汽車產(chǎn)品召回 信息缺陷評估指南 征求意見稿

1GB/TXXXXX—XXXX汽車產(chǎn)品召回信息缺陷評估指南本文件給出了汽車產(chǎn)品信息缺陷評估的評估流程、評估與缺陷認(rèn)定及評估結(jié)果處置等內(nèi)容。本文件適用于汽車產(chǎn)品整車生產(chǎn)者、零部件生產(chǎn)者、系統(tǒng)供應(yīng)商、數(shù)據(jù)服務(wù)商、網(wǎng)絡(luò)運營商、產(chǎn)品召回主管部門、產(chǎn)品召回技術(shù)機構(gòu)等主體對在用車輛“云-管-端-外部鏈接”系統(tǒng)漏洞進(jìn)行缺陷分析、缺陷判定、風(fēng)險預(yù)警與應(yīng)急處置。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T34402-2017汽車產(chǎn)品安全風(fēng)險評估與風(fēng)險控制指南GB/T40914-2021汽車產(chǎn)品召回預(yù)警規(guī)則GB/T43387產(chǎn)品召回術(shù)語GB44495汽車整車信息安全技術(shù)要求3術(shù)語和定義GB/T25069、GB/T43387、GB44495界定的以及下列術(shù)語和定義適用于本文件。3.1信息缺陷informationdefect云-管-端-外部鏈接系統(tǒng)（3.2）存在的漏洞（3.3）被利用而導(dǎo)致同一型號、批次或類別的車輛產(chǎn)品中普遍存在的不符合保障人身、財產(chǎn)安全的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的情形或者其他危及人身安全（3.5）、財產(chǎn)安全（3.6）的不合理的危險。3.2云-管-端-外部鏈接系統(tǒng)cloud-channel-device-linksystem車輛應(yīng)用環(huán)境和關(guān)聯(lián)信息分布層體系。注3：“端”指網(wǎng)絡(luò)信息應(yīng)用層系，包括車輛和路側(cè)設(shè)施、汽車電子、車載終端及操作系統(tǒng)等與車輛相關(guān)的“端”3.3漏洞vulnerability在資產(chǎn)或緩解措施中，可被一個或多個威脅（3.4）利用的弱點。[來源：GB44495-2024，3.6]2GB/TXXXXX—XXXX3.4威脅threat可能導(dǎo)致系統(tǒng)、組織或個人受到損害的意外事件的潛在原因。[來源：GB44495-2024，3.5]3.5人身安全personalsafetyandsecurity避免人的健康、生命等遭受侵害的狀態(tài)。3.6財產(chǎn)安全propertysafetyandsecurity避免財務(wù)、物質(zhì)、數(shù)據(jù)等遭受侵害的狀態(tài)。3.7信息缺陷評估informationdefectassessment從漏洞被利用的可能性（3.8）及漏洞嚴(yán)重性（3.9）兩個維度，確定云-管-端-外部鏈接系統(tǒng)可能存在的漏洞被利用引發(fā)的危險事件或情形風(fēng)險（3.10）水平的過程。3.8可能性probability漏洞可獲取性（3.11）和利用難易程度（3.12）的綜合。3.9嚴(yán)重性severity漏洞被利用觸發(fā)車輛的危險事件或情形對人身安全、財產(chǎn)安全的危害程度。3.10風(fēng)險risk傷害發(fā)生概率和傷害嚴(yán)重程度的組合。[來源：GB/T43387-2023，3.11]3.11可獲取性accessibility漏洞被發(fā)現(xiàn)的難易程度。3.12利用難易程度accessfeasibility漏洞可能觸發(fā)、引發(fā)車輛的危險事件或情形風(fēng)險發(fā)生程度的度量。4評估流程信息缺陷評估的流程如圖1所示，主要包括：——確定開展評估的可能被利用的漏洞；——識別觸發(fā)事件；——評估漏洞可獲取性、漏洞利用難易程度，得到漏洞被利用的可能性；——評估漏洞被利用觸發(fā)危險事件的嚴(yán)重性；——確定漏洞風(fēng)險等級，進(jìn)行缺陷認(rèn)定。