8月12日，馬斯克在推特發布消息，特斯拉計劃向其他汽車廠商開放汽車安全軟件的源代碼，旨在通過眾人之力，提升汽車的安全性。

而與此同時，通用汽車近日發布了一項高額的漏洞懸賞計劃，要讓程序員們為其挖掘潛在的網絡安全問題和產品的潛在弱點。

“整體來看，威脅等級只會從這里增長，這就是為什么我們投入如此多的精力和資源來保持領先，并迅速迭代的原因，”通用汽車總裁丹·阿曼周五表示在底特律的比林頓網絡安全峰會上發表演講。

這項計劃將將包括一組約10名或更少的研究人員，也被稱為“白帽黑客”。通用汽車全球網絡安全副總裁Jeff Massimilla表示，這些組員是從參與通用汽車漏洞披露計劃的500多名研究人員中選出的。通用將向他們展示懸賞計劃中設計的產品、計劃和系統。

無論特斯拉開放源代碼，還是通用推出漏洞懸賞計劃，目的只有一個，提升汽車網絡的安全性。

問題很嚴峻

汽車網絡安全的問題到底有多嚴重？可以從一些案例看出：2014年360安全實驗室負責人劉健皓破解特斯拉，通過發送遠程鏈接即可獲得特斯拉駕駛權；

2015年兩名白帽黑客通過遠程入侵了Jeep，可以做出減速、關閉引擎、突然制動等動作；騰訊科恩實驗室2016年、2017年利用特斯拉多個高危安全漏洞實現對特斯拉的無物理接觸遠程攻擊，能夠在駐車模式和行駛模式下對特斯拉進行任意遠程操控。

2017年科恩實驗室對寶馬i系、X系、3系、5系、7系等網聯汽車進行了研究，證明可以通過遠程破解車載信息娛樂系統、車載通訊模塊等，獲取CAN總線的控制權，實現了自上而下的完整控制。

以上案例，證明了汽車在聯網狀態下存在諸多可被攻破的漏洞，而這種漏洞又永遠無法根除。“隨著數字系統越來越成為汽車安全系統的核心，網絡安全已經成為我們的首要任務”美國國家公路交通安全管理局副局長Heidi King在SAE / NHTSA網絡安全研討會上如是說。

汽車上除了ECU的密布，現在越來越多的ADAS技術被應用到汽車的安全駕駛中，但人們更多的關注點是在這些輔助功能的執行、決策的可靠性、安全性，或多或少的忽略了汽車在電子化、智能化的同時，也增加了遠程破解的風險。

另外一方面，通過無線接口將基礎設施技術和車輛系統拉近的趨勢也使車輛成為網絡生態系統的一部分，從而可能引發重大的安全和網絡安全問題。

這些是真實存在的問題，為了避免這種安全隱患，世界各國都開始了汽車網絡安全的研究，制定相應的法規政策。而在這些國家中，美國又走在了前面。

美歐領先

2016年初，世界第一個汽車網絡安全的標準是J3061《信息物理融合系統網絡安全指南》發布，此標準由SAE發布，旨在通過統一全球標準，來推動汽車電氣系統與其他互聯系統之間安全流程的建立。

指南就網絡安全概念，安全產品的設計、管理、執行等進行了闡述，并提供了一些工具。

同年美國國家公路交通安全管理局（NHTSA）也發布了《汽車最佳網絡安全指南》，幫助汽車制造商應對網絡攻擊可能給聯網汽車帶來的安全威脅，提供了如何防止汽車被接入未授權網絡，如何保護關鍵安全系統與個人數據，以及如何從網絡攻擊中快速恢復等方法，并藉此進行了廣泛的網絡安全測試。

2017年7月份，歐洲網絡信息安全局ENISA發布了智能汽車網絡安全最佳實踐研究報告，目標受眾是汽車制造商、供應商和服務商，報告對智能汽車安全架構、當前面臨的威脅（攻擊面和場景模式）進行了深入研究，并從政策和標準、組織方法、技術三個層面給出了智能汽車網絡安全的最佳實踐建議。

反觀國內，2016年全國汽車標準委員會推出了《智能網聯汽車標準體系建設方案》，其中信息安全標準體系（204）也是其中重要的一部分。2017年發布《中華人民共和國網絡安全法》，客觀上對車聯網安全起到了一定的警醒示范作用。但我國還沒有發布官方的汽車網絡安全相關說明書。

建立標準、指導說明書體現了國家對汽車網絡安全的重視度，但如何真正有效落實汽車網絡安全的防范與應對，還有很多工作要做。

共享安全平臺

美國國家公路交通安全管理局（NHTSA）通過關注車輛的無線和有線入口點來推動多層次的網絡安全方法，這些入口點可能容易受到網絡攻擊。

車輛網絡安全的分層方法降低了成功進行車輛網絡攻擊的可能性，并減輕了成功入侵的潛在后果。為車輛開發分層網絡安全保護的全面而系統的方法包括：

1、基于風險的安全關鍵車輛控制系統優先識別和保護過程;

2、及時發現并快速響應美國道路上潛在的車輛網絡安全事件;

3、設計網絡彈性并促進事件發生時快速恢復的架構，方法和措施;

4、全行業有效情報和信息共享的方法，以促進快速采用全行業經驗教訓。

NHTSA鼓勵組建Auto-ISAC，這是一個強調整個汽車行業的網絡安全意識和協作的行業環境。

Auto-ISAC (Automotive Information Sharing and Analysis Center) “汽車信息共享與分析中心” 成立于2016年1月，其正式名稱為北美汽車行業的網絡安全信息中心。

它擔負著制定并維護一系列汽車網絡安全最佳實踐（Automotive Cybersecurity Best Practices）的任務，包括管治、風險管理、安全設計、檢測威脅、事件響應、培訓以及與相關第三方合作。Heidi King表示：Auto-ISAC為行業提供了一個中央樞紐和安全港，以共享網絡安全信息。

因為真正需要的是在實施最佳做法和分享可能的威脅和脆弱性信息方面取得穩步進展，并在確定后迅速幫助彼此解決，而這是Auto-ISAC能夠為整個行業做到的。

國內目前也正在大力推進智能網聯的發展，在標準制定、具體執行層面，其實可以參考國外的做法，將有實力的OEM、車聯網設備商、網絡安全方整合到統一的平臺，定期進行學術研討、規則的更新。

汽車安全問題不是單獨存在的，而是牽一發動全身的問題，在這個鏈條中，沒有任何單獨一方能夠獨自面對、有效響應。