葉瓊瑜，陳政熙，任 悅

(1.上海電器科學(xué)研究所(集團(tuán))有限公司，上海 200063；2.上海電器設(shè)備檢測(cè)所有限公司，上海 200063)

0 引言

發(fā)展新能源汽車是我國(guó)從汽車大國(guó)邁向汽車強(qiáng)國(guó)的必由之路，是應(yīng)對(duì)氣候變化、推動(dòng)綠色發(fā)展的戰(zhàn)略舉措。自2012年國(guó)務(wù)院發(fā)布《節(jié)能與新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2012—2020年)》以來(lái)，我國(guó)堅(jiān)持純電驅(qū)動(dòng)戰(zhàn)略，新能源汽車產(chǎn)業(yè)發(fā)展取得了巨大成就，成為世界汽車產(chǎn)業(yè)發(fā)展轉(zhuǎn)型的重要力量之一[1]。

為進(jìn)一步推動(dòng)新能源汽車產(chǎn)業(yè)高質(zhì)量發(fā)展、加強(qiáng)汽車強(qiáng)國(guó)建設(shè)，2020年國(guó)務(wù)院發(fā)布了《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021—2035年)》，提出了“以融合創(chuàng)新為重點(diǎn)，突破關(guān)鍵核心技術(shù)，提升產(chǎn)業(yè)基礎(chǔ)能力，構(gòu)建新型產(chǎn)業(yè)生態(tài)，完善基礎(chǔ)設(shè)施體系，優(yōu)化產(chǎn)業(yè)發(fā)展環(huán)境，推動(dòng)我國(guó)新能源汽車產(chǎn)業(yè)高質(zhì)量可持續(xù)發(fā)展，加快建設(shè)汽車強(qiáng)國(guó)”的總體思路?！耙?guī)劃”指出：要完善基礎(chǔ)設(shè)施體系，大力推動(dòng)充換電網(wǎng)絡(luò)建設(shè)，提升充電基礎(chǔ)設(shè)施服務(wù)水平；同時(shí)，要加強(qiáng)充電設(shè)備與配電系統(tǒng)安全監(jiān)測(cè)預(yù)警等技術(shù)研發(fā)，提高充電設(shè)施安全性、一致性、可靠性，以提升服務(wù)保障水平[1]。

作為新能源汽車能力補(bǔ)給的主要媒介，充電基礎(chǔ)設(shè)施的建設(shè)、充電站供電和充電系統(tǒng)的技術(shù)研究是電動(dòng)汽車產(chǎn)業(yè)化的重要基礎(chǔ)。而安全技術(shù)研究，尤其是公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅日益嚴(yán)峻環(huán)境下的信息安全技術(shù)研究與優(yōu)化措施，是充電基礎(chǔ)設(shè)施安全運(yùn)行的重要保障之一。

為此，本文以對(duì)社會(huì)公共服務(wù)影響較大的純電動(dòng)公交車充、換電站的監(jiān)控與管理中心——充/換電站監(jiān)控系統(tǒng)為切入點(diǎn)，分析其系統(tǒng)基本功能和構(gòu)成、網(wǎng)絡(luò)結(jié)構(gòu)及功能、系統(tǒng)脆弱性及面臨的信息安全威脅，并結(jié)合充/換電站監(jiān)控系統(tǒng)自身的信息安全需求和合規(guī)要求，提出面向電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)的信息安全優(yōu)化措施。

1 系統(tǒng)構(gòu)成

電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)主要由監(jiān)控主站、監(jiān)控終端及通信網(wǎng)絡(luò)三部分組成。

監(jiān)控主站負(fù)責(zé)所有充電機(jī)的信息采集與顯示、控制與管理，以及整個(gè)充/換電站監(jiān)控系統(tǒng)的數(shù)據(jù)管理[2]。

監(jiān)控終端負(fù)責(zé)采集充電機(jī)自身狀態(tài)數(shù)據(jù)和充電過(guò)程中蓄電池管理系統(tǒng)傳來(lái)的數(shù)據(jù)，把數(shù)據(jù)匯總傳送至監(jiān)控主站，并接收監(jiān)控主站下發(fā)的控制指令。

