VSOC 托管运营服务

以"少误报、快响应、留证据、可审计"为目标,提供 5×8 现场支撑 + 7×24 自动化处置的全流程汽车网络安全运营闭环。L1/L2/L3 三级团队协同,贯通"异常→告警→分级→处置→复盘",与车企 CSMS 体系深度融合,满足 UN R155 对每辆车的持续监测要求。

Managed Operations

5×8 现场 + 7×24 自动化

Weekday on-site + full-time automated

L1 / L2 / L3 三级团队

Three-tier collaborative operations

UN R155 / CSMS 合规

Continuous monitoring & auditable

为什么需要 VSOC 托管运营

UN R155 要求车企对每一辆已售车辆进行持续网络安全监测,CSMS 体系要求具备可审计的运营闭环能力。自建运营团队面临人才稀缺、流程不成熟、情报覆盖不足等挑战,托管运营可快速建立合规且高效的运营能力。

R155 持续监测强制要求

UN R155 明确要求车企对已售车辆进行全生命周期网络安全监测,缺乏持续运营能力将无法通过型式认证和后续审计。

运营人才稀缺

汽车网络安全运营需要懂车端协议、云端平台、威胁情报和应急响应的复合型人才,市场供给严重不足,自建团队周期长、成本高。

流程与体系不成熟

从事件分级、检测用例、工单闭环到报告体系,需要多年实战沉淀。临时组建的团队难以在短时间内建立可审计的运营流程。

规模增长带来精细化诉求

随着车量、数据量与告警峰值增长,运营从"稳态可用"进入"精益可控"阶段,需要在信噪比、场景覆盖、情报闭环等方面持续优化。

出海合规差异化

不同目标市场(欧盟、中东、东南亚)的监管与审计深度不同,需要具备多区域、多法规体系的运营支撑能力。

威胁场景持续演进

APP、蓝牙、账户、OTA 等关键威胁场景持续增多,漏洞情报跟踪与检测策略需要常态化更新,非一次性建设可覆盖。

VSOC 托管运营服务是什么

木卫四 VSOC 托管运营服务是面向车企网络安全团队的端到端运营外包服务。以 S3-VSOC 平台为底座,由木卫四专业运营团队提供 5×8 现场支撑与 7×24 自动化处置,覆盖监测、告警、分级、处置、复盘全流程,与车企 CSMS 体系协同,形成实时监测、精准情报、快速识别、高效处置与闭环管理的常态化能力。

运营模式

5×8 现场 + 7×24 自动化

团队配置

L1/L2/L3 三级协同

事件分级

P0–P3 四级响应

服务周期

全年持续运营

合规支撑

UN R155 / CSMS

报告体系

日/周/月/年报

运营服务清单

八项核心服务全年持续交付,覆盖从日常监测到应急演练的完整运营链条

VSOC 基础运营

车辆网络安全数据监测,异常事件处置。全年持续运行,保障平台稳定运营与风险实时可见。

全年
运营体系建设

根据客户企业内部 CSMS 要求及相关法律法规规定,设计并完善运营流程及过程文件,确保运营可审计、可追溯。

全年
安全事件库创建与更新

异常信号检测器、告警策略的设计与优化,建立事件分类分级库与检测用例库,持续迭代检测能力。

全年
威胁情报支撑

威胁情报的收集与整理,企业相关情报分析及上报,覆盖 CVE/NVD/CNVD、厂商通告与行业联盟。

全年
车型合规上线支持

配合企业完成相关法规认证及有关部门审查,协助完成现场平台演示、认证文档编写等工作。

全年
车辆网络安全应急演练

定期根据 VSOC 平台日常监测到的异常信息及告警事件设计演练方案,依托内部工具完成数据模拟、安全修复等工作。

1-2 次/年
平台渗透测试

定期对 VSOC 平台进行渗透测试,聚焦平台核心安全维度,提供测试报告和修复方案。

2 次/年
安全培训及知识库搭建

搭建 VSOC 安全运营知识库,定期对运营人员及甲方相关人员进行知识培训,包括平台使用、检测逻辑设计、数据采集原理等。

全年

运营团队组织与职责

L1/L2/L3 三级团队分层协同,职责清晰、升级机制明确

L1
基础运营岗

基础防线

  • 基础数据统计与监测
  • 异常数据定时上报
  • 车辆信息录入与注册信息筛查
  • 汽车威胁情报收集
L2
技术分析岗

技术支撑

  • 继承 L1 全部职责
  • 异常日志初步整理与分析
  • 汽车威胁情报深度分析
  • 检测用例与告警策略优化建议
L3
运营响应岗

责任枢纽

  • 继承 L2 全部职责
  • 异常/告警数据最终审查
  • 异常/告警事件分级上报
  • 处置方案制定与全流程闭环管理
  • 与车企 CSMS 团队协同对接

