基于模糊层次分析法的电动汽车充电桩信息
安全风险评估方法
王伟贤1,孙舟1,潘鸣宇1,张宝1,李中伟2,叶麟3
(1. 国网北京市电力公司,北京 100075;2. 哈尔滨工业大学 电气工程及自动化学院,黑龙江 哈尔滨 150001;
3. 哈尔滨工业大学 计算机科学与技术学院,黑龙江 哈尔滨 150001)
摘 要:为定量评估电动汽车充电桩系统信息安全水平,发现其脆弱之处和安全隐患,基于模糊层次分析法设计电动汽车充电桩系统信息安全风险评估方案与流程;建立电动汽车充电桩系统资产安全价值层次分析模型、安全威胁层次分析模型及其评价指标体系;将电动汽车充电桩系统分为电动汽车充电桩、运营管理平台、用户资产及其之间的通信链路与通信数据,通过调研以及问卷调查的方式获得专家意见并进行量化。基于模糊层次分析法计算资产价值权重与安全威胁权重,在此基础上,计算得到各资产的风险值大小,有效识别出充电桩系统的脆弱点与安全风险,并给出安全防护措施及建议。关键词:电动汽车充电桩;信息安全评估;模糊层次分析法DOI :10.11930/j.issn.1004-9649.202002053
0 引言
为推进中国电动汽车产业的大力发展,保障充电设施(充电桩)的信息安全,建设安全的充电设施运行环境,需要对电动汽车充电设施信息安全状况进行评估,进而有针对性地实施信息安全防护措施[1-2]。信息系统信息安全风险评估是指依据有关信息安全技术,评估资产威胁以及发生危险事件的概率。国内外对于信息安全风险评估的研究很多。目前,美国、加拿大等国安全风险评估体系相对成熟[3],相关风险评估标准主要有ISO/IEC 27001—2005[4]、ISO/IEC 27002—2005和ISO/IEC 27005—2011[5]。而国内的研究工作发展较晚,风险评估标准体系目前还处于研究阶段。国内发布了众多信息安全风险评估领域的标准,主要有GB /T 20984—2007[6]、GB /Z 24364—2009[7]、GB /T 31509—2015[8]和GB /T 31722—2015[9]等。文献[10]依据电力系统的特定应用情况,结合层次分析法(analytic hierarchy process ,AHP )与模糊数学理论知识,设计了AF-RA 风险
评估模型;文献[11]对宝鸡供电局的网络、业务应用系统、基础数据以及现有的安全措施等方面进行数据采集、分析,发现了信息系统中存在的安全风险,并针对存在的这些安全隐患和风险等脆弱性方面进行了信息安全加固。
目前国内外对电力系统通信网络信息安全评估的研究主要集中在定性分析和相应对策研究等方面。定性分析方法难以对其信息安全程度进行直观、合理地评价;相应对策的制定只能提高单个节点或通信路径的安全性,难以评价对系统整体安全性的贡献。如果无法定量分析各种信息安全威胁对整个系统信息安全的影响程度,信息安全策略的制定就必然存在一定程度的盲目性。为解决这一问题,一些专
家学者提出了定量分析方法。如利用层次分析法(AHP )和逼近理想排序法(TOPSIS )量化脆弱度因子,对变电站自动化系统的脆弱性进行评估[12];利用信息安全模型语言构建概率相关模型(PRMs ),定量评估SCADA 系统的信息安全水平等[13-14],但这些评估方法在多评估指标情况下的客观性尚有待提高。
目前针对通用互联网、移动互联网及其通信链路与通信数据信息安全评估的研究较多,而研究充电桩设施的信息安全评估的相关文献较少[15-18]。
收稿日期:2020−02−12; 修回日期:2020−03−11。基金项目:国家自然科学基金资助项目(61872111)
。
第 54 卷 第 1 期中国电力
Vol. 54, No. 12021 年 1 月
ELECTRIC POWER
Jan. 2021
96
为弥补该不足,并进一步提高充电设施的信息安全防护水平,本文针对电动汽车充电设施、运营管理平台、用户资产及其之间的通信链路与通信数据等充电设施系统各个组成部分,进行全面的威胁分析和信息安全风险评估,发现充电设施系统及其各个组成部分存在的漏洞和脆弱之处,进而有针对性地提出充电设施系统信息安全防护措施加强建议,提高充电设施的信息安全防护能力。
1 模糊层次分析法
信息安全风险评估方法主要有层次分析法、模糊层次分析法、故障树分析法等。其中,基于故障树风
险评估方法是一种自上而下的演绎式失效分析法,能够很好地分析出系统的薄弱环节,其缺点是繁杂、费时。而层次分析法作为一种系统性的分析方法,其在信息安全评估领域得到了广泛应用,其缺点是当某一层评价指标较多时(如4个以上),很难保证其一致性。在这种情况下,将模糊法与AHP 的优势结合起来形成的模糊层次分析法能够很好地解决这一问题。