通信網(wǎng)絡(luò)實(shí)現(xiàn)充電設(shè)備之間、充電設(shè)備與監(jiān)控主站之間的數(shù)據(jù)傳輸。充電設(shè)備之間大多采用控制器局域網(wǎng)絡(luò)(controller area network，CAN)總線協(xié)議通信。充電設(shè)備采用通信轉(zhuǎn)換器進(jìn)行性協(xié)議轉(zhuǎn)化，與監(jiān)控主站計(jì)算機(jī)通信采用傳輸控制協(xié)議/網(wǎng)際協(xié)議(transmission control protocol/internet protocol，TCP/IP)。這不僅提高了充電站監(jiān)控的兼容性和適用性，還保證了與其他系統(tǒng)的互聯(lián)互通能力。

1.1 系統(tǒng)的基本構(gòu)成

充/換電站監(jiān)控系統(tǒng)是電動(dòng)汽車充電站自動(dòng)化系統(tǒng)的核心。充/換電站監(jiān)控系統(tǒng)主要由充電監(jiān)控計(jì)費(fèi)計(jì)量、配電監(jiān)控、安全防護(hù)、通信管理、充電裝置、保護(hù)裝置及智能電能表等組成[3]。按照結(jié)構(gòu)劃分，充/換電站監(jiān)控系統(tǒng)可以分為站控層、間隔層和采集/設(shè)備層。

充/換電站監(jiān)控系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 充/換電站監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖

為實(shí)現(xiàn)多系統(tǒng)集成和融合，系統(tǒng)多采用分層融合方法，采集/設(shè)備層、間隔層及站控層分別對(duì)相關(guān)數(shù)據(jù)進(jìn)行整合及模型轉(zhuǎn)化，使異構(gòu)數(shù)據(jù)融合的工作量以及層與層之間的交互信息量減少。借助對(duì)站內(nèi)各類數(shù)據(jù)的特征分析，以及統(tǒng)一的信息模型，系統(tǒng)完成數(shù)據(jù)的一致性解釋，實(shí)現(xiàn)充電監(jiān)控系統(tǒng)、計(jì)量計(jì)費(fèi)系統(tǒng)、配電監(jiān)控系統(tǒng)以及安全防護(hù)監(jiān)控系統(tǒng)之間的融合[4]。

1.2 網(wǎng)絡(luò)的結(jié)構(gòu)

充/換電站監(jiān)控系統(tǒng)總體上可以劃分為三層網(wǎng)絡(luò)結(jié)構(gòu)。

第一層是站控層，主要包括監(jiān)控主機(jī)運(yùn)行管理中心應(yīng)用服務(wù)器及其參數(shù)據(jù)存儲(chǔ)服務(wù)器。

第二層是間隔層，主要包括視頻監(jiān)視系統(tǒng)、配電監(jiān)控系統(tǒng)、充電監(jiān)控系統(tǒng)以及環(huán)境監(jiān)測(cè)系統(tǒng)(煙霧監(jiān)控)。

第三層是采集/設(shè)備層，主要包括直流充電樁、電能表、監(jiān)控?cái)z像頭、充電保護(hù)裝置等現(xiàn)場(chǎng)智能設(shè)備。

間隔層各監(jiān)控單元通過(guò)局域網(wǎng)和TCP/IP與站控層的監(jiān)控運(yùn)營(yíng)管理系統(tǒng)連接，從而實(shí)現(xiàn)整個(gè)充電站的數(shù)據(jù)匯總、統(tǒng)計(jì)、顯示，以及設(shè)備監(jiān)控。

充/換電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

圖2 充/換電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

1.3 系統(tǒng)的功能

電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)主要完成對(duì)與充電設(shè)施有關(guān)的配電設(shè)備、充電設(shè)備、電池更換設(shè)備、安全防護(hù)設(shè)備的實(shí)時(shí)監(jiān)控與管理，保證充電設(shè)施安全、可靠、高效運(yùn)行[5]。根據(jù)監(jiān)控對(duì)象的不同，充/換電站監(jiān)控系統(tǒng)的功能如表1所示。

