GB/T 45496-2025汽車產(chǎn)品召回信息缺陷評(píng)估指南

ICS43020

CCST.40

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T45496—2025

汽車產(chǎn)品召回信息缺陷評(píng)估指南

Motorvehicleproductrecall—Guidelinesforinformationdefectassessment

2025-03-28發(fā)布2025-03-28實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T45496—2025

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

評(píng)估流程

4…………………2

評(píng)估與缺陷認(rèn)定

5…………………………3

概述

5.1…………………3

可能性

5.2………………3

嚴(yán)重性

5.3………………5

確定漏洞風(fēng)險(xiǎn)等級(jí)

5.4…………………6

缺陷認(rèn)定

5.5……………6

評(píng)估結(jié)果處置

6……………6

實(shí)施召回

6.1……………6

發(fā)布預(yù)警

6.2……………6

應(yīng)急處置

6.3……………7

附錄資料性漏洞利用途徑

A()…………8

攻擊途徑

A.1……………8

觸發(fā)條件

A.2……………8

權(quán)限要求

A.3……………8

用戶交互

A.4……………8

參考文獻(xiàn)

………………………9

Ⅰ

GB/T45496—2025

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由全國(guó)產(chǎn)品缺陷與安全管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC463)。

本文件起草單位國(guó)家市場(chǎng)監(jiān)督管理總局缺陷產(chǎn)品召回技術(shù)中心華為技術(shù)有限公司中國(guó)汽車工

:、、

程研究院股份有限公司中國(guó)汽車工程學(xué)會(huì)國(guó)汽北京智能網(wǎng)聯(lián)汽車研究院有限公司廣州小鵬汽車

、、()、

科技有限公司清華大學(xué)浙江清華長(zhǎng)三角研究院北京中汽院科技有限公司中汽數(shù)據(jù)有限公司宇通

、、、、、

客車股份有限公司吉利汽車集團(tuán)有限公司北京梅賽德斯奔馳銷售服務(wù)有限公司北京理想汽車有限

、、-、

公司

。

本文件主要起草人李艷董紅磊肖凌云譚玉函夏國(guó)強(qiáng)梁新苗李文昭席明賀興張亞楠

:、、、、、、、、、、

陳桂華方銳丁旭高永強(qiáng)馮永琴?gòu)埡闱F(xiàn)國(guó)任毅孫英策彭建芬黃嶸劉亞輝王劍彭亞敏

、、、、、、、、、、、、、、

陳杰石巖周凡華馬超郭振于明明馬濤王澎陳宇鵬吳勝男

、、、、、、、、、。

Ⅲ

GB/T45496—2025

引言

隨著人工智能信息通信與汽車技術(shù)跨界融合汽車不再是孤立的機(jī)電單元成為智能生態(tài)系統(tǒng)重

、,,

要載體汽車逐漸由信息孤島的交通工具發(fā)展成為集出行娛樂(lè)服務(wù)等為一體的數(shù)字空間車輛運(yùn)行

,、、。

安全和信息安全風(fēng)險(xiǎn)交織疊加安全形勢(shì)更加復(fù)雜嚴(yán)峻

,。

汽車面臨的信息安全風(fēng)險(xiǎn)來(lái)自云管端外部鏈接即云平臺(tái)網(wǎng)絡(luò)傳輸車輛及相關(guān)的外部設(shè)備

“---”,、、。

云平臺(tái)信息安全風(fēng)險(xiǎn)如黑客對(duì)數(shù)據(jù)惡意竊取和篡改敏感數(shù)據(jù)被非法訪問(wèn)等網(wǎng)絡(luò)傳輸安全風(fēng)險(xiǎn)包括

、。

但不限于傳輸風(fēng)險(xiǎn)發(fā)送錯(cuò)誤信息認(rèn)證風(fēng)險(xiǎn)通過(guò)身份偽造動(dòng)態(tài)劫持等方式冒充驗(yàn)證者的身份

:1),;2),、

信息協(xié)議風(fēng)險(xiǎn)攻擊者通過(guò)偽信息誘導(dǎo)車輛誤判車輛端信息安全風(fēng)險(xiǎn)包括但不限于軟硬件系

;3),。:1)

統(tǒng)安全如利用漏洞攻擊車輛密鑰安全如攻擊者通過(guò)插樁調(diào)試獲取控制信息并逆向分析利用腳本

,;2),,

通過(guò)數(shù)字鑰匙控制車輛架構(gòu)安全如通過(guò)控制器局域網(wǎng)絡(luò)控制車輛電子控制單元

;3),(CAN)(ECU)。

外部鏈接設(shè)備安全包括但不限于操控充電樁等外部生態(tài)組件漏洞引發(fā)的風(fēng)險(xiǎn)云管端外部

App、?！?--

鏈接任一環(huán)節(jié)存在漏洞都可能影響行車安全因此汽車信息缺陷需從系統(tǒng)生態(tài)角度綜合考慮

”,,。

Ⅳ

GB/T45496—2025

汽車產(chǎn)品召回信息缺陷評(píng)估指南

1范圍

本文件提供了汽車產(chǎn)品信息缺陷評(píng)估的建議給出了評(píng)估流程評(píng)估與缺陷認(rèn)定及評(píng)估結(jié)果處置

,、。

本文件適用于汽車產(chǎn)品整車生產(chǎn)者零部件生產(chǎn)者系統(tǒng)供應(yīng)商數(shù)據(jù)服務(wù)商網(wǎng)絡(luò)運(yùn)營(yíng)商產(chǎn)品召

、、、、、

回主管部門(mén)產(chǎn)品召回技術(shù)機(jī)構(gòu)等主體對(duì)在用車輛云管端外部鏈接系統(tǒng)漏洞進(jìn)行缺陷分析缺陷判

、“---”、

定風(fēng)險(xiǎn)預(yù)警與應(yīng)急處置

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

汽車產(chǎn)品安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制指南

GB/T34402—2017

汽車產(chǎn)品召回預(yù)警規(guī)則

GB/T40914

產(chǎn)品召回術(shù)語(yǔ)

GB/T43387

汽車整車信息安全技術(shù)要求

GB44495

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069、GB/T43387、GB44495。

31

.

信息缺陷informationdefect

因云管端外部鏈接系統(tǒng)存在的漏洞被利用導(dǎo)致同一型號(hào)批次或類別的車輛產(chǎn)品中

---(3.2)(3.3),、

普遍存在的不符合保障人身財(cái)產(chǎn)安全的國(guó)家標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)的情形或者其他危及人身安全財(cái)產(chǎn)

、、(3.5)、

安全的不合理的危險(xiǎn)

(3.6)。

32

.

云-管-端-外部鏈接系統(tǒng)cloud-channel-device-links