充/換電站監控系統信息安全研究及對策分析

葉瓊瑜，陳政熙，任 悅

(1.上海電器科學研究所(集團)有限公司，上海 200063；2.上海電器設備檢測所有限公司，上海 200063)

0 引言

發展新能源汽車是我國從汽車大國邁向汽車強國的必由之路，是應對氣候變化、推動綠色發展的戰略舉措。自2012年國務院發布《節能與新能源汽車產業發展規劃(2012—2020年)》以來，我國堅持純電驅動戰略，新能源汽車產業發展取得了巨大成就，成為世界汽車產業發展轉型的重要力量之一[1]。

為進一步推動新能源汽車產業高質量發展、加強汽車強國建設，2020年國務院發布了《新能源汽車產業發展規劃(2021—2035年)》，提出了“以融合創新為重點，突破關鍵核心技術，提升產業基礎能力，構建新型產業生態，完善基礎設施體系，優化產業發展環境，推動我國新能源汽車產業高質量可持續發展，加快建設汽車強國”的總體思路。“規劃”指出：要完善基礎設施體系，大力推動充換電網絡建設，提升充電基礎設施服務水平；同時，要加強充電設備與配電系統安全監測預警等技術研發，提高充電設施安全性、一致性、可靠性，以提升服務保障水平[1]。

作為新能源汽車能力補給的主要媒介，充電基礎設施的建設、充電站供電和充電系統的技術研究是電動汽車產業化的重要基礎。而安全技術研究，尤其是公共互聯網網絡安全威脅日益嚴峻環境下的信息安全技術研究與優化措施，是充電基礎設施安全運行的重要保障之一。

為此，本文以對社會公共服務影響較大的純電動公交車充、換電站的監控與管理中心——充/換電站監控系統為切入點，分析其系統基本功能和構成、網絡結構及功能、系統脆弱性及面臨的信息安全威脅，并結合充/換電站監控系統自身的信息安全需求和合規要求，提出面向電動汽車充/換電站監控系統的信息安全優化措施。

1 系統構成

電動汽車充/換電站監控系統主要由監控主站、監控終端及通信網絡三部分組成。

監控主站負責所有充電機的信息采集與顯示、控制與管理，以及整個充/換電站監控系統的數據管理[2]。

監控終端負責采集充電機自身狀態數據和充電過程中蓄電池管理系統傳來的數據，把數據匯總傳送至監控主站，并接收監控主站下發的控制指令。

通信網絡實現充電設備之間、充電設備與監控主站之間的數據傳輸。充電設備之間大多采用控制器局域網絡(controller area network，CAN)總線協議通信。充電設備采用通信轉換器進行性協議轉化，與監控主站計算機通信采用傳輸控制協議/網際協議(transmission control protocol/internet protocol，TCP/IP)。這不僅提高了充電站監控的兼容性和適用性，還保證了與其他系統的互聯互通能力。

1.1 系統的基本構成

充/換電站監控系統是電動汽車充電站自動化系統的核心。充/換電站監控系統主要由充電監控計費計量、配電監控、安全防護、通信管理、充電裝置、保護裝置及智能電能表等組成[3]。按照結構劃分，充/換電站監控系統可以分為站控層、間隔層和采集/設備層。

充/換電站監控系統結構如圖1所示。

圖1 充/換電站監控系統結構示意圖

為實現多系統集成和融合，系統多采用分層融合方法，采集/設備層、間隔層及站控層分別對相關數據進行整合及模型轉化，使異構數據融合的工作量以及層與層之間的交互信息量減少。借助對站內各類數據的特征分析，以及統一的信息模型，系統完成數據的一致性解釋，實現充電監控系統、計量計費系統、配電監控系統以及安全防護監控系統之間的融合[4]。

1.2 網絡的結構

充/換電站監控系統總體上可以劃分為三層網絡結構。

第一層是站控層，主要包括監控主機運行管理中心應用服務器及其參數據存儲服務器。

第二層是間隔層，主要包括視頻監視系統、配電監控系統、充電監控系統以及環境監測系統(煙霧監控)。

第三層是采集/設備層，主要包括直流充電樁、電能表、監控攝像頭、充電保護裝置等現場智能設備。

間隔層各監控單元通過局域網和TCP/IP與站控層的監控運營管理系統連接，從而實現整個充電站的數據匯總、統計、顯示，以及設備監控。

充/換電站監控系統網絡結構如圖2所示。

圖2 充/換電站監控系統網絡結構

1.3 系統的功能

電動汽車充/換電站監控系統主要完成對與充電設施有關的配電設備、充電設備、電池更換設備、安全防護設備的實時監控與管理，保證充電設施安全、可靠、高效運行[5]。根據監控對象的不同，充/換電站監控系統的功能如表1所示。

