智能充電樁信息安全風險評估流程研究

忻奕敏，葉瓊瑜，任 悅，張 倩

(上海電器設備檢測所有限公司，上海 200063)

0 引言

隨著新能源汽車的推廣，充電樁越來越多地出現在人們的生活中。充電樁分為用于快充的直流樁和用于慢充的交流樁。其輸入端與交流電網直接連接；輸出端都裝有充電插頭，用于為電動汽車充電。充電樁一部分是安裝于私家車位的私人樁，通常通過APP界面來實現充電控制功能；另一部分則是安裝于公共停車場、小區停車場或充電站內的公共樁，可以為不同型號的電動汽車完成充電。人們可以使用特定的充電卡在充電顯示屏上刷卡，進行充電方式及充電時間的選擇、充電量以及充電費用查詢等操作。

然而，在享用智能充電樁便捷的充電功能的同時，其所涉及的信息安全方面的問題卻往往被人們所忽視。這些問題會帶來嚴重的安全隱患，甚至造成巨額的財產損失。因此，及時評估這些信息安全風險，并采取適當的措施以降低風險、保障財產安全顯得尤為重要。對智能充電樁的信息安全風險評估是其中必不可缺的重要環節。

文獻[1]中提出了兩個概念，即信息安全風險評估和信息系統安全風險評估。信息系統安全風險評估的概念包括了相關的信息處理設施，即從信息系統角度評價安全的風險;而信息安全風險評估的范疇則根據信息系統本身展開,不考慮與信息系統有關的設備或人等[1]，統籌考量信息安全的目的、控制措施及其有效性等。不過在現實的安全活動中,應當結合實際應用環境來討論信息。

因此,本文以充電樁以及與充電樁相連接的信息處理設備為對象，探討了充電樁信息安全風險評估的流程。

1 風險評估流程

國內外關于信息安全風險評價方面的研究成果很多。目前，美國、加拿大等國家的安全風險評價系統已經較為完善[2]，相關的風險評估標準主要有ISO/IEC 27001—2005[3]、ISO/IEC 27002—2005以及 ISO/IEC 27005—2011[4]。而國內研究工作起步較晚，風險評估標準體系仍處于研究階段。國內發布的信息安全風險評估相關標準主要有GB/T 20984—2007[5]、GB/Z 24364—2009[6]、GB/T 31509—2015[7]和GB/T 31722—2015[8]等。

根據文獻[9]，信息系統的風險評估流程可分為四個步驟，即資產評估、威脅評估、脆弱性評估和保障能力評估。風險評估要素[9]如圖1所示。

圖1 風險評估要素示意圖

根據文獻[10]，風險評估的首要任務是確定適當的評估范圍。識別并構建合適的工作范圍，可以提高工作的效率，避免大量額外的工作。在實際應用場景中，沒有邊界的系統很難被評估。

定義評估范圍，即確認對于評估邊界的描述。邊界描述了目標系統的范圍，需要將范圍內的硬件、軟件、人員和基礎設施包含到風險評估對象列表中。在某些情況下，評估的范圍可能是單個系統或者是多個關聯的系統。對于相關系統，應特別注意其接口的描述以及系統之間的信息交互機制。

通常，評估范圍的確定與系統的業務邏輯密切相關。在理清業務邏輯的基礎上，對目標系統的范圍進行更細致的描述是一種較為實用的方法。

1.1 資產評估

資產評估包括識別資產和評估資產價值兩個方面的內容。不同類別的資產具有不同的重要性，同時面臨不同的威脅[9]。因此，資產評估是風險評估的重要組成部分。一旦資產識別出現遺漏，會對風險評估結果產生很大影響。

資產的范圍涉及面非常廣泛。所有被組織賦予了價值并且需要保護的資源都屬于資產。在信息系統中，關注的重點是信息資產[11]。對于信息資產而言，主要包括三個相關的主體，即信息本身、信息處理設施和信息處理人。一般基于表現形式的資產分類包括數據、軟件、硬件、服務、文檔、人員和其他。數據資產包括程序源代碼、數據庫中數據、系統說明文檔和用戶使用手冊等。

評估資產的前提是資產的分類。在信息系統風險評估流程中，需要將資產按安全級別分類。文獻[12]討論了“信息”和“信息系統”的安全類別問題，并且給出了確定信息類型、確定信息的安全類別和確定系統的安全類別這三個步驟，以確定信息系統的安全類別[12]。

信息資產安全級別的定義如表1所示。

表1 信息資產安全級別的定義

1.2 威脅評估

威脅是指可能危及系統并造成人員或財產損失的潛在起因。威脅是客觀存在的，且不同的資產面臨的威脅也不同。因此，全面、準確地識別威脅有助于采取正確的預防措施[9]。威脅可以通過以下不同方面來描述，例如威脅源、威脅的能力、資源、動機、途徑和后果等。

