T/CEC2082019

T/ CEC 2082019

4.2.2信息服务系统

信息服务系统指以处理电动汽车充电服务信息为核心的应用系统交通标准，是充电运行网络中的主要服 信息服务系统包括平台系统、设施系统和终端系统。主要功能及要求见表2。

表2信息服务系统主要功能及要求

4.2.3信息交换接口

信息服务系统之间通过信息交换接口实现信息交换，完成业务协同。充电运行网络中的 交换接口有6种类型，接口类型与连接关系如图2所示，接口功能及要求见表3。

表3信息交换接口功能及要求

5.1运营平台技术要求

5.1.1系统安全防护

5.1.1.1系统配置应具备至少双节点的穴余配置，网络接入应具备至少双链路的接入方式，以避免硬件

T/CEC2082019

单节点故障或单网络链路的中断而导致业务系统瘫痪。 5.1.1.2服务器主机应采用双机配置以冷备用或热备用的方式进行穴余防护，若采用租用云服务的方式 则应考虑增加计算资源节点的几余数量， 5.1.1.3网络及安全设备在配置时应与接入的网络链路相匹配，在采用双链路接入配置的方式时，网络 及安全设备应配置为双节点的方式。 5.1.1.4应配置安全设备或同等功能的组件。 5.1.1.5存储资源在配置时应根据运营平台的业务数据规模核算具体容量。自建数据中心时，在保证服 务器设备自身的存储空间充足时，还应配置独立的存储设备，并应双机配置或采用异地数据中心备份 的方式。租用云服务时应提 资源或异地备份

5.1.2网络安全防护

5.1.2.1运营平台系统应根据不同的业务进行分区分域，将系统划分为不同的子网网段。 5.1.2.2重要服务器主机及核心业务区应部署在内网区域，通过路由设备建立安全的访问路径，避免其 直接与外网进行连接；核心业务区与其他日常业务网段划分不同子网，并采取可靠的技术隔离手段。 5.1.2.3网络接入的出入口访问应通过安全防护设备进行控制与隔离，建立完善的过滤策略及入侵防范 策略。 5.1.2.4对网络的访问权限进行控制，平台应具备安全审计的防护标准；对运营业务中产生的数据和操 作进行日志记录，并可进行备份。 5.1.2.5各业务系统区域应具备独立且完整的硬件及网络规划，以避免各业务阶段使用的硬件或基础资 源混乱而造成对正式运营系统的影响。 5.1.2.6重要的运营平台生产系统宜具备双活热备的系统配置，可自主切换业务。 5.1.2.7提供对充电设备的网络访问行为能力，对异常行为进行阻断

5.1.3基础软件安全防护

5.1.3.1操作系统及相关组件应定期更新升级补丁，确保系统软件的稳定可靠。 5.1.3.2应定期对系统应用进行漏洞扫描，进行监测入侵防范及恶意代码防范。 5.1.3.3 应实时对系统进行安全监控，保证对系统应用的各操作合法并有操作审计记录。 5.1.3.4 各主机基础软件均应具有严格的身份认证配置，口令应具有一定的复杂度，并定期进行更换 5.1.3.5应实时监控各服务器硬盘存储资源，并具备实时提醒告警等功能。

5.1.4业务系统安全防护

5.1.4.1业务软件应配置至少双亢余的结构，避免因业务软件的崩溃造成应用单节点故障，导致业务功 能无法使用，影响业务运营系统。 5.1.4.2业务软件在对外进行数据交互时，应有本运营公司的数据交互协议或加密方式，避免在交互过 程中造成数据混乱无法识别或被非法解析导致数据信息泄露。 5.1.4.3业务软件在交互过程中应具备自有的数据校验机制，对其数据传输的完整性、安全性进行保障。 5.1.4.4业务信息中具有重点需要防护的数据敏感信息时，应有数据脱敏的机制。 5.1.4.5业务系统功能的操作安全防护应配置审计系统，各业务操作应详细记录。 5.1.4.6业务系统应按实际运营情况中发现的问题漏洞实施业务系统的更新升级，并明确备案各阶段版 本及更新说明。 5.1.4.7业务数据应配置数据备份机制，根据运营需求确定历史数据的缓存时间及备份数量。 5.1.4.8应对实时访问行为进行监测，及时告警异常行为，

