歐盟RED指令網(wǎng)絡(luò)安全標(biāo)準(zhǔn)-EN 18031解讀
Date: 2024-12-25Hits: 16117
導(dǎo)讀:2024年8月底,歐盟正式發(fā)布了EN18031系列標(biāo)準(zhǔn),助力滿足相關(guān)產(chǎn)品在RED指令中網(wǎng)絡(luò)安全的要求。 ...
2024年8月底,歐盟正式發(fā)布了EN18031系列標(biāo)準(zhǔn),助力滿足相關(guān)產(chǎn)品在RED指令中網(wǎng)絡(luò)安全的要求。
RED 2014/53/EU的網(wǎng)絡(luò)安全
RED 2014/53/EU,即無線電設(shè)備指令(The Radio Equipment Directive),是歐洲針對無線產(chǎn)品的一項認(rèn)證指令,Article 3.3(d\(e\(f 中,規(guī)定了網(wǎng)絡(luò)安全的要求內(nèi)容:
(d)radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing anunacceptable degradation of service;
無線電設(shè)備不會損害網(wǎng)絡(luò)或其功能,也不會濫用網(wǎng)絡(luò)資源,從而導(dǎo)致不可接受的服務(wù)降級;
(e) radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;
無線電設(shè)備包含保障措施,以確保用戶和用戶的個人數(shù)據(jù)和隱私受到保護;
(f)radio equipment supports certain features ensuring protection from fraud;
無線電設(shè)備支持某些功能,確保防止欺詐;
RED補充指令 2022/30/EU
詳細說明了Article 3.3(d/(e/(f 的額外細節(jié)
RED補充指令 2023/2444/EU
強制日期推遲到2025年8月1日。
EN 18031 是由歐洲標(biāo)準(zhǔn)化委員會(CEN)和歐洲電工標(biāo)準(zhǔn)化委員會(CENELEC)聯(lián)合技術(shù)委員會 JTC 13 WG8 開發(fā)的協(xié)調(diào)標(biāo)準(zhǔn),該委員會專注于網(wǎng)絡(luò)安全和數(shù)據(jù)保護。其主要目的是提高無線電設(shè)備保護其安全資產(chǎn)和網(wǎng)絡(luò)資產(chǎn)免受常見網(wǎng)絡(luò)安全威脅的能力,并減少已知的公開可利用漏洞。
2024年8月底,正式發(fā)布EN18031系列標(biāo)準(zhǔn)。
RED與EN 18031關(guān)系
適用范圍
●Article3.3(d)(EN 18031-1)
無線電設(shè)備不會對網(wǎng)絡(luò)或其運行產(chǎn)生有害影響,不會濫用網(wǎng)絡(luò)資源而導(dǎo)致服務(wù)受到嚴(yán)重影響。
適用于任何可以通過互聯(lián)網(wǎng)進行通信的無線電設(shè)備,無論是直接通信還是通過任何其它設(shè)備(互聯(lián)網(wǎng)連接的無線電設(shè)備)進行通信。
●Article3.3(e)(EN 18031-2)
無線電設(shè)備應(yīng)有安全措施,確保用戶和訂戶的個人數(shù)據(jù)和隱私得到保護 。
適用于能夠處理個人數(shù)據(jù)或流量數(shù)據(jù)和位置數(shù)據(jù)的以下設(shè)備:
a) 連接互聯(lián)網(wǎng)的無線設(shè)備,但b)、c)、d) 所述設(shè)備除外(即不聯(lián)網(wǎng)也需要測試);
b) 專為兒童看護設(shè)計的無線電設(shè)備;
c) 符合玩具指令 (2009/48/EC) 規(guī)定的無線電設(shè)備;
