叶琼瑜，陈政熙，任 悦

(1.上海电器科学研究所(集团)有限公司，上海 200063；2.上海电器设备检测所有限公司，上海 200063)

0 引言

发展新能源汽车是我国从汽车大国迈向汽车强国的必由之路，是应对气候变化、推动绿色发展的战略举措。自2012年国务院发布《节能与新能源汽车产业发展规划(2012—2020年)》以来，我国坚持纯电驱动战略，新能源汽车产业发展取得了巨大成就，成为世界汽车产业发展转型的重要力量之一[1]。

为进一步推动新能源汽车产业高质量发展、加强汽车强国建设，2020年国务院发布了《新能源汽车产业发展规划(2021—2035年)》，提出了“以融合创新为重点，突破关键核心技术，提升产业基础能力，构建新型产业生态，完善基础设施体系，优化产业发展环境，推动我国新能源汽车产业高质量可持续发展，加快建设汽车强国”的总体思路。“规划”指出：要完善基础设施体系，大力推动充换电网络建设，提升充电基础设施服务水平；同时，要加强充电设备与配电系统安全监测预警等技术研发，提高充电设施安全性、一致性、可靠性，以提升服务保障水平[1]。

作为新能源汽车能力补给的主要媒介，充电基础设施的建设、充电站供电和充电系统的技术研究是电动汽车产业化的重要基础。而安全技术研究，尤其是公共互联网网络安全威胁日益严峻环境下的信息安全技术研究与优化措施，是充电基础设施安全运行的重要保障之一。

为此，本文以对社会公共服务影响较大的纯电动公交车充、换电站的监控与管理中心——充/换电站监控系统为切入点，分析其系统基本功能和构成、网络结构及功能、系统脆弱性及面临的信息安全威胁，并结合充/换电站监控系统自身的信息安全需求和合规要求，提出面向电动汽车充/换电站监控系统的信息安全优化措施。

1 系统构成

电动汽车充/换电站监控系统主要由监控主站、监控终端及通信网络三部分组成。

监控主站负责所有充电机的信息采集与显示、控制与管理，以及整个充/换电站监控系统的数据管理[2]。

监控终端负责采集充电机自身状态数据和充电过程中蓄电池管理系统传来的数据，把数据汇总传送至监控主站，并接收监控主站下发的控制指令。

通信网络实现充电设备之间、充电设备与监控主站之间的数据传输。充电设备之间大多采用控制器局域网络(controller area network，CAN)总线协议通信。充电设备采用通信转换器进行性协议转化，与监控主站计算机通信采用传输控制协议/网际协议(transmission control protocol/internet protocol，TCP/IP)。这不仅提高了充电站监控的兼容性和适用性，还保证了与其他系统的互联互通能力。

1.1 系统的基本构成

充/换电站监控系统是电动汽车充电站自动化系统的核心。充/换电站监控系统主要由充电监控计费计量、配电监控、安全防护、通信管理、充电装置、保护装置及智能电能表等组成[3]。按照结构划分，充/换电站监控系统可以分为站控层、间隔层和采集/设备层。

充/换电站监控系统结构如图1所示。

图1 充/换电站监控系统结构示意图

为实现多系统集成和融合，系统多采用分层融合方法，采集/设备层、间隔层及站控层分别对相关数据进行整合及模型转化，使异构数据融合的工作量以及层与层之间的交互信息量减少。借助对站内各类数据的特征分析，以及统一的信息模型，系统完成数据的一致性解释，实现充电监控系统、计量计费系统、配电监控系统以及安全防护监控系统之间的融合[4]。

1.2 网络的结构

充/换电站监控系统总体上可以划分为三层网络结构。

第一层是站控层，主要包括监控主机运行管理中心应用服务器及其参数据存储服务器。

第二层是间隔层，主要包括视频监视系统、配电监控系统、充电监控系统以及环境监测系统(烟雾监控)。

第三层是采集/设备层，主要包括直流充电桩、电能表、监控摄像头、充电保护装置等现场智能设备。

间隔层各监控单元通过局域网和TCP/IP与站控层的监控运营管理系统连接，从而实现整个充电站的数据汇总、统计、显示，以及设备监控。

充/换电站监控系统网络结构如图2所示。

图2 充/换电站监控系统网络结构

1.3 系统的功能

电动汽车充/换电站监控系统主要完成对与充电设施有关的配电设备、充电设备、电池更换设备、安全防护设备的实时监控与管理，保证充电设施安全、可靠、高效运行[5]。根据监控对象的不同，充/换电站监控系统的功能如表1所示。

