智能充电桩信息安全风险评估流程研究

时间：2024-07-28

忻奕敏，叶琼瑜，任悦，张倩

(上海电器设备检测所有限公司，上海 200063)

0 引言

随着新能源汽车的推广，充电桩越来越多地出现在人们的生活中。充电桩分为用于快充的直流桩和用于慢充的交流桩。其输入端与交流电网直接连接；输出端都装有充电插头，用于为电动汽车充电。充电桩一部分是安装于私家车位的私人桩，通常通过APP界面来实现充电控制功能；另一部分则是安装于公共停车场、小区停车场或充电站内的公共桩，可以为不同型号的电动汽车完成充电。人们可以使用特定的充电卡在充电显示屏上刷卡，进行充电方式及充电时间的选择、充电量以及充电费用查询等操作。

然而，在享用智能充电桩便捷的充电功能的同时，其所涉及的信息安全方面的问题却往往被人们所忽视。这些问题会带来严重的安全隐患，甚至造成巨额的财产损失。因此，及时评估这些信息安全风险，并采取适当的措施以降低风险、保障财产安全显得尤为重要。对智能充电桩的信息安全风险评估是其中必不可缺的重要环节。

文献[1]中提出了两个概念，即信息安全风险评估和信息系统安全风险评估。信息系统安全风险评估的概念包括了相关的信息处理设施，即从信息系统角度评价安全的风险;而信息安全风险评估的范畴则根据信息系统本身展开,不考虑与信息系统有关的设备或人等[1]，统筹考量信息安全的目的、控制措施及其有效性等。不过在现实的安全活动中,应当结合实际应用环境来讨论信息。

因此,本文以充电桩以及与充电桩相连接的信息处理设备为对象，探讨了充电桩信息安全风险评估的流程。

1 风险评估流程

国内外关于信息安全风险评价方面的研究成果很多。目前，美国、加拿大等国家的安全风险评价系统已经较为完善[2]，相关的风险评估标准主要有ISO/IEC 27001—2005[3]、ISO/IEC 27002—2005以及 ISO/IEC 27005—2011[4]。而国内研究工作起步较晚，风险评估标准体系仍处于研究阶段。国内发布的信息安全风险评估相关标准主要有GB/T 20984—2007[5]、GB/Z 24364—2009[6]、GB/T 31509—2015[7]和GB/T 31722—2015[8]等。

根据文献[9]，信息系统的风险评估流程可分为四个步骤，即资产评估、威胁评估、脆弱性评估和保障能力评估。风险评估要素[9]如图1所示。

图1 风险评估要素示意图

根据文献[10]，风险评估的首要任务是确定适当的评估范围。识别并构建合适的工作范围，可以提高工作的效率，避免大量额外的工作。在实际应用场景中，没有边界的系统很难被评估。

定义评估范围，即确认对于评估边界的描述。边界描述了目标系统的范围，需要将范围内的硬件、软件、人员和基础设施包含到风险评估对象列表中。在某些情况下，评估的范围可能是单个系统或者是多个关联的系统。对于相关系统，应特别注意其接口的描述以及系统之间的信息交互机制。

通常，评估范围的确定与系统的业务逻辑密切相关。在理清业务逻辑的基础上，对目标系统的范围进行更细致的描述是一种较为实用的方法。

1.1 资产评估

资产评估包括识别资产和评估资产价值两个方面的内容。不同类别的资产具有不同的重要性，同时面临不同的威胁[9]。因此，资产评估是风险评估的重要组成部分。一旦资产识别出现遗漏，会对风险评估结果产生很大影响。

资产的范围涉及面非常广泛。所有被组织赋予了价值并且需要保护的资源都属于资产。在信息系统中，关注的重点是信息资产[11]。对于信息资产而言，主要包括三个相关的主体，即信息本身、信息处理设施和信息处理人。一般基于表现形式的资产分类包括数据、软件、硬件、服务、文档、人员和其他。数据资产包括程序源代码、数据库中数据、系统说明文档和用户使用手册等。

评估资产的前提是资产的分类。在信息系统风险评估流程中，需要将资产按安全级别分类。文献[12]讨论了“信息”和“信息系统”的安全类别问题，并且给出了确定信息类型、确定信息的安全类别和确定系统的安全类别这三个步骤，以确定信息系统的安全类别[12]。

