來源：第一電動網(wǎng) ? ? 綜合報道

電動汽車充電信息安全是電動汽車充電基礎(chǔ)設施安全的重要組成部分，為加強信息安全工作，根據(jù)能源行業(yè)電動汽車充電設施標準化技術(shù)委員會工作計劃及中國電動汽車充電基礎(chǔ)設施促進聯(lián)盟工作安排，中電聯(lián)標準化管理中心組織有關(guān)單位編制了《電動汽車充電基礎(chǔ)設施信息安全防護指南》，并于7月5日起征求意見，要求相關(guān)企業(yè)將反饋意見在7月30日前提交至相關(guān)聯(lián)系人。

ds/2017/07/de8bd529ed74938e7c33b7d388d37ea2.jpg" alt="" />

電動汽車充電基礎(chǔ)設施信息安全防護指南

(征求意見稿)

總 則
第一條 充電基礎(chǔ)設施網(wǎng)絡化、信息化、互聯(lián)互通發(fā)展迅速，充電基礎(chǔ)設施網(wǎng)絡信息安全事關(guān)人民生活和經(jīng)濟發(fā)展。為提升充電基礎(chǔ)設施系統(tǒng)信息安全防護水平、保障系統(tǒng)安全，制定本指南。

第二條 充電基礎(chǔ)設施運營企業(yè)以及從事充電基礎(chǔ)設施系統(tǒng)規(guī)劃、設計、建設、運維、評估的相關(guān)單位適用本指南。

第三條 信息安全防護總體要求是分區(qū)分域、安全接入、安全可信、動態(tài)感知、精益管理、全面防護。

第四條 信息安全防護分為11個防護方面。

技術(shù)要求：針對不同安全保護等級的要求，從物理安全、終端安全、應用安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全等方面進行技術(shù)保護。

管理要求：針對不同安全保護等級的要求，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理、網(wǎng)絡安全管理等方面進行管理。
安全軟件選擇與管理

第五條 充電基礎(chǔ)設施采用安全軟件需經(jīng)過充電基礎(chǔ)設施生產(chǎn)和運營企業(yè)的授權(quán)和安全評估，并基于風險評估為充電基礎(chǔ)設施選擇具有相應安全措施的安全軟件。

第六條 建立防病毒和惡意軟件入侵管理機制，對充電基礎(chǔ)設施臨時接入的設備采取病毒查殺等安全預防措施。

第七條 移動終端APP采用具有安全防護措施的安全軟件，且相關(guān)安全軟件需經(jīng)過充電基礎(chǔ)設施生產(chǎn)和運營企業(yè)授權(quán)和安全評估。

第八條 運營平臺安全軟件需經(jīng)過充電基礎(chǔ)設施運營企業(yè)授權(quán)和安全評估，具有支持充電基礎(chǔ)設施和移動終端安全防護需求的安全能力，形成一體化防御體系。

配置和補丁管理

第九條 建立并維護充電基礎(chǔ)設施系統(tǒng)配置清單，留存邊界設備的訪問日志、充電關(guān)鍵業(yè)務的日志，時間不少于6個月，并定期進行配置審計。

第十條 對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

第十一條 密切關(guān)注充電基礎(chǔ)設施重大安全漏洞，及時采取補丁升級措施。在安裝補丁或升級前，需對補丁或升級進行嚴格的安全評估和測試驗證。

第十二條 如需遠程升級，升級過程需要在具有系統(tǒng)安全的條件下進行，具備通信安全，以及異常監(jiān)測、響應的能力，并需要獲得用戶確認，且升級過程需記錄完整的日志信息。
邊界安全防護

第十三條 分離充電基礎(chǔ)設施的開發(fā)、測試和生產(chǎn)環(huán)境。

第十四條 在充電基礎(chǔ)設施體系架構(gòu)設計中，采用網(wǎng)絡分段和隔離技術(shù)。對不同網(wǎng)段進行邊界控制，對進行充電基礎(chǔ)設施內(nèi)部控制網(wǎng)絡的數(shù)據(jù)和文件進行安全控制和安全監(jiān)測。