表1 充/換電站監(jiān)控系統(tǒng)的功能

2 系統(tǒng)脆弱性分析和威脅識(shí)別

2.1 系統(tǒng)脆弱性分析

2.1.1 設(shè)備脆弱性

電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)現(xiàn)場(chǎng)含有數(shù)量、類型眾多的智能設(shè)備，包括智能電能表、煙霧報(bào)警器、網(wǎng)絡(luò)攝像機(jī)等。由于部分電動(dòng)汽車充電站管理與運(yùn)營(yíng)者、部分智能設(shè)備產(chǎn)品開發(fā)商技術(shù)人員對(duì)網(wǎng)絡(luò)安全及相關(guān)技術(shù)認(rèn)識(shí)不足，因此難以發(fā)現(xiàn)現(xiàn)場(chǎng)智能設(shè)備的漏洞、惡意代碼、后門等安全隱患。

根據(jù)某知名網(wǎng)絡(luò)安全公司對(duì)國(guó)內(nèi)外十多個(gè)品牌的網(wǎng)絡(luò)攝像機(jī)研究報(bào)告顯示，大量網(wǎng)絡(luò)攝像機(jī)存在漏洞。有的漏洞是固件本身的缺陷，而有的則是為了方便售后遠(yuǎn)程運(yùn)維而設(shè)置的“后門”。例如，CVE-2017-7921漏洞揭示了某品牌及其白標(biāo)的網(wǎng)絡(luò)攝像頭包含一個(gè)后門，允許未經(jīng)身份驗(yàn)證假冒任何配置用戶賬戶，進(jìn)而獲取相機(jī)快照。采集/設(shè)備層與站控層互聯(lián)后，現(xiàn)場(chǎng)智能設(shè)備的安全問題日益暴露，已嚴(yán)重影響系統(tǒng)整體網(wǎng)絡(luò)安全。

2.1.2 主機(jī)脆弱性

電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)的監(jiān)控主機(jī)大多基于Windows平臺(tái)。為了保證系統(tǒng)獨(dú)立性，同時(shí)兼顧系統(tǒng)及應(yīng)用軟件的穩(wěn)定性，系統(tǒng)集成方工程師通常在監(jiān)控系統(tǒng)建成投用后，不會(huì)對(duì)系統(tǒng)安裝任何補(bǔ)丁或升級(jí)系統(tǒng)，也不會(huì)對(duì)主機(jī)進(jìn)行安全基線配置(賬戶管理與認(rèn)證授權(quán)、日志配置、IP協(xié)議安全配置、網(wǎng)絡(luò)訪問用戶授權(quán)等)，即便安裝了殺毒軟件也未能及時(shí)甚至完全不更新病毒庫(kù)。以上種種操作均為站控層監(jiān)控主機(jī)遭受網(wǎng)絡(luò)攻擊埋下安全隱患。

2.1.3 應(yīng)用軟件脆弱性

電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)站控層的應(yīng)用軟件，主要為視頻監(jiān)控單元、配電監(jiān)控單元、充電監(jiān)控單元以及煙霧監(jiān)控單元的上位機(jī)軟件。為實(shí)現(xiàn)多系統(tǒng)集成和融合，系統(tǒng)多采用分層融合方法，對(duì)相關(guān)數(shù)據(jù)進(jìn)行整合及模型轉(zhuǎn)化，并借助對(duì)站內(nèi)各類數(shù)據(jù)的特征分析和統(tǒng)一的信息模型，完成數(shù)據(jù)的一致性解釋，實(shí)現(xiàn)充電監(jiān)控系統(tǒng)、計(jì)量計(jì)費(fèi)系統(tǒng)、配電監(jiān)控系統(tǒng)以及安全防護(hù)監(jiān)控系統(tǒng)之間的融合。在多系統(tǒng)集成和融合過(guò)程中，開發(fā)者主要關(guān)注功能需求和性能需求，而往往對(duì)安全需求考慮不足。更有甚者，為了快速完成開發(fā)工作，直接從開源代碼平臺(tái)克隆其他開發(fā)者的代碼且未經(jīng)安全驗(yàn)證。正是因?yàn)樯蠈討?yīng)用軟件在設(shè)計(jì)、開發(fā)和測(cè)試時(shí)，對(duì)網(wǎng)絡(luò)安全的關(guān)注不足，導(dǎo)致了應(yīng)用軟件隱藏了各種安全漏洞，如結(jié)構(gòu)化查詢語(yǔ)言(structured query language，SQL)注入漏洞、未加密登錄請(qǐng)求等。

