充电基础设施信息安全的思考与实践

2015年以来，电动汽车的快速上量，特别是私人购车比重的增加和各地促进政策的出台，极大调动了社会各界参与充电设施产业发展的积极性，一些有互联网基因的企业、科技公司、初创公司，以及社会资本的介入大大增强了产业活力，形成了国有、民营、混合所有制的产业格局,我国已形成较好的充电设施产业基础。

2017年，我国电动汽车继续保持快速增长且可供市场选择的车型更加丰富，这对充电设施提出更高要求。预计，今年我国公共类充电桩保有量将达到30万个，实现倍增。有安装条件的私人类充电设施的配建率（居住地建桩）将达到80%以上。

中国软件评测中心的宋娟博士针对充电基础设施信息安全提出了针对性意见的演讲。中国软件评测中心是隶属于工信部，主要作为一支国家队伍在做第三方的检测认证的服务，宋娟博士所带领的团队，成立了智能网联汽车测评部，主要针对智能网联汽车包括新能源汽车、无人驾驶这方面的测试工作。去年中国软件评测中心拿到了工信部智能网联驾驶测试与评价重点实验室，以及北京市的智能网联驾驶测试与评价的工程技术中心。

【超高速智能化留给信息安全的时间不多了】

首先，国家大力发展新能源汽车，当然与之配套的充电基础设施的发展也成为它的一个重要保障。在2015年，四部委发布了《电动汽车充电基础设施发展指南》，明确了“十三五”的总体发展目标。与此同时，充电桩的建设速度高速增长，

到2016年我国建设和运营的公共类充电桩已经达到了15万个，目前我国在公共类的充电桩在全球保有量位居第一。对于充电桩来说，它未来发展的趋势肯定是越来越智能化和网联化，越来越多的功能让交互越来越便捷，使充电更安全、更高效。网络、桩与平台、包括平台与平台之间都会实现互联互通，更便于对充电桩的管理、角度、监控。

随着智能化和网联化的发展，带来一定的便利的同时，就会面临一个传统IT系统不得不面临的一个问题——信息安全。早在2013年的阿姆斯特丹黑客大会提到过，黑客可以通过充电桩来阻止汽车的充电，甚至可以利用漏洞破坏当地的电网。从用户的角度，希望更便捷、更高效的充电，充电桩势必会智能、势必要联网，一旦联网，黑客就有入侵的途径，轻则可以造成一些信息的漏洞，重责可能会利用漏洞造成影响公共交通的一些事故。

目前国内还未看到有充电桩信息安全事故的报道，但是在工业控制领域，从2010年的“震网”病毒事件以后，信息安全事件逐年递增。2015年信息安全漏洞的事故达到了300多起。可见工控的信息安全早已引起广泛关注。同时，工控的信息安全导致的事故，比传统IT系统带来的事故都要严重得多。工控系统主要是用在像工业、能源、交通这种领域，一旦发生事故，会导致人员伤亡、环境污染、社会动荡等严重后果。

【三足鼎立国家、企业、联盟一直在行动】

国家、行业、联盟已经开始为保障信息安全采取相关措施，国家层面，今年6月1日起开始执行《中华人民共和国网络安全法》，将网络安全推到了一个战略高度，也推到了一个法律高度。行业层面，中国软件评测中心从2011年就开始做关于信息安全方面的工作，网信办、工信部、公安部等均在工控信息安全方面做出相关指导和规定。对于汽车行业，从2015年开始是汽车的信息安全爆发的元年，目前包括汽标委、信安标委等等，已经都出台了汽车的信息安全标准体系。

在充电基础设施行业，充电联盟在近日也发布了关于《电动汽车充电基础设施信息安全防护指南》的征求意见稿，也开始意识到这样的一个问题，希望能对行业内的从业企业提出一些要求，防患于未然。这部分工作是由中国软件评测中心支撑完成的。

【信息安全隐患重重谁来把握第一道关口？】

上图是整个充电系统的示意图，其实也对应的可以建立信息安全威胁模型。简单的来说，示意图标注的所有的部分都有可能存在信息安全的隐患。一旦出现了由于信息安全导致的事故，轻则可能是信息泄漏、身份窃取，重点是财产损失，再严重可能会有公共安全。比如说用于给出租车、公交车充电的充电站，如果被黑客进行了信息安全的攻击，可能对公共秩序或者公共安全造成影响。

首先是监控平台，这方面的风险点，老生常谈了，比如没有进行访问控制策略、边界防护措施薄弱、安全配置策略缺失等。这方面的中国软件评测中心做了许多实践工作：首先，传统的信息安全等级保护是比较成熟传统的一种测试。其次是2011年开始，中国软件评测中心支撑工信部开展工控系统信息安全测评研究，去年工信部对外发布了338号文，即《工业控制系统信息安全防护指南》，指导工业企业开展工控安全防护工作。为了检验防护指南对提升企业安全防护能力的效果，又起草了安全防护能力评估办法，为了验证指南和办法的科学性、合理性、可操作性，今年4-5月份，遴选了六家重点行业的典型企业开展了预评估工作。效果不错，一方面摸清了工业企业安全防护现状，同时也进一步验证了指南的有效性。