本文采用模糊层次分析法确定风险值。由模糊一致矩阵计算风险因素权重的解,计算步骤如下。
(1)建立递阶层次结构。
建立充电设施信息安全风险资产层次分析结构以及信息安全威胁层次分析结构。对于充电设施信息安全风险资产层次分析结构,目标层为资产安全分析,准则层为充电设施及运营管理平台信息的保密性、完整性及可用性;对于信息安全威胁层次分析结构,目标层为信息安全风险,准则层为安全措施失效性、攻击发生概率、攻击难易程度、造成损失程度,指标层为各资产可能发生的安全事件。
(2)建立模糊互补矩阵。
R =(a i j )n ×n 通过元素间的两两比较,构造模糊互补判断矩阵,矩阵中的元素表示针对上层某准则,下一层相应元素之间的相对重要性程度,通过专家进行评分,用a ij 表示。评分标度为0.1~0.9,评分越高,表示前者相对于后者更重要。
(3)单层次因素模糊权重计算。
˜w i 假设相对于上层某因素的个数为n ,则第i 个元素相对于上一层的模糊权重数为
˜a i j l i j m i j µi j 式中:为三角模糊数,表示在某一约束条件下,某因素
u i 较u j 重要性的隶属度;、、
分别表示u i 较u j 相比,专家认为的最悲观估
计、最可能估计和最乐观估计。
(4)建立可能度矩阵。
˜a
=(a l ,a m ,a µ)˜b =(b l ,b m ,b µ)
˜a ≥˜b 设,,则的可能度为
a i ,
b j ∈[0,1],i ,j ∈N 式中:。
(5)求取模糊一致判断矩阵。
p i j (w i ≥w j )
,
i ,j ∈N P =(p i j )
n ×n
根据式(2)计算可能度,
建立可能度矩阵。
r i =n ∑
p ik ,i =1,2,···,n 设,则
R =(r i j )n ×
n 从而得到了模糊一致判断矩阵。(6)利用幂法迭代计算可能度矩阵的排序向量。R =(r i j )n ×n E =(e i j )n ×n e i j =r i j /r ji 将互补判断矩阵转化为互反判断矩阵,其中,排序向量W (0)作为初始向量V (0),利用式(4)与式(5)进行迭代。
式中:k =1,2,···。
若有式(6)成立,则排序向量如式(7);否则,继续迭代,直至满足条件。
ε
V (k +1) 式中:为给定的误差;即为最大特征值。第 1 期王伟贤等:基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法
97
(7)层次总排序。
a 1,a 2,···,a m
b 1j ,b 2j ,···
,b n j 层次总排序是指计算最上层的指标因素权重。设A 层权重分别为,B 层权重对于A 层某一因素A ij 的层次单排序权重分别为。则B 层各因素关于总目标的权重为
2 电动汽车充电桩信息安全评估方案
本文采用基于资产价值的风险评估方法构建电动汽车充电桩系统信息安全风险评估模型,采用问卷调查、专家打分的方法,结合模糊层次分析法,对充电桩系统进行信息安全风险评估。
本文设计的电动汽车充电桩系统信息安全评估方案如图1所示。
Fig. 1 Information security risk value
assessment scheme
在对现有充电桩进行调研的基础上,进行系统资产识别,建立资产价值层次分析模型与资产(安全)
价值评估指标。在信息安全风险评估过程中,评价资产的3个安全属性为保密性、完整性和可用性,需对资产的这3个安全属性进行权重赋值。其中,保密性是指信息不被泄露给非授权的用户,即信息只为授权用户使用;可用性即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝;完整性是指保证信息及信息系统不会被非授权更改或破坏的特性。通过对资产3个安全属性的分析可得出资产安全价值的大小,因此将保密性、完整性和可用性作为资产(安全)价值评估指标。依据资产的安全价值,利用模糊层次分
析法,按照对系统的重要程度进行资产价值权重计算,由此得出资产价值权重排序并划分出关键资产。
本文对关键资产做安全风险识别,建立充电桩威胁权重层次分析模型以及威
胁权重评估指标,该指标包括安全事件出现频率、攻击难易程
度、安全措施失效性以及造成的损失。综上,利用相乘法,由充电桩资产价值及资产面临的安全威胁进而得出相应资产面临的安全事件的风险值。
本文作者所在课题组成员到国网信息通信产业集团有限公司、北京国网普瑞特高压输电技术有限公司和深圳科陆电子科技股份有限公司等充电桩企业进行了调研,明确了充电桩已有的信息安全威胁与安全措施。在此基础上,设计了调查问卷并发送给充电桩生产运营技术人员和信息安全方面的专家学者进行填写。本文主要从调查问卷填写人员所涵盖的领域、所拥有的经验来保证专家打分的有效性,进而保证所计算风险值的可信性。2.1 资产识别