d) 設(shè)計或計劃(無論是否專用于)佩戴、捆綁或懸掛在人體或衣服上的無線電設(shè)備。(人體包括頭、頸、軀干、手臂、手、腿和腳;服裝包括頭飾、手飾和鞋履)。
●Article3.3(f)(EN 18031-3)
無線電設(shè)備應(yīng)有安全措施,確保用戶和訂戶的個人數(shù)據(jù)和隱私得到保護。
適用于允許持有人或用戶轉(zhuǎn)移貨幣、貨幣價值或虛擬貨幣的聯(lián)網(wǎng)無線電設(shè)備。
豁免范圍
●Article 3.3 (d)、(e)和(f)不適用
(EU) 2017/745和(EU)2017/746條例監(jiān)管的醫(yī)療設(shè)備。
●Article 3.3 (e)和(f)不適用
(EU) 2018/1139條例監(jiān)管的遠程控制無人機設(shè)備以及可能安裝在飛機上的非機載特定無線電設(shè)備
(EU) 2019/2144條例監(jiān)管的機動車輛及相關(guān)系統(tǒng)部件
(EU) 2019/520指令監(jiān)管的道路收費系統(tǒng)
EN 18031 共性及差異性評估項目
EN 18031的評估流程
EN 18031系列標(biāo)準(zhǔn)將評估內(nèi)容分成了四類資產(chǎn):安全資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)、隱私資產(chǎn)和金融資產(chǎn)。
其中安全資產(chǎn)在三個標(biāo)準(zhǔn)中均有要求,而其他三種分別對應(yīng)EN 18031-1/2/3三個標(biāo)準(zhǔn),根據(jù)資產(chǎn)類型有不同的側(cè)重點。
步驟1
制造商識別出4類資產(chǎn):網(wǎng)絡(luò)資產(chǎn)、隱私資產(chǎn)、金融資產(chǎn)和安全資產(chǎn);
步驟2
針對每個資產(chǎn)按照標(biāo)準(zhǔn)中的不同安全機制要求分別進行評估。
步驟3
制造商需要根據(jù)產(chǎn)品安全設(shè)計細節(jié)和使用環(huán)境,參照每個條款決策樹的內(nèi)容,提供相應(yīng)的判斷和充分的理由;
認(rèn)證過程中還需要將資產(chǎn)識別表、技術(shù)設(shè)計文檔,以及判決理由陳述等文件提交給測試機構(gòu)。
步驟4
測試機構(gòu)對安全機制的適用和適當(dāng)性做出概念評估、功能完整性評估以及功能充分性評估。
概念評估:檢查提供的文件和實施理由是否提供了所需的證據(jù)(例如,網(wǎng)絡(luò)接口通信矩陣文檔);
功能完整性評估:檢查并測試所提供的文檔是否完整(例如,使用網(wǎng)絡(luò)掃描器驗證所有外部接口是否已正確識別、記錄和評估);
功能充分性評估:檢查和測試實現(xiàn)是否足夠(例如,在網(wǎng)絡(luò)接口上運行模糊測試工具,檢查它是否能夠抵御格式錯誤數(shù)據(jù)的攻擊)。
東電軟件與信息安全實驗室是由廣東東電檢測技術(shù)有限公司出資承建的第三方軟件檢測實驗室。實驗室占地面積約400平方米,擁有完善的硬件設(shè)施和先進的國際知名品牌測試工具。
實驗室依托東電檢測豐厚的技術(shù)經(jīng)驗和專業(yè)的人才團隊,為物聯(lián)網(wǎng)設(shè)備、智能網(wǎng)聯(lián)汽車、信息系統(tǒng)等領(lǐng)域提供功能、性能、軟件故障診斷與分析、滲透、漏洞掃描、安全風(fēng)險評估等一系列的檢測服務(wù)工作。
- 友情鏈接: 東電檢測阿里巴巴店鋪
東電檢測
| 檢測中心 | 認(rèn)證服務(wù) | 新聞動態(tài) | 關(guān)于東電 | 服務(wù)支持 | 聯(lián)系我們 |
 |
業(yè)務(wù)咨詢:(東莞)0769-38826677 總部電話:0769-3882-6678 傳真:0769-3882-6679
郵箱:service@dgddt.com; Copyright © 2018-2019 http://m.bokezhuti.cn 廣東東電檢測技術(shù)有限公司 版權(quán)所有 |
 |
微信咨詢
關(guān)注微信公眾號