T/CEC2082019

5.2充电设备技术要求

5.2.1.1设备的进、出线孔应使用合适的装置或适当的措施密闭，防止外部仪器工具的进入 5.2.1.2设备内部的通信部件应有明显的难以去除的标记，以防被更换。 5.2.1.3充电设备检测到异常应主动告警并禁止充电。 5.2.1.4操作系统应保证代码可控或采用必要安全加固措施。 5.2.1.5应建立能够识别充电设备本体代码、主动阻断未知代码执行的安全免疫机制，通过对充电设备 本体代码的完整性校验，防止其被篡改并可以在异常状态下执行自动恢复。 5.2.1.6以最小化安装方式配置软件，对非必要功能的使用进行禁止或限制。 5.2.1.7应对系统软件升级且充电设备业务应用的加载软件应具备认证机制，只有经过认证的软件才能 在本体系统上运行。

5.2.2.1充电设备具备本机充电记录读取功能，不应显示用户完整的敏感信息。 5.2.2.2 未经使用者授权，充电设备不应主动获取或向第三方提供充电权限认证以外的信息。 5.2.2.3 充电设备应具备数据有效性校验功能，保证数据符合系统设定要求， 5.2.2.4未经授权的任何实体不能从加密存储区域的数据中还原出用户隐私数据的真实内容。 5.2.2.5 不应未经授权擅自修改和展示用户信息。 5.2.2.6 充电设备应保证存储和传输过程中数据的完整性。 5.2.2.7 充电设备应保证存储和传输过程中敏感数据的保密性

5.2.3.1充电设备维护、升级、调试等过程中，应使用身份认证管理技术。 5.2.3.2具有账号管理功能的充电设备，其用户身份鉴别信息应具有复杂度要求。 5.2.3.3具有账号管理功能的充电设备，应提供并启用登录失败处理功能；多次登录失败后应采取必要 的保护措施，当超出限制值时，采取特定的动作。 5.2.3.4具有账号管理功能的充电设备，在用户身份认证信息丢失或失效时，可提供鉴别信息恢复机制。 5.2.3.5具有账号管理功能的充电设备应对登录的用户分配账号和权限。 5.2.3.6具有账号管理功能的充电设备应及时删除或停用多余的、过期的账号，避免共享账号的存在。 5.2.3.7充电设备外部访问接口应采取安全保护措施。 5.2.3.8充电设备应具备控制接入的开关。当建立数据连接时，充电设备能够发现该连接并给用户相应 的状态提示，仅当用户确认建立本次连接时，连接才可建立。 5.2.3.9充电设备应为不同访问主体类别提供不同的访问权限。访问权限划分应遵循最小特权原则。 5.2.3.10关闭非系统运行和维护所必需的网络通信端口。 5.2.3.11未授权用户不得读取审计信息。 5.2.3.12 应能按照频次将所有的审计记录备份至本地，或者将事件数据安全地发送到外部。 5.2.3.13 充电设备应保护已存储的审计记录，以避免未授权的删除、修改或覆盖，并检测对审计记录 的修改。 5.2.3.14 充电设备应确保审计记录保持一定的记录数和维持时间，审计日志留存能力不少于10000条 5.2.3.15审计日志要覆盖对设备有较大影响的操作

5.3移动智能终端软件技术要求

5.3.1运行机制要求

T/CEC2082019

5.3.1.1在安装和卸载过程中，不得捆绑下载其他应用软件；不得安装功能说明文档中未说明的额外功 能，不得安装用户未知和未允许的第三方应用。 5.3.1.2卸载应彻底，卸载后不应残留相关临时文件、活动程序或模块。 5.3.1.3包含可有效表征供应者或开发者身份的签名信息、软件属性信息。 5.3.1.4应对安装包或升级包的完整性、合法性进行校验，