对充电桩系统进行信息安全风险评估的首要任务是确定资产的评估范围,对充电桩系统进行资产识别。电动汽车充电设施及其运营管理平台的资产主要包括:运营管理平台资产、充电设施资产、用户资产、通信数据资产。运营管理平台资产主要包括:系统日志、用户数据库、操作系统、应用软件;充电设施资产主要包括:4G 数据传输单元(data transfer unit, DTU )、充电设施内通信链路、充电设施控制器、智能电表和远程通信控制单元(telematics control unit, TCU);用户资产主要包括:手机APP 、充电卡、用户数据;通信数据资产主要包括:充电设施和运营管理平台通信数据、充电设施和BMS 通信数据、手机APP 和运营管理平台通信数据、手机APP 和充电设施之间的通信数据资产。2.2 资产价值层次分析模型
本文基于层次分析法建立充电桩系统资产价值层次分析模型,以下以充电桩资产为例进行说明。
充电桩资产价值层次分析模型如图2所示。目标层为充电桩资产价值排序;准则层为资产(安全)价值评估指标,即保密性、完整性与可用性;指标层为充电桩下各具体资产,即4G DTU 、内部通信链路、TCU 、智能电表、充电控制器。
本文对通信数据资产、用户资产、运营管理
中国电力
第 54 卷
98
平台分别建立资产价值层次分析模型。除此之外为确定系统四大类资产价值大小排序,需建立系统的资产价值层次分析模型。该模型目标层为充电桩系统的资产价值排序;准则层为保密性、完整性与可用性;指标层为运营管理平台、通信数据资产、用户资产、充电设施。2.3 威胁权重层次分析模型
本文基于层次分析法建立充电桩系统资产威胁权重层次分析模型,计算每项资产可能面临的一种或几种威胁的风险权重。以下以充电桩资产面临的安全威胁为例进行说明。
Fig. 3 Hierarchical analysis model of charging pile threat
目标层为充电桩资产安全威胁排序;准则层为充电桩安全威胁评估指标即攻击发生概率、攻击难易程度、安全措施失效性、造成损失程度;指标层为充电桩内各资产可能面临的安全事件,包括外部仪器恶意接入CAN 通信接口、外部仪器恶意接入充电设施调试接口、破坏充电设施控制器(包括嵌入式系统或其他保护设备等)、破坏或恶意更换内部的通信部件(如4G DTU )、破坏TCU 与智能电表使其无法正常工作、外部物理环境造成的安全问题,分别用T1~T6表示。
3 风险值计算
下面以充电桩资产风险值计算为例进行说明,主要包括3个过程:充电桩内各具体资产价值权重计算、
充电桩内各具体资产面临安全威胁权重计算以及风险值计算。计算资产价值权重与安全威胁权重所使用的模糊层次分析法采用Matlab 编程实现。3.1 资产价值权重计算
利用模糊层次分析法对调查问卷结果进行处理后,得到充电桩资产价值权重如表1所示。表1中第1行为准则层权重,保密性、完整性与可用性分别为0.225 8、0.333 1与0.441 1;第2~5行表示指标层各具体资产对于准则层的相对权重大小,如4G DTU 的保密性、完整性与可用性权重分别为0.262 1、0.204 0、0.152 1,将3个权重分别与对应的准则层权重相乘并求和,可得4G DTU 的价值权重为0.194 2,第5列为各具体资产的价值权重大小。
表 1 充电桩资产价值指标层元素相对准则层权重
Table 1 Weight of charging pile asset value index layer
elements relative to standard layer
指标层资产相对权重
价值权重保密性0.225 8完整性0.333 1可用性0.441 14G DTU 0.262 10.204 00.152 10.194 2内部通信链路0.147 80.241 10.145 40.177 8智能电表与
TCU 0.320 70.362 30.428 50.382 2充电控制器
0.269 4
0.192 5
0.273 9
0.245 8
由表1可知充电桩资产的可用性价值最高,而完整性价值较高。综合保密性、完整性与可用性,TCU 与充电控制器的资产价值较高。3.2 安全威胁权重计算
利用模糊层次分析法得到充电桩资产安全威胁准则层权重、指标层元素相对准则层权重以及各安全事件的威胁权重如表2所示。
表2中第1行为准则层权重,攻击发生概率、攻击难易程度、安全措施失效性以及造成损失程度权重大小分别为0.247 5、0.216 7、0.225 7、0.310 2;第2~7行表示指标层各具体资产对于准则层的相对权重大小,如安全事件T1的攻击发生
概率、攻击难易程度、安全措施失效性以及造成
图 2 充电桩资产价值层次分析模型