表1 充/换电站监控系统的功能

2 系统脆弱性分析和威胁识别

2.1 系统脆弱性分析

2.1.1 设备脆弱性

电动汽车充/换电站监控系统现场含有数量、类型众多的智能设备，包括智能电能表、烟雾报警器、网络摄像机等。由于部分电动汽车充电站管理与运营者、部分智能设备产品开发商技术人员对网络安全及相关技术认识不足，因此难以发现现场智能设备的漏洞、恶意代码、后门等安全隐患。

根据某知名网络安全公司对国内外十多个品牌的网络摄像机研究报告显示，大量网络摄像机存在漏洞。有的漏洞是固件本身的缺陷，而有的则是为了方便售后远程运维而设置的“后门”。例如，CVE-2017-7921漏洞揭示了某品牌及其白标的网络摄像头包含一个后门，允许未经身份验证假冒任何配置用户账户，进而获取相机快照。采集/设备层与站控层互联后，现场智能设备的安全问题日益暴露，已严重影响系统整体网络安全。

2.1.2 主机脆弱性

电动汽车充/换电站监控系统的监控主机大多基于Windows平台。为了保证系统独立性，同时兼顾系统及应用软件的稳定性，系统集成方工程师通常在监控系统建成投用后，不会对系统安装任何补丁或升级系统，也不会对主机进行安全基线配置(账户管理与认证授权、日志配置、IP协议安全配置、网络访问用户授权等)，即便安装了杀毒软件也未能及时甚至完全不更新病毒库。以上种种操作均为站控层监控主机遭受网络攻击埋下安全隐患。

2.1.3 应用软件脆弱性

电动汽车充/换电站监控系统站控层的应用软件，主要为视频监控单元、配电监控单元、充电监控单元以及烟雾监控单元的上位机软件。为实现多系统集成和融合，系统多采用分层融合方法，对相关数据进行整合及模型转化，并借助对站内各类数据的特征分析和统一的信息模型，完成数据的一致性解释，实现充电监控系统、计量计费系统、配电监控系统以及安全防护监控系统之间的融合。在多系统集成和融合过程中，开发者主要关注功能需求和性能需求，而往往对安全需求考虑不足。更有甚者，为了快速完成开发工作，直接从开源代码平台克隆其他开发者的代码且未经安全验证。正是因为上层应用软件在设计、开发和测试时，对网络安全的关注不足，导致了应用软件隐藏了各种安全漏洞，如结构化查询语言(structured query language，SQL)注入漏洞、未加密登录请求等。

2.1.4 通信协议脆弱性

为提高充/换电站监控系统的兼容性和适用性、保证与其他系统的互联互通能力，电动汽车充电站充电设备之间大多采用CAN现场总线协议通信，而充电设备与站控层监控主机通过TCP/IP方式通信(采用通信转换器进行性协议转化)。CAN内置安全功能，可以保证通信的可靠性，却无法保证数据的保密性和完整性。因为CAN总线与其他众多现场总线协议一样，缺乏固有的加密方法来确保数据的保密性，且CAN总线中的报文是通过广播传送方式，所有节点都可以接收总线中发送的消息，为报文信息监听提供了可能；CAN总线采用循环冗余校验(cyclic redundancy check，CRC)检测或检验数据传输可能出现的错误，但不能验证数据传输的完整性。因此，CAN总线由于缺乏网络安全机制，已成为充/换电站监控系统安全的薄弱点。

2.1.5 网络脆弱性

充/换电站监控系统中间隔层内各监控单元以星型结构以太网形式，通过二层交换机与站控层监控运营管理系统连接，从而实现对整个充电站的数据汇总、统计、显示以及设备监控。按照《NB/T33005—2013电动汽车充电站及电池更换站监控系统技术规范》建议，视频及环境监控系统宜单独组网，以达到网络隔离的目的。而实际上，有不少系统运营方为了提高运营效率，通过集成手段实现间隔层监控单元的融合，却未对部署在间隔层的二层汇聚交换机设置虚拟局域网(virtual local area network，VLAN)，也没有配置访问控制列表(access control lists，ACL)，导致广播域覆盖全局域网。这不仅会影响网络通信质量，还会影响网络安全性。