表1 充/換電站監控系統的功能

2 系統脆弱性分析和威脅識別

2.1 系統脆弱性分析

2.1.1 設備脆弱性

電動汽車充/換電站監控系統現場含有數量、類型眾多的智能設備，包括智能電能表、煙霧報警器、網絡攝像機等。由于部分電動汽車充電站管理與運營者、部分智能設備產品開發商技術人員對網絡安全及相關技術認識不足，因此難以發現現場智能設備的漏洞、惡意代碼、后門等安全隱患。

根據某知名網絡安全公司對國內外十多個品牌的網絡攝像機研究報告顯示，大量網絡攝像機存在漏洞。有的漏洞是固件本身的缺陷，而有的則是為了方便售后遠程運維而設置的“后門”。例如，CVE-2017-7921漏洞揭示了某品牌及其白標的網絡攝像頭包含一個后門，允許未經身份驗證假冒任何配置用戶賬戶，進而獲取相機快照。采集/設備層與站控層互聯后，現場智能設備的安全問題日益暴露，已嚴重影響系統整體網絡安全。

2.1.2 主機脆弱性

電動汽車充/換電站監控系統的監控主機大多基于Windows平臺。為了保證系統獨立性，同時兼顧系統及應用軟件的穩定性，系統集成方工程師通常在監控系統建成投用后，不會對系統安裝任何補丁或升級系統，也不會對主機進行安全基線配置(賬戶管理與認證授權、日志配置、IP協議安全配置、網絡訪問用戶授權等)，即便安裝了殺毒軟件也未能及時甚至完全不更新病毒庫。以上種種操作均為站控層監控主機遭受網絡攻擊埋下安全隱患。

2.1.3 應用軟件脆弱性

電動汽車充/換電站監控系統站控層的應用軟件，主要為視頻監控單元、配電監控單元、充電監控單元以及煙霧監控單元的上位機軟件。為實現多系統集成和融合，系統多采用分層融合方法，對相關數據進行整合及模型轉化，并借助對站內各類數據的特征分析和統一的信息模型，完成數據的一致性解釋，實現充電監控系統、計量計費系統、配電監控系統以及安全防護監控系統之間的融合。在多系統集成和融合過程中，開發者主要關注功能需求和性能需求，而往往對安全需求考慮不足。更有甚者，為了快速完成開發工作，直接從開源代碼平臺克隆其他開發者的代碼且未經安全驗證。正是因為上層應用軟件在設計、開發和測試時，對網絡安全的關注不足，導致了應用軟件隱藏了各種安全漏洞，如結構化查詢語言(structured query language，SQL)注入漏洞、未加密登錄請求等。

2.1.4 通信協議脆弱性

為提高充/換電站監控系統的兼容性和適用性、保證與其他系統的互聯互通能力，電動汽車充電站充電設備之間大多采用CAN現場總線協議通信，而充電設備與站控層監控主機通過TCP/IP方式通信(采用通信轉換器進行性協議轉化)。CAN內置安全功能，可以保證通信的可靠性，卻無法保證數據的保密性和完整性。因為CAN總線與其他眾多現場總線協議一樣，缺乏固有的加密方法來確保數據的保密性，且CAN總線中的報文是通過廣播傳送方式，所有節點都可以接收總線中發送的消息，為報文信息監聽提供了可能；CAN總線采用循環冗余校驗(cyclic redundancy check，CRC)檢測或檢驗數據傳輸可能出現的錯誤，但不能驗證數據傳輸的完整性。因此，CAN總線由于缺乏網絡安全機制，已成為充/換電站監控系統安全的薄弱點。

2.1.5 網絡脆弱性

充/換電站監控系統中間隔層內各監控單元以星型結構以太網形式，通過二層交換機與站控層監控運營管理系統連接，從而實現對整個充電站的數據匯總、統計、顯示以及設備監控。按照《NB/T33005—2013電動汽車充電站及電池更換站監控系統技術規范》建議，視頻及環境監控系統宜單獨組網，以達到網絡隔離的目的。而實際上，有不少系統運營方為了提高運營效率，通過集成手段實現間隔層監控單元的融合，卻未對部署在間隔層的二層匯聚交換機設置虛擬局域網(virtual local area network，VLAN)，也沒有配置訪問控制列表(access control lists，ACL)，導致廣播域覆蓋全局域網。這不僅會影響網絡通信質量，還會影響網絡安全性。

