8月12日，馬斯克在推特發(fā)布消息，特斯拉計(jì)劃向其他汽車廠商開放汽車安全軟件的源代碼，旨在通過眾人之力，提升汽車的安全性。

而與此同時(shí)，通用汽車近日發(fā)布了一項(xiàng)高額的漏洞懸賞計(jì)劃，要讓程序員們?yōu)槠渫诰驖撛诘木W(wǎng)絡(luò)安全問題和產(chǎn)品的潛在弱點(diǎn)。

“整體來看，威脅等級(jí)只會(huì)從這里增長(zhǎng)，這就是為什么我們投入如此多的精力和資源來保持領(lǐng)先，并迅速迭代的原因，”通用汽車總裁丹·阿曼周五表示在底特律的比林頓網(wǎng)絡(luò)安全峰會(huì)上發(fā)表演講。

這項(xiàng)計(jì)劃將將包括一組約10名或更少的研究人員，也被稱為“白帽黑客”。通用汽車全球網(wǎng)絡(luò)安全副總裁Jeff Massimilla表示，這些組員是從參與通用汽車漏洞披露計(jì)劃的500多名研究人員中選出的。通用將向他們展示懸賞計(jì)劃中設(shè)計(jì)的產(chǎn)品、計(jì)劃和系統(tǒng)。

無論特斯拉開放源代碼，還是通用推出漏洞懸賞計(jì)劃，目的只有一個(gè)，提升汽車網(wǎng)絡(luò)的安全性。

問題很嚴(yán)峻

汽車網(wǎng)絡(luò)安全的問題到底有多嚴(yán)重？可以從一些案例看出：2014年360安全實(shí)驗(yàn)室負(fù)責(zé)人劉健皓破解特斯拉，通過發(fā)送遠(yuǎn)程鏈接即可獲得特斯拉駕駛權(quán)；

2015年兩名白帽黑客通過遠(yuǎn)程入侵了Jeep，可以做出減速、關(guān)閉引擎、突然制動(dòng)等動(dòng)作；騰訊科恩實(shí)驗(yàn)室2016年、2017年利用特斯拉多個(gè)高危安全漏洞實(shí)現(xiàn)對(duì)特斯拉的無物理接觸遠(yuǎn)程攻擊，能夠在駐車模式和行駛模式下對(duì)特斯拉進(jìn)行任意遠(yuǎn)程操控。

2017年科恩實(shí)驗(yàn)室對(duì)寶馬i系、X系、3系、5系、7系等網(wǎng)聯(lián)汽車進(jìn)行了研究，證明可以通過遠(yuǎn)程破解車載信息娛樂系統(tǒng)、車載通訊模塊等，獲取CAN總線的控制權(quán)，實(shí)現(xiàn)了自上而下的完整控制。

以上案例，證明了汽車在聯(lián)網(wǎng)狀態(tài)下存在諸多可被攻破的漏洞，而這種漏洞又永遠(yuǎn)無法根除。“隨著數(shù)字系統(tǒng)越來越成為汽車安全系統(tǒng)的核心，網(wǎng)絡(luò)安全已經(jīng)成為我們的首要任務(wù)”美國(guó)國(guó)家公路交通安全管理局副局長(zhǎng)Heidi King在SAE / NHTSA網(wǎng)絡(luò)安全研討會(huì)上如是說。

汽車上除了ECU的密布，現(xiàn)在越來越多的ADAS技術(shù)被應(yīng)用到汽車的安全駕駛中，但人們更多的關(guān)注點(diǎn)是在這些輔助功能的執(zhí)行、決策的可靠性、安全性，或多或少的忽略了汽車在電子化、智能化的同時(shí)，也增加了遠(yuǎn)程破解的風(fēng)險(xiǎn)。

另外一方面，通過無線接口將基礎(chǔ)設(shè)施技術(shù)和車輛系統(tǒng)拉近的趨勢(shì)也使車輛成為網(wǎng)絡(luò)生態(tài)系統(tǒng)的一部分，從而可能引發(fā)重大的安全和網(wǎng)絡(luò)安全問題。

這些是真實(shí)存在的問題，為了避免這種安全隱患，世界各國(guó)都開始了汽車網(wǎng)絡(luò)安全的研究，制定相應(yīng)的法規(guī)政策。而在這些國(guó)家中，美國(guó)又走在了前面。

美歐領(lǐng)先

2016年初，世界第一個(gè)汽車網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)是J3061《信息物理融合系統(tǒng)網(wǎng)絡(luò)安全指南》發(fā)布，此標(biāo)準(zhǔn)由SAE發(fā)布，旨在通過統(tǒng)一全球標(biāo)準(zhǔn)，來推動(dòng)汽車電氣系統(tǒng)與其他互聯(lián)系統(tǒng)之間安全流程的建立。

指南就網(wǎng)絡(luò)安全概念，安全產(chǎn)品的設(shè)計(jì)、管理、執(zhí)行等進(jìn)行了闡述，并提供了一些工具。

同年美國(guó)國(guó)家公路交通安全管理局（NHTSA）也發(fā)布了《汽車最佳網(wǎng)絡(luò)安全指南》，幫助汽車制造商應(yīng)對(duì)網(wǎng)絡(luò)攻擊可能給聯(lián)網(wǎng)汽車帶來的安全威脅，提供了如何防止汽車被接入未授權(quán)網(wǎng)絡(luò)，如何保護(hù)關(guān)鍵安全系統(tǒng)與個(gè)人數(shù)據(jù)，以及如何從網(wǎng)絡(luò)攻擊中快速恢復(fù)等方法，并藉此進(jìn)行了廣泛的網(wǎng)絡(luò)安全測(cè)試。