事件分类分级与响应时效

建立"事件分类分级库"作为监测、告警、工单、审计的统一参照,按 P0–P3 四级制定差异化响应标准

发生域

车端/ECU、网关与通信、充电与能源链路、移动 App/账号、车云/后端 API、OTA/SUMS、供应链/第三方

行为类型

未授权访问/控制、可用性下降/拒绝服务、数据与隐私、完整性与篡改、横向移动/传播、加密材料受损

级别名称响应时间说明
P1
紧急级别2 小时可能导致远程控车、大规模数据泄露或平台被攻陷的严重安全事件
P2
高优级别4 小时存在可利用攻击路径、影响多车辆或关键功能的安全事件
P3
中优级别6 小时局部异常或潜在风险,尚未形成实际危害但需跟踪处置
P4
低优级别10 小时低风险告警或情报线索,纳入常规分析流程处理

5×8 现场 + 7×24 自动化运营机制

工作日固定排班保障持续稳定运营,非工作日依托平台自动化处置与多渠道告警推送

工作日
5×8 现场支撑

工作日推行 5×8 小时固定排班机制,保障 VSOC 持续稳定运营,实现车辆网络安全风险的实时监测与动态管控。针对 P1–P4 不同等级安全事件,明确差异化响应时效标准(2h/4h/6h/10h)。

全时段
7×24 事件处理

依托 VSOC 平台内置自动处置工具,实现安全事件全时段自动化处置。非工作日期间若发生 P1/P2 级高风险事件,平台通过飞书机器人、钉钉机器人、邮件等多渠道第一时间触发推送,运营人员以最快速度抵达现场完成事件分析、应急处置及逐级上报。

应急
应急响应机制

针对重大安全事件启动应急响应流程,L3 运营响应岗主导处置方案制定,联动车企 CSMS 团队执行应急响应预案,确保风险及时可控、证据完整留痕、复盘可审计。

检测用例库与事件库

一条事件定义关联多个检测用例,异常由用例触发、告警由事件触发、工单按事件库归类定级

1
提案

提交事件条目草案(含最小字段)

2
对齐

联合评审会确认定义与边界,补充示例与证据要点

3
入库

形成正式条目,分配版本号,同步到监测/工单/报表数据字典

4
联动

运营侧据此配置用例与检测器

5
变更

新增/修订/废弃均走变更单,保留历史版本可追溯

EventIncidentID事件名称建议级别关联用例
EI-OTA-001OTA 包完整性异常
P2
UC-OTA-Sign-01、UC-OTA-Delta-03
EI-API-002车云 API 越权访问
P1
UC-API-Auth-02、UC-API-Rate-05
EI-ACC-003账号凭据滥用
P2
UC-ACC-Brute-01、UC-ACC-Token-02