信息资产安全级别的定义如表1所示。

表1 信息资产安全级别的定义

1.2 威胁评估

威胁是指可能危及系统并造成人员或财产损失的潜在起因。威胁是客观存在的，且不同的资产面临的威胁也不同。因此，全面、准确地识别威胁有助于采取正确的预防措施[9]。威胁可以通过以下不同方面来描述，例如威胁源、威胁的能力、资源、动机、途径和后果等。

文献[13]将威胁源分为两类：①故意利用脆弱性的企图和方法；②可以偶然触发一个脆弱性的情形和方法。

威胁源可分为自然威胁、人为威胁和环境威胁[14]。以人为威胁为例。威胁源包括黑客、恐怖分子、工业间谍、内部员工等。他们制造威胁的动机有反叛、勒索、复仇、恶意利用、自负等，并通过社会工程、系统入侵、伪造、侵犯个人隐私等威胁行为最终达成目的。

1.3 脆弱性评估

脆弱性是资产自身存在的弱点。只有利用资产的脆弱性，威胁才可能造成伤害或损失。一般而言，工业控制系统的脆弱性可以从物理环境、网络、平台和安全管理这四个维度进行评估[9]。脆弱性评估是一种基于假设的评估，即“如果发生什么情况，那么会造成怎样的影响”，同时还应考虑脆弱性被利用的可能性。因此，这个步骤中需要结合具体的应用场景考虑。

脆弱性一般可以分为两大类：资产本身的脆弱性和安全控制措施的不足。

①资产本身的脆弱性包括：操作系统的漏洞，其与某一操作系统的版本相关联；产品设计中固有的安全缺陷。评估人员可以使用漏洞扫描工具，将其特征与漏洞库进行匹配分析，从而发现它们的存在。但是，在考虑一组资产所面临的问题时，在多数情况下产品集成会导致系统环境的变化和许多新的安全问题。这时，需要构建新的安全控制机制来降低这方面的影响。安全控制措施的不足一般针对组合的、相互关联的资产，可以被视为这组资产本身的脆弱性问题，影响范围较大。一个信息系统应该从设计阶段就充分考虑其安全性问题，通常可以使用攻击面分析或攻击树的方法，从攻击者的角度分析系统的脆弱性，以此构建适当的安全控制措施。

脆弱性和威胁行为示例如表2所示。

表2 脆弱性和威胁行为示例

同时，可以通过定性或定量的方式描述威胁利用脆弱性的容易程度。以自然灾害中的地震为例，定量的方式可以是一组官方关于近十年某地区发生地震的频次；定性的方式则可通过该地区所处的地理位置、地震带分布等信息，对发生地震的可能性给出高、中或低的评价。因此，在判断威胁利用脆弱性的容易程度时，应收集相关信息、分析并进行客观判断，最终得出结论。文献[15]认为，目前实践主要还是以定性的分析方法为主，因为许多客观因素无法被准确地量化。

1.4 保障能力评估

脆弱性是资产本身自带的属性。通常，在设计开发初期决定要使用的资产时，就已经决定了工业控制系统在运行阶段所具有的脆弱性。因此，脆弱性无法避免。只有全面的识别和针对性的预防，才能保障系统的正常运行。保障能力是指被评估方在工业控制系统管理、运行、人员和技术等方面提供保障措施和对策的能力[16]。合适的安全保障能够减少系统脆弱性、抵御工业控制系统所面临的安全威胁，从而降低工业控制系统的安全风险；在安全事件发生时，缓解其对被评估方的影响。保障能力评估其实就是指系统的控制措施评估。其涉及的方面包括但不限于对网络安全管理、工控系统安全管理、密码使用指导、变更管理、宣传教育培训、应急响应、技术防护能力等方面。评估主要围绕控制措施的有效性、成本效益分析等方面进行，可以通过一些量化指标(如信息安全事件的数量、信息系统每年遭受的平均损失等)具体体现。

2 智能充电桩的风险评估实施

文献[7]介绍了一种电动汽车充电桩系统信息安全定量风险评估的方法，将电动汽车充电桩系统分为电动汽车充电桩、运营管理平台、用户资产及其之间的通信链路与通信数据。首先，通过调研获得专家意见并进行量化。这一步骤也可通过Delphi头脑风暴的方法实现。这种方法中，信息系统相关的人员将匿名提交各自意见以完成调研。然后，基于模糊层次分析法计算资产价值权重与安全威胁权重，并且计算出各资产的风险值大小，从而有效识别出充电桩系统的脆弱点与安全风险。最后，根据风险评估的结果，提出相应的安全防护措施及建议[7]。

