【精彩论文】基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法

Original 中国电力中国电力 2023-12-18

基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法

王伟贤¹, 孙舟¹, 潘鸣宇¹, 张宝群¹, 李中伟², 叶麟³

（1. 国网北京市电力公司，北京 100075; 2. 哈尔滨工业大学电气工程及自动化学院，黑龙江哈尔滨 150001; 3. 哈尔滨工业大学计算机科学与技术学院，黑龙江哈尔滨 150001）

摘要：为定量评估电动汽车充电桩系统信息安全水平，发现其脆弱之处和安全隐患，基于模糊层次分析法设计电动汽车充电桩系统信息安全风险评估方案与流程；建立电动汽车充电桩系统资产安全价值层次分析模型、安全威胁层次分析模型及其评价指标体系；将电动汽车充电桩系统分为电动汽车充电桩、运营管理平台、用户资产及其之间的通信链路与通信数据，通过调研以及问卷调查的方式获得专家意见并进行量化。基于模糊层次分析法计算资产价值权重与安全威胁权重，在此基础上，计算得到各资产的风险值大小，有效识别出充电桩系统的脆弱点与安全风险，并给出安全防护措施及建议。

引文信息

王伟贤, 孙舟, 潘鸣宇, 等. 基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法[J]. 中国电力, 2021, 54(1): 96-103.

WANG Weixian, SUN Zhou, PAN Mingyu, et al. Information security risk assessment method for electric vehicle charging piles based on fuzzy analytic hierarchy process[J]. Electric Power, 2021, 54(1): 96-103.

引言

为推进中国电动汽车产业的大力发展，保障充电设施（充电桩）的信息安全，建设安全的充电设施运行环境，需要对电动汽车充电设施信息安全状况进行评估，进而有针对性地实施信息安全防护措施^[1-2]。信息系统信息安全风险评估是指依据有关信息安全技术，评估资产威胁以及发生危险事件的概率。国内外对于信息安全风险评估的研究很多。目前，美国、加拿大等国安全风险评估体系相对成熟^[3]，相关风险评估标准主要有ISO/IEC 27001—2005^[4]、ISO/IEC 27002—2005和ISO/IEC 27005—2011^[5]。而国内的研究工作发展较晚，风险评估标准体系目前还处于研究阶段。国内发布了众多信息安全风险评估领域的标准，主要有GB /T 20984—2007^[6]、GB /Z 24364—2009^[7]、GB /T 31509—2015^[8]和GB /T 31722—2015^[9]等。文献[10]依据电力系统的特定应用情况，结合层次分析法（analytic hierarchy process，AHP）与模糊数学理论知识，设计了AF-RA风险评估模型；文献[11]对宝鸡供电局的网络、业务应用系统、基础数据以及现有的安全措施等方面进行数据采集、分析，发现了信息系统中存在的安全风险，并针对存在的这些安全隐患和风险等脆弱性方面进行了信息安全加固。目前国内外对电力系统通信网络信息安全评估的研究主要集中在定性分析和相应对策研究等方面。定性分析方法难以对其信息安全程度进行直观、合理地评价；相应对策的制定只能提高单个节点或通信路径的安全性，难以评价对系统整体安全性的贡献。如果无法定量分析各种信息安全威胁对整个系统信息安全的影响程度，信息安全策略的制定就必然存在一定程度的盲目性。为解决这一问题，一些专家学者提出了定量分析方法。如利用层次分析法（AHP）和逼近理想排序法（TOPSIS）量化脆弱度因子，对变电站自动化系统的脆弱性进行评估^[12]；利用信息安全模型语言构建概率相关模型（PRMs），定量评估SCADA系统的信息安全水平等^[13-14]，但这些评估方法在多评估指标情况下的客观性尚有待提高。目前针对通用互联网、移动互联网及其通信链路与通信数据信息安全评估的研究较多，而研究充电桩设施的信息安全评估的相关文献较少^[15-18]。为弥补该不足，并进一步提高充电设施的信息安全防护水平，本文针对电动汽车充电设施、运营管理平台、用户资产及其之间的通信链路与通信数据等充电设施系统各个组成部分，进行全面的威胁分析和信息安全风险评估，发现充电设施系统及其各个组成部分存在的漏洞和脆弱之处，进而有针对性地提出充电设施系统信息安全防护措施加强建议，提高充电设施的信息安全防护能力。

