• <video id="rjnky"><mark id="rjnky"></mark></video>
    <tt id="rjnky"><i id="rjnky"><bdo id="rjnky"></bdo></i></tt>
      1. <video id="rjnky"><menu id="rjnky"><legend id="rjnky"></legend></menu></video>

        <u id="rjnky"><small id="rjnky"></small></u>
      2. 中國儲能網歡迎您!     主管/主辦:中國化學與物理電源行業協會儲能應用分會
        讓你掌握儲能產業最新動態!
        當前位置: 首頁  > 市場頻道 > 充電樁與換電站  返回

        充電樁頻頻曝出高危漏洞,充電基礎設施安全該怎么做?

        作者:中國儲能網新聞中心 來源:安全內參編譯 發布時間:2023-02-03 瀏覽:

        中國儲能網訊:要保護電車充電網絡、個人與支付數據乃至電網的端到端安全性,整個電車充電生態系統都必須做出協調與承諾。

        前情回顧·新基建安全

        新基建背景下工業互聯網安全形勢與發展對策

        “新基建”重塑安全生態:開放融合才能贏得未來

        全國23省市“新基建”網安任務重點梳理

        安全內參2月3日消息,隨著更多國家逐步邁向電動汽車多于燃油汽車的臨界點,全球公共和私營部門也開始迫切投資于電車充電設施。建立這樣一個強大且安全的電車充電生態系統,既有助于保障網絡可用性和穩定性,也能為駕駛員提供無縫充電體驗并助力實現零排放目標。

        一方面,電車充電設施的建設工作正熱火朝天地進行;另一方面,充電設施的普及也伴隨著網絡安全風險的增加,網絡犯罪分子已經注意到了這一點。

        當前,電車充電裝置本身已經成為一大攻擊目標。黑客可能向其植入勒索軟件,也可能劫持設備并在提示屏幕上顯示政治性或其他令人反感的內容。據安全內參了解,近年來已出現多起漏洞事件。

        2021年7月,PenTestPartners團隊研究了6款在歐洲和美國流行的充電樁品牌,發現一系列電車充電樁的軟硬件漏洞,可導致遠程控制充電器乃至進一步破壞電網穩定性等危害。

        2023年2月,Saiflow團隊發現開放式充電點協議OCPP的某些版本存在漏洞,可導致遠程關閉充電器或免費充電。

        漏洞范圍

        不止于充電樁與電動汽車

        隨著電動汽車生態系統的發展和攻擊面擴大,用于對接充電樁及其管理系統的通信網絡、在這些網絡中傳輸的個人數據、收取費用的充電樁運營商以及電網本身,都越來越容易遭受攻擊。具體風險包括但不限于:

        公共充電網絡的運營中斷,導致大量充電樁無法使用并影響交通運行;

        劫持充電樁網絡,將充電樁作為大規模分布式拒絕服務(DDoS)攻擊中的肉雞;

        竊取客戶的個人身份信息(PII),包括支付卡信息;

        涉及電動車充電費用的欺詐活動;

        電網中斷,導致停電并造成設備損壞;

        損害電動車充電服務商的商業信譽。

        安全專家們都清楚,只要任意兩點間在進行數字通信,就一定存在潛在漏洞。當電動車接入聯網充電樁時,多臺計算設備間的級聯雙工通信也會同步開啟——車輛與充電樁間、充電樁與車主手機應用間、充電樁與電網間、充電樁與后端管理系統間、管理系統與支付網關間,再加上管理系統與充電樁運營商間。由此造成的巨大攻擊面不難想象。

        要保護電車充電網絡、個人與支付數據乃至電網的端到端安全性,整個電車充電生態系統都必須做出協調與承諾。

        前進方向:標準與協議

        電車充電與能源管理解決方案供應商,必須遵守由開放式充電聯盟(OCA)和國際標準化組織(ISO)等全球聯盟制定的行業協議與標準,借此獲得保護。不止如此,電車充電樁制造商及其次級供應商、汽車制造商以及公共事業企業也都需要參與進來。

        保障網絡安全的關鍵,在于開放式充電點協議(OCPP)。該協議負責管理充電站與中央管理系統間的通信,其最新版本包含安全連接設置、安全事件與日志記錄,以及安全固件更新等相關標準。

