2021年12月,英国公布了2021年电动汽车(智能充电桩)法规,强制要求在英国销售或安装的私人电动汽车充电桩必须具备智能功能,并满足最低的设备要求,其中对网络安全也有具体的强制要求。法规将在2022年12月30日完全实行。
法规实施的时间线
对该法规所覆盖的范围以及充电桩需满足的设备级别要求等有兴趣的,请查看文章开始处“英国私人充电桩强制法规”合集中的其他文章。
法规中网络安全部分的介绍
网络安全要求是基于数字、媒体、文化和体育部(DCMS)物联网(IoT)操作规范和ETSI EN 303645的规定,以及PAS 1878对安全日志和物理保护的额外要求。具体要求如下:
一般原则
· 充电点必须防止电力系统受到损害或中断的风险;
· 充电点必须防止充电点受到损害或中断的风险;
· 充电点必须保护车主及任何其他终端用户的个人数据
测试方法:文件审查
密码要求
· 密码对充电点来说必须是唯一的,并且不能来源或基于公开的信息;或者由业主设定
· 不要为充电点或其他充电点设置默认密码
测试方法:文件审查 + 技术测试
软件要求
· 充电点必须包含可以安全更新的软件
· 采用适当的加密措施更新,以防止使用充电点的软件更新机制进行的网络攻击
· 充电点必须在用户第一次设置时检查可用的安全更新,之后还要定期检查;
· 充电点必须通过参考数据的来源和内容来验证预期更新的真实性和完整性,只有在验证了真实性和完整性后才应用更新
· 软件更新通知默认发送给用户;
· 用户可以轻松实现更新
· 充电点必须通过安全引导机制验证除了预期的软件更新之外,它的软件没有被修改
· 如果检测到未经授权的软件更改,充电点必须通知用户,并且不得连接到本通知以外的通信网络
测试方法:文件审查 + 技术测试
对敏感安全参数的要求
· 存储于充电点的所有安全凭证必须由健全的安全措施保护
· 软件避免硬编码安全凭据(即在源代码中包含安全凭证)
测试方法:技术测试
保密通信的要求
· 从充电点发送的通信必须加密
测试方法:技术测试
数据输入要求
· 充电点的数据输入(如通过用户界面、应用程序编程界面或通信网络输入的数据)必须经过验证,以确保数据的类型和格式与预期的功能一致
· 如果数据无法验证,会以安全地方式丢弃或忽视
测试方法:技术测试
易操作性的要求
· 充电桩必须尽量减少业主在设置和操作方面的投入
· 个人数据能轻易被用户从充电点删除
测试方法:文件审查 + 技术测试
对防止攻击的要求
· 充电点的设计和制造必须能够提供足够的保护,防止对其造成物理损伤,包括采用篡改保护边界来保护其内部组件
· 充电点的设计和制造必须为其用户界面提供充分的保护,防止通过用户界面以外的方式使用或企图使用
· 任何试图违反篡改保护边界的行为都必须通知用户
· 软件必须以最低级别的访问权限运行才能交付功能
· 任何不需要用于正常操作或不符合本规定的逻辑或网络接口都被禁用
· 除非充电站操作需要,否则软件服务对所有者不可用
· 不公开用于测试或开发而非操作的硬件接口
测试方法:文件审查 + 技术测试
安全日志的要求
· 必须包含安全日志(与其安全性相关的充电点事件的电子记录) 。这应该包含尝试突破篡改边界,篡改充电点,或者取得未经授权访问充电点
· 安全日志中的条目必须参照协调通用时间记录, 记录事件发生的时间和日期
测试方法:文件审查 + 技术测试
提供规定信息的要求
· 在出售充电站时,必须提供信息,说明用户如何报告有关充电站安全的问题,包括报告这些问题的联系细节
· 在出售充电站时,必须提供信息,指明由软件制造商或其代表提供软件更新的期限(如有)
· 在出售充电站时,必须提供信息,提供如何设置适当的安全保护的指导
· 在出售充电站时,必须提供信息,包括如何从充电点删除个人资料的说明
测试方法:文件审查
捡证网提供相关认证咨询服务,咨询电话(微信):13636483412 QQ: 495226609 邮箱:yangda@jz-cert.com