一、運(yùn)營平臺(tái)技術(shù)要求

1、系統(tǒng)安全防護(hù)

1）系統(tǒng)配置應(yīng)具備至少雙節(jié)點(diǎn)的冗余配置，網(wǎng)絡(luò)接入應(yīng)具備至少雙鏈路的接入方式，以避免硬件單節(jié)點(diǎn)故障或單網(wǎng)絡(luò)鏈路的中斷而導(dǎo)致業(yè)務(wù)系統(tǒng)癱瘓。

2）服務(wù)器主機(jī)應(yīng)采用雙機(jī)配置以冷備用或熱備用的方式進(jìn)行冗余防護(hù)，若采用租用云服務(wù)的方式則應(yīng)考慮增加計(jì)算資源節(jié)點(diǎn)的冗余數(shù)量。

3）網(wǎng)絡(luò)及安全設(shè)備在配置時(shí)應(yīng)與接入的網(wǎng)絡(luò)鏈路相匹配，在采用多鏈路接入配置的方式時(shí)，網(wǎng)絡(luò)及安全設(shè)備應(yīng)配置為多節(jié)點(diǎn)的方式。

4）應(yīng)配置安全設(shè)備或同等功能的組件。

5）存儲(chǔ)資源在配置時(shí)應(yīng)根據(jù)運(yùn)營平臺(tái)的業(yè)務(wù)數(shù)據(jù)規(guī)模核算具體容量。自建數(shù)據(jù)中心時(shí)，在保證服務(wù)器設(shè)備自身的存儲(chǔ)空間充足時(shí)，還應(yīng)配置獨(dú)立的存儲(chǔ)設(shè)備，并應(yīng)雙機(jī)配置或采用異地?cái)?shù)據(jù)中心備份的方式。租用云服務(wù)時(shí)應(yīng)提供冗余配置的存儲(chǔ)資源或異地備份。

2、網(wǎng)絡(luò)安全防護(hù)

1）運(yùn)營平臺(tái)系統(tǒng)應(yīng)根據(jù)不同的業(yè)務(wù)進(jìn)行分區(qū)分域，將系統(tǒng)劃分為不同的子網(wǎng)網(wǎng)段。

2）重要服務(wù)器主機(jī)及核心業(yè)務(wù)區(qū)應(yīng)部署在內(nèi)網(wǎng)區(qū)域，通過路由設(shè)備建立安全的訪問路徑，避免其直接與外網(wǎng)進(jìn)行連接；核心業(yè)務(wù)區(qū)與其他日常業(yè)務(wù)網(wǎng)段劃分不同子網(wǎng)，并采取可靠的技術(shù)隔離手段。

3）網(wǎng)絡(luò)接入的出入口訪問應(yīng)通過安全防護(hù)設(shè)備進(jìn)行控制與隔離，建立完善的過濾策略及入侵防范策略。

4）對(duì)網(wǎng)絡(luò)的訪問權(quán)限進(jìn)行控制，平臺(tái)應(yīng)具備安全審計(jì)的防護(hù)標(biāo)準(zhǔn)；對(duì)運(yùn)營業(yè)務(wù)中產(chǎn)生的數(shù)據(jù)和操作進(jìn)行日志記錄，并可進(jìn)行備份。

5）各業(yè)務(wù)系統(tǒng)區(qū)域應(yīng)具備獨(dú)立且完整的硬件及網(wǎng)絡(luò)規(guī)劃，以避免各業(yè)務(wù)階段使用的硬件或基礎(chǔ)資源混亂而造成對(duì)正式運(yùn)營系統(tǒng)的影響。

6）重要的運(yùn)營平臺(tái)生產(chǎn)系統(tǒng)宜具備雙活熱備的系統(tǒng)配置，可自主切換業(yè)務(wù)。

7）提供對(duì)充電設(shè)備的網(wǎng)絡(luò)訪問行為能力，對(duì)異常行為進(jìn)行阻斷。

3、基礎(chǔ)軟件安全防護(hù)