另外，在遇到国家重大会议或者外事活动时，中国软件评测中心都会作为技术安保队伍之一去开展信息安全检查工作，例如去年的G20和今年的一带一路，两会等活动；目前新能源汽车要求实现监管，建立三级平台，企业平台、地方平台和国家平台，目前中国软件评测中心也在为部分平台做质量保障的工作。

【恶意攻击是黑科技还是纸老虎？】

其次，是通信或者协议方面的安全风险，这部分协议在整个系统中涉及很多，包括充电协议、充电桩到平台的协议、平台之间的通信协议，其中的一些风险点有：数据监听、中间人攻击、篡改数据、破坏通信，举例充电协议“27930”，它是基于CAN总线的协议，CAN总线是一个开放的协议，并且“27930”的通信也是明文传输，所以可以在总线上任意增加节点捕获数据，或者可以篡改他的数据，破坏或者干扰充电结束信号，导致安全事故。

安全实践方面，中国软件评测中心目前做了两部分工作，一部分是建立了实验环境，在中国软件评测中心中心搭建了一个电动汽车信息安全的研究与测试平台，这个平台上一方面做充电协议的一致性和互操作性的验证，另一方面，主要研究充电协议的信息安全防护能力，就是在充电过程中会进行一些数据和故障的注入，去看抗风险能力、抗破坏能力。

上图这一系列标准是“32960”。现在新能源汽车国家要求有三级平台监控，平台和平台之间的数据通信，大量的数据如何去保障数据安全呢？所以目前正在研制《电动汽车远程服务与管理系统数据传输安全规范》，作为“32960”的补充规范。

关于充电桩的信息安全是在去年的7月份，中国软件评测中心在北京市面上随机挑选了15个品牌的充电桩，采用2辆对标的样车去做测试，包括它的功能、安全、可靠、一致性、通信信号、质量等等。之后中国软件评测中心提了一些防护的措施，包括程序可信、物理隔离、数据过滤和信息加密。

关于支付的信息安全。例如手机APP的几个风险点，包括反编译和篡改，还有关键数据的明文传输和存储。使用APP账号和密码是不能明文传输和存储的，2016年8月份，当时针对也是市面上的11款充电桩的APP，中国软件评测中心针对当时的版本，从功能、安全可靠、易用、兼容、渠道流通等方面进行了测评。

中国软件评测中心测试完在安全性方面的结论是：存在很多共性问题，比如普遍未采用安全通信协议，应用与服务器间的明文通信数据可通过多种方式获取；普遍不具备防范重放攻击的能力，存在用户身份鉴别信息被盗用的风险；还有应用未对自身完整性进行校验，易被篡改。在流通渠道方面，对11款APP监控的版本其中有1300多种应用，其中被篡改和疑似篡改占比达到了11%。

【安全防护两步走系统漏洞无处可逃】

安全防护的第一步也是一定是顶层设计，建立纵深防御的体系，中国软件评测中心是借鉴了工控系统的原则，通过三层架构、两层防护的体系架构，对充电基础设施系统进行分层、分域、分等级，通过横向分层、纵向分域、区域分等级进行防护，这么做的意义，是避免由于IT系统引入的病毒或者入侵影响到OT系统。

在工控系统的电力行业很有名的16字方针：安全分区、网络专用、横向隔离、纵向认证。参考16字方针原则，结合充电基础设施的信息安全，也提出了“分区分域、安全接入、安全可信、动态感知、精益管理、全面防护”的信息安全防护总体要求。

安全防护的第二点，要全生命周期的开展信息安全防护能力的评估，

这11个点也是工业控制系统梳理总结了这11条可以落地、可以执行的要求。在工业控制系统领域，针对这11个大项梳理了30个小项、128个细分项，针对这几个点一一去测评。目前发布的《充电基础设施的信息安全防护指南》同样是根据11个点来进行编写。

【泥泞前行打好信息安全攻防战】

中国软件评测中心做了很多行业工控系统的信息安全，包括检查、包括评估，主要的手段是以人工访谈和检察为主。还有更深入的是安全攻防检测工作，攻击的步骤一般是信息搜索、安全性检查、攻击路径分析、漏洞发现、漏洞利用，和清理残留数据。同时也提出一些防护建议，包括启用白名单机制、严谨弱密码、禁止密码明文存储等等。

随着充电基础设施的智能化和网联化，充电基础设施系统会面临信息安全的挑战，然而信息安全不是一个纯技术的问题，是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。同时一定需要整个基础设施的管理方、运营方、集成商、供应商大家的共同参与、协同工作。中国软件评测中心认为应对信息安全挑战最现实的方法，无外乎就是全生命周期的安全管理，还有从技术上一定要建立纵深防御的体系。同时，信息安全是一个动态的过程，它需要在它的全生命周期中的各个阶段不断的去持续实施、不断改进。

相关阅读：

2017第二届电动汽车及充电基础设施建设运营高峰论坛在京开幕

第三方机构助力打造高品质充电设施

电动汽车传导充电接口的可靠性研究