下面将结合智能充电桩的具体业务场景，根据前述风险评估流程，以定性的方法对智能充电桩风险评估的实施进行简单介绍。

2.1 资产评估实施

智能充电业务流程如图2所示。参与业务流程的主体可以总结为：用户、智能充电桩以及充电桩运营平台。信息的交互发生在两个交互流程，分别是：①用户与智能充电桩之间；②智能充电桩与充电桩运营平台之间。

图2 智能充电业务流程示意图

图2中所涉及的资产可以归纳为：数据、智能充电桩、充电桩运营平台以及流程②中所涉及的通信组件。

根据信息的机密性、完整性和可用性，可将上述资产识别为务必保证可用性的智能充电桩(用户端更关注充电桩的功能实现)、充电桩运营平台以及通信组件和与机密性及完整性更为相关的数据(平台端涉及数据的采集、分析、存储等环节，因此更关注数据整个生命周期的信息安全)。

2.2 威胁评估实施

根据资产评估的结果，可能导致业务流程处于风险中的原因可以是：①智能充电桩、充电运营平台及通信组件可用性受到影响；②数据的机密性或完整性的丢失。

2.3 脆弱性评估实施

脆弱性评估的环节将尽量考虑威胁评估所列出的结果被利用的方式以及可能性。

首先，设备的可用性部分可以从以下两部分考虑：①智能充电桩本体;②充电运营平台和相关通信组件。智能充电桩本体可用性受到影响，意味着桩体本身的结构被破坏或部分功能无法实现，与其相关的更多的是物理安全方面的问题。现在充电运营平台大多建立在公有云上。这些云服务器连同相关的通信组件、架构、功能等须通过相关的信息安全审查才可提供相应服务。因此，设备可用性受到破坏的可能性较低。

其次，考虑数据的完整性及机密性的问题。同样地，根据充电业务流程，可以将数据分为流程①中的用户、智能充电桩交互信息和流程②中的智能充电桩和充电桩运营平台的交互信息。流程①中的信息更多地涉及用户隐私方面的内容，如用户个人身份信息、充电账户信息、充电地点信息等。这部分数据将通过交互界面的方式呈现出来，因此风险来源于过多的泄漏机密性的用户信息而造成的被未授权人员观察、截取或剩余信息利用。流程②中的信息属于通信信息，其在通信链路上传输。因此，这部分的信息容易受到窃听、篡改等攻击，从而造成机密性及完整性的缺失。由于目前大多数智能充电桩的通信方式都采用不加密、不加完整性校验的方式，所以针对此类的攻击极易成功。

根据上述分析，可以总结出如表3所示的智能充电桩业务流程脆弱性示例。这里使用定性的评估方法，对脆弱性被利用后造成的影响以及被利用的可能性进行评估。随着时间的推移，漏洞利用方法会层出不穷。高危漏洞可以定义为：脆弱性被利用的可能性高，且被利用后产生的影响很严重的漏洞。

表3 智能充电桩业务流程脆弱性示例

2.4 保障能力评估实施

保障能力评估是指针对前述脆弱性利用的可能所给出的保障方案的有效性。针对表3中与智能充电桩业务相关的脆弱性，可以采用以下保障方案。

①通过物理结构的加固，保障智能充电桩的可用性。

②通过流量加密以及配置正确的防火墙策略，保障充电桩运营平台的通信安全。

③通过数据校验、数字签名等机制，保障业务数据的完整性。

④通过流量填充、数据加密、身份验证等机制，保障业务数据的机密性。

在评估过程中，需围绕合规性测试和实质性测试两方面展开，即从有无针对脆弱性的保障机制、保障机制的效果如何进行全面的评估。

2.5 风险评估结论

风险评估的结论可以根据在脆弱性评估中识别出的高危漏洞是否通过保障能力评估中的控制措施有效缓解来得出。如果智能充电桩系统仍存在高危漏洞，那么可以将此系统定义为高风险系统。如果智能充电桩系统仅存在一些低危漏洞，那么可以将此系统定义为低风险系统。这是一个定性的结论，应该根据智能充电桩具体应用场景、客户需求、监管要求等形成评价标准，得出最终结论。