1）操作系統(tǒng)及相關(guān)組件應(yīng)定期更新升級(jí)補(bǔ)丁，確保系統(tǒng)軟件的穩(wěn)定可靠。

2）應(yīng)定期對(duì)系統(tǒng)應(yīng)用進(jìn)行漏洞掃描，進(jìn)行監(jiān)測(cè)入侵防范及惡意代碼防范。

3）應(yīng)實(shí)時(shí)對(duì)系統(tǒng)進(jìn)行安全監(jiān)控，保證對(duì)系統(tǒng)應(yīng)用的各操作合法并有操作審計(jì)記錄。

4）各主機(jī)基礎(chǔ)軟件均應(yīng)具有嚴(yán)格的身份認(rèn)證配置，口令應(yīng)具有一定的復(fù)雜度，并定期進(jìn)行更換。

5）應(yīng)實(shí)時(shí)監(jiān)控各服務(wù)器硬盤存儲(chǔ)資源，并具備實(shí)時(shí)提醒告警等功能。

4、業(yè)務(wù)系統(tǒng)安全防護(hù)

1）業(yè)務(wù)軟件應(yīng)配置至少雙冗余的結(jié)構(gòu)，避免因業(yè)務(wù)軟件的崩潰造成應(yīng)用單節(jié)點(diǎn)故障，導(dǎo)致業(yè)務(wù)功能無法使用，影響業(yè)務(wù)運(yùn)營系統(tǒng)。

2）業(yè)務(wù)軟件在對(duì)外進(jìn)行數(shù)據(jù)交互時(shí)，應(yīng)有本運(yùn)營公司的數(shù)據(jù)交互協(xié)議或加密方式，避免在交互過程中造成數(shù)據(jù)混亂無法識(shí)別或被非法解析導(dǎo)致數(shù)據(jù)信息泄露。

3）業(yè)務(wù)軟件在交互過程中應(yīng)具備自有的數(shù)據(jù)校驗(yàn)機(jī)制，對(duì)其數(shù)據(jù)傳輸?shù)耐暾?、安全性進(jìn)行保障。

4）業(yè)務(wù)信息中具有重點(diǎn)需要防護(hù)的數(shù)據(jù)敏感信息時(shí)，應(yīng)有數(shù)據(jù)脫敏的機(jī)制。

5）業(yè)務(wù)系統(tǒng)功能的操作安全防護(hù)應(yīng)配置審計(jì)系統(tǒng)，各業(yè)務(wù)操作應(yīng)詳細(xì)記錄。

6）業(yè)務(wù)系統(tǒng)應(yīng)按實(shí)際運(yùn)營情況中發(fā)現(xiàn)的問題漏洞，實(shí)施業(yè)務(wù)系統(tǒng)的更新升級(jí)，并明確備案各階段版本及更新說明。

7）業(yè)務(wù)數(shù)據(jù)應(yīng)配置數(shù)據(jù)備份機(jī)制，根據(jù)運(yùn)營需求確定歷史數(shù)據(jù)的緩存時(shí)間及備份數(shù)量。

8）應(yīng)對(duì)實(shí)時(shí)訪問行為進(jìn)行監(jiān)測(cè)，及時(shí)告警異常行為。

二、充電設(shè)備技術(shù)要求

1、設(shè)備安全

1）設(shè)備的進(jìn)、出線孔應(yīng)使用合適的裝置或適當(dāng)?shù)拇胧┟荛]，防止外部?jī)x器工具的進(jìn)入。

2）設(shè)備內(nèi)部的通信部件應(yīng)有明顯的難以去除的標(biāo)記，以防被更換。

3） 充電設(shè)備檢測(cè)到異常應(yīng)主動(dòng)告警并禁止充電。

4）操作系統(tǒng)應(yīng)保證代碼可控或采用必要安全加固措施。

5）應(yīng)建立能夠識(shí)別充電設(shè)備本體代碼、主動(dòng)阻斷未知代碼執(zhí)行的安全免疫機(jī)制，通過對(duì)充電設(shè)備本體代碼的完整性校驗(yàn)，防止其被篡改并可以在異常狀態(tài)下執(zhí)行自動(dòng)恢復(fù)。

6）以最小化安裝方式配置軟件，對(duì)非必要功能的使用進(jìn)行禁止或限制。

7）應(yīng)對(duì)系統(tǒng)軟件升級(jí)且充電設(shè)備業(yè)務(wù)應(yīng)用的加載軟件應(yīng)具備認(rèn)證機(jī)制，只有經(jīng)過認(rèn)證的軟件才能在本體系統(tǒng)上運(yùn)行。

