ICS43.020 CCST40 中华人民共和国国家标准 GB/T45496—2025 汽车产品召回 信息缺陷评估指南 Motorvehicleproductrecall—Guidelinesforinformationdefectassessment 2025-03-28发布 2025-03-28实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 评估流程 2 ………………………………………………………………………………………………… 5 评估与缺陷认定 3 ………………………………………………………………………………………… 5.1 概述 3 ………………………………………………………………………………………………… 5.2 可能性 3 ……………………………………………………………………………………………… 5.3 严重性 5 ……………………………………………………………………………………………… 5.4 确定漏洞风险等级 6 ………………………………………………………………………………… 5.5 缺陷认定 6 …………………………………………………………………………………………… 6 评估结果处置 6 …………………………………………………………………………………………… 6.1 实施召回 6 …………………………………………………………………………………………… 6.2 发布预警 6 …………………………………………………………………………………………… 6.3 应急处置 7 …………………………………………………………………………………………… 附录A(资料性) 漏洞利用途径 8 ………………………………………………………………………… A.1 攻击途径 8 …………………………………………………………………………………………… A.2 触发条件 8 …………………………………………………………………………………………… A.3 权限要求 8 …………………………………………………………………………………………… A.4 用户交互 8 …………………………………………………………………………………………… 参考文献 9 ……………………………………………………………………………………………………… ⅠGB/T45496—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国产品缺陷与安全管理标准化技术委员会(SAC/TC463)提出并归口。 本文件起草单位:国家市场监督管理总局缺陷产品召回技术中心、华为技术有限公司、中国汽车工 程研究院股份有限公司、中国汽车工程学会、国汽(北京)智能网联汽车研究院有限公司、广州小鹏汽车 科技有限公司、清华大学、浙江清华长三角研究院、北京中汽院科技有限公司、中汽数据有限公司、宇通 客车股份有限公司、吉利汽车集团有限公司、北京梅赛德斯-奔驰销售服务有限公司、北京理想汽车有限 公司。 本文件主要起草人:李艳、董红磊、肖凌云、谭玉函、夏国强、梁新苗、李文昭、席明、贺兴、张亚楠、 陈桂华、方锐、丁旭、高永强、冯永琴、张恒、曲现国、任毅、孙英策、彭建芬、黄嵘、刘亚辉、王剑、彭亚敏、 陈杰、石岩、周凡华、马超、郭振、于明明、马涛、王澎、陈宇鹏、吴胜男。 ⅢGB/T45496—2025 引 言 随着人工智能、信息通信与汽车技术跨界融合,汽车不再是孤立的机电单元,成为智能生态系统重 要载体,汽车逐渐由信息孤岛的交通工具发展成为集出行、娱乐、服务等为一体的数字空间。车辆运行 安全和信息安全风险交织叠加,安全形势更加复杂严峻。 汽车面临的信息安全风险来自“云-管-端-外部链接”,即云平台、网络传输、车辆及相关的外部设备。 云平台信息安全风险如黑客对数据恶意窃取和篡改、敏感数据被非法访问等。网络传输安全风险包括 但不限于:1)传输风险,发送错误信息;2)认证风险,通过身份伪造、动态劫持等方式冒充验证者的身份 信息;3)协议风险,攻击者通过伪信息诱导车辆误判。车辆端信息安全风险包括但不限于:1)软硬件系 统安全,如利用漏洞攻击车辆;2)密钥安全,如攻击者通过插桩调试获取控制信息并逆向分析,利用脚本 通过数字钥匙控制车辆;3)架构安全,如通过控制器局域网络(CAN)控制车辆电子控制单元(ECU)。 外部链接设备安全包括但不限于操控App、充电桩等外部生态组件漏洞引发的风险。“云-管-端-外部 链接”任一环节存在漏洞,都可能影响行车安全,因此汽车信息缺陷需从系统生态角度综合考虑。 ⅣGB/T45496—2025 汽车产品召回 信息缺陷评估指南 1 范围 本文件提供了汽车产品信息缺陷评估的建议,给出了评估流程、评估与缺陷认定及评估结果处置。 本文件适用于汽车产品整车生产者、零部件生产者、系统供应商、数据服务商、网络运营商、产品召 回主管部门、产品召回技术机构等主体对在用车辆“云-管-端-外部链接”系统漏洞进行缺陷分析、缺陷判 定、风险预警与应急处置。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069 信息安全技术 术语 GB/T34402—2017 汽车产品安全 风险评估与风险控制指南 GB/T40914 汽车产品召回 预警规则 GB/T43387 产品召回 术语 GB44495 汽车整车信息安全技术要求 3 术语和定义 GB/T25069、GB/T43387、GB44495界定的以及下列术语和定义适用于本文件。 3.1 信息缺陷 informationdefect 因云-管-端-外部链接系统(3.2)存在的漏洞(3.3)被利用,导致同一型号、批次或类别的车辆产品中 普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身安全(3.5)、财产 安全(3.6)的不合理的危险。 3.2 云-管-端-外部链接系统 cloud-channel-device-linksystem 车辆应用环境和关联信息构成的分布层体系。 注1:“云”指网络信息服务载体,具备连接管理、能力开放、数据管理多业务支持能力的层系。 注2:“管”指网络信息传输的层系,包括车载蜂窝网络通信、LTE-V2X和802.11p直连无线通信等。 注3:“端”指网络信息应用层系,包括车辆和路侧设施、汽车电子、车载终端及操作系统等与车辆相关的“端”层系。 注4:“外部链接”指车辆使用所需的操控应用程序、充电桩等外部生态组件。 3.3 漏洞 vulnerability 在资产或缓解措施中,可被一个或多个威胁(3.4)利用的弱点。 [来源:GB44495—2024,3.6] 1GB/T45496—2025 3.4 威胁 threat 可能导致系统、组织或个人受到损害的意外事件的潜在原因。 [来源:GB44495—2024,3.5] 3.5 人身安全 personalsafetyandsecurity 避免人的健康、生命等遭受侵害的状态。 3.6 财产安全 propertysafetyandsecurity 避免财务、物质、数据等遭受侵害的状态。 注:包括车辆本身的、车辆以外的和车辆运行中产生的数据资产等安全。 3.7 信息缺陷评估 informationdefectassessment 从漏洞被利用的可能性(3.8)及漏洞严重性(3.9)两个维度,确定云-管-端-外部链接系统可能存在 的漏洞被利用引发的危险事件或情形风险(3.10)水平的过程。 3.8 可能性 probability 漏洞可获取性(3.11)和利用难易程度(3.12)的综合。 3.9 严重性 severity 漏洞被利用触发车辆的危险事件或情形对人身安全、财产安全的危害程度。 3.10 风险 risk 伤害发生概率和伤害严重程度的组合。 [来源:GB/T43387—2023,3.11] 3.11 可获取性 accessibility 漏洞被发现的难易程度。 3.12 利用难易程度 accessfeasibility 漏洞可能触发、引发车辆的危险事件或情形风险发生程度的度量。 4 评估流程 信息缺陷评估的流程如图1所示,主要包括: a) 确定开展评估的可能被利用的漏洞; b) 识别触发事件; c) 评估漏洞可获取性、漏洞利用难易程度,得到漏洞被利用的可能性; d) 评估漏洞被利用触发危险事件的严重性; e) 确定漏洞风险等级,进行缺陷认定。 2GB/T45496—2025