2.1.4 通信協(xié)議脆弱性

為提高充/換電站監(jiān)控系統(tǒng)的兼容性和適用性、保證與其他系統(tǒng)的互聯(lián)互通能力，電動(dòng)汽車充電站充電設(shè)備之間大多采用CAN現(xiàn)場(chǎng)總線協(xié)議通信，而充電設(shè)備與站控層監(jiān)控主機(jī)通過(guò)TCP/IP方式通信(采用通信轉(zhuǎn)換器進(jìn)行性協(xié)議轉(zhuǎn)化)。CAN內(nèi)置安全功能，可以保證通信的可靠性，卻無(wú)法保證數(shù)據(jù)的保密性和完整性。因?yàn)镃AN總線與其他眾多現(xiàn)場(chǎng)總線協(xié)議一樣，缺乏固有的加密方法來(lái)確保數(shù)據(jù)的保密性，且CAN總線中的報(bào)文是通過(guò)廣播傳送方式，所有節(jié)點(diǎn)都可以接收總線中發(fā)送的消息，為報(bào)文信息監(jiān)聽提供了可能；CAN總線采用循環(huán)冗余校驗(yàn)(cyclic redundancy check，CRC)檢測(cè)或檢驗(yàn)數(shù)據(jù)傳輸可能出現(xiàn)的錯(cuò)誤，但不能驗(yàn)證數(shù)據(jù)傳輸?shù)耐暾浴Ｒ虼?，CAN總線由于缺乏網(wǎng)絡(luò)安全機(jī)制，已成為充/換電站監(jiān)控系統(tǒng)安全的薄弱點(diǎn)。

2.1.5 網(wǎng)絡(luò)脆弱性

充/換電站監(jiān)控系統(tǒng)中間隔層內(nèi)各監(jiān)控單元以星型結(jié)構(gòu)以太網(wǎng)形式，通過(guò)二層交換機(jī)與站控層監(jiān)控運(yùn)營(yíng)管理系統(tǒng)連接，從而實(shí)現(xiàn)對(duì)整個(gè)充電站的數(shù)據(jù)匯總、統(tǒng)計(jì)、顯示以及設(shè)備監(jiān)控。按照《NB/T33005—2013電動(dòng)汽車充電站及電池更換站監(jiān)控系統(tǒng)技術(shù)規(guī)范》建議，視頻及環(huán)境監(jiān)控系統(tǒng)宜單獨(dú)組網(wǎng)，以達(dá)到網(wǎng)絡(luò)隔離的目的。而實(shí)際上，有不少系統(tǒng)運(yùn)營(yíng)方為了提高運(yùn)營(yíng)效率，通過(guò)集成手段實(shí)現(xiàn)間隔層監(jiān)控單元的融合，卻未對(duì)部署在間隔層的二層匯聚交換機(jī)設(shè)置虛擬局域網(wǎng)(virtual local area network，VLAN)，也沒有配置訪問控制列表(access control lists，ACL)，導(dǎo)致廣播域覆蓋全局域網(wǎng)。這不僅會(huì)影響網(wǎng)絡(luò)通信質(zhì)量，還會(huì)影響網(wǎng)絡(luò)安全性。

2.2 系統(tǒng)威脅識(shí)別

充/換電站監(jiān)控系統(tǒng)面臨的威脅可以劃分為自然威脅與人為威脅[6]。自然威脅包括各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁干擾、電磁輻射、網(wǎng)絡(luò)設(shè)備自然老化等。鑒于自然威脅具有不可抗力，而機(jī)房建設(shè)往往會(huì)采取合理措施預(yù)防各類自然威脅，因此本文重點(diǎn)分析更容易被忽視的人為威脅。