2、數(shù)據(jù)安全

1）充電設(shè)備具備本機(jī)充電記錄讀取功能，不應(yīng)顯示用戶完整的敏感信息。

2）未經(jīng)使用者授權(quán)，充電設(shè)備不應(yīng)主動(dòng)獲取或向第三方提供充電權(quán)限認(rèn)證以外的信息。

3）充電設(shè)備應(yīng)具備數(shù)據(jù)有效性校驗(yàn)功能，保證數(shù)據(jù)符合系統(tǒng)設(shè)定要求。

4）未經(jīng)授權(quán)的任何實(shí)體不能從加密存儲(chǔ)區(qū)域的數(shù)據(jù)中還原出用戶隱私數(shù)據(jù)的真實(shí)內(nèi)容。

5）不應(yīng)未經(jīng)授權(quán)擅自修改和展示用戶信息。

6）充電設(shè)備應(yīng)保證存儲(chǔ)和傳輸過程中數(shù)據(jù)的完整性。

7）充電設(shè)備應(yīng)保證存儲(chǔ)和傳輸過程中敏感數(shù)據(jù)的保密性。

3、控制安全

1）充電設(shè)備維護(hù)、升級(jí)、調(diào)試等過程中，應(yīng)使用身份認(rèn)證管理技術(shù)。

2）具有賬號(hào)管理功能的充電設(shè)備，其用戶身份鑒別信息應(yīng)具有復(fù)雜度要求。

3）具有賬號(hào)管理功能的充電設(shè)備，應(yīng)提供并啟用登錄失敗處理功能；多次登錄失敗后應(yīng)采取必要的保護(hù)措施，當(dāng)超出限制值時(shí)，采取特定的動(dòng)作。

4）具有賬號(hào)管理功能的充電設(shè)備，在用戶身份證認(rèn)證信息丟失或失效時(shí)，可提供鑒別信息恢復(fù)機(jī)制。

5）具有賬號(hào)管理功能的充電設(shè)備應(yīng)對(duì)登錄的用戶分配賬號(hào)和權(quán)限。

6）具有賬號(hào)管理功能的充電設(shè)備應(yīng)及時(shí)刪除或停用多余的、過期的賬號(hào)，避免共享賬號(hào)的存在。

7）充電設(shè)備外部訪問接口應(yīng)采取安全保護(hù)措施。

8）充電設(shè)備應(yīng)具備控制接入的開關(guān)。當(dāng)建立數(shù)據(jù)連接時(shí)，充電設(shè)備能夠發(fā)現(xiàn)該連接并給用戶相應(yīng)的狀態(tài)提示，僅當(dāng)用戶確認(rèn)建立本次連接時(shí)，連接才可建立。

9）充電設(shè)備應(yīng)為不同訪問主體類別提供不同的訪問權(quán)限。訪問權(quán)限劃分應(yīng)遵循最小特權(quán)原則。

10）關(guān)閉非系統(tǒng)運(yùn)行和維護(hù)所必須的網(wǎng)絡(luò)通信端口。

11）未授權(quán)用戶不得讀取審計(jì)信息。

12）應(yīng)能按照頻次將所有的審計(jì)記錄備份至本地，或者將事件數(shù)據(jù)安全地發(fā)送到外部。

13）充電設(shè)備應(yīng)保護(hù)已存儲(chǔ)的審計(jì)記錄，以避免未授權(quán)的刪除、修改或覆蓋，并檢測(cè)對(duì)審計(jì)記錄的修改。

