结合功能安全 ASIL 等级及危害程度,将漏洞划分为高危、中危、低危三个等级。
高危漏洞(ASIL-C/D)过充 / 过放保护失效、绝缘检测故障、固件远程篡改等问题。
中危漏洞(ASIL-B)无直接安全危险,但影响系统运行精度与稳定性。包含 SOC 电量估算偏差、CAN 总线报文注入等问题。
低危漏洞(ASIL-A/QM)仅涉及界面、配置类问题,无任何安全风险。包含运行日志泄露、非关键参数非法读写等问题。
(一)技术修复要求
针对不同等级漏洞,执行对应修复方案:
高危漏洞:72 小时内推送强制 OTA 升级补丁;出现绝缘电阻低于 1kΩ/V 等紧急故障时,硬件联锁装置100 毫秒内切断高压。
中危漏洞:采用增量固件静默热修复,后台自动更新。
低危漏洞:通过远程配置或本地工具修复,设备无需重启。
(二)全流程管控要求
设立 7×24 小时漏洞接收渠道,收到反馈后48 小时内完成漏洞验证,按规定上报工信部漏洞平台。
完成漏洞风险评估与等级判定,明确影响范围。
修复及测试时限:高危漏洞 24 小时内完成修复、回归测试与渗透测试;中危漏洞 72 小时内完成修复;低危漏洞统一纳入常规版本迭代。
修复版本发布后,及时向用户告知风险及升级指引;事后开展根因分析,优化编码规则与测试方案,防范同类问题重复发生。
(三)高危漏洞应急处置
若高危漏洞大面积爆发,立即启动应急流程:
依托云端平台实时监测过压、过温、绝缘异常等风险数据。
远程对异常设备限制运行功率、关闭快充功能,做好安全隔离。
按照国家法规要求启动产品召回,免费为用户升级固件或更换硬件。
设备电压、温度、故障记录等核心运行数据,保存时长不少于 90 天,做到全程可查询、可追溯。
组织责任:设置专职 BMS 安全负责人,成立跨部门漏洞响应小组,成员包含研发、测试、运维、法务人员,责任落实到人。
时效红线:高危漏洞 24 小时内响应、72 小时内完成修复;中危漏洞 72 小时内响应、7 个工作日内完成修复。
技术兜底:硬件安全防护模块独立运行,不受主控软件、MCU 故障影响,双重保障设备安全。
漏洞类型 | 风险等级 | 处置措施 |
过充、过放保护失效 | 高危 | 软硬件双重防护,100ms 切断高压,推送强制 OTA 升级 |
CAN 总线报文注入 | 中危 | 增加报文过滤规则,系统降级运行,静默修复 |
SOC 电量估算偏差 | 中危 | 优化算法及校验逻辑,后台静默更新 |
日志泄露、参数非法读写 | 低危 | 日志脱敏处理,关闭闲置调试端口 |
公司设立保密咨询、举报渠道,严格保护举报人隐私,所有问题及时核查并反馈结果。
咨询 / 举报邮箱:kgmarket@kgooer.com
咨询 / 举报电话:0571-85373365
本制度自发布之日起正式执行。
本制度由公司 BMS 安全管理小组负责解释,可根据实际情况适时修订