2.2 系统威胁识别

充/换电站监控系统面临的威胁可以划分为自然威胁与人为威胁[6]。自然威胁包括各种自然灾害、恶劣的场地环境、电磁干扰、电磁辐射、网络设备自然老化等。鉴于自然威胁具有不可抗力，而机房建设往往会采取合理措施预防各类自然威胁，因此本文重点分析更容易被忽视的人为威胁。

人为威胁又包含无意威胁(偶然事故)和恶意攻击。偶然事故包括操作失误、意外损失、编程缺陷、意外丢失、管理不善等。恶意攻击分为主动攻击和被动攻击。结合充/换电站监控系统的内外部环境，剔除不考虑法律法规后果的物理层面破坏行为，本文总结了以下充/换电站监控系统主要面临的信息安全威胁。

①僵木蠕毒。

以WannaCry为例。该蠕虫会通过远程服务器和自身爬虫功能收集局域网内的IP列表，然后对其中的多个服务端口发起攻击，包括RPC服务、SQL Server服务、FTP服务；同时，还会通过“永恒之蓝”漏洞入侵445端口，攻击计算机。充/换电站监控系统二层交换机在未设置VLAN且没有配置访问控制列表(access control lists,ACL)的情况下，一旦任何一台计算机被该蠕虫感染，将意味着充/换电站监控系统局域网内所有计算机都面临被感染的风险。

②内部人员。

目前，发生在组织内部、由内部恶意人员引发的安全事故中，最多的是窃取组织内部信息资产，即通过企业的数据库服务器、文件服务器等获取上述信息，再通过移动介质、邮件等方式将信息转移出组织内部。而由内部非恶意人员引发的安全事故中，最多的是工作失当造成的损失，包括文档管理不善、打开钓鱼邮件、无意间的谈论导致的信息泄露、误删除操作等。

③第三方承包商和厂商。

除了“粗心大意的内部员工”是安全链条中的薄弱环节外，第三方承包商和厂商也是企业信息安全的薄弱环节，由第三方引起的案例时有发生。与众多其他信息系统类似，电动汽车充/换电站监控系统面临的第三方威胁，包括共享凭证、无规律地访问以及特权账户。

3 充/换电站监控系统信息安全需求

2017年6月，《网络安全法》正式施行，规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄漏，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”[7]。充电基础设施作为新能源汽车能力补给的主要媒介、电动汽车产业化的重要基础、《新能源汽车产业发展规划(2021—2035年)》施行的重要抓手，重要性不言而喻。

2017年7月，中国电力企业联合会标准化管理中心发布了《电动汽车充电设施信息安全防护指南》征求意见稿，提出充电基础设施信息系统应按“分区分域、安全接入、安全可信、动态感知、精益管理、全面防护”总体要求，并结合计算机信息系统安全等级保护的要求，从技术与管理两个层面，建设充电基础设施信息系统安全管理体系。技术层面，要充分考虑物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。管理层面，需要充分考虑安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理[8]。

2019年5月，网络安全等级保护制度2.0标准发布。该标准在传统信息系统的基础上，扩展了云计算、大数据、物联网、移动互联和工控系统等保护对象。在技术要求方面，增加了安全管理中心，须通过技术手段实现系统管理、审计管理、安全管理以及集中管控。

电动汽车充/换电站监控系统在建设信息安全管理体系时，除了要考虑企业自身的信息安全需求，还要考虑法律法规、强制性标准以及行业标准等方面的合规要求。

4 信息安全对策

经过分析电动汽车充/换电站监控系统基本构成、网络结构及功能、系统脆弱性、信息安全威胁以及内外部环境的信息安全需求，本文建议电动汽车充/换电站监控系统的信息安全对策可以从以下几方面进行思考。

4.1 信息安全管理对策

首先，在获得组织领导承诺和支撑的情况下，规划企业/系统的信息安全目标并进行必要的信息安全评估；识别信息安全风险，分析风险带来的后果，包括来自系统脆弱性遭受威胁利用带来的直接损害，以及不合法规要求造成的罚款、声誉折损等间接损害等；评价信息安全风险，并设置风险排序的优先级。