14）充電設(shè)備應(yīng)確保審計(jì)記錄保持一定的記錄數(shù)和維持時(shí)間，審計(jì)日志留存能力不少于10000 條。

15）審計(jì)日志要覆蓋對(duì)設(shè)備有較大影響的操作。

三、移動(dòng)智能終端軟件技術(shù)要求

1、運(yùn)行機(jī)制要求

1）在安裝和卸載過程中，不得捆綁下載其他應(yīng)用軟件；不得安裝功能說明文檔中未說明的額外功能，不得安裝用戶未知和未允許的第三方應(yīng)用。

2）卸載應(yīng)徹底，卸載后不應(yīng)殘留相關(guān)臨時(shí)文件、活動(dòng)程序或模塊。

3）包含可有效表征供應(yīng)者或開發(fā)者身份的簽名信息、軟件屬性信息。

4）應(yīng)對(duì)安裝包或升級(jí)包的完整性、合法性進(jìn)行校驗(yàn)。

2、應(yīng)用安全要求

1）應(yīng)具備身份鑒別功能，能夠?qū)Φ顷懹脩暨M(jìn)行身份標(biāo)識(shí)和鑒別。

2）不應(yīng)內(nèi)置匿名帳戶，禁止匿名用戶的登錄。

3）具備口令強(qiáng)度和口令時(shí)效性檢查機(jī)制。

4）授權(quán)用戶訪問的內(nèi)容不能超出授權(quán)的范圍。

5）未得到許可前不應(yīng)訪問終端數(shù)據(jù)和終端資源。

6）未得到允許前不應(yīng)修改和刪除終端數(shù)據(jù)。

7）未授權(quán)用戶不得讀取審計(jì)信息。

8）應(yīng)能按照頻次將所有的審計(jì)記錄備份至本地，或?qū)⑹录?shù)據(jù)安全地發(fā)送到外部。

9）審計(jì)日記留存時(shí)間應(yīng)不少于6 個(gè)月。

10）未經(jīng)授權(quán)的任何實(shí)體不能從加密存儲(chǔ)區(qū)域的數(shù)據(jù)中還原出用戶私密數(shù)據(jù)的真實(shí)內(nèi)容。

11）不應(yīng)存在數(shù)據(jù)存儲(chǔ)和處理過程中的非法調(diào)用和竊取漏洞。

12）不應(yīng)以明文形式存儲(chǔ)或通過網(wǎng)絡(luò)傳輸用戶敏感數(shù)據(jù)，以防數(shù)據(jù)被未授權(quán)獲取。

13）備份機(jī)制應(yīng)完整有效，且應(yīng)對(duì)備份數(shù)據(jù)進(jìn)行保護(hù)。

3、惡意行為防范要求

1）在用戶不知情或未授權(quán)的情況下，應(yīng)用程序不應(yīng)訂購非法業(yè)務(wù)。

2）在用戶不知情或未授權(quán)的情況下，應(yīng)用程序不應(yīng)非法獲取信息。

3）在用戶不知情或未授權(quán)的情況下，應(yīng)用程序不應(yīng)接受遠(yuǎn)程控制端指令并進(jìn)行相關(guān)操作。

4）應(yīng)用程序不應(yīng)導(dǎo)致電動(dòng)汽車智能充電終端無法正常使用。

4、其他安全要求

1）應(yīng)用軟件代碼應(yīng)防止被反編譯和反調(diào)試。

2）源代碼中不存在已公布的高危風(fēng)險(xiǎn)漏洞。

3）應(yīng)用軟件應(yīng)做日志防泄露措施。

四、接口安全技術(shù)要求

1、充電設(shè)備和運(yùn)營平臺(tái)之間的接口

1）充電設(shè)備與運(yùn)營平臺(tái)之間的通信應(yīng)優(yōu)先采用硬件加密認(rèn)證設(shè)備進(jìn)行認(rèn)證加密，不具備硬件加密條件的場(chǎng)景要求使用TLS 等加密協(xié)議，不允許明文傳輸。對(duì)來源于運(yùn)營平臺(tái)的控制命令和參數(shù)設(shè)置指令應(yīng)采取安全鑒別和數(shù)據(jù)完整性驗(yàn)證措施。

2）充電設(shè)備與運(yùn)營平臺(tái)之間的業(yè)務(wù)數(shù)據(jù)應(yīng)采用加密措施，實(shí)現(xiàn)數(shù)據(jù)的保密性，并且應(yīng)該符合國家相關(guān)的管理規(guī)定，禁止使用已知為不安全的加密算法和安全措施。