文獻[13]將威脅源分為兩類：①故意利用脆弱性的企圖和方法；②可以偶然觸發一個脆弱性的情形和方法。

威脅源可分為自然威脅、人為威脅和環境威脅[14]。以人為威脅為例。威脅源包括黑客、恐怖分子、工業間諜、內部員工等。他們制造威脅的動機有反叛、勒索、復仇、惡意利用、自負等，并通過社會工程、系統入侵、偽造、侵犯個人隱私等威脅行為最終達成目的。

1.3 脆弱性評估

脆弱性是資產自身存在的弱點。只有利用資產的脆弱性，威脅才可能造成傷害或損失。一般而言，工業控制系統的脆弱性可以從物理環境、網絡、平臺和安全管理這四個維度進行評估[9]。脆弱性評估是一種基于假設的評估，即“如果發生什么情況，那么會造成怎樣的影響”，同時還應考慮脆弱性被利用的可能性。因此，這個步驟中需要結合具體的應用場景考慮。

脆弱性一般可以分為兩大類：資產本身的脆弱性和安全控制措施的不足。

①資產本身的脆弱性包括：操作系統的漏洞，其與某一操作系統的版本相關聯；產品設計中固有的安全缺陷。評估人員可以使用漏洞掃描工具，將其特征與漏洞庫進行匹配分析，從而發現它們的存在。但是，在考慮一組資產所面臨的問題時，在多數情況下產品集成會導致系統環境的變化和許多新的安全問題。這時，需要構建新的安全控制機制來降低這方面的影響。安全控制措施的不足一般針對組合的、相互關聯的資產，可以被視為這組資產本身的脆弱性問題，影響范圍較大。一個信息系統應該從設計階段就充分考慮其安全性問題，通常可以使用攻擊面分析或攻擊樹的方法，從攻擊者的角度分析系統的脆弱性，以此構建適當的安全控制措施。

脆弱性和威脅行為示例如表2所示。

表2 脆弱性和威脅行為示例

同時，可以通過定性或定量的方式描述威脅利用脆弱性的容易程度。以自然災害中的地震為例，定量的方式可以是一組官方關于近十年某地區發生地震的頻次；定性的方式則可通過該地區所處的地理位置、地震帶分布等信息，對發生地震的可能性給出高、中或低的評價。因此，在判斷威脅利用脆弱性的容易程度時，應收集相關信息、分析并進行客觀判斷，最終得出結論。文獻[15]認為，目前實踐主要還是以定性的分析方法為主，因為許多客觀因素無法被準確地量化。

1.4 保障能力評估

脆弱性是資產本身自帶的屬性。通常，在設計開發初期決定要使用的資產時，就已經決定了工業控制系統在運行階段所具有的脆弱性。因此，脆弱性無法避免。只有全面的識別和針對性的預防，才能保障系統的正常運行。保障能力是指被評估方在工業控制系統管理、運行、人員和技術等方面提供保障措施和對策的能力[16]。合適的安全保障能夠減少系統脆弱性、抵御工業控制系統所面臨的安全威脅，從而降低工業控制系統的安全風險；在安全事件發生時，緩解其對被評估方的影響。保障能力評估其實就是指系統的控制措施評估。其涉及的方面包括但不限于對網絡安全管理、工控系統安全管理、密碼使用指導、變更管理、宣傳教育培訓、應急響應、技術防護能力等方面。評估主要圍繞控制措施的有效性、成本效益分析等方面進行，可以通過一些量化指標(如信息安全事件的數量、信息系統每年遭受的平均損失等)具體體現。

2 智能充電樁的風險評估實施

文獻[7]介紹了一種電動汽車充電樁系統信息安全定量風險評估的方法，將電動汽車充電樁系統分為電動汽車充電樁、運營管理平臺、用戶資產及其之間的通信鏈路與通信數據。首先，通過調研獲得專家意見并進行量化。這一步驟也可通過Delphi頭腦風暴的方法實現。這種方法中，信息系統相關的人員將匿名提交各自意見以完成調研。然后，基于模糊層次分析法計算資產價值權重與安全威脅權重，并且計算出各資產的風險值大小，從而有效識別出充電樁系統的脆弱點與安全風險。最后，根據風險評估的結果，提出相應的安全防護措施及建議[7]。

