电车试验：充电安全——信息安全

一、运营平台技术要求

1、系统安全防护

1）系统配置应具备至少双节点的冗余配置，网络接入应具备至少双链路的接入方式，以避免硬件单节点故障或单网络链路的中断而导致业务系统瘫痪。

2）服务器主机应采用双机配置以冷备用或热备用的方式进行冗余防护，若采用租用云服务的方式则应考虑增加计算资源节点的冗余数量。

3）网络及安全设备在配置时应与接入的网络链路相匹配，在采用多链路接入配置的方式时，网络及安全设备应配置为多节点的方式。

4）应配置安全设备或同等功能的组件。

5）存储资源在配置时应根据运营平台的业务数据规模核算具体容量。自建数据中心时，在保证服务器设备自身的存储空间充足时，还应配置独立的存储设备，并应双机配置或采用异地数据中心备份的方式。租用云服务时应提供冗余配置的存储资源或异地备份。

2、网络安全防护

1）运营平台系统应根据不同的业务进行分区分域，将系统划分为不同的子网网段。

2）重要服务器主机及核心业务区应部署在内网区域，通过路由设备建立安全的访问路径，避免其直接与外网进行连接；核心业务区与其他日常业务网段划分不同子网，并采取可靠的技术隔离手段。

3）网络接入的出入口访问应通过安全防护设备进行控制与隔离，建立完善的过滤策略及入侵防范策略。

4）对网络的访问权限进行控制，平台应具备安全审计的防护标准；对运营业务中产生的数据和操作进行日志记录，并可进行备份。

5）各业务系统区域应具备独立且完整的硬件及网络规划，以避免各业务阶段使用的硬件或基础资源混乱而造成对正式运营系统的影响。

6）重要的运营平台生产系统宜具备双活热备的系统配置，可自主切换业务。

7）提供对充电设备的网络访问行为能力，对异常行为进行阻断。

3、基础软件安全防护

1）操作系统及相关组件应定期更新升级补丁，确保系统软件的稳定可靠。

2）应定期对系统应用进行漏洞扫描，进行监测入侵防范及恶意代码防范。

3）应实时对系统进行安全监控，保证对系统应用的各操作合法并有操作审计记录。

4）各主机基础软件均应具有严格的身份认证配置，口令应具有一定的复杂度，并定期进行更换。

5）应实时监控各服务器硬盘存储资源，并具备实时提醒告警等功能。

4、业务系统安全防护

1）业务软件应配置至少双冗余的结构，避免因业务软件的崩溃造成应用单节点故障，导致业务功能无法使用，影响业务运营系统。

2）业务软件在对外进行数据交互时，应有本运营公司的数据交互协议或加密方式，避免在交互过程中造成数据混乱无法识别或被非法解析导致数据信息泄露。

3）业务软件在交互过程中应具备自有的数据校验机制，对其数据传输的完整性、安全性进行保障。

4）业务信息中具有重点需要防护的数据敏感信息时，应有数据脱敏的机制。

5）业务系统功能的操作安全防护应配置审计系统，各业务操作应详细记录。

6）业务系统应按实际运营情况中发现的问题漏洞，实施业务系统的更新升级，并明确备案各阶段版本及更新说明。

7）业务数据应配置数据备份机制，根据运营需求确定历史数据的缓存时间及备份数量。

8）应对实时访问行为进行监测，及时告警异常行为。

二、充电设备技术要求

1、设备安全

1）设备的进、出线孔应使用合适的装置或适当的措施密闭，防止外部仪器工具的进入。

2）设备内部的通信部件应有明显的难以去除的标记，以防被更换。

3） 充电设备检测到异常应主动告警并禁止充电。

4）操作系统应保证代码可控或采用必要安全加固措施。

5）应建立能够识别充电设备本体代码、主动阻断未知代码执行的安全免疫机制，通过对充电设备本体代码的完整性校验，防止其被篡改并可以在异常状态下执行自动恢复。

6）以最小化安装方式配置软件，对非必要功能的使用进行禁止或限制。

7）应对系统软件升级且充电设备业务应用的加载软件应具备认证机制，只有经过认证的软件才能在本体系统上运行。

2、数据安全

1）充电设备具备本机充电记录读取功能，不应显示用户完整的敏感信息。

2）未经使用者授权，充电设备不应主动获取或向第三方提供充电权限认证以外的信息。

3）充电设备应具备数据有效性校验功能，保证数据符合系统设定要求。

4）未经授权的任何实体不能从加密存储区域的数据中还原出用户隐私数据的真实内容。

5）不应未经授权擅自修改和展示用户信息。

6）充电设备应保证存储和传输过程中数据的完整性。

7）充电设备应保证存储和传输过程中敏感数据的保密性。

3、控制安全

1）充电设备维护、升级、调试等过程中，应使用身份认证管理技术。

2）具有账号管理功能的充电设备，其用户身份鉴别信息应具有复杂度要求。

3）具有账号管理功能的充电设备，应提供并启用登录失败处理功能；多次登录失败后应采取必要的保护措施，当超出限制值时，采取特定的动作。

4）具有账号管理功能的充电设备，在用户身份证认证信息丢失或失效时，可提供鉴别信息恢复机制。

5）具有账号管理功能的充电设备应对登录的用户分配账号和权限。

6）具有账号管理功能的充电设备应及时删除或停用多余的、过期的账号，避免共享账号的存在。

7）充电设备外部访问接口应采取安全保护措施。