2.2 系統威脅識別

充/換電站監控系統面臨的威脅可以劃分為自然威脅與人為威脅[6]。自然威脅包括各種自然災害、惡劣的場地環境、電磁干擾、電磁輻射、網絡設備自然老化等。鑒于自然威脅具有不可抗力，而機房建設往往會采取合理措施預防各類自然威脅，因此本文重點分析更容易被忽視的人為威脅。

人為威脅又包含無意威脅(偶然事故)和惡意攻擊。偶然事故包括操作失誤、意外損失、編程缺陷、意外丟失、管理不善等。惡意攻擊分為主動攻擊和被動攻擊。結合充/換電站監控系統的內外部環境，剔除不考慮法律法規后果的物理層面破壞行為，本文總結了以下充/換電站監控系統主要面臨的信息安全威脅。

①僵木蠕毒。

以WannaCry為例。該蠕蟲會通過遠程服務器和自身爬蟲功能收集局域網內的IP列表，然后對其中的多個服務端口發起攻擊，包括RPC服務、SQL Server服務、FTP服務；同時，還會通過“永恒之藍”漏洞入侵445端口，攻擊計算機。充/換電站監控系統二層交換機在未設置VLAN且沒有配置訪問控制列表(access control lists,ACL)的情況下，一旦任何一臺計算機被該蠕蟲感染，將意味著充/換電站監控系統局域網內所有計算機都面臨被感染的風險。

②內部人員。

目前，發生在組織內部、由內部惡意人員引發的安全事故中，最多的是竊取組織內部信息資產，即通過企業的數據庫服務器、文件服務器等獲取上述信息，再通過移動介質、郵件等方式將信息轉移出組織內部。而由內部非惡意人員引發的安全事故中，最多的是工作失當造成的損失，包括文檔管理不善、打開釣魚郵件、無意間的談論導致的信息泄露、誤刪除操作等。

③第三方承包商和廠商。

除了“粗心大意的內部員工”是安全鏈條中的薄弱環節外，第三方承包商和廠商也是企業信息安全的薄弱環節，由第三方引起的案例時有發生。與眾多其他信息系統類似，電動汽車充/換電站監控系統面臨的第三方威脅，包括共享憑證、無規律地訪問以及特權賬戶。

3 充/換電站監控系統信息安全需求

2017年6月，《網絡安全法》正式施行，規定“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄漏，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定”[7]。充電基礎設施作為新能源汽車能力補給的主要媒介、電動汽車產業化的重要基礎、《新能源汽車產業發展規劃(2021—2035年)》施行的重要抓手，重要性不言而喻。

2017年7月，中國電力企業聯合會標準化管理中心發布了《電動汽車充電設施信息安全防護指南》征求意見稿，提出充電基礎設施信息系統應按“分區分域、安全接入、安全可信、動態感知、精益管理、全面防護”總體要求，并結合計算機信息系統安全等級保護的要求，從技術與管理兩個層面，建設充電基礎設施信息系統安全管理體系。技術層面，要充分考慮物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。管理層面，需要充分考慮安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理[8]。

2019年5月，網絡安全等級保護制度2.0標準發布。該標準在傳統信息系統的基礎上，擴展了云計算、大數據、物聯網、移動互聯和工控系統等保護對象。在技術要求方面，增加了安全管理中心，須通過技術手段實現系統管理、審計管理、安全管理以及集中管控。

電動汽車充/換電站監控系統在建設信息安全管理體系時，除了要考慮企業自身的信息安全需求，還要考慮法律法規、強制性標準以及行業標準等方面的合規要求。

4 信息安全對策

經過分析電動汽車充/換電站監控系統基本構成、網絡結構及功能、系統脆弱性、信息安全威脅以及內外部環境的信息安全需求，本文建議電動汽車充/換電站監控系統的信息安全對策可以從以下幾方面進行思考。

4.1 信息安全管理對策

首先，在獲得組織領導承諾和支撐的情況下，規劃企業/系統的信息安全目標并進行必要的信息安全評估；識別信息安全風險，分析風險帶來的后果，包括來自系統脆弱性遭受威脅利用帶來的直接損害，以及不合法規要求造成的罰款、聲譽折損等間接損害等；評價信息安全風險，并設置風險排序的優先級。

