來(lái)源：第一電動(dòng)網(wǎng) ? ? 綜合報(bào)道

電動(dòng)汽車充電信息安全是電動(dòng)汽車充電基礎(chǔ)設(shè)施安全的重要組成部分，為加強(qiáng)信息安全工作，根據(jù)能源行業(yè)電動(dòng)汽車充電設(shè)施標(biāo)準(zhǔn)化技術(shù)委員會(huì)工作計(jì)劃及中國(guó)電動(dòng)汽車充電基礎(chǔ)設(shè)施促進(jìn)聯(lián)盟工作安排，中電聯(lián)標(biāo)準(zhǔn)化管理中心組織有關(guān)單位編制了《電動(dòng)汽車充電基礎(chǔ)設(shè)施信息安全防護(hù)指南》，并于7月5日起征求意見，要求相關(guān)企業(yè)將反饋意見在7月30日前提交至相關(guān)聯(lián)系人。

ds/2017/07/de8bd529ed74938e7c33b7d388d37ea2.jpg" alt="" />

電動(dòng)汽車充電基礎(chǔ)設(shè)施信息安全防護(hù)指南

(征求意見稿)

總 則
第一條 充電基礎(chǔ)設(shè)施網(wǎng)絡(luò)化、信息化、互聯(lián)互通發(fā)展迅速，充電基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全事關(guān)人民生活和經(jīng)濟(jì)發(fā)展。為提升充電基礎(chǔ)設(shè)施系統(tǒng)信息安全防護(hù)水平、保障系統(tǒng)安全，制定本指南。

第二條 充電基礎(chǔ)設(shè)施運(yùn)營(yíng)企業(yè)以及從事充電基礎(chǔ)設(shè)施系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估的相關(guān)單位適用本指南。

第三條 信息安全防護(hù)總體要求是分區(qū)分域、安全接入、安全可信、動(dòng)態(tài)感知、精益管理、全面防護(hù)。

第四條 信息安全防護(hù)分為11個(gè)防護(hù)方面。

技術(shù)要求：針對(duì)不同安全保護(hù)等級(jí)的要求，從物理安全、終端安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全等方面進(jìn)行技術(shù)保護(hù)。

管理要求：針對(duì)不同安全保護(hù)等級(jí)的要求，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、網(wǎng)絡(luò)安全管理等方面進(jìn)行管理。
安全軟件選擇與管理

第五條 充電基礎(chǔ)設(shè)施采用安全軟件需經(jīng)過(guò)充電基礎(chǔ)設(shè)施生產(chǎn)和運(yùn)營(yíng)企業(yè)的授權(quán)和安全評(píng)估，并基于風(fēng)險(xiǎn)評(píng)估為充電基礎(chǔ)設(shè)施選擇具有相應(yīng)安全措施的安全軟件。

第六條 建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)充電基礎(chǔ)設(shè)施臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

第七條 移動(dòng)終端APP采用具有安全防護(hù)措施的安全軟件，且相關(guān)安全軟件需經(jīng)過(guò)充電基礎(chǔ)設(shè)施生產(chǎn)和運(yùn)營(yíng)企業(yè)授權(quán)和安全評(píng)估。

第八條 運(yùn)營(yíng)平臺(tái)安全軟件需經(jīng)過(guò)充電基礎(chǔ)設(shè)施運(yùn)營(yíng)企業(yè)授權(quán)和安全評(píng)估，具有支持充電基礎(chǔ)設(shè)施和移動(dòng)終端安全防護(hù)需求的安全能力，形成一體化防御體系。

配置和補(bǔ)丁管理

第九條 建立并維護(hù)充電基礎(chǔ)設(shè)施系統(tǒng)配置清單，留存邊界設(shè)備的訪問(wèn)日志、充電關(guān)鍵業(yè)務(wù)的日志，時(shí)間不少于6個(gè)月，并定期進(jìn)行配置審計(jì)。

第十條 對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。

第十一條 密切關(guān)注充電基礎(chǔ)設(shè)施重大安全漏洞，及時(shí)采取補(bǔ)丁升級(jí)措施。在安裝補(bǔ)丁或升級(jí)前，需對(duì)補(bǔ)丁或升級(jí)進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。

第十二條 如需遠(yuǎn)程升級(jí)，升級(jí)過(guò)程需要在具有系統(tǒng)安全的條件下進(jìn)行，具備通信安全，以及異常監(jiān)測(cè)、響應(yīng)的能力，并需要獲得用戶確認(rèn)，且升級(jí)過(guò)程需記錄完整的日志信息。
邊界安全防護(hù)

第十三條 分離充電基礎(chǔ)設(shè)施的開發(fā)、測(cè)試和生產(chǎn)環(huán)境。

第十四條 在充電基礎(chǔ)設(shè)施體系架構(gòu)設(shè)計(jì)中，采用網(wǎng)絡(luò)分段和隔離技術(shù)。對(duì)不同網(wǎng)段進(jìn)行邊界控制，對(duì)進(jìn)行充電基礎(chǔ)設(shè)施內(nèi)部控制網(wǎng)絡(luò)的數(shù)據(jù)和文件進(jìn)行安全控制和安全監(jiān)測(cè)。

第十五條 充電基礎(chǔ)設(shè)施與外部通信采用安全接入方式，并可對(duì)業(yè)務(wù)進(jìn)行劃分，通過(guò)不同的安全通信子系統(tǒng)接入網(wǎng)絡(luò)。