2017年7月份，歐洲網(wǎng)絡(luò)信息安全局ENISA發(fā)布了智能汽車網(wǎng)絡(luò)安全最佳實(shí)踐研究報(bào)告，目標(biāo)受眾是汽車制造商、供應(yīng)商和服務(wù)商，報(bào)告對(duì)智能汽車安全架構(gòu)、當(dāng)前面臨的威脅（攻擊面和場(chǎng)景模式）進(jìn)行了深入研究，并從政策和標(biāo)準(zhǔn)、組織方法、技術(shù)三個(gè)層面給出了智能汽車網(wǎng)絡(luò)安全的最佳實(shí)踐建議。

反觀國(guó)內(nèi)，2016年全國(guó)汽車標(biāo)準(zhǔn)委員會(huì)推出了《智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系建設(shè)方案》，其中信息安全標(biāo)準(zhǔn)體系（204）也是其中重要的一部分。2017年發(fā)布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，客觀上對(duì)車聯(lián)網(wǎng)安全起到了一定的警醒示范作用。但我國(guó)還沒有發(fā)布官方的汽車網(wǎng)絡(luò)安全相關(guān)說明書。

建立標(biāo)準(zhǔn)、指導(dǎo)說明書體現(xiàn)了國(guó)家對(duì)汽車網(wǎng)絡(luò)安全的重視度，但如何真正有效落實(shí)汽車網(wǎng)絡(luò)安全的防范與應(yīng)對(duì)，還有很多工作要做。

共享安全平臺(tái)

美國(guó)國(guó)家公路交通安全管理局（NHTSA）通過關(guān)注車輛的無線和有線入口點(diǎn)來推動(dòng)多層次的網(wǎng)絡(luò)安全方法，這些入口點(diǎn)可能容易受到網(wǎng)絡(luò)攻擊。

車輛網(wǎng)絡(luò)安全的分層方法降低了成功進(jìn)行車輛網(wǎng)絡(luò)攻擊的可能性，并減輕了成功入侵的潛在后果。為車輛開發(fā)分層網(wǎng)絡(luò)安全保護(hù)的全面而系統(tǒng)的方法包括：

1、基于風(fēng)險(xiǎn)的安全關(guān)鍵車輛控制系統(tǒng)優(yōu)先識(shí)別和保護(hù)過程;

2、及時(shí)發(fā)現(xiàn)并快速響應(yīng)美國(guó)道路上潛在的車輛網(wǎng)絡(luò)安全事件;

3、設(shè)計(jì)網(wǎng)絡(luò)彈性并促進(jìn)事件發(fā)生時(shí)快速恢復(fù)的架構(gòu)，方法和措施;

4、全行業(yè)有效情報(bào)和信息共享的方法，以促進(jìn)快速采用全行業(yè)經(jīng)驗(yàn)教訓(xùn)。

NHTSA鼓勵(lì)組建Auto-ISAC，這是一個(gè)強(qiáng)調(diào)整個(gè)汽車行業(yè)的網(wǎng)絡(luò)安全意識(shí)和協(xié)作的行業(yè)環(huán)境。

Auto-ISAC (Automotive Information Sharing and Analysis Center) “汽車信息共享與分析中心” 成立于2016年1月，其正式名稱為北美汽車行業(yè)的網(wǎng)絡(luò)安全信息中心。

它擔(dān)負(fù)著制定并維護(hù)一系列汽車網(wǎng)絡(luò)安全最佳實(shí)踐（Automotive Cybersecurity Best Practices）的任務(wù)，包括管治、風(fēng)險(xiǎn)管理、安全設(shè)計(jì)、檢測(cè)威脅、事件響應(yīng)、培訓(xùn)以及與相關(guān)第三方合作。Heidi King表示：Auto-ISAC為行業(yè)提供了一個(gè)中央樞紐和安全港，以共享網(wǎng)絡(luò)安全信息。

因?yàn)檎嬲枰氖窃趯?shí)施最佳做法和分享可能的威脅和脆弱性信息方面取得穩(wěn)步進(jìn)展，并在確定后迅速幫助彼此解決，而這是Auto-ISAC能夠?yàn)檎麄€(gè)行業(yè)做到的。

國(guó)內(nèi)目前也正在大力推進(jìn)智能網(wǎng)聯(lián)的發(fā)展，在標(biāo)準(zhǔn)制定、具體執(zhí)行層面，其實(shí)可以參考國(guó)外的做法，將有實(shí)力的OEM、車聯(lián)網(wǎng)設(shè)備商、網(wǎng)絡(luò)安全方整合到統(tǒng)一的平臺(tái)，定期進(jìn)行學(xué)術(shù)研討、規(guī)則的更新。

汽車安全問題不是單獨(dú)存在的，而是牽一發(fā)動(dòng)全身的問題，在這個(gè)鏈條中，沒有任何單獨(dú)一方能夠獨(dú)自面對(duì)、有效響應(yīng)。