其次，根據《網絡安全法》《數據安全法》《個人信息保護法》等法律的規定，以及《GB/T 22239—2019信息安全技術網絡安全等級保護基本要求》《電動汽車充電設施信息安全防護指南》(征求意見稿)以及《GB/T 20080—2016 信息安全管理體系》等標準的指導意見，并結合實際，從信息安全策略、信息安全組織、人力資源安全、資產管理、訪問控制、密碼控制、物理和環境安全、運行安全、通信安全、系統開發和維護、供應商關系、信息安全事件管理、業務連續管理以及符合性管理等方面[9]，建設一套適宜、充分、有效的信息安全管理制度。

最后，按照內部管理制度的要求，規劃、實現和控制所需要的過程，并確保過程與企業/系統信息安全目標相一致；此外，要周期性監視、測量、分析和評價管理體系的有效性，同時進行必要的內部審核和管理評審，糾正不符合項，持續改進安全管理體系，以確保管理體系持續的適宜性、充分性和有效性。

4.2 安全技術對策

從企業內控的總體和長遠角度上看，系統信息化建設促進效率提升是完成效率類目標，系統安全建設保障安全生產是完成安全類目標，兩者同屬企業生存發展的大目標之下。然而，從局部以及短期來看，企業卻不得不面對效率目標和安全目標的沖突，不得不進行平衡。因此，在考慮信息系統安全建設時，宜兼顧技術措施的經濟性，并考慮可擴展性和兼容性。

本著上述原則，結合電動汽車充/換電站監控系統信息安全共性問題，建議充/換電站監控系統系統應首要滿足等級保護標準中關于安全物理環境、安全通信網絡、安全區域隔離、安全計算環境、安全管理中心的基本要求。如果經濟條件允許，還可以考慮包括但不僅限于以下信息安全技術優化措施。

①網站應用級入侵防御系統(web application firewall，WAF)。

WAF可通過內置的黑/白名單機制、分布式拒絕服務攻擊抵御機制，抵御電動汽車充電站監控運營管理系統面臨的各類網站安全威脅和拒絕服務攻擊；同時，利用審計、訪問控制、應用加固等功能，強化充電站監控運營管理系統魯棒性。

②端點檢測與響應(endpoint detection and response，EDR)。

EDR是一種主動式端點安全解決方案，通過記錄終端與網絡事件，將這些信息存儲在端點或集中數據庫。結合已知的攻擊指示器、行為分析的數據庫連續搜索數據和機器學習技術來監測任何可能的安全威脅，并對這些安全威脅作出快速響應，有助于快速調查攻擊范圍，并提供響應能力。EDR可以有效抵御惡意軟件、無文件型攻擊、濫用合法應用程序、可疑的用戶活動等威脅對充/換電站監控系統終端的影響。

③網絡態勢感知(cyberspace situation awareness，CSA)。

CSA是一種基于環境的，動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式[10]，最終是為了決策與行動，是安全能力的落地。CSA技術在實際使用過程中，往往是通過網絡安全綜合管理平臺搭配網絡流量探針、主機探針、威脅情報庫、安全漏洞庫等以達到統合綜效。具體可理解為：探針負責采集原始流量、安全日志；威脅情報庫及安全漏洞庫負責提供特征碼；綜合管理平臺通過統一的日志數據格式，將探針提供的原始流量和安全日志進行聚合和清洗，并結合威脅情報和安全漏洞庫提供的信息，進行關聯分析以實現網絡態勢感知。

此外，如條件允許，還可以進一步考慮系統通信健壯性測試、系統漏洞掃描和系統滲透測試等優化措施。

5 結論

信息技術和自動化技術的深度融合，促進了信息系統整體效率提升，而網絡空間日益嚴峻的安全威脅以及頻發的安全事件卻又給人們敲響了安全警鐘。如何平衡系統信息化建設和系統信息安全建設兩個沖突目標的短期關系是各行各業長期的共同話題。

充電基礎設施作為電動汽車能力補給的主要媒介，以及電動汽車產業化的重要基礎，在大力推動信息化建設、提升服務水平的同時，需要同步規劃、同步建設、同步使用信息安全保障措施。鑒于效率和安全的平衡，充電基礎設施運營企業可以在滿足合規要求和當前自身的信息安全需求的基礎上，采用“小步快走，持續迭代”的方式，分步實施優化措施以應對動態變化的網絡空間安全威脅。