人為威脅又包含無(wú)意威脅(偶然事故)和惡意攻擊。偶然事故包括操作失誤、意外損失、編程缺陷、意外丟失、管理不善等。惡意攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。結(jié)合充/換電站監(jiān)控系統(tǒng)的內(nèi)外部環(huán)境，剔除不考慮法律法規(guī)后果的物理層面破壞行為，本文總結(jié)了以下充/換電站監(jiān)控系統(tǒng)主要面臨的信息安全威脅。

①僵木蠕毒。

以WannaCry為例。該蠕蟲會(huì)通過(guò)遠(yuǎn)程服務(wù)器和自身爬蟲功能收集局域網(wǎng)內(nèi)的IP列表，然后對(duì)其中的多個(gè)服務(wù)端口發(fā)起攻擊，包括RPC服務(wù)、SQL Server服務(wù)、FTP服務(wù)；同時(shí)，還會(huì)通過(guò)“永恒之藍(lán)”漏洞入侵445端口，攻擊計(jì)算機(jī)。充/換電站監(jiān)控系統(tǒng)二層交換機(jī)在未設(shè)置VLAN且沒有配置訪問控制列表(access control lists,ACL)的情況下，一旦任何一臺(tái)計(jì)算機(jī)被該蠕蟲感染，將意味著充/換電站監(jiān)控系統(tǒng)局域網(wǎng)內(nèi)所有計(jì)算機(jī)都面臨被感染的風(fēng)險(xiǎn)。

②內(nèi)部人員。

目前，發(fā)生在組織內(nèi)部、由內(nèi)部惡意人員引發(fā)的安全事故中，最多的是竊取組織內(nèi)部信息資產(chǎn)，即通過(guò)企業(yè)的數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等獲取上述信息，再通過(guò)移動(dòng)介質(zhì)、郵件等方式將信息轉(zhuǎn)移出組織內(nèi)部。而由內(nèi)部非惡意人員引發(fā)的安全事故中，最多的是工作失當(dāng)造成的損失，包括文檔管理不善、打開釣魚郵件、無(wú)意間的談?wù)搶?dǎo)致的信息泄露、誤刪除操作等。

③第三方承包商和廠商。

除了“粗心大意的內(nèi)部員工”是安全鏈條中的薄弱環(huán)節(jié)外，第三方承包商和廠商也是企業(yè)信息安全的薄弱環(huán)節(jié)，由第三方引起的案例時(shí)有發(fā)生。與眾多其他信息系統(tǒng)類似，電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)面臨的第三方威脅，包括共享憑證、無(wú)規(guī)律地訪問以及特權(quán)賬戶。

3 充/換電站監(jiān)控系統(tǒng)信息安全需求

2017年6月，《網(wǎng)絡(luò)安全法》正式施行，規(guī)定“國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄漏，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定”[7]。充電基礎(chǔ)設(shè)施作為新能源汽車能力補(bǔ)給的主要媒介、電動(dòng)汽車產(chǎn)業(yè)化的重要基礎(chǔ)、《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021—2035年)》施行的重要抓手，重要性不言而喻。

2017年7月，中國(guó)電力企業(yè)聯(lián)合會(huì)標(biāo)準(zhǔn)化管理中心發(fā)布了《電動(dòng)汽車充電設(shè)施信息安全防護(hù)指南》征求意見稿，提出充電基礎(chǔ)設(shè)施信息系統(tǒng)應(yīng)按“分區(qū)分域、安全接入、安全可信、動(dòng)態(tài)感知、精益管理、全面防護(hù)”總體要求，并結(jié)合計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)的要求，從技術(shù)與管理兩個(gè)層面，建設(shè)充電基礎(chǔ)設(shè)施信息系統(tǒng)安全管理體系。技術(shù)層面，要充分考慮物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。管理層面，需要充分考慮安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理[8]。

2019年5月，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)發(fā)布。該標(biāo)準(zhǔn)在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上，擴(kuò)展了云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控系統(tǒng)等保護(hù)對(duì)象。在技術(shù)要求方面，增加了安全管理中心，須通過(guò)技術(shù)手段實(shí)現(xiàn)系統(tǒng)管理、審計(jì)管理、安全管理以及集中管控。

