1. 物理攻击:例如恶意破坏、搬走充电设施等,这可能会对充电设施造成损害,妨碍正常的电力传输。
2. 网络攻击:
黑客可能利用系统漏洞攻击网络,破坏设备,并窃取用户的个人信息、支付信息等;
车辆与充电桩之间的通信可能被拦截,导致充电会话终止;
云服务器可能被劫持,进而影响整个电动汽车充电桩网络;
存在分布式拒绝服务(DDOS)攻击风险,导致系统无法正常服务;
某些系统若未做好防护,可能遭遇中间人攻击,致使信息被窃取或篡改;
部分系统可能因漏洞而使服务在互联网上公开暴露,容易被攻击。
3. 供电风险:电力供应发生故障,设备可能无法正常工作,导致充电服务无法提供。大量高负载的电动车充电设施如果遭受网络攻击,也将会对电网自身的安全运营造成巨大威胁。
4. 用户隐私风险:用户在使用充电设施时通常需要提供个人信息、车辆信息、财务(支付)信息等,这些信息若受到黑客攻击或发生泄露,可能会给用户带来损失。
5. 恶意软件攻击:充电桩上的恶意软件或病毒可能攻击充电设施,以窃取用户信息或使设备不稳定。
6. 协议级和系统级漏洞:例如开放式充电点协议(OCPP)中被发现的漏洞,可用于分布式拒绝服务攻击和窃取敏感信息。一些电动汽车供电设备运行过时版本的系统,启动了不必要的服务,且很多服务以 root 身份运行,也存在安全隐患。
- 数据泄露:涉及用户的个人信息、账户密码等隐私数据被窃取。
- 恶意软件攻击:通过恶意软件窃取用户信息或控制充电设备。
- 网络协议安全问题:充电网络协议存在漏洞,可能被利用来窃取信息或控制设备。
- 内部人员风险:内部人员可能有意或无意地泄露用户信息。
- 硬件设备安全漏洞:充电设备的安全漏洞可能被黑客攻击,造成网络瘫痪。
为了应对这些安全威胁,可以采取多种措施,包括但不限于:
- 改进电动车主身份验证和授权方式;
- 为充电基础设施的云组件增加更多安全措施;
- 加强充电装置以防止物理篡改;
- 在产品设计之初充分考虑数据安全风险,采用加密技术保护用户隐私;
- 定期进行数据备份和恢复演练;
- 与第三方安全公司合作,对充电桩进行定期安全检查;
- 完善智能充电桩系统现有网络边缘的本地安全防护能力;
- 建立集中管理平台,验证恶意访问来源并快速定位被攻击智能充电桩;
- 严格保护用户隐私数据,遵守相关法律法规;
- 政府提供标准规范和最佳实践,加强监管并制定严格的网络安全标准和合规要求;
- 相关企业遵循开放统一标准,减轻数据和通信漏洞;
- 加大在能源行业特定网络安全技术方面的研发投入。
新能源汽车的充电网络面临多种安全威胁,主要包括以下方面:
为了应对这些安全威胁,可以采取以下防护技术规范和措施:
- 加强物理安全:将充电桩安装在安全可靠的位置,使用坚固的外壳材料,具备防水、防尘、防雷击等功能。
- 加密通信:采用安全的通信协议,对通信数据进行加密,并实施双向认证机制,确保只有授权的充电桩和后台服务器能建立连接。
- 完善访问控制:通过用户身份验证、密码保护等方式限制只有经过授权的用户才能使用充电桩,同时对充电过程进行监控和记录,及时发现异常操作和攻击行为。
- 确保软件安全:对充电桩系统的软件进行严格的安全测试和代码审计,及时更新和升级软件以应对新的安全威胁和漏洞。
2023年10月11日,国家能源局批准发布了《电动汽车充电设施及运营平台信息安全技术规范》能源行业标准(NB/T 11302—2023)。该标准细化了系统安全防护目标及架构,在安全分区、网络专用、横向隔离、纵向认证、运营平台、充电设施等方面提出了具体技术建议,确定了电动汽车充电设施及运营平台的网络信息安全防护要求,适用于与电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。其主要内容包括:
- 给出了充电桩运营平台网络安全防护架构,该架构包括安全分区、网络专用、横向隔离、纵向认证四个层次。
- 规定了运营平台安全防护技术要求,涵盖操作系统安全、基础软件安全、应用软件安全、网络安全设备技术要求等方面。
- 明确了充电设施安全防护技术要求,包含充电设施本体安全、硬件加密模块、软件加密模块等内容。
保障新能源汽车充电网络的安全需要政府、企业和用户共同努力。政府应加强监管,制定相关法律法规,推动行业加强网络安全意识并建立保障机制;企业需加强员工的网络安全培训,建立健全网络安全管理制度;用户则应提高自身网络安全意识,避免在不安全的网络环境下进行操作或使用不安全的充电桩。