來源：第一電動網 ? ? 綜合報道

電動汽車充電信息安全是電動汽車充電基礎設施安全的重要組成部分，為加強信息安全工作，根據能源行業電動汽車充電設施標準化技術委員會工作計劃及中國電動汽車充電基礎設施促進聯盟工作安排，中電聯標準化管理中心組織有關單位編制了《電動汽車充電基礎設施信息安全防護指南》，并于7月5日起征求意見，要求相關企業將反饋意見在7月30日前提交至相關聯系人。

ds/2017/07/de8bd529ed74938e7c33b7d388d37ea2.jpg" alt="" />

電動汽車充電基礎設施信息安全防護指南

(征求意見稿)

總 則
第一條 充電基礎設施網絡化、信息化、互聯互通發展迅速，充電基礎設施網絡信息安全事關人民生活和經濟發展。為提升充電基礎設施系統信息安全防護水平、保障系統安全，制定本指南。

第二條 充電基礎設施運營企業以及從事充電基礎設施系統規劃、設計、建設、運維、評估的相關單位適用本指南。

第三條 信息安全防護總體要求是分區分域、安全接入、安全可信、動態感知、精益管理、全面防護。

第四條 信息安全防護分為11個防護方面。

技術要求：針對不同安全保護等級的要求，從物理安全、終端安全、應用安全、網絡安全、主機安全、數據安全等方面進行技術保護。

管理要求：針對不同安全保護等級的要求，從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理、網絡安全管理等方面進行管理。
安全軟件選擇與管理

第五條 充電基礎設施采用安全軟件需經過充電基礎設施生產和運營企業的授權和安全評估，并基于風險評估為充電基礎設施選擇具有相應安全措施的安全軟件。

第六條 建立防病毒和惡意軟件入侵管理機制，對充電基礎設施臨時接入的設備采取病毒查殺等安全預防措施。

第七條 移動終端APP采用具有安全防護措施的安全軟件，且相關安全軟件需經過充電基礎設施生產和運營企業授權和安全評估。

第八條 運營平臺安全軟件需經過充電基礎設施運營企業授權和安全評估，具有支持充電基礎設施和移動終端安全防護需求的安全能力，形成一體化防御體系。

配置和補丁管理

第九條 建立并維護充電基礎設施系統配置清單，留存邊界設備的訪問日志、充電關鍵業務的日志，時間不少于6個月，并定期進行配置審計。

第十條 對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

第十一條 密切關注充電基礎設施重大安全漏洞，及時采取補丁升級措施。在安裝補丁或升級前，需對補丁或升級進行嚴格的安全評估和測試驗證。

第十二條 如需遠程升級，升級過程需要在具有系統安全的條件下進行，具備通信安全，以及異常監測、響應的能力，并需要獲得用戶確認，且升級過程需記錄完整的日志信息。
邊界安全防護

第十三條 分離充電基礎設施的開發、測試和生產環境。

第十四條 在充電基礎設施體系架構設計中，采用網絡分段和隔離技術。對不同網段進行邊界控制，對進行充電基礎設施內部控制網絡的數據和文件進行安全控制和安全監測。

第十五條 充電基礎設施與外部通信采用安全接入方式，并可對業務進行劃分，通過不同的安全通信子系統接入網絡。

第十六條 運營平臺需具備防火墻、入侵檢測等安全功能。

物理和環境安全防護

第十七條 對充電基礎設施的全部訪問點進行配置，訪問限制。

第十八條 拆除主機上不必要的接口。

身份認證

第十九條 在充電基礎設施啟動登陸、移動終端登陸、運營平臺訪問等過程中使用身份認證管理。在關鍵業務場景下，采用多因素認證方式。

第二十條 用戶注冊實名制。

第二十一條 強化充電基礎設施、移動終端及訪問點等的登陸賬戶及密碼，強制更改默認口令，避免使用弱口令，定期更新口令。

第二十二條 在充電基礎設施系統間數據通信過程中使用身份認證機制。

遠程訪問安全

第二十三條 充電基礎設施需對遠程訪問的端口進行嚴格控制，關閉不必要的端口。

第二十四條 確需遠程訪問的關鍵業務場景，采用安全措施進行加固，對訪問時限進行控制，并采用身份認證、數據安全傳輸、訪問控制等機制。

第二十五條 保留充電基礎設施系統的相關訪問日志，并對操作過程進行安全審計。

安全監測和應急預案演練

第二十六條 在充電基礎設施建立安全監測體系，及時發現、報告并處理網絡攻擊或異常行為。

第二十七條 充電基礎設施應具備包監測、數據監測等功能，限制違法操作。

第二十八條 制定安全事件響應預警，當遭受安全威脅導致充電基礎設施出現異常或故障時，應立即采取緊急防護措施，防止事態擴大，并逐級報送直至屬地主管部門，同時注意保護現場，以便進行調查取證。

第二十九條 定期對充電基礎設施系統的應急響應預案進行演練，必要時對應急響應預案進行修訂。

資產安全

第三十條 建設充電基礎設施資產清單，明確資產責任人，以及資產使用及處置規則。

第三十一條 對關鍵設備和組件等進行冗余配置。

數據安全

第三十二條 對在充電基礎設施系統中采集、傳輸、存儲的數據，定期開展風險評估。關鍵業務數據和用戶信息須在存儲和傳輸過程中使用安全機制，并在使用過程中采用訪問控制策略。

第三十三條 定期備份關鍵業務數據。

第三十四條 對用戶信息的采集、存儲、傳輸和使用，必須經過用戶的明確授權。

供應鏈管理

第三十五條 在選擇充電基礎設施規劃、設計、建設、運維或評估、產品及服務供應商時，優先選擇通過安全評估的產品，優先選擇具備安全服務經驗的企事業單位，并要求供應商做好相應的保密工作，防止敏感信息的外泄。

第三十六條 在充電基礎設施系統投入運營前或發生重大變化時進行安全評估，并對投入運行的充電基礎設施定期進行安全評估。

落實責任

第三十七條 通過建立充電基礎設施安全管理機制、成立信息安全協調小組等方式，明確信息安全管理責任人，落實安全責任制，部署安全防護措施。

第三十八條 針對不同安全保護等級的要求，從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理、網絡安全管理等方面進行管理。

第三十九條 建立充電基礎設施網絡安全防護評估制度，采取自評估為主、檢查評估為輔的方式，建立充電基礎設施網絡信息安全管理體系。

返回第一電動網首頁 >