電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)在建設(shè)信息安全管理體系時(shí)，除了要考慮企業(yè)自身的信息安全需求，還要考慮法律法規(guī)、強(qiáng)制性標(biāo)準(zhǔn)以及行業(yè)標(biāo)準(zhǔn)等方面的合規(guī)要求。

4 信息安全對(duì)策

經(jīng)過(guò)分析電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)基本構(gòu)成、網(wǎng)絡(luò)結(jié)構(gòu)及功能、系統(tǒng)脆弱性、信息安全威脅以及內(nèi)外部環(huán)境的信息安全需求，本文建議電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)的信息安全對(duì)策可以從以下幾方面進(jìn)行思考。

4.1 信息安全管理對(duì)策

首先，在獲得組織領(lǐng)導(dǎo)承諾和支撐的情況下，規(guī)劃企業(yè)/系統(tǒng)的信息安全目標(biāo)并進(jìn)行必要的信息安全評(píng)估；識(shí)別信息安全風(fēng)險(xiǎn)，分析風(fēng)險(xiǎn)帶來(lái)的后果，包括來(lái)自系統(tǒng)脆弱性遭受威脅利用帶來(lái)的直接損害，以及不合法規(guī)要求造成的罰款、聲譽(yù)折損等間接損害等；評(píng)價(jià)信息安全風(fēng)險(xiǎn)，并設(shè)置風(fēng)險(xiǎn)排序的優(yōu)先級(jí)。

其次，根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律的規(guī)定，以及《GB/T 22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《電動(dòng)汽車充電設(shè)施信息安全防護(hù)指南》(征求意見稿)以及《GB/T 20080—2016 信息安全管理體系》等標(biāo)準(zhǔn)的指導(dǎo)意見，并結(jié)合實(shí)際，從信息安全策略、信息安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼控制、物理和環(huán)境安全、運(yùn)行安全、通信安全、系統(tǒng)開發(fā)和維護(hù)、供應(yīng)商關(guān)系、信息安全事件管理、業(yè)務(wù)連續(xù)管理以及符合性管理等方面[9]，建設(shè)一套適宜、充分、有效的信息安全管理制度。

最后，按照內(nèi)部管理制度的要求，規(guī)劃、實(shí)現(xiàn)和控制所需要的過(guò)程，并確保過(guò)程與企業(yè)/系統(tǒng)信息安全目標(biāo)相一致；此外，要周期性監(jiān)視、測(cè)量、分析和評(píng)價(jià)管理體系的有效性，同時(shí)進(jìn)行必要的內(nèi)部審核和管理評(píng)審，糾正不符合項(xiàng)，持續(xù)改進(jìn)安全管理體系，以確保管理體系持續(xù)的適宜性、充分性和有效性。

4.2 安全技術(shù)對(duì)策

從企業(yè)內(nèi)控的總體和長(zhǎng)遠(yuǎn)角度上看，系統(tǒng)信息化建設(shè)促進(jìn)效率提升是完成效率類目標(biāo)，系統(tǒng)安全建設(shè)保障安全生產(chǎn)是完成安全類目標(biāo)，兩者同屬企業(yè)生存發(fā)展的大目標(biāo)之下。然而，從局部以及短期來(lái)看，企業(yè)卻不得不面對(duì)效率目標(biāo)和安全目標(biāo)的沖突，不得不進(jìn)行平衡。因此，在考慮信息系統(tǒng)安全建設(shè)時(shí)，宜兼顧技術(shù)措施的經(jīng)濟(jì)性，并考慮可擴(kuò)展性和兼容性。

本著上述原則，結(jié)合電動(dòng)汽車充/換電站監(jiān)控系統(tǒng)信息安全共性問題，建議充/換電站監(jiān)控系統(tǒng)系統(tǒng)應(yīng)首要滿足等級(jí)保護(hù)標(biāo)準(zhǔn)中關(guān)于安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域隔離、安全計(jì)算環(huán)境、安全管理中心的基本要求。如果經(jīng)濟(jì)條件允許，還可以考慮包括但不僅限于以下信息安全技術(shù)優(yōu)化措施。

①網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)(web application firewall，WAF)。