3GB/TXXXXX—XXXX圖1信息缺陷評估流程5評估與缺陷認(rèn)定5.1概述信息缺陷評估需綜合考慮漏洞被利用引發(fā)危險事件或情形的可能性和嚴(yán)重性兩個維度，兩者共同決定漏洞風(fēng)險等級。其中，漏洞被利用風(fēng)險可能性需通過漏洞可獲取性和漏洞利用難易程度共同決定。5.2可能性5.2.1漏洞可獲取性根據(jù)獲取方式、專用工具、獲取人員的專業(yè)水平和知識水平對漏洞可獲取性進(jìn)行分析與評估，漏洞可獲取性分為4個等級：容易、中、難、極難，各等級的說明見表1。表1漏洞可獲取性等級說明挖掘信息漏洞無需依靠具備信息安全知識的人員、無需掌握基礎(chǔ)信息和業(yè)務(wù)信息中挖掘信息漏洞需要依靠具備一般信息安全知識的人員、掌握較少基礎(chǔ)信息和業(yè)務(wù)難挖掘信息漏洞需要依靠具備較豐富信息安全知識的人員、掌握大量的基礎(chǔ)信息和般定制研發(fā)的專用設(shè)備及腳本，漏洞信息及相關(guān)描述需要通挖掘信息漏洞需要依靠具備非常豐富信息安全知識的人員、掌握足夠多的基礎(chǔ)信用多種深度定制研發(fā)的專用設(shè)備及腳本，漏洞信息及相關(guān)描述5.2.2漏洞利用難易程度4GB/TXXXXX—XXXX5.2.2.1漏洞利用難易程度等級說明漏洞利用難易程度評估分為初步評估和結(jié)果修正兩個步驟。漏洞利用難易程度分為4個等級：容易、中、難、極難，各等級的說明如表2所示，漏洞利用途徑等信息見附錄A。表2漏洞利用難易程度等級說明可通過遠(yuǎn)程通信利用漏洞，可以無限次實現(xiàn)利用漏洞觸中可通過遠(yuǎn)程通信利用漏洞，實現(xiàn)有限次數(shù)的利用觸發(fā)難可通過本地或者物理接觸的方式利用漏洞，可以無限次實現(xiàn)利用漏洞觸可通過本地或者物理接觸的方式利用漏洞，只能實現(xiàn)有限次數(shù)的利用觸發(fā)5.2.2.2漏洞利用難易程度初步評估在確認(rèn)了需開展評估的漏洞及識別觸發(fā)事件的基礎(chǔ)上，根據(jù)表2中漏洞利用難易程度等級說明，依據(jù)相關(guān)技術(shù)資料，組織相關(guān)專業(yè)技術(shù)人員進(jìn)行漏洞利用難易程度初步評估。5.2.2.3評估結(jié)果修正在進(jìn)行漏洞利用難易程度初步評估后，考慮到攻擊途徑、觸發(fā)要求、權(quán)限要求、用戶交互等復(fù)雜性，需要對初步評估結(jié)果進(jìn)行等級升級，修正可考慮的因素如下：a)可通過權(quán)限要求以及用戶交互兩方面對利用難易程度等級進(jìn)行修正，當(dāng)滿足無權(quán)限或者是無用戶交互條件時；b)可通過配置的方式或次數(shù)對利用難易程度等級進(jìn)行修正，當(dāng)需要手工多次配置時；c)可通過使用的工具對利用難易程度等級進(jìn)行修正，當(dāng)需要使用專業(yè)工具或者深度定制研發(fā)的專用設(shè)備時。5.2.3可能性初步評估在確定了漏洞可獲取性和漏洞利用難易程度的基礎(chǔ)上，通過查詢可能性評估矩陣（見表3）確定漏洞被利用風(fēng)險可能性等級。漏洞被利用風(fēng)險可能性等級分為5個等級：高、較高、中、較低、低。表3漏洞被利用風(fēng)險可能性評估矩陣中難高中中中低難中低低低低低5.2.4可能性評估結(jié)果修正考慮到汽車潛在危害對象、形式環(huán)境、漏洞場景等復(fù)雜性，可根據(jù)威脅場景對評估結(jié)果進(jìn)行修正，修正可考慮的因素除參照GB/T34402-2017中4.4.3和第4.5.3的要求外，還應(yīng)開展漏洞被利用風(fēng)險可能性關(guān)聯(lián)分析，包括但不限于：5GB/TXXXXX—XXXXa)若多個漏洞（假設(shè)為漏洞A、漏洞B、漏洞C）聯(lián)合才能觸發(fā)危險事件，此時的漏洞風(fēng)險可能性指的是該危險事件或情形對應(yīng)的這一組漏洞被利用的可能性；b)假設(shè)攻擊者首先利用了漏洞A，然后利用漏洞B、漏洞C，最終引發(fā)了一個危險事件或情形。此時對漏洞組（A、B、C）進(jìn)行可能性評估時，應(yīng)首先分別評估單個漏洞的可獲取性和利用難易程度，然后再綜合評判。