1 模糊层次分析法

信息安全风险评估方法主要有层次分析法、模糊层次分析法、故障树分析法等。其中，基于故障树风险评估方法是一种自上而下的演绎式失效分析法，能够很好地分析出系统的薄弱环节，其缺点是繁杂、费时。而层次分析法作为一种系统性的分析方法，其在信息安全评估领域得到了广泛应用，其缺点是当某一层评价指标较多时（如4个以上），很难保证其一致性。在这种情况下，将模糊法与AHP的优势结合起来形成的模糊层次分析法能够很好地解决这一问题。本文采用模糊层次分析法确定风险值。由模糊一致矩阵计算风险因素权重的解，计算步骤如下。（1）建立递阶层次结构。建立充电设施信息安全风险资产层次分析结构以及信息安全威胁层次分析结构。对于充电设施信息安全风险资产层次分析结构，目标层为资产安全分析，准则层为充电设施及运营管理平台信息的保密性、完整性及可用性；对于信息安全威胁层次分析结构，目标层为信息安全风险，准则层为安全措施失效性、攻击发生概率、攻击难易程度、造成损失程度，指标层为各资产可能发生的安全事件。（2）建立模糊互补矩阵。通过元素间的两两比较，构造模糊互补判断矩阵 R=(a_ij)_n_×n，矩阵中的元素表示针对上层某准则，下一层相应元素之间的相对重要性程度，通过专家进行评分，用a_ij表示。评分标度为0.1~0.9，评分越高，表示前者相对于后者更重要。（3）单层次因素模糊权重计算。假设相对于上层某因素的个数为n，则第i个元素相对于上一层的模糊权重数

为

式中：

为三角模糊数，表示在某一约束条件下，某因素u_i较u_j重要性的隶属度；l_ij、 m_ij、 μ_ij分别表示u_i较u_j相比，专家认为的最悲观估计、最可能估计和最乐观估计。（4）建立可能度矩阵。设

则

的可能度为

式中：a_i,b_j∈[0,1],i,j∈N 。

（5）求取模糊一致判断矩阵。

根据式（2）计算可能度 p_ij(w_i≥w_j),i,j∈N ，建立可能度矩阵 P=(p_ij)_n_×n。

设则

从而得到了模糊一致判断矩阵 R=(r_ij)_n_×n。（6）利用幂法迭代计算可能度矩阵的排序向量。将互补判断矩阵 R=(r_ij)_n_×n 转化为互反判断矩阵 E=(e_ij)_n_×n ，其中 e_ij=r_ij/r_ji，排序向量W^（0）作为初始向量V^（0），利用式（4）与式（5）进行迭代。

式中：k=1,2,···。若有式（6）成立，则排序向量如式（7）；否则，继续迭代，直至满足条件。

式中：ε 为给定的误差；||V^(k+1)||_∞即为最大特征值。

（7）层次总排序。层次总排序是指计算最上层的指标因素权重。设A层权重分别为 a₁,a₂,⋯,a_m，B层权重对于A层某一因素A_ij的层次单排序权重分别为 b_1j,b_2j,⋯ ,b_nj。则B层各因素关于总目标的权重为

2 电动汽车充电桩信息安全评估方案

本文采用基于资产价值的风险评估方法构建电动汽车充电桩系统信息安全风险评估模型，采用问卷调查、专家打分的方法，结合模糊层次分析法，对充电桩系统进行信息安全风险评估。本文设计的电动汽车充电桩系统信息安全评估方案如图1所示。