WAF可通過(guò)內(nèi)置的黑/白名單機(jī)制、分布式拒絕服務(wù)攻擊抵御機(jī)制，抵御電動(dòng)汽車充電站監(jiān)控運(yùn)營(yíng)管理系統(tǒng)面臨的各類網(wǎng)站安全威脅和拒絕服務(wù)攻擊；同時(shí)，利用審計(jì)、訪問控制、應(yīng)用加固等功能，強(qiáng)化充電站監(jiān)控運(yùn)營(yíng)管理系統(tǒng)魯棒性。

②端點(diǎn)檢測(cè)與響應(yīng)(endpoint detection and response，EDR)。

EDR是一種主動(dòng)式端點(diǎn)安全解決方案，通過(guò)記錄終端與網(wǎng)絡(luò)事件，將這些信息存儲(chǔ)在端點(diǎn)或集中數(shù)據(jù)庫(kù)。結(jié)合已知的攻擊指示器、行為分析的數(shù)據(jù)庫(kù)連續(xù)搜索數(shù)據(jù)和機(jī)器學(xué)習(xí)技術(shù)來(lái)監(jiān)測(cè)任何可能的安全威脅，并對(duì)這些安全威脅作出快速響應(yīng)，有助于快速調(diào)查攻擊范圍，并提供響應(yīng)能力。EDR可以有效抵御惡意軟件、無(wú)文件型攻擊、濫用合法應(yīng)用程序、可疑的用戶活動(dòng)等威脅對(duì)充/換電站監(jiān)控系統(tǒng)終端的影響。

③網(wǎng)絡(luò)態(tài)勢(shì)感知(cyberspace situation awareness，CSA)。

CSA是一種基于環(huán)境的，動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力的一種方式[10]，最終是為了決策與行動(dòng)，是安全能力的落地。CSA技術(shù)在實(shí)際使用過(guò)程中，往往是通過(guò)網(wǎng)絡(luò)安全綜合管理平臺(tái)搭配網(wǎng)絡(luò)流量探針、主機(jī)探針、威脅情報(bào)庫(kù)、安全漏洞庫(kù)等以達(dá)到統(tǒng)合綜效。具體可理解為：探針負(fù)責(zé)采集原始流量、安全日志；威脅情報(bào)庫(kù)及安全漏洞庫(kù)負(fù)責(zé)提供特征碼；綜合管理平臺(tái)通過(guò)統(tǒng)一的日志數(shù)據(jù)格式，將探針提供的原始流量和安全日志進(jìn)行聚合和清洗，并結(jié)合威脅情報(bào)和安全漏洞庫(kù)提供的信息，進(jìn)行關(guān)聯(lián)分析以實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)感知。

此外，如條件允許，還可以進(jìn)一步考慮系統(tǒng)通信健壯性測(cè)試、系統(tǒng)漏洞掃描和系統(tǒng)滲透測(cè)試等優(yōu)化措施。

5 結(jié)論

信息技術(shù)和自動(dòng)化技術(shù)的深度融合，促進(jìn)了信息系統(tǒng)整體效率提升，而網(wǎng)絡(luò)空間日益嚴(yán)峻的安全威脅以及頻發(fā)的安全事件卻又給人們敲響了安全警鐘。如何平衡系統(tǒng)信息化建設(shè)和系統(tǒng)信息安全建設(shè)兩個(gè)沖突目標(biāo)的短期關(guān)系是各行各業(yè)長(zhǎng)期的共同話題。

充電基礎(chǔ)設(shè)施作為電動(dòng)汽車能力補(bǔ)給的主要媒介，以及電動(dòng)汽車產(chǎn)業(yè)化的重要基礎(chǔ)，在大力推動(dòng)信息化建設(shè)、提升服務(wù)水平的同時(shí)，需要同步規(guī)劃、同步建設(shè)、同步使用信息安全保障措施。鑒于效率和安全的平衡，充電基礎(chǔ)設(shè)施運(yùn)營(yíng)企業(yè)可以在滿足合規(guī)要求和當(dāng)前自身的信息安全需求的基礎(chǔ)上，采用“小步快走，持續(xù)迭代”的方式，分步實(shí)施優(yōu)化措施以應(yīng)對(duì)動(dòng)態(tài)變化的網(wǎng)絡(luò)空間安全威脅。