        另一項舉措則是ISO 27001,這是一套涵蓋企業信息安全與風險管理流程中具體法律、物理和技術控制要求的綜合性框架。相關合規性將確保所有相關流程、程序和工具得到實施與監控,保護電車充電平臺。

        國際標準ISO 15118.20于2022年發布更新版,旨在加強充電站與電車間雙工通信的安全要求。此項標準提供即插即用功能,使用安全證書自動識別充電樁上的電車并驗證支付方式,甚至可以管理車輛到電網(V2G)所需的數據交換,將存儲在車載電池中的電力傳回電網。

        以IT安全最佳實踐

        建立多層保護

        電車充電生態系統廠商向IT安全最佳實踐邁出的第一步,就是調整自身組織結構:聘請首席信息安全官(CISO)。面對巨大的攻擊面,以及保護數據免受內外部攻擊影響這一基本目標,CISO需要與首席技術官(CTO)密切合作,協調IT安全與電車充電設施安全。

        X.509公鑰基礎設施(PKI)、傳輸層安全(TLS)、安全“隧道”等IT安全最佳實踐能夠加密網絡傳輸數據,進而保護云端管理軟件、電車充電樁、電車及電網間的通信與數據交換。

        電車充電設施供應商還應當關注涉及個人身份信息的數據隱私法規。任何傳輸、處理或存儲個人身份信息的組織,都應遵守歐盟的《通用數據保護條例》(GDPR)、日本的《個人信息保護法》(APPI)、美國《加州消費者隱私法》(CCPA)和新的《加州隱私權法》(CPRA)。

        支付卡行業數據安全標準(PCI DSS)和SOC 1安全標準則提供安全控制與措施,確保在傳輸和存儲期間保護信用卡/借記卡交易活動。具體控制措施包括使用令牌而非可讀數據,且僅存儲信用卡號的最后四位數字。計費管理系統的智能安全措施,也有助于識別和防范付款欺詐。

        端點檢測與響應(EDR)系統能持續監控接入電車充電管理平臺的設備,識別入侵并實現快速響應,讓網絡犯罪分子無法滲透網絡并橫移至管理軟件、汽車、電網等其他組件。

        另外,應開展年度設施與應用程序滲透測試,并為發現的潛在漏洞制定出可靠的解決計劃。

        寫在最后

        保護電車充電設施免受網絡犯罪侵害,應當成為生態系統中各參與方的共同責任。無論你正考慮在營業場所內部署電車充電樁、還是作為生態系統內的重要參與者,都必須始終將安全放在首位。

        IT安全行業已經達成重要共識,即電車安全將是一場持久戰。電車充電生態系統的普及度越高,帶給網絡犯罪分子的經濟利益和價值吸引力就越大。這將是一場永無止境的對抗,我們必須搶在惡意黑客和潛在威脅之前,迅速做出反應。

        分享到:

        關鍵字:充電樁

        中國儲能網版權說明:

        1、凡注明來源為“中國儲能網:xxx(署名)”,除與中國儲能網簽署內容授權協議的網站外,未經本網授權,任何單位及個人不得轉載、摘編或以其它方式使用上述作品。

        2、凡本網注明“來源:xxx(非中國儲能網)”的作品,均轉載與其他媒體,目的在于傳播更多信息,但并不代表中國儲能網贊同其觀點、立場或證實其描述。其他媒體如需轉載,請與稿件來源方聯系,如產生任何版權問題與本網無關。

        3、如因作品內容、版權以及引用的圖片(或配圖)內容僅供參考,如有涉及版權問題,可聯系我們直接刪除處理。請在30日內進行。

        4、有關作品版權事宜請聯系:13661266197、 郵箱:ly83518@126.com

        免费精品国产自在|久热国产精品视频二区|国产精品三级高清在线|无码专区国产精品视
      3. <video id="rjnky"><mark id="rjnky"></mark></video>
        <tt id="rjnky"><i id="rjnky"><bdo id="rjnky"></bdo></i></tt>
          1. <video id="rjnky"><menu id="rjnky"><legend id="rjnky"></legend></menu></video>

            <u id="rjnky"><small id="rjnky"></small></u>