假定可獲取性和利用難易程度的容易、中、難、極難的評級分別c)若對漏洞A的可獲取性和利用難易程度評估結(jié)果為（A1、A2）；對漏洞B的評估結(jié)果為（B1，B2對漏洞C的評估結(jié)果為（C1，C2）。那么這組關(guān)聯(lián)漏洞的可能性結(jié)果為min{A1、B1、C1}，min{A2、B2、C2}）。5.3嚴(yán)重性5.3.1嚴(yán)重性初步評估根據(jù)由漏洞所觸發(fā)的危險事件對“人身安全”、“財產(chǎn)安全”的影響進(jìn)行嚴(yán)重性等級劃分，分為5個等級：高、較高、中、較低、低，各等級說明如表4所示。表4漏洞被利用風(fēng)險嚴(yán)重性等級說明高中對車輛性能或功能有部分影響，但常規(guī)可控低5.3.2嚴(yán)重性評估結(jié)果修正考慮到汽車潛在危害對象、形式環(huán)境、漏洞場景等復(fù)雜性，可根據(jù)威脅場景對評估結(jié)果進(jìn)行修正，修正可考慮的因素除參照GB/T34402-2017中4.4.3和第4.5.3的要求外，還應(yīng)考慮漏洞被利用風(fēng)險嚴(yán)重性關(guān)聯(lián)分析、漏洞被利用場景與社會影響等因素，其中：a)若一個漏洞可出發(fā)多個危險事件，則以最嚴(yán)重的危險事件為主分析，并以最嚴(yán)重的危險事件的嚴(yán)重性等級為最終嚴(yán)重性評估結(jié)果；b)相同漏洞在不同環(huán)境下可能造成不同的后果。比如，相比于只能采用人類駕駛的車輛而言，當(dāng)基于V2X技術(shù)進(jìn)行輔助駕駛或自動駕駛時，應(yīng)提高嚴(yán)重性的等級；c)社會影響指危險事件或情形發(fā)生后，對社會造成各方面的影響。由于社會影響具備不可預(yù)知的特性，因此需要根據(jù)實際案例情況，酌情提高嚴(yán)重性等級。注：若漏洞對重要交通的正常運行造成了較為嚴(yán)重的社會影響，則應(yīng)提高嚴(yán)重性等級。5.4確定漏洞風(fēng)險等級在漏洞被利用引發(fā)危險事件或情形的可能性和嚴(yán)重性等級確定的基礎(chǔ)上，應(yīng)按照GB/T34402-2017中4.6的要求確定漏洞風(fēng)險等級。漏洞風(fēng)險等級水平分為五級：高（第5級）、較高（第4級）、中（第3級）、較低（第2級）、低（第1級），見圖2。6GB/TXXXXX—XXXX圖2風(fēng)險評估矩陣5.5缺陷認(rèn)定根據(jù)漏洞風(fēng)險等級和國內(nèi)外召回案例進(jìn)行缺陷判定：——綜合風(fēng)險水平等級為高（第5級）和較高（第4級）的漏洞，應(yīng)認(rèn)定為信息缺陷；——綜合風(fēng)險水平等級為中（第3級）的漏洞，通過分析國內(nèi)外相關(guān)召回案例，若存在類似召回案例的，應(yīng)認(rèn)定為缺陷；若沒有類似召回案例，應(yīng)認(rèn)定為普通漏洞；——綜合風(fēng)險水平等級為較低（第2級）和低（第1級）的，應(yīng)認(rèn)定為普通漏洞。6評估結(jié)果處置6.1實施召回6.1.1對于被認(rèn)定為信息缺陷的，生產(chǎn)者根據(jù)相應(yīng)的法律法規(guī)實施召回活動，消除安全隱患。6.1.2對于被認(rèn)定為普通漏洞的，生產(chǎn)者可通過技術(shù)服務(wù)活動方式自行修復(fù)。6.2發(fā)布預(yù)警6.2.1召回主管部門當(dāng)出現(xiàn)以下情形之一時，汽車召回主管部門應(yīng)按照GB/T40914-2021《汽車產(chǎn)品召回預(yù)警規(guī)則》的要求向社會發(fā)布預(yù)警信息:——漏洞風(fēng)險等級為高、較高或中，生產(chǎn)者應(yīng)實施召回活動而不實施或無法實施召回的；——同一缺陷問題涉及多個不同生產(chǎn)者，部分生產(chǎn)者無法確認(rèn)的；——生產(chǎn)者不配合缺陷調(diào)查的；——其它召回主管部門認(rèn)為需要通過發(fā)布預(yù)警來控制風(fēng)險的。