漏洞与威胁情报跟踪

覆盖舆情、权威平台、厂商通告与行业联盟,形成日更-周报-重大情报三级跟踪机制

日更情报清单
每日 09:00 前

覆盖舆情、权威平台(CVE/NVD/CNVD 等)、厂商通告与行业联盟,形成"过去 24h 情报清单",包含来源链接、关联资产/车型、情报信息摘要。

最小字段:来源/链接、关联资产/车型(若有)、情报信息摘要
周度情报摘要
每周五 18:00 前

每周汇总新增漏洞分级统计和重点威胁影响面,对重点条目进行解读,输出趋势分析。

最小字段:新增漏洞/情报分级分布统计、重点条目解读
重大情报技术分析
按需触发

触发"总部技术快审"(安全架构师/情报研究员/车型工程师),输出技术分析与处置建议。

最小字段:影响评估、可利用性、缓解/修复建议

工单闭环处理机制

所有安全相关事项(检测告警、情报、渗透/演练发现、审计问题)一律通过 VSOC 工单模块受理

1
受理与去重

平台自动/人工去重、合并同源,生成工单号。

2
研判与指派

对事件进行初步研判,按事件库给出 P0–P3 建议级别。

3
处置与授权

形成处置建议,按权限层级执行处置操作。

4
验证与关闭

处置验证、恢复确认与持续监控,闭环关闭工单。

运营报告体系

四级报告体系覆盖日/周/月/年,确保运营过程可追溯、运营质量可度量、运营规划可审计

日报
每日

记录当天汽车网络安全关键信息:工单处理情况(处理数量、已解决、待解决)、应急事件发生情况(事件数量、类型、处理进展)、漏洞情报简要情况(新增数量、高危数量)。

周报
每周

对一周日常运营汇总分析:日报关键信息周累计、工单处理效率分析(平均处理时长、超时工单及原因)、应急事件处理总结、漏洞情报周分析(类型分布、影响范围评估)。

月报
每月

在周报基础上全面深入:月度运营目标完成情况、月度安全风险评估、下月运营工作重点计划,支撑管理层决策。

年报
每年

对全年运营全面回顾:年度运营数据总览、年度安全事件统计与分析(重大事件详细复盘)、年度目标达成情况、改进措施、下一年度安全运营战略规划。

车型合规上线支持

配合车企完成 R155、工信部等合规审查,协助完成现场平台演示、认证文档编写等工作

R155 型式认证支撑

提供 VSOC 持续监测能力证明、运营流程文档、事件处置记录等认证所需材料。

CSMS 体系对接

运营流程与车企 CSMS 体系深度融合,确保运营闭环可审计、可追溯。

工信部合规审查

配合完成国内监管审查,提供平台演示、数据报表、运营记录等审查材料。

海外认证支持

支撑欧盟、中东、东南亚等多区域认证,提供本地化运营证据与合规报告。

平台安全及应急响应演练

定期检验 VSOC 平台安全性与运营团队应急响应能力

平台渗透测试
2 次/年

运营团队提供每年两次的平台渗透测试服务,聚焦 VSOC 平台核心安全维度,提供渗透测试报告和修复方案。

车辆网络安全应急响应演练
1 次/年

结合 VSOC 平台应用场景制定《VSOC 平台应急演练方案》,明确参演角色(平台操作员、技术处置组)、演练流程(告警发现→风险分析→技术处置→恢复验证→复盘),提供模拟攻击工具与异常事件触发脚本。

常见问题

S3-VSOC 是木卫四的车辆安全运营中心平台产品,提供监测、告警、工单、报表等技术能力。VSOC 托管运营服务则是基于 S3-VSOC 平台,由木卫四专业运营团队提供的人头+流程+工具一体化运营外包服务。您可以只采购平台自建运营团队,也可以选择托管运营服务快速建立合规运营能力。

5×8 指工作日(周一至周五)每天 8 小时现场固定排班,由 L1/L2/L3 运营人员在客户现场或木卫四运营中心提供实时支撑。7×24 指全时段(含非工作日和夜间)依托 VSOC 平台内置自动化工具进行事件处置,遇到 P1/P2 级高风险事件时通过飞书、钉钉、邮件等多渠道推送告警,运营人员以最快速度响应。

标配三级团队:L1 基础运营岗负责日常数据监测与情报收集;L2 技术分析岗负责异常日志分析、情报深度分析与检测用例优化;L3 运营响应岗负责事件最终审查、分级上报、处置方案制定与全流程闭环管理,并与车企 CSMS 团队对接。具体人员数量根据接入车辆规模和告警峰值配额化规划。

我们的运营流程严格对标 UN R155 CSMS 体系要求:建立事件分类分级库、检测用例库、工单闭环机制、四级报告体系,所有运营动作留证据、可审计。在车型认证阶段提供持续监测能力证明、运营流程文档、事件处置记录等认证材料,支撑型式认证与后续审计。

我们按 P0–P3(或 P1–P4)四级制定差异化响应时效:紧急级别(P1)2 小时内响应,高优级别(P2)4 小时内响应,中优级别(P3)6 小时内响应,低优级别(P4)10 小时内响应。具体处理时长根据客户 CSMS 要求执行,所有响应与处置过程均记录在工单中可追溯。

覆盖三大类来源:一是权威漏洞平台(CVE、NVD、CNVD 等);二是厂商安全通告与行业联盟情报;三是舆情监测与技术社区动态。形成每日情报清单(09:00 前交付)、每周情报摘要(周五 18:00 前交付),重大情报触发总部技术快审并输出技术分析与处置建议。

支持。我们已在欧盟主域实现 7×24 持续运营,L1/L2/L3 与车企 CSMS 闭环稳定运行。运营能力按车型与区域线性扩展、按接入规模配额化规划,可支撑欧盟、中东、东南亚等多区域的海外车型统一运营。

包含。我们搭建 VSOC 安全运营知识库,定期对运营人员及甲方相关人员进行知识培训,内容包括但不限于平台使用、检测逻辑设计、数据采集原理、事件分析方法、工单处置流程等。帮助车企团队逐步建立自主运营能力,降低长期对外部依赖。

准备好建立您的 VSOC 托管运营能力了吗?

从 5×8 现场支撑到 7×24 自动化处置,木卫四帮您构建合规、高效、可审计的汽车安全运营闭环。

联系我们 了解汽车安全服务

汽车智能化变革,汽车安全挑战日益突出,车企亟需升级安全防护体系。
木卫四(北京)科技有限公司是由全球首批专注于汽车网络安全的技术专家创立、由全球知名机构投资、具备多项自主知识产权的国家高新技术企业。
GDPR
车辆网络安全标准
汽车信息安全通用技术要求
遵从《车联网网络安全和数据安全标准体系建设指南》,满足GB/T 40861-2021 《汽车信息安全通用技术要求》,建立及提供汽车网络安全服务,我们为客户处理的任何数据及发现的任何风险都是客户的私有资产,未经授权无法访问。
©2022 木卫四(北京)科技有限公司京ICP备2022011284号-1
ISO/SAE 21434
车辆网络安全认证
ISO/SAE 21434UN R155UN R156

联系我们获取满足欧盟法规的ISO和WP.29认证服务。

电话:4001059410

地址:北京市海淀区硅谷亮城2A座201