5.3.2应用安全要求

5.3.2.1 应具备身份鉴别功能，能够对登录用户进行身份标识和鉴别 5.3.2.2 不应内置匿名账户，禁止匿名用户的登录。 5.3.2.3 具备口令强度和口令时效性检查机制。 不做 5.3.2.4 授权用户访问的内容不能超出授权的范围。 5.3.2.5 未得到许可前不应访问终端数据和终端资源。 5.3.2.6 未得到允许前不应修改和删除终端数据。 5.3.2.7 未授权用户不得读取审计信息。 5.3.2.8 应能按照频次将所有的审计记录备份至本地，或将事件数据安全地发送到外部。 5.3.2.9 审计日志留存时间应不少于6个月。 5.3.2.10 未经授权的任何实体不能从加密存储区域的数据中还原出用户私密数据的真实内容。 5.3.2.11 不应存在数据存储和处理过程中的非法调用和窃取漏洞。 5.3.2.12 不应以明文形式存储或通过网络传输用户敏感数据，以防止数据被未授权获取。 5.3.2.13 备份机制应完整有效，且应对备份数据进行保护

5.3.3恶意行为防范要求

.3.1在用户不知情或未授权的情况下，应用程序不应订购非法业务。 .3.2 在用户不知情或未授权的情况下，应用程序不应非法获取信息。 .3.37 在用户不知情或未授权的情况下，应用程序不应接受远程控制端指令并进行相关操作 .3.4应用程序不应导致电动汽车智能终端无法正常使用

5.3.3.1在用户不知情或未授权的情况下，应用程序不应订购非法业务。 5.3.3.2 在用户不知情或未授权的情况下，应用程序不应非法获取信息。 5.3.3.3 在用户不知情或未授权的情况下，应用程序不应接受远程控制端指令并进行相关操 5.3.3.4 应用程序不应导致电动汽车智能终端无法正常使用，

5.3.4其他安全要求

.3.4.1应用软件代码应防止被反编译和反调试 .3.4.2源代码中不存在已公布的高危风险漏洞 6.3.4.3应用软件应做日志防泄漏措施。

5.3.4.1应用软件代码应防止被反编译和反调试。

5.4接口安全技术要求

5.4.1充电设备和运营平台之间的接口

.1.1充电设备与运营平台之间的通信应优先采用硬件加密认证设备进行认证加密，对来源于运 的控制命令和参数设置指令应采取安全鉴别和数据完整性验证措施。 .1.2充电设备与运营平台之间的业务数据应采取加密措施，实现数据的保密性，并且应该符合 关的管理规定。禁止使用已知为不安全的加密算法和安全措施。

T/ CEC 2082019

T/CEC2082019

5.4.1.3充电设备应具备防网络干扰功能，在网络瘫痪等紧急情况下接地线标准，可通过备用方案保证充电设备的 正常使用。备用方案启动应有明确标识，在网络恢复后，充电设备应主动上传网络异常状态和备用方 深充电记录。 5.4.1.4需远程维护的，采用安全加密协议或虚拟专用网络等技术建立安全的访问路径、可信的通信通 道确保远程接入安全。

5.4.2充电设备和电动汽车之间的接口

5.4.2.1充电设备和电动汽车之间的通信网络应通过安全网关与外部网络进行隔离，由网关进行可信消 息的分发和处理。 5.4.2.2协议应用数据不应使用明文传输，由应用协议负责安全加密机制的实现。 5.4.2.3充电设备和电动汽车建立安全的传输通道后，通信双方应能验证消息的完整性。

5.4.3运营平台之间的接口

5.4.3.1应采用多因子认证方式进行平台认证，保障信息交换接口安全、稳定、可靠地运行。 5.4.3.2应采用IP访问控制、时间访问控制等手段或结合使用，以限制同一终端在一定时间内对平台 数据接口的高频访问。 5.4.3.3消息发送方应对消息字段中涉及交易及隐私等数据采用安全可靠且普遍使用的加密算法，消息 接收方在校验参数合法性后方可进行后续业务处理。 5.4.3.4消息报文应使用数字签名、重发机制等方式保障传输和接收数据的完整性

5.4.4以移动智能终端作为认证接口

5.4.5以智能卡作为认证接口

5.4.5.1应用管理数据在卡片的初始化期间建立edi标准，应定义初始的安全域。

5.4.5.1应用管理数据在卡片的初始化期间建立，应定义初始的安全域。 5.4.5.2发卡机构应建立可靠、完善的密钥管理制度。 5.4.5.3应采用合适的认证操作，包括持卡人认证、卡认证和终端认证。 5.4.5.4应对被保护区域的访问建立存取权限控制。 54.55应在数据传输过程建立加密机制