第十六條 運(yùn)營(yíng)平臺(tái)需具備防火墻、入侵檢測(cè)等安全功能。

物理和環(huán)境安全防護(hù)

第十七條 對(duì)充電基礎(chǔ)設(shè)施的全部訪問(wèn)點(diǎn)進(jìn)行配置，訪問(wèn)限制。

第十八條 拆除主機(jī)上不必要的接口。

身份認(rèn)證

第十九條 在充電基礎(chǔ)設(shè)施啟動(dòng)登陸、移動(dòng)終端登陸、運(yùn)營(yíng)平臺(tái)訪問(wèn)等過(guò)程中使用身份認(rèn)證管理。在關(guān)鍵業(yè)務(wù)場(chǎng)景下，采用多因素認(rèn)證方式。

第二十條 用戶注冊(cè)實(shí)名制。

第二十一條 強(qiáng)化充電基礎(chǔ)設(shè)施、移動(dòng)終端及訪問(wèn)點(diǎn)等的登陸賬戶及密碼，強(qiáng)制更改默認(rèn)口令，避免使用弱口令，定期更新口令。

第二十二條 在充電基礎(chǔ)設(shè)施系統(tǒng)間數(shù)據(jù)通信過(guò)程中使用身份認(rèn)證機(jī)制。

遠(yuǎn)程訪問(wèn)安全

第二十三條 充電基礎(chǔ)設(shè)施需對(duì)遠(yuǎn)程訪問(wèn)的端口進(jìn)行嚴(yán)格控制，關(guān)閉不必要的端口。

第二十四條 確需遠(yuǎn)程訪問(wèn)的關(guān)鍵業(yè)務(wù)場(chǎng)景，采用安全措施進(jìn)行加固，對(duì)訪問(wèn)時(shí)限進(jìn)行控制，并采用身份認(rèn)證、數(shù)據(jù)安全傳輸、訪問(wèn)控制等機(jī)制。

第二十五條 保留充電基礎(chǔ)設(shè)施系統(tǒng)的相關(guān)訪問(wèn)日志，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。

安全監(jiān)測(cè)和應(yīng)急預(yù)案演練

第二十六條 在充電基礎(chǔ)設(shè)施建立安全監(jiān)測(cè)體系，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。

第二十七條 充電基礎(chǔ)設(shè)施應(yīng)具備包監(jiān)測(cè)、數(shù)據(jù)監(jiān)測(cè)等功能，限制違法操作。

第二十八條 制定安全事件響應(yīng)預(yù)警，當(dāng)遭受安全威脅導(dǎo)致充電基礎(chǔ)設(shè)施出現(xiàn)異?；蚬收蠒r(shí)，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，并逐級(jí)報(bào)送直至屬地主管部門，同時(shí)注意保護(hù)現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證。

第二十九條 定期對(duì)充電基礎(chǔ)設(shè)施系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。

資產(chǎn)安全

第三十條 建設(shè)充電基礎(chǔ)設(shè)施資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置規(guī)則。

第三十一條 對(duì)關(guān)鍵設(shè)備和組件等進(jìn)行冗余配置。

數(shù)據(jù)安全

第三十二條 對(duì)在充電基礎(chǔ)設(shè)施系統(tǒng)中采集、傳輸、存儲(chǔ)的數(shù)據(jù)，定期開展風(fēng)險(xiǎn)評(píng)估。關(guān)鍵業(yè)務(wù)數(shù)據(jù)和用戶信息須在存儲(chǔ)和傳輸過(guò)程中使用安全機(jī)制，并在使用過(guò)程中采用訪問(wèn)控制策略。

第三十三條 定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

第三十四條 對(duì)用戶信息的采集、存儲(chǔ)、傳輸和使用，必須經(jīng)過(guò)用戶的明確授權(quán)。

供應(yīng)鏈管理

第三十五條 在選擇充電基礎(chǔ)設(shè)施規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估、產(chǎn)品及服務(wù)供應(yīng)商時(shí)，優(yōu)先選擇通過(guò)安全評(píng)估的產(chǎn)品，優(yōu)先選擇具備安全服務(wù)經(jīng)驗(yàn)的企事業(yè)單位，并要求供應(yīng)商做好相應(yīng)的保密工作，防止敏感信息的外泄。

第三十六條 在充電基礎(chǔ)設(shè)施系統(tǒng)投入運(yùn)營(yíng)前或發(fā)生重大變化時(shí)進(jìn)行安全評(píng)估，并對(duì)投入運(yùn)行的充電基礎(chǔ)設(shè)施定期進(jìn)行安全評(píng)估。

落實(shí)責(zé)任

第三十七條 通過(guò)建立充電基礎(chǔ)設(shè)施安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式，明確信息安全管理責(zé)任人，落實(shí)安全責(zé)任制，部署安全防護(hù)措施。

第三十八條 針對(duì)不同安全保護(hù)等級(jí)的要求，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、網(wǎng)絡(luò)安全管理等方面進(jìn)行管理。

第三十九條 建立充電基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)評(píng)估制度，采取自評(píng)估為主、檢查評(píng)估為輔的方式，建立充電基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全管理體系。

返回第一電動(dòng)網(wǎng)首頁(yè) >