微服务接口调用的前置门户入口。所有请求首先通过网关，然后通过URL路径的路由定位到具体的微服务节点上，正常启动时需要占用400M内存左右。

用户中心主要包括了用户管理、角色管理、菜单管理和组织管理等基本功能，这些功能基本是所有业务系统都需要的功能，正常启动时需要占用800M内存左右。

系统管理主要包括系统状态、安全配置、系统日志、字典管理等功能，主要是涉及整个系统的全局配置和服务器管理，正常启动时需要占用800M内存左右。

业务中台系统

在Jenkins构建部署任务时，通过maven将代码编译为jar包并推送到harbor镜像仓库，服务部署时将镜像拉取到服务端后，通过docker-compose或Kubernetes进行服务的部署，其中用户中心和系统管理的jvm参数为：java -Xmx1600m -Xms1600m -XX:+StartAttachListener -XX:NewSize=500m -XX:MaxNewSize=500m -XX:NewRatio=2 -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:-CMSConcurrentMTEnabled -XX:CMSInitiatingOccupancyFraction=70 -XX:+CMSParallelRemarkEnabled -Duser.timezone=Asia/Shanghai -Djava.security.egd=file:/dev/./urandom -jar /app.jar"；其中newSize代表新生代初始化内存的大小；NewRatio代表年轻代和老年代的比例，垃圾回收器采用UseParNewGC进行回收。

学习园地

Learning Garden

在集群环境下，四个微服务进行单实例部署并正常启动后，需要占用的内存为3G左右。本文阐述的主要是如何通过在编译打包时动态合并微服务，将内存降到1.1G左右的方法。

优化方案整体流程大致分为七步，包括：源码准备、文件动态拷贝、全局配置文件处理、数据库脚本处理、去除注册中心相关配置、生成最终的Docker镜像和部署。

动态合并微服务

在pom根目录下用户中心代码文件夹为user-center,系统管理代码文件夹为system-center,在执行mvn clean package前，提前创建新的文件夹merge-business，并合入代码仓库，merge-business用户存放用户中心和系统管理合并之后的业务代码。

由于上文拷贝的文件主要涉及业务层的代码，这些代码一般是相互隔离的，同时在用户中心和系统管理的子工程中存在部分全局代码和配置文件，例如定时器任务、Swagger配置、application.yaml、dockerfile、sh文件等，这些配置文件和代码，需要提前编写好，放到merge-business文件夹中的modify目录中，在执行merge-business打包时，将这些文件动态拷贝到merge-business下的指定目录，此时当用户中心、系统管理微服务中修改定时器任务、swagger配置等全局文件时，需要同步修改merge-business下modify文件夹的文件，这些全局文件相较于所有代码大概占比1%。

数据库采用的flyway组件，flyway 是一款开源的数据库版本管理工具，它可以很方便的在Java应用程序中引入，用于管理数据库版本。在Maven打包时，只需将不同业务模块的数据库sql文件拷贝到merge-business中，由于不同业务模块的sql文件前面的版本号可能重复，例如都写成V1.01，因此需要重新规范sql文件的命名格式，将V1.01_system_center_db_init.sql名称修改为V20210815.0344.29_system_center_db_init.sql这种带日期时间的格式，这种精确到具体日期时间的命名方式，在项目较多时，也可能会存在日期和时间完全一致的情况，只需在执行jenkins编译任务前通过自定义的小工具检查是否有相同版本号的情况即可。

学习园地

Learning Garden

文件动态拷贝

maven-antrun-plugin插件提供了在Maven中运行Ant任务的功能。执行configuration下的tasks任务可以实现在maven编译后对文件夹和单个文件的复制和删除。在用户中心和系统管理子Maven工程下的pom文件中分别添加tasks任务，将所有的Spring boot的Controller层、Service层、数据库层的代码统一拷贝到merge-business的文件夹中，执行拷贝任务前需要先执行清空文件夹或文件的任务，防止代码碎片的产生。

动态取消注册中心

注册中心服务是基于Euraka实现的，Euraka是Spring Cloud集合中一个组件，用于服务注册和发现。它是Netflix中的一个开源框架，和 zookeeper、Consul一样，用于服务注册管理。

业务代码初始编写时使用的是Feign接口调用的方式，Feign是Netflix开发的声明式、模板化的HTTP客户端， 它可以帮助开发者更快捷、优雅地调用HTTP API。在接口调用时，只需要声明调用的微服务名称即可，不需要指定具体的ip地址，即使ip地址发生变化，也可以通过心跳机制寻找到最新的ip地址。同时它还支持Hystrix断路器和Ribbon的负载均衡，项目在集群化部署时，一般使用Feign进行接口调用，简化开发和配置的流程。

系统网关服务采用的是Spring Cloud Gateway，在Gateway中，默认使用@EnableCircuitBreaker断路器和@EnableDiscoveryClient开启服务发现，因此application启动类需要在编译打包时动态去除服务发现，使服务在没有Euraka注册中心时也可以正常运行，同时业务侧服务的代码也需要在打包时动态去除@EnableDiscoveryClient的注解。

经过以上编译打包时合并微服务、去除注册中心的操作后，将merge-business和网关服务通过docker部署在单机环境下，网关占用内存350M左右，merge-business占用内存800M左右，在保证基本功能可以使用的前提下，将JDK内存消耗降低了62%。

学习园地

Learning Garden

去除注册中心

由于注册中心在正常运行时需要占用1G内存左右，在单机环境下是一种较大的性能消耗，因此在单机环境中不使用Euraka注册中心，docker服务通过host模式进行部署，接口调用修改为直接调用ip地址的方式，即直接通过127.0.0.1地址访问接口。

为了解决在单机部署环境下JDK内存占用过高的问题，本文阐述了一种在编译打包时动态合并微服务、同时动态去除注册中心的方法。这种方法解决了使用同一套代码既可以在集群环境下运行，也可以在内存较少的单机环境下运行的的问题，业务中台在保证功能正常的同时，JDK内存占用从3G优化到了1.1G左右。

员工文苑

Employee entertainment

工作中的我们是相似的一丝不苟

生活中的我们却是别样的五彩斑斓

让我们一起走进博智人的生活

看看这缤纷的一面

走进博智人的生活

编辑：张合天予

员工文苑

Employee entertainment

员工文苑

Employee entertainment

博智安全科技股份有限公司

地址：南京市雨花台区软件大道 168 号 C 座 5 层

电话：400-100-0298转1

内部资料

  总       编：胡    燕

  主       编：董雷刚

   责任编辑：古    娟 

    内容校对：张合天予