Fig. 2 Hierarchical analysis model of charging
pile asset value
第 1 期王伟贤等:基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法
99
损失程度的权重分别为0.184 7、0.152 9、0.160 9、0.134 8,将4个权重值分别与对应的准则层权重相乘并求和,可得安全事件T1的威胁权重为0.157 0;第5列为各具体资产面临安全事件的安全威胁权重值。
表 2 充电桩资产安全威胁指标层元素相对准则层权重
Table 2 Weight of charging pile security threat index layer elements relative to standard layer
指标层资产
相对权重
安全威
胁权重攻击发生概
率0.247 5
攻击难易程
度0.216 7北京电动汽车
安全措施失
效性0.225 7
造成损失程
度0.310 2
T10.184 70.152 90.160 90.134 80.157 0 T20.163 30.169 10.151 20.139 90.154 6 T30.226 90.117 40.173 70.223 70.190 2 T40.150 20.185 30.205 10.176 80.178 5 T50.149 10.228 10.238 90.195 10.200 8 T60.125 80.147 20.070 20.129 60.119 1
表2的第1行表明,对于充电桩来说,安全事件造成的损失程度权重最高,攻击发生概率权重略高。由表2最后一列可知,对于充电桩来说,安全事件T3破坏充电设施控制器(包括嵌入式系统或其他保护设备等)与T5破坏TCU与智能电表使其无法正常工作的风险权重较大。
3.3 风险值计算
综合表1、表2可得各资产的风险值。采用式(9)计算风险值。
式中:c i为资产风险值;a i为资产i的价值权重;
b i为资产i面临的安全威胁权重;1 000为放大系数,以使结果不至于太小;j为运营管理平台、充电设施、用户资产与通信数据资产四大类资产;m为每类资产下的安全威胁权重数量;n为总资产数量。由于四大类资产对应安全事件个数分别为7、6、6、4,且各类资产的价值权重与威胁权重和均为1,为便于比较不同类资产下风险值,式(9)中除以7、6、4的最小公倍数84,再乘以本类资产的安全威胁权重的数量m。由此可得表3所示的各资产风险值。
将表3中各风险值由高到低进行排序,得到风险值较高的安全事件,分别为:利用漏洞和“后门”攻击手
机APP(5.636)、对TCU与智能电表进行恶意破坏(5.481)、利用病毒攻击手机APP(5.458)、恶意修改运营管理平台数据库数据(5.255)、捆绑其他应用软件(4.677)、恶意盗版手机APP(4.541)、针对充电设施和运营管理平台之间通信的干扰与通信数据的窃听与破坏(3.970)、针对充电设施和BMS之间通信的干扰与通信数据的窃听与破坏(3.946)。因此,需着重对APP、运营管理平台数据库以及充电设施与运营管理平台、充电设施和BMS之间通信进行安全防护。
分别对运营管理平台、充电设施、用户资产与通信数据资产下各风险值求和并将和与相应的大类资产价值权重相乘,可得各大类资产的相对风险值(见表3第8列)。
由表3可知,运营管理平台的安全风险值最高。运营管理平台的服务器部署在公网,黑客进而可采用攻击和入侵手段。随着电动汽车与相应充电设施的大量普及,运营管理平台作为充电设施的系统中枢,若其受安全事件破坏后,可能给相关运营商带来重大损失,甚至使大量用户无法充电,波及范围较广,严重威胁国家能源安全,因此其安全风险较高。
对于用户资产来说,由于目前手机APP特别是安卓系统的APP相对开放,其受攻击的概率较高,对于APP的信息安全防护水平还有待改进,因此其安全风险也较高。充电相关的移动数据若没有相关的加密技术,那么数据很容易被黑客监听及篡改,造成严重的损失。鉴于目前部分充电设施生产运营商进行移动互联网通信时采取了加密认证等安全措施,因此通信数据资产与充电设施的安全风险水平较低,需着重加强运营管理平
台与用户资产的信息安全防护。
基于上述得到的电动汽车充电设施系统信息
安全风险评估结果的分析,考虑已经部署/实施的
信息安全防护措施,提出以下充电设施信息安全
防护措施加强建议。
(1)加强对运营管理平台的安全防护,如部
署IPS系统、防火墙等安全防护措施。对异常流
量进行检测,并对其进行实时防护,及时发现运
营管理平台可能的信息安全威胁。
(2)在充电设施与运营管理平台之间的
中国电力第 54 卷100
发布评论