其次，根据《网络安全法》《数据安全法》《个人信息保护法》等法律的规定，以及《GB/T 22239—2019信息安全技术网络安全等级保护基本要求》《电动汽车充电设施信息安全防护指南》(征求意见稿)以及《GB/T 20080—2016 信息安全管理体系》等标准的指导意见，并结合实际，从信息安全策略、信息安全组织、人力资源安全、资产管理、访问控制、密码控制、物理和环境安全、运行安全、通信安全、系统开发和维护、供应商关系、信息安全事件管理、业务连续管理以及符合性管理等方面[9]，建设一套适宜、充分、有效的信息安全管理制度。

最后，按照内部管理制度的要求，规划、实现和控制所需要的过程，并确保过程与企业/系统信息安全目标相一致；此外，要周期性监视、测量、分析和评价管理体系的有效性，同时进行必要的内部审核和管理评审，纠正不符合项，持续改进安全管理体系，以确保管理体系持续的适宜性、充分性和有效性。

4.2 安全技术对策

从企业内控的总体和长远角度上看，系统信息化建设促进效率提升是完成效率类目标，系统安全建设保障安全生产是完成安全类目标，两者同属企业生存发展的大目标之下。然而，从局部以及短期来看，企业却不得不面对效率目标和安全目标的冲突，不得不进行平衡。因此，在考虑信息系统安全建设时，宜兼顾技术措施的经济性，并考虑可扩展性和兼容性。

本着上述原则，结合电动汽车充/换电站监控系统信息安全共性问题，建议充/换电站监控系统系统应首要满足等级保护标准中关于安全物理环境、安全通信网络、安全区域隔离、安全计算环境、安全管理中心的基本要求。如果经济条件允许，还可以考虑包括但不仅限于以下信息安全技术优化措施。

①网站应用级入侵防御系统(web application firewall，WAF)。

WAF可通过内置的黑/白名单机制、分布式拒绝服务攻击抵御机制，抵御电动汽车充电站监控运营管理系统面临的各类网站安全威胁和拒绝服务攻击；同时，利用审计、访问控制、应用加固等功能，强化充电站监控运营管理系统鲁棒性。

②端点检测与响应(endpoint detection and response，EDR)。

EDR是一种主动式端点安全解决方案，通过记录终端与网络事件，将这些信息存储在端点或集中数据库。结合已知的攻击指示器、行为分析的数据库连续搜索数据和机器学习技术来监测任何可能的安全威胁，并对这些安全威胁作出快速响应，有助于快速调查攻击范围，并提供响应能力。EDR可以有效抵御恶意软件、无文件型攻击、滥用合法应用程序、可疑的用户活动等威胁对充/换电站监控系统终端的影响。

③网络态势感知(cyberspace situation awareness，CSA)。

CSA是一种基于环境的，动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式[10]，最终是为了决策与行动，是安全能力的落地。CSA技术在实际使用过程中，往往是通过网络安全综合管理平台搭配网络流量探针、主机探针、威胁情报库、安全漏洞库等以达到统合综效。具体可理解为：探针负责采集原始流量、安全日志；威胁情报库及安全漏洞库负责提供特征码；综合管理平台通过统一的日志数据格式，将探针提供的原始流量和安全日志进行聚合和清洗，并结合威胁情报和安全漏洞库提供的信息，进行关联分析以实现网络态势感知。

此外，如条件允许，还可以进一步考虑系统通信健壮性测试、系统漏洞扫描和系统渗透测试等优化措施。

5 结论

信息技术和自动化技术的深度融合，促进了信息系统整体效率提升，而网络空间日益严峻的安全威胁以及频发的安全事件却又给人们敲响了安全警钟。如何平衡系统信息化建设和系统信息安全建设两个冲突目标的短期关系是各行各业长期的共同话题。

充电基础设施作为电动汽车能力补给的主要媒介，以及电动汽车产业化的重要基础，在大力推动信息化建设、提升服务水平的同时，需要同步规划、同步建设、同步使用信息安全保障措施。鉴于效率和安全的平衡，充电基础设施运营企业可以在满足合规要求和当前自身的信息安全需求的基础上，采用“小步快走，持续迭代”的方式，分步实施优化措施以应对动态变化的网络空间安全威胁。