汽车网络安全隐患重重，特斯拉开放源代码

8月12日，马斯克在推特发布消息，特斯拉计划向其他汽车厂商开放汽车安全软件的源代码，旨在通过众人之力，提升汽车的安全性。

而与此同时，通用汽车近日发布了一项高额的漏洞悬赏计划，要让程序员们为其挖掘潜在的网络安全问题和产品的潜在弱点。

“整体来看，威胁等级只会从这里增长，这就是为什么我们投入如此多的精力和资源来保持领先，并迅速迭代的原因，”通用汽车总裁丹·阿曼周五表示在底特律的比林顿网络安全峰会上发表演讲。

这项计划将将包括一组约10名或更少的研究人员，也被称为“白帽黑客”。通用汽车全球网络安全副总裁Jeff Massimilla表示，这些组员是从参与通用汽车漏洞披露计划的500多名研究人员中选出的。通用将向他们展示悬赏计划中设计的产品、计划和系统。

无论特斯拉开放源代码，还是通用推出漏洞悬赏计划，目的只有一个，提升汽车网络的安全性。

问题很严峻

汽车网络安全的问题到底有多严重？可以从一些案例看出：2014年360安全实验室负责人刘健皓破解特斯拉，通过发送远程链接即可获得特斯拉驾驶权；

2015年两名白帽黑客通过远程入侵了Jeep，可以做出减速、关闭引擎、突然制动等动作；腾讯科恩实验室2016年、2017年利用特斯拉多个高危安全漏洞实现对特斯拉的无物理接触远程攻击，能够在驻车模式和行驶模式下对特斯拉进行任意远程操控。

2017年科恩实验室对宝马i系、X系、3系、5系、7系等网联汽车进行了研究，证明可以通过远程破解车载信息娱乐系统、车载通讯模块等，获取CAN总线的控制权，实现了自上而下的完整控制。

以上案例，证明了汽车在联网状态下存在诸多可被攻破的漏洞，而这种漏洞又永远无法根除。“随着数字系统越来越成为汽车安全系统的核心，网络安全已经成为我们的首要任务”美国国家公路交通安全管理局副局长Heidi King在SAE / NHTSA网络安全研讨会上如是说。

汽车上除了ECU的密布，现在越来越多的ADAS技术被应用到汽车的安全驾驶中，但人们更多的关注点是在这些辅助功能的执行、决策的可靠性、安全性，或多或少的忽略了汽车在电子化、智能化的同时，也增加了远程破解的风险。

另外一方面，通过无线接口将基础设施技术和车辆系统拉近的趋势也使车辆成为网络生态系统的一部分，从而可能引发重大的安全和网络安全问题。

这些是真实存在的问题，为了避免这种安全隐患，世界各国都开始了汽车网络安全的研究，制定相应的法规政策。而在这些国家中，美国又走在了前面。

美欧领先

2016年初，世界第一个汽车网络安全的标准是J3061《信息物理融合系统网络安全指南》发布，此标准由SAE发布，旨在通过统一全球标准，来推动汽车电气系统与其他互联系统之间安全流程的建立。

指南就网络安全概念，安全产品的设计、管理、执行等进行了阐述，并提供了一些工具。

同年美国国家公路交通安全管理局（NHTSA）也发布了《汽车最佳网络安全指南》，帮助汽车制造商应对网络攻击可能给联网汽车带来的安全威胁，提供了如何防止汽车被接入未授权网络，如何保护关键安全系统与个人数据，以及如何从网络攻击中快速恢复等方法，并藉此进行了广泛的网络安全测试。

2017年7月份，欧洲网络信息安全局ENISA发布了智能汽车网络安全最佳实践研究报告，目标受众是汽车制造商、供应商和服务商，报告对智能汽车安全架构、当前面临的威胁（攻击面和场景模式）进行了深入研究，并从政策和标准、组织方法、技术三个层面给出了智能汽车网络安全的最佳实践建议。

反观国内，2016年全国汽车标准委员会推出了《智能网联汽车标准体系建设方案》，其中信息安全标准体系（204）也是其中重要的一部分。2017年发布《中华人民共和国网络安全法》，客观上对车联网安全起到了一定的警醒示范作用。但我国还没有发布官方的汽车网络安全相关说明书。

建立标准、指导说明书体现了国家对汽车网络安全的重视度，但如何真正有效落实汽车网络安全的防范与应对，还有很多工作要做。

共享安全平台

美国国家公路交通安全管理局（NHTSA）通过关注车辆的无线和有线入口点来推动多层次的网络安全方法，这些入口点可能容易受到网络攻击。

车辆网络安全的分层方法降低了成功进行车辆网络攻击的可能性，并减轻了成功入侵的潜在后果。为车辆开发分层网络安全保护的全面而系统的方法包括：

1、基于风险的安全关键车辆控制系统优先识别和保护过程;

2、及时发现并快速响应美国道路上潜在的车辆网络安全事件;

3、设计网络弹性并促进事件发生时快速恢复的架构，方法和措施;

4、全行业有效情报和信息共享的方法，以促进快速采用全行业经验教训。

NHTSA鼓励组建Auto-ISAC，这是一个强调整个汽车行业的网络安全意识和协作的行业环境。

Auto-ISAC (Automotive Information Sharing and Analysis Center) “汽车信息共享与分析中心” 成立于2016年1月，其正式名称为北美汽车行业的网络安全信息中心。

它担负着制定并维护一系列汽车网络安全最佳实践（Automotive Cybersecurity Best Practices）的任务，包括管治、风险管理、安全设计、检测威胁、事件响应、培训以及与相关第三方合作。Heidi King表示：Auto-ISAC为行业提供了一个中央枢纽和安全港，以共享网络安全信息。

因为真正需要的是在实施最佳做法和分享可能的威胁和脆弱性信息方面取得稳步进展，并在确定后迅速帮助彼此解决，而这是Auto-ISAC能够为整个行业做到的。

国内目前也正在大力推进智能网联的发展，在标准制定、具体执行层面，其实可以参考国外的做法，将有实力的OEM、车联网设备商、网络安全方整合到统一的平台，定期进行学术研讨、规则的更新。

汽车安全问题不是单独存在的，而是牵一发动全身的问题，在这个链条中，没有任何单独一方能够独自面对、有效响应。