图1 信息安全风险值评估方案Fig.1 Information security risk value assessment scheme
在对现有充电桩进行调研的基础上，进行系统资产识别，建立资产价值层次分析模型与资产（安全）价值评估指标。在信息安全风险评估过程中，评价资产的3个安全属性为保密性、完整性和可用性，需对资产的这3个安全属性进行权重赋值。其中，保密性是指信息不被泄露给非授权的用户，即信息只为授权用户使用；可用性即保证信息和信息系统随时为授权者提供服务，保证合法用户对信息和资源的使用不会被不合理的拒绝；完整性是指保证信息及信息系统不会被非授权更改或破坏的特性。通过对资产3个安全属性的分析可得出资产安全价值的大小，因此将保密性、完整性和可用性作为资产（安全）价值评估指标。依据资产的安全价值，利用模糊层次分析法，按照对系统的重要程度进行资产价值权重计算，由此得出资产价值权重排序并划分出关键资产。本文对关键资产做安全风险识别，建立充电桩威胁权重层次分析模型以及威胁权重评估指标，该指标包括安全事件出现频率、攻击难易程度、安全措施失效性以及造成的损失。综上，利用相乘法，由充电桩资产价值及资产面临的安全威胁进而得出相应资产面临的安全事件的风险值。本文作者所在课题组成员到国网信息通信产业集团有限公司、北京国网普瑞特高压输电技术有限公司和深圳科陆电子科技股份有限公司等充电桩企业进行了调研，明确了充电桩已有的信息安全威胁与安全措施。在此基础上，设计了调查问卷并发送给充电桩生产运营技术人员和信息安全方面的专家学者进行填写。本文主要从调查问卷填写人员所涵盖的领域、所拥有的经验来保证专家打分的有效性，进而保证所计算风险值的可信性。

2.1 资产识别

对充电桩系统进行信息安全风险评估的首要任务是确定资产的评估范围，对充电桩系统进行资产识别。电动汽车充电设施及其运营管理平台的资产主要包括：运营管理平台资产、充电设施资产、用户资产、通信数据资产。运营管理平台资产主要包括：系统日志、用户数据库、操作系统、应用软件；充电设施资产主要包括：4G数据传输单元（data transfer unit, DTU）、充电设施内通信链路、充电设施控制器、智能电表和远程通信控制单元(telematics control unit, TCU)；用户资产主要包括：手机APP、充电卡、用户数据；通信数据资产主要包括：充电设施和运营管理平台通信数据、充电设施和BMS通信数据、手机APP和运营管理平台通信数据、手机APP和充电设施之间的通信数据资产。

2.2 资产价值层次分析模型

本文基于层次分析法建立充电桩系统资产价值层次分析模型，以下以充电桩资产为例进行说明。充电桩资产价值层次分析模型如图2所示。目标层为充电桩资产价值排序；准则层为资产（安全）价值评估指标，即保密性、完整性与可用性；指标层为充电桩下各具体资产，即4G DTU、内部通信链路、TCU、智能电表、充电控制器。

图2 充电桩资产价值层次分析模型Fig.2 Hierarchical analysis model of charging pile asset value
本文对通信数据资产、用户资产、运营管理平台分别建立资产价值层次分析模型。除此之外为确定系统四大类资产价值大小排序，需建立系统的资产价值层次分析模型。该模型目标层为充电桩系统的资产价值排序；准则层为保密性、完整性与可用性；指标层为运营管理平台、通信数据资产、用户资产、充电设施。

2.3 威胁权重层次分析模型

本文基于层次分析法建立充电桩系统资产威胁权重层次分析模型，计算每项资产可能面临的一种或几种威胁的风险权重。以下以充电桩资产面临的安全威胁为例进行说明。充电桩威胁层次分析模型如图3所示。

图3 充电桩威胁层次分析模型Fig.3 Hierarchical analysis model of charging pile threat

目标层为充电桩资产安全威胁排序；准则层为充电桩安全威胁评估指标即攻击发生概率、攻击难易程度、安全措施失效性、造成损失程度；指标层为充电桩内各资产可能面临的安全事件，包括外部仪器恶意接入CAN通信接口、外部仪器恶意接入充电设施调试接口、破坏充电设施控制器（包括嵌入式系统或其他保护设备等）、破坏或恶意更换内部的通信部件（如4G DTU）、破坏TCU与智能电表使其无法正常工作、外部物理环境造成的安全问题，分别用T1~T6表示。