下面將結合智能充電樁的具體業務場景，根據前述風險評估流程，以定性的方法對智能充電樁風險評估的實施進行簡單介紹。

2.1 資產評估實施

智能充電業務流程如圖2所示。參與業務流程的主體可以總結為：用戶、智能充電樁以及充電樁運營平臺。信息的交互發生在兩個交互流程，分別是：①用戶與智能充電樁之間；②智能充電樁與充電樁運營平臺之間。

圖2 智能充電業務流程示意圖

圖2中所涉及的資產可以歸納為：數據、智能充電樁、充電樁運營平臺以及流程②中所涉及的通信組件。

根據信息的機密性、完整性和可用性，可將上述資產識別為務必保證可用性的智能充電樁(用戶端更關注充電樁的功能實現)、充電樁運營平臺以及通信組件和與機密性及完整性更為相關的數據(平臺端涉及數據的采集、分析、存儲等環節，因此更關注數據整個生命周期的信息安全)。

2.2 威脅評估實施

根據資產評估的結果，可能導致業務流程處于風險中的原因可以是：①智能充電樁、充電運營平臺及通信組件可用性受到影響；②數據的機密性或完整性的丟失。

2.3 脆弱性評估實施

脆弱性評估的環節將盡量考慮威脅評估所列出的結果被利用的方式以及可能性。

首先，設備的可用性部分可以從以下兩部分考慮：①智能充電樁本體;②充電運營平臺和相關通信組件。智能充電樁本體可用性受到影響，意味著樁體本身的結構被破壞或部分功能無法實現，與其相關的更多的是物理安全方面的問題?，F在充電運營平臺大多建立在公有云上。這些云服務器連同相關的通信組件、架構、功能等須通過相關的信息安全審查才可提供相應服務。因此，設備可用性受到破壞的可能性較低。

其次，考慮數據的完整性及機密性的問題。同樣地，根據充電業務流程，可以將數據分為流程①中的用戶、智能充電樁交互信息和流程②中的智能充電樁和充電樁運營平臺的交互信息。流程①中的信息更多地涉及用戶隱私方面的內容，如用戶個人身份信息、充電賬戶信息、充電地點信息等。這部分數據將通過交互界面的方式呈現出來，因此風險來源于過多的泄漏機密性的用戶信息而造成的被未授權人員觀察、截取或剩余信息利用。流程②中的信息屬于通信信息，其在通信鏈路上傳輸。因此，這部分的信息容易受到竊聽、篡改等攻擊，從而造成機密性及完整性的缺失。由于目前大多數智能充電樁的通信方式都采用不加密、不加完整性校驗的方式，所以針對此類的攻擊極易成功。

根據上述分析，可以總結出如表3所示的智能充電樁業務流程脆弱性示例。這里使用定性的評估方法，對脆弱性被利用后造成的影響以及被利用的可能性進行評估。隨著時間的推移，漏洞利用方法會層出不窮。高危漏洞可以定義為：脆弱性被利用的可能性高，且被利用后產生的影響很嚴重的漏洞。

表3 智能充電樁業務流程脆弱性示例

2.4 保障能力評估實施

保障能力評估是指針對前述脆弱性利用的可能所給出的保障方案的有效性。針對表3中與智能充電樁業務相關的脆弱性，可以采用以下保障方案。

①通過物理結構的加固，保障智能充電樁的可用性。

②通過流量加密以及配置正確的防火墻策略，保障充電樁運營平臺的通信安全。

③通過數據校驗、數字簽名等機制，保障業務數據的完整性。

④通過流量填充、數據加密、身份驗證等機制，保障業務數據的機密性。

在評估過程中，需圍繞合規性測試和實質性測試兩方面展開，即從有無針對脆弱性的保障機制、保障機制的效果如何進行全面的評估。

2.5 風險評估結論

風險評估的結論可以根據在脆弱性評估中識別出的高危漏洞是否通過保障能力評估中的控制措施有效緩解來得出。如果智能充電樁系統仍存在高危漏洞，那么可以將此系統定義為高風險系統。如果智能充電樁系統僅存在一些低危漏洞，那么可以將此系統定義為低風險系統。這是一個定性的結論，應該根據智能充電樁具體應用場景、客戶需求、監管要求等形成評價標準，得出最終結論。

3 結論

信息安全的世界里沒有絕對安全的系統。新的安全威脅會隨著技術的發展不斷出現。因此，對于信息安全，除了在設計規劃階段集成合適的安全機制以外，在系統實施后還應進行相應的監測、跟蹤以及定期風險評估，發現脆弱性后的及時分析與補救才是重中之重。

本文基于對智能充電樁應用場景的研究，結合大量文獻和標準，提出了一種切實可行的風險評估方法，為智能充電樁系統所有者進一步地規劃和完善保障方案提供思路和理論依據，推動信息安全在智能充電樁應用場景下的實施。