电动汽车充电基础设施与安全 - 网安 - 专业的网络安全产业、社区、知识平台

随着电动汽车（EV）在越来越多国家中的普及，公共部门以及私营部门都开始急迫地投资于电动汽车充电基础设施。建立一个强大且高度安全的EV充电生态在确保网络的可用性和稳定性、为司机提供无缝的充电体验，以及实现零排放运输等方面都至关重要。

一方面，电动汽车充电基础设施的建设正在蓬勃发展。但另一方面，网络安全风险也随着充电基础设施的普及而不断增加。网络犯罪分子已经注意到了这一点。

目前，EV充电桩本身已经成为了主要的攻击目标。黑客的攻击手段众多，包括植入勒索软件，或者是劫持充电桩信息屏幕，用以显示具有政治动机或令人反感的内容。不久前，一位白帽安全专家向人们展示了EV充电设施的软件和硬件中所存在的漏洞，给制造商们敲响了警钟。并且近期频发的黑客攻击活动也进一步表明：EV正不断陷入风险之中。

漏洞不仅存在于充电桩和EV

随着EV生态系统的增长和攻击面的扩张，将充电桩与其管理系统连接起来的通信网络、贯穿这些网络的个人数据、收费点运营商以及电网本身都变得越来越脆弱。这些风险包括（但不限于）：

• 公共充电桩网络运行中断，导致大量充电桩无法使用，干扰运输

• 接管充电桩网络，将充电桩作为DDoS攻击中的肉鸡

• 盗窃客户的个人身份信息（PII）（包括支付卡信息）

• EV充电中的电费欺诈支付

• 电网中断，导致停电和设备损坏

• 损害EV充电供应商的声誉

其实，只要在两端点之间进行数字通信，就一定会存在潜在的漏洞。当EV与联网充电桩连接时，多台计算机之间也开始了双向通信，包括车辆和充电桩、充电桩和司机的移动应用程序、充电桩和电网、充电桩和后端管理系统、管理系统和支付网关，以及管理系统和充电点操作员之间的通信。这样一个广阔的攻击面就形成了。

要保护EV充电网络、个人和支付数据以及电网，就需要整个EV充电生态系统的协调和承诺，以实现所需的端到端安全。

相关标准和协议开辟了一条前进的道路

EV充电和能源管理解决方案提供商必须遵守由开放充电联盟（ Open Charge Alliance，OCA）和国际标准化组织（International Organization for Standardization ，ISO）制定的行业协议和标准，并提供相应的保护。

而开放充电点协议（ Open Charge Point Protocol，OCPP）则是实现网络安全的关键。它管理着充电站和中央管理系统之间的通信。其最新版本包含了针对安全连接设置、安全事件、安全日志以及安全固件更新的标准。

另一项重要的措施是ISO 27001。这是一个全面的框架，它涵盖了公司信息安全和风险管理过程中涉及的法律、物理和技术控制。其合规性确保了所有相关流程、程序以及工具的实施和监控，从而对EV充电平台进行保护。

ISO 15118.20是一项于2022年更新的国际标准，旨在加强充电站和EV之间双向通信的安全要求。该标准提供了即插即充电的功能，使用安全证书来自动识别EV，并验证支付方式。同时，它还管理着车辆到电网（V2G）所需的数据交换，将存储在电动汽车电池中的能量送回电网。

IT安全最佳实践提供了多层保护

对于EV充电生态系统公司来说，要考虑的第一个IT安全最佳实践就是雇佣一名首席信息安全官（CISO）。并且由于攻击面广泛，组织需要保护数据免受来自内部以及外部的攻击，所以CISO应该与首席技术官（CTO）密切合作，以协调IT安全以及EV充电基础设施安全。

云上的管理软件、EV充电桩、EV和电网之间的通信和数据交换可以通过IT安全最佳实践来进行保护，例如X.509公钥基础设施（PKI）、传输层安全（TLS）、或者通过互联网进行安全的“通道连接”和数据加密。

EV充电基础设施供应商还必须关注专门针对PII的数据隐私法规。任何运输、处理或存储PII的组织都应遵守欧盟的通用数据保护条例（the General Data Protection Regulation，GDPR）、日本的《个人信息保护法》（the Protection of Personal Information，APPI）、加州消费者隐私法（the California Consumer Privacy，CCPA）以及新发布的《加州隐私权法案》（ California Privacy Rights Act ，CPRA）。

遵循支付卡行业数据安全标准（PCI DSS）和SOC 1安全标准可以提供安全控制和措施，以保护在交易过程中的信用卡和借记卡交易的传输和存储安全。其中的控制措施包括使用代币代替可读数据，以及仅存储信用卡的最后四位数字。此外，计费管理系统的智能保障措施可以识别并防止欺诈性支付。

端点检测与响应（EDR）系统会持续对连接到电子充电管理平台的设备进行监控，识别入侵，并实现快速响应，使网络犯罪分子无法对网络进行渗透。

最后，对基础设施和应用程序进行年度的渗透测试也是至关重要的，这有助于组织发现潜在的漏洞，进而建立解决它们的坚实计划。

结语

保护EV充电基础设施免受网络犯罪分子的攻击是全体EV生态参与者的责任。无论是打算在办公点安装EV充电装置的人，还是该生态中的积极参与者，对他们来说安全都是首要考虑的问题。并且，这将是一个持续的挑战。EV充电生态系统发展得越快，那么它在网络不法分子眼中的价值就越大。风险与挑战将会持续存在，我们要努力做到时刻领先于敌人，并在未知威胁出现时迅速做出响应。