6.2.2生產(chǎn)者7GB/TXXXXX—XXXX當(dāng)出現(xiàn)以下情形之一時，生產(chǎn)者應(yīng)按照GB/T40914-2021《汽車產(chǎn)品召回預(yù)警規(guī)則》的要求向社會發(fā)布預(yù)警信息并采取應(yīng)急處置措施:——漏洞風(fēng)險等級為中、較低或低，同時涉及多個不同生產(chǎn)者或?qū)儆谛袠I(yè)共性問題的；——汽車產(chǎn)品的危險事件或情形對社會具有重大影響的；——云平臺等相關(guān)服務(wù)提供商問題導(dǎo)致車輛可能存在風(fēng)險的；——其它被召回主管部門認(rèn)定需要啟動風(fēng)險預(yù)警的。6.3應(yīng)急處置6.3.1召回主管部門發(fā)布預(yù)警信息后，產(chǎn)品召回技術(shù)機構(gòu)應(yīng)聯(lián)合應(yīng)急機構(gòu)成立調(diào)查小組，根據(jù)對應(yīng)的汽車產(chǎn)品信息問題快速研究應(yīng)急處理辦法，并對外發(fā)布以幫助社會各界快速采取應(yīng)急處理措施，防止問題大規(guī)模爆發(fā)。6.3.2如果信息缺陷涉及到信息系統(tǒng)中軟硬件通用漏洞的，相關(guān)應(yīng)急處理機構(gòu)應(yīng)當(dāng)在汽車產(chǎn)品生產(chǎn)者發(fā)布預(yù)警后，對事件即刻做出響應(yīng)，組織對事態(tài)發(fā)展情況的跟蹤研判，研究制定防范措施和應(yīng)急工作方案，協(xié)調(diào)組織資源調(diào)度和部門聯(lián)動的各項準(zhǔn)備工作。8GB/TXXXXX—XXXX（資料性）漏洞利用途徑A.1攻擊途徑攻擊途徑的賦值如下：a)遠(yuǎn)程：攻擊者可以通過互聯(lián)網(wǎng)利用該漏洞對汽車發(fā)動攻擊，比如4G、3G等；b)近距離：攻擊者可以通過共享的物理或邏輯利用該漏洞對汽車發(fā)動攻擊，比如藍(lán)牙、Wi-Fi、IEEE802.11、本地IP子網(wǎng)等；c)本地：攻擊者通過讀/寫操作或運行應(yīng)用程序/工具來利用該漏洞，即本地需要進(jìn)行參與，該漏洞才能被利用，比如攻擊者需要本地登錄、需要用戶去下載、接受惡意的內(nèi)容；d)物理接觸：攻擊者必須物理接觸汽車才能發(fā)動攻擊，例如通過OBDII對汽車總線進(jìn)行攻擊。A.2觸發(fā)要求觸發(fā)要求是指漏洞成功觸發(fā)的要求，反映受影響組件在系統(tǒng)環(huán)境的版本、配置等因素影響下，成功觸發(fā)漏洞的要求。通常觸發(fā)要求低的漏洞危害程度高，觸發(fā)要求的賦值如下：a)低：漏洞觸發(fā)對受影響組件的配置參數(shù)、運行環(huán)境、版本等無特別要求，包括：默認(rèn)的配置參數(shù)、普遍的運行環(huán)境；b)高：漏洞觸發(fā)對受影響組件的配置參數(shù)、運行環(huán)境等有特別要求，包括：不常用的參數(shù)配置、特殊運行環(huán)境條件。A.3權(quán)限要求權(quán)限要求是指攻擊者成功利用漏洞需要具備的權(quán)限層級，即利用漏洞時是否需要擁有對該組件操作的權(quán)限，如管理員權(quán)限、訪客權(quán)限等。權(quán)限要求的賦值如下:a)無：攻擊者在發(fā)動攻擊前不需要授權(quán)，執(zhí)行攻擊時不需要訪問任何設(shè)置或文件；b)低：攻擊者需要取得普通用戶權(quán)限，該類權(quán)限對脆弱性組件有一定控制能力，具有部分（非全部）功能的使用或管理權(quán)限，通常需要口令等方式進(jìn)行身份認(rèn)證，例如，車載娛樂系統(tǒng)的普通用戶權(quán)限；c)高：攻擊者需要取得對脆弱性組件的完全控制權(quán)限。通常，該類權(quán)限對于脆弱性組件具有絕對控制能力，例如，對總線進(jìn)行攻擊需要對脆弱性組件的完全控制權(quán)限，普通用戶權(quán)限無法攻擊。A.4用戶交互用戶交互是指成功利用漏洞是否需要用戶（而不是攻擊者）的參與，該指標(biāo)識別攻擊者是否可以根據(jù)其意愿單獨利