8）充电设备应具备控制接入的开关。当建立数据连接时，充电设备能够发现该连接并给用户相应的状态提示，仅当用户确认建立本次连接时，连接才可建立。

9）充电设备应为不同访问主体类别提供不同的访问权限。访问权限划分应遵循最小特权原则。

10）关闭非系统运行和维护所必须的网络通信端口。

11）未授权用户不得读取审计信息。

12）应能按照频次将所有的审计记录备份至本地，或者将事件数据安全地发送到外部。

13）充电设备应保护已存储的审计记录，以避免未授权的删除、修改或覆盖，并检测对审计记录的修改。

14）充电设备应确保审计记录保持一定的记录数和维持时间，审计日志留存能力不少于10000 条。

15）审计日志要覆盖对设备有较大影响的操作。

三、移动智能终端软件技术要求

1、运行机制要求

1）在安装和卸载过程中，不得捆绑下载其他应用软件；不得安装功能说明文档中未说明的额外功能，不得安装用户未知和未允许的第三方应用。

2）卸载应彻底，卸载后不应残留相关临时文件、活动程序或模块。

3）包含可有效表征供应者或开发者身份的签名信息、软件属性信息。

4）应对安装包或升级包的完整性、合法性进行校验。

2、应用安全要求

1）应具备身份鉴别功能，能够对登陆用户进行身份标识和鉴别。

2）不应内置匿名帐户，禁止匿名用户的登录。

3）具备口令强度和口令时效性检查机制。

4）授权用户访问的内容不能超出授权的范围。

5）未得到许可前不应访问终端数据和终端资源。

6）未得到允许前不应修改和删除终端数据。

7）未授权用户不得读取审计信息。

8）应能按照频次将所有的审计记录备份至本地，或将事件数据安全地发送到外部。

9）审计日记留存时间应不少于6 个月。

10）未经授权的任何实体不能从加密存储区域的数据中还原出用户私密数据的真实内容。

11）不应存在数据存储和处理过程中的非法调用和窃取漏洞。

12）不应以明文形式存储或通过网络传输用户敏感数据，以防数据被未授权获取。

13）备份机制应完整有效，且应对备份数据进行保护。

3、恶意行为防范要求

1）在用户不知情或未授权的情况下，应用程序不应订购非法业务。

2）在用户不知情或未授权的情况下，应用程序不应非法获取信息。

3）在用户不知情或未授权的情况下，应用程序不应接受远程控制端指令并进行相关操作。

4）应用程序不应导致电动汽车智能充电终端无法正常使用。

4、其他安全要求

1）应用软件代码应防止被反编译和反调试。

2）源代码中不存在已公布的高危风险漏洞。

3）应用软件应做日志防泄露措施。

四、接口安全技术要求

1、充电设备和运营平台之间的接口

1）充电设备与运营平台之间的通信应优先采用硬件加密认证设备进行认证加密，不具备硬件加密条件的场景要求使用TLS 等加密协议，不允许明文传输。对来源于运营平台的控制命令和参数设置指令应采取安全鉴别和数据完整性验证措施。

2）充电设备与运营平台之间的业务数据应采用加密措施，实现数据的保密性，并且应该符合国家相关的管理规定，禁止使用已知为不安全的加密算法和安全措施。

3）充电设备应具备防网络干扰功能，在网络瘫痪等紧急情况下，可通过备用方案保证充电设备的正常使用。备用方案启动应有明确标识，在网络恢复后，充电设备应主动上传网络异常状态和备用方案充电记录。

4）需远程维护的，采用安全加密协议或虚拟专用网络等技术建立安全的访问路径、可通信通道确保远程接入安全。

2、充电设备和电动汽车之间的接口

1）充电设备和电动汽车之间的通信网络应通过安全网关与外部网络进行隔离，由网关进行可信消息的分发和处理。

2）协议应用数据不应使用明文传输，由应用协议负责安全加密机制的实现。

3）充电设备和电动汽车建立安全的传输通道后，通信双方应能验证消息的完整性。

3、运营平台之间的接口

1）宜采用多因子认证方式进行平台认证，或通过同等安全校验能力的后台综合认证系统实现。

2）应采用IP 访问控制、时间访问控制等手段或结合使用，以限制同一终端在一定时间内对平台数据接口的高频访问。

3）消息发送方应对消息字段中涉及交易及隐私等数据采用安全可靠且普遍使用的加密算法，消息接收方在校验参数合法性后方可进行后续业务处理。

4）消息报文应使用数字签名、重发机制等方式保障传输和接收数据的完整性。

4、以移动智能终端做为认证接口

1）设备上附属的二维码应具备适当的加密机制，在二维码编码前进行加密，以保证只有通过解密识别的扫码设备才能正确识别出设备信息。

2）二维码中涉及的关键、敏感数据需要进行安全防护。

3）通过移动智能终端扫描二维码获得服务凭证，必须与后台进行信息交换，获得真实的服务认证结果。

4）移动智能终端与运营平台进行的认证服务过程，应采用安全传输方式。二维码涉及各系统之间信息传输，各系统之间应建立安全通信信道，应对交易数据采用安全方式进行传输，确保数据不被监听和篡改。

5）应对传输的数据进行保密性保护，不应引起信息泄露。

6）应具备对传输数据的鉴别机制，确保发出数据的完整性和接收数据完整性的校验。

5、以智能卡作为认证接口

1）应用管理数据在卡片的初始化期间建立，应定义初始的安全域。

2）发卡机构应建立可靠、完善的密钥管理制度。