3）充電設(shè)備應(yīng)具備防網(wǎng)絡(luò)干擾功能，在網(wǎng)絡(luò)癱瘓等緊急情況下，可通過備用方案保證充電設(shè)備的正常使用。備用方案啟動(dòng)應(yīng)有明確標(biāo)識(shí)，在網(wǎng)絡(luò)恢復(fù)后，充電設(shè)備應(yīng)主動(dòng)上傳網(wǎng)絡(luò)異常狀態(tài)和備用方案充電記錄。

4）需遠(yuǎn)程維護(hù)的，采用安全加密協(xié)議或虛擬專用網(wǎng)絡(luò)等技術(shù)建立安全的訪問路徑、可通信通道確保遠(yuǎn)程接入安全。

2、充電設(shè)備和電動(dòng)汽車之間的接口

1）充電設(shè)備和電動(dòng)汽車之間的通信網(wǎng)絡(luò)應(yīng)通過安全網(wǎng)關(guān)與外部網(wǎng)絡(luò)進(jìn)行隔離，由網(wǎng)關(guān)進(jìn)行可信消息的分發(fā)和處理。

2）協(xié)議應(yīng)用數(shù)據(jù)不應(yīng)使用明文傳輸，由應(yīng)用協(xié)議負(fù)責(zé)安全加密機(jī)制的實(shí)現(xiàn)。

3）充電設(shè)備和電動(dòng)汽車建立安全的傳輸通道后，通信雙方應(yīng)能驗(yàn)證消息的完整性。

3、運(yùn)營平臺(tái)之間的接口

1）宜采用多因子認(rèn)證方式進(jìn)行平臺(tái)認(rèn)證，或通過同等安全校驗(yàn)?zāi)芰Φ暮笈_(tái)綜合認(rèn)證系統(tǒng)實(shí)現(xiàn)。

2）應(yīng)采用IP 訪問控制、時(shí)間訪問控制等手段或結(jié)合使用，以限制同一終端在一定時(shí)間內(nèi)對(duì)平臺(tái)數(shù)據(jù)接口的高頻訪問。

3）消息發(fā)送方應(yīng)對(duì)消息字段中涉及交易及隱私等數(shù)據(jù)采用安全可靠且普遍使用的加密算法，消息接收方在校驗(yàn)參數(shù)合法性后方可進(jìn)行后續(xù)業(yè)務(wù)處理。

4）消息報(bào)文應(yīng)使用數(shù)字簽名、重發(fā)機(jī)制等方式保障傳輸和接收數(shù)據(jù)的完整性。

4、以移動(dòng)智能終端做為認(rèn)證接口

1）設(shè)備上附屬的二維碼應(yīng)具備適當(dāng)?shù)募用軝C(jī)制，在二維碼編碼前進(jìn)行加密，以保證只有通過解密識(shí)別的掃碼設(shè)備才能正確識(shí)別出設(shè)備信息。

2）二維碼中涉及的關(guān)鍵、敏感數(shù)據(jù)需要進(jìn)行安全防護(hù)。

3）通過移動(dòng)智能終端掃描二維碼獲得服務(wù)憑證，必須與后臺(tái)進(jìn)行信息交換，獲得真實(shí)的服務(wù)認(rèn)證結(jié)果。

4）移動(dòng)智能終端與運(yùn)營平臺(tái)進(jìn)行的認(rèn)證服務(wù)過程，應(yīng)采用安全傳輸方式。二維碼涉及各系統(tǒng)之間信息傳輸，各系統(tǒng)之間應(yīng)建立安全通信信道，應(yīng)對(duì)交易數(shù)據(jù)采用安全方式進(jìn)行傳輸，確保數(shù)據(jù)不被監(jiān)聽和篡改。

5）應(yīng)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保密性保護(hù)，不應(yīng)引起信息泄露。

6）應(yīng)具備對(duì)傳輸數(shù)據(jù)的鑒別機(jī)制，確保發(fā)出數(shù)據(jù)的完整性和接收數(shù)據(jù)完整性的校驗(yàn)。

5、以智能卡作為認(rèn)證接口

1）應(yīng)用管理數(shù)據(jù)在卡片的初始化期間建立，應(yīng)定義初始的安全域。

2）發(fā)卡機(jī)構(gòu)應(yīng)建立可靠、完善的密鑰管理制度。