3 风险值计算

下面以充电桩资产风险值计算为例进行说明，主要包括3个过程：充电桩内各具体资产价值权重计算、充电桩内各具体资产面临安全威胁权重计算以及风险值计算。计算资产价值权重与安全威胁权重所使用的模糊层次分析法采用Matlab编程实现。

3.1 资产价值权重计算

利用模糊层次分析法对调查问卷结果进行处理后，得到充电桩资产价值权重如表1所示。表1中第1行为准则层权重，保密性、完整性与可用性分别为0.2258、0.3331与0.4411；第2~5行表示指标层各具体资产对于准则层的相对权重大小，如4G DTU的保密性、完整性与可用性权重分别为0.2621、0.2040、0.1521，将3个权重分别与对应的准则层权重相乘并求和，可得4G DTU的价值权重为0.1942，第5列为各具体资产的价值权重大小。

表1 充电桩资产价值指标层元素相对准则层权重Table 1 Weight of charging pile asset value index layer elements relative to standard layer

由表1可知充电桩资产的可用性价值最高，而完整性价值较高。综合保密性、完整性与可用性，TCU与充电控制器的资产价值较高。

3.2 安全威胁权重计算

利用模糊层次分析法得到充电桩资产安全威胁准则层权重、指标层元素相对准则层权重以及各安全事件的威胁权重如表2所示。表2中第1行为准则层权重，攻击发生概率、攻击难易程度、安全措施失效性以及造成损失程度权重大小分别为0.2475、0.2167、0.2257、0.3102；第2~7行表示指标层各具体资产对于准则层的相对权重大小，如安全事件T1的攻击发生概率、攻击难易程度、安全措施失效性以及造成损失程度的权重分别为0.1847、0.1529、0.1609、0.1348，将4个权重值分别与对应的准则层权重相乘并求和，可得安全事件T1的威胁权重为0.1570；第5列为各具体资产面临安全事件的安全威胁权重值。
表2 充电桩资产安全威胁指标层元素相对准则层权重Table 2 Weight of charging pile security threat index layer elements relative to standard layer

表2的第1行表明，对于充电桩来说，安全事件造成的损失程度权重最高，攻击发生概率权重略高。由表2最后一列可知，对于充电桩来说，安全事件T3破坏充电设施控制器（包括嵌入式系统或其他保护设备等）与T5破坏TCU与智能电表使其无法正常工作的风险权重较大。

3.3 风险值计算

综合表1、表2可得各资产的风险值。采用式（9）计算风险值。

式中：c_i为资产风险值；a_i为资产i的价值权重；b_i为资产i面临的安全威胁权重；1000为放大系数，以使结果不至于太小；j为运营管理平台、充电设施、用户资产与通信数据资产四大类资产；m为每类资产下的安全威胁权重数量；n为总资产数量。由于四大类资产对应安全事件个数分别为7、6、6、4，且各类资产的价值权重与威胁权重和均为1，为便于比较不同类资产下风险值，式（9）中除以7、6、4的最小公倍数84，再乘以本类资产的安全威胁权重的数量m。由此可得表3所示的各资产风险值。