第十五條 充電基礎(chǔ)設施與外部通信采用安全接入方式，并可對業(yè)務進行劃分，通過不同的安全通信子系統(tǒng)接入網(wǎng)絡。

第十六條 運營平臺需具備防火墻、入侵檢測等安全功能。

物理和環(huán)境安全防護

第十七條 對充電基礎(chǔ)設施的全部訪問點進行配置，訪問限制。

第十八條 拆除主機上不必要的接口。

身份認證

第十九條 在充電基礎(chǔ)設施啟動登陸、移動終端登陸、運營平臺訪問等過程中使用身份認證管理。在關(guān)鍵業(yè)務場景下，采用多因素認證方式。

第二十條 用戶注冊實名制。

第二十一條 強化充電基礎(chǔ)設施、移動終端及訪問點等的登陸賬戶及密碼，強制更改默認口令，避免使用弱口令，定期更新口令。

第二十二條 在充電基礎(chǔ)設施系統(tǒng)間數(shù)據(jù)通信過程中使用身份認證機制。

遠程訪問安全

第二十三條 充電基礎(chǔ)設施需對遠程訪問的端口進行嚴格控制，關(guān)閉不必要的端口。

第二十四條 確需遠程訪問的關(guān)鍵業(yè)務場景，采用安全措施進行加固，對訪問時限進行控制，并采用身份認證、數(shù)據(jù)安全傳輸、訪問控制等機制。

第二十五條 保留充電基礎(chǔ)設施系統(tǒng)的相關(guān)訪問日志，并對操作過程進行安全審計。

安全監(jiān)測和應急預案演練

第二十六條 在充電基礎(chǔ)設施建立安全監(jiān)測體系，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。

第二十七條 充電基礎(chǔ)設施應具備包監(jiān)測、數(shù)據(jù)監(jiān)測等功能，限制違法操作。

第二十八條 制定安全事件響應預警，當遭受安全威脅導致充電基礎(chǔ)設施出現(xiàn)異?；蚬收蠒r，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。

第二十九條 定期對充電基礎(chǔ)設施系統(tǒng)的應急響應預案進行演練，必要時對應急響應預案進行修訂。

資產(chǎn)安全

第三十條 建設充電基礎(chǔ)設施資產(chǎn)清單，明確資產(chǎn)責任人，以及資產(chǎn)使用及處置規(guī)則。

第三十一條 對關(guān)鍵設備和組件等進行冗余配置。

數(shù)據(jù)安全

第三十二條 對在充電基礎(chǔ)設施系統(tǒng)中采集、傳輸、存儲的數(shù)據(jù)，定期開展風險評估。關(guān)鍵業(yè)務數(shù)據(jù)和用戶信息須在存儲和傳輸過程中使用安全機制，并在使用過程中采用訪問控制策略。

第三十三條 定期備份關(guān)鍵業(yè)務數(shù)據(jù)。

第三十四條 對用戶信息的采集、存儲、傳輸和使用，必須經(jīng)過用戶的明確授權(quán)。

供應鏈管理

第三十五條 在選擇充電基礎(chǔ)設施規(guī)劃、設計、建設、運維或評估、產(chǎn)品及服務供應商時，優(yōu)先選擇通過安全評估的產(chǎn)品，優(yōu)先選擇具備安全服務經(jīng)驗的企事業(yè)單位，并要求供應商做好相應的保密工作，防止敏感信息的外泄。

第三十六條 在充電基礎(chǔ)設施系統(tǒng)投入運營前或發(fā)生重大變化時進行安全評估，并對投入運行的充電基礎(chǔ)設施定期進行安全評估。

落實責任

第三十七條 通過建立充電基礎(chǔ)設施安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確信息安全管理責任人，落實安全責任制，部署安全防護措施。

第三十八條 針對不同安全保護等級的要求，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理、網(wǎng)絡安全管理等方面進行管理。

第三十九條 建立充電基礎(chǔ)設施網(wǎng)絡安全防護評估制度，采取自評估為主、檢查評估為輔的方式，建立充電基礎(chǔ)設施網(wǎng)絡信息安全管理體系。

返回第一電動網(wǎng)首頁 >