ICS43020

CCST.40

中華人民共和國國家標(biāo)準(zhǔn)

GB/T45496—2025

汽車產(chǎn)品召回信息缺陷評估指南

Motorvehicleproductrecall—Guidelinesforinformationdefectassessment

2025-03-28發(fā)布2025-03-28實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T45496—2025

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

評估流程

4…………………2

評估與缺陷認(rèn)定

5…………………………3

概述

5.1…………………3

可能性

5.2………………3

嚴(yán)重性

5.3………………5

確定漏洞風(fēng)險等級

5.4…………………6

缺陷認(rèn)定

5.5……………6

評估結(jié)果處置

6……………6

實施召回

6.1……………6

發(fā)布預(yù)警

6.2……………6

應(yīng)急處置

6.3……………7

附錄資料性漏洞利用途徑

A()…………8

攻擊途徑

A.1……………8

觸發(fā)條件

A.2……………8

權(quán)限要求

A.3……………8

用戶交互

A.4……………8

參考文獻(xiàn)

………………………9

Ⅰ

GB/T45496—2025

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國產(chǎn)品缺陷與安全管理標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC463)。

本文件起草單位國家市場監(jiān)督管理總局缺陷產(chǎn)品召回技術(shù)中心華為技術(shù)有限公司中國汽車工

:、、

程研究院股份有限公司中國汽車工程學(xué)會國汽北京智能網(wǎng)聯(lián)汽車研究院有限公司廣州小鵬汽車

、、()、

科技有限公司清華大學(xué)浙江清華長三角研究院北京中汽院科技有限公司中汽數(shù)據(jù)有限公司宇通

、、、、、

客車股份有限公司吉利汽車集團(tuán)有限公司北京梅賽德斯奔馳銷售服務(wù)有限公司北京理想汽車有限

、、-、

公司

。

本文件主要起草人李艷董紅磊肖凌云譚玉函夏國強(qiáng)梁新苗李文昭席明賀興張亞楠

:、、、、、、、、、、

陳桂華方銳丁旭高永強(qiáng)馮永琴張恒曲現(xiàn)國任毅孫英策彭建芬黃嶸劉亞輝王劍彭亞敏

、、、、、、、、、、、、、、

陳杰石巖周凡華馬超郭振于明明馬濤王澎陳宇鵬吳勝男

、、、、、、、、、。

Ⅲ

GB/T45496—2025

引言

隨著人工智能信息通信與汽車技術(shù)跨界融合汽車不再是孤立的機(jī)電單元成為智能生態(tài)系統(tǒng)重

、,,

要載體汽車逐漸由信息孤島的交通工具發(fā)展成為集出行娛樂服務(wù)等為一體的數(shù)字空間車輛運(yùn)行

,、、。

安全和信息安全風(fēng)險交織疊加安全形勢更加復(fù)雜嚴(yán)峻

,。

汽車面臨的信息安全風(fēng)險來自云管端外部鏈接即云平臺網(wǎng)絡(luò)傳輸車輛及相關(guān)的外部設(shè)備

“---”,、、。

云平臺信息安全風(fēng)險如黑客對數(shù)據(jù)惡意竊取和篡改敏感數(shù)據(jù)被非法訪問等網(wǎng)絡(luò)傳輸安全風(fēng)險包括

、。

但不限于傳輸風(fēng)險發(fā)送錯誤信息認(rèn)證風(fēng)險通過身份偽造動態(tài)劫持等方式冒充驗證者的身份

:1),;2),、

信息協(xié)議風(fēng)險攻擊者通過偽信息誘導(dǎo)車輛誤判車輛端信息安全風(fēng)險包括但不限于軟硬件系

;3),。:1)

統(tǒng)安全如利用漏洞攻擊車輛密鑰安全如攻擊者通過插樁調(diào)試獲取控制信息并逆向分析利用腳本

,;2),,

通過數(shù)字鑰匙控制車輛架構(gòu)安全如通過控制器局域網(wǎng)絡(luò)控制車輛電子控制單元

;3),(CAN)(ECU)。

外部鏈接設(shè)備安全包括但不限于操控充電樁等外部生態(tài)組件漏洞引發(fā)的風(fēng)險云管端外部

App、?！?--

鏈接任一環(huán)節(jié)存在漏洞都可能影響行車安全因此汽車信息缺陷需從系統(tǒng)生態(tài)角度綜合考慮

”,,。

Ⅳ

GB/T45496—2025

汽車產(chǎn)品召回信息缺陷評估指南

1范圍

本文件提供了汽車產(chǎn)品信息缺陷評估的建議給出了評估流程評估與缺陷認(rèn)定及評估結(jié)果處置

,、。

本文件適用于汽車產(chǎn)品整車生產(chǎn)者零部件生產(chǎn)者系統(tǒng)供應(yīng)商數(shù)據(jù)服務(wù)商網(wǎng)絡(luò)運(yùn)營商產(chǎn)品召

、、、、、

回主管部門產(chǎn)品召回技術(shù)機(jī)構(gòu)等主體對在用車輛云管端外部鏈接系統(tǒng)漏洞進(jìn)行缺陷分析缺陷判

、“---”、

定風(fēng)險預(yù)警與應(yīng)急處置

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069

汽車產(chǎn)品安全風(fēng)險評估與風(fēng)險控制指南

GB/T34402—2017

汽車產(chǎn)品召回預(yù)警規(guī)則

GB/T40914

產(chǎn)品召回術(shù)語

GB/T43387

汽車整車信息安全技術(shù)要求

GB44495

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069、GB/T43387、GB44495。

31

.

信息缺陷informationdefect

因云管端外部鏈接系統(tǒng)存在的漏洞被利用導(dǎo)致同一型號批次或類別的車輛產(chǎn)品中

---(3.2)(3.3),、

普遍存在的不符合保障人身財產(chǎn)安全的國家標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)的情形或者其他危及人身安全財產(chǎn)

、、(3.5)、

安全的不合理的危險

(3.6)。

32

.

云-管-端-外部鏈接系統(tǒng)cloud-channel-device-links