表3 大类资产风险

Table 3 Risks of major assets

将表3中各风险值由高到低进行排序，得到风险值较高的安全事件，分别为：利用漏洞和“后门”攻击手机APP（5.636）、对TCU与智能电表进行恶意破坏（5.481）、利用病毒攻击手机APP（5.458）、恶意修改运营管理平台数据库数据（5.255）、捆绑其他应用软件（4.677）、恶意盗版手机APP（4.541）、针对充电设施和运营管理平台之间通信的干扰与通信数据的窃听与破坏（3.970）、针对充电设施和BMS之间通信的干扰与通信数据的窃听与破坏（3.946）。因此，需着重对APP、运营管理平台数据库以及充电设施与运营管理平台、充电设施和BMS之间通信进行安全防护。分别对运营管理平台、充电设施、用户资产与通信数据资产下各风险值求和并将和与相应的大类资产价值权重相乘，可得各大类资产的相对风险值（见表3第8列）。由表3可知，运营管理平台的安全风险值最高。运营管理平台的服务器部署在公网，黑客进而可采用攻击和入侵手段。随着电动汽车与相应充电设施的大量普及，运营管理平台作为充电设施的系统中枢，若其受安全事件破坏后，可能给相关运营商带来重大损失，甚至使大量用户无法充电，波及范围较广，严重威胁国家能源安全，因此其安全风险较高。对于用户资产来说，由于目前手机APP特别是安卓系统的APP相对开放，其受攻击的概率较高，对于APP的信息安全防护水平还有待改进，因此其安全风险也较高。充电相关的移动数据若没有相关的加密技术，那么数据很容易被黑客监听及篡改，造成严重的损失。鉴于目前部分充电设施生产运营商进行移动互联网通信时采取了加密认证等安全措施，因此通信数据资产与充电设施的安全风险水平较低，需着重加强运营管理平台与用户资产的信息安全防护。基于上述得到的电动汽车充电设施系统信息安全风险评估结果的分析，考虑已经部署/实施的信息安全防护措施，提出以下充电设施信息安全防护措施加强建议。（1）加强对运营管理平台的安全防护，如部署IPS系统、防火墙等安全防护措施。对异常流量进行检测，并对其进行实时防护，及时发现运营管理平台可能的信息安全威胁。（2）在充电设施与运营管理平台之间的4G/5G移动互联网通信中可采用虚拟专用网络（VPN）技术，保障充电桩系统信息的安全。VPN技术对于增强访问控制、信息的加密具有有效的作用。（3）采用多重用户安全认证机制，进行安全访问控制。根据不同用户分配不同的权限。确保权限较低的人员获取到敏感信息。（4）将手机等移动终端加入安全管理系统对用户充电行为进行审计。安全管理系统应具有用户注册、充电安全验证、充电行为审计等功能。对手机APP进行运行保护，实现对APP恶意行为的监控，如越权操作、恶意窃取敏感信息等。采用自动补丁生成工具如App Sealer，自动生成漏洞补丁。（5）在线升级/更新充电桩TCU或控制器程序时必须对程序采取有效的完整性校验措施和保密性措施，防止伪造和篡改程序。（6）定期对电动汽车充电设施及其运营管理平台进行漏洞检测和信息安全风险评估，及时发现漏洞和脆弱之处，加强安全防护，提高充电设施安全防护水平和抗攻击能力。

4 结语

本文基于模糊层次分析法设计了充电桩系统信息安全风险评估方案与流程，建立了充电桩系统资产安全价值层次分析模型、安全威胁层次分析模型，利用模糊层次分析法计算了资产价值权重与安全威胁权重。在此基础上得到各资产的风险值大小，有效识别出充电桩系统的脆弱点与安全风险。计算结果表明：运营管理平台安全风险最高，风险值为6.022。用户资产的风险次之，风险值为5.259。最后，基于各类资产风险值的大小给出了安全防护措施的加强建议，为充电桩信息安全防护提供参考，有助于提高充电桩信息安全防护水平。

（责任编辑　许晓艳）

作者介绍

王伟贤(1987—)，女，硕士，工程师，从事电动汽车及数据分析研究，E-mail：772093280@qq.com;

★

孙舟(1986—)，男，硕士，高级工程师，从事电动汽车充换电技术研究，E-mail：sunzhou0812@163.com;

★

潘鸣宇(1985—)，男，硕士，高级工程师，从事充电网络规划运营和关键设备研制工作，E-mail：pan_my619@sina.com.

欢迎点击文后“阅读原文”跳转期刊官网，获取更多信息！

往期回顾

◀《中国电力》2022年第5期目录

◀【精彩论文】不同场强下新型绝缘聚合物的变色特性及其介电特性

◀【精彩论文】基于双链区块链的电力数据资产交易系统架构