隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)�����,IoT物聯(lián)網(wǎng)設(shè)備在我們身邊已隨處可見(jiàn)����,它們的出現(xiàn)給人們生活工作提供了方便,但與此同時(shí)也為黑客們提供了實(shí)施網(wǎng)絡(luò)攻擊的溫床����。所以�,IoT產(chǎn)品自身是否安全,這已經(jīng)是擺在制造商面前不得不面對(duì)的問(wèn)題�。
網(wǎng)絡(luò)安全涉及到方方面面,既關(guān)系普通百姓的日常生活���,也可上升到國(guó)計(jì)民生�����、地緣政治�����。所以現(xiàn)在世界各地政府都非常重視網(wǎng)絡(luò)安全能力的建設(shè)��,陸續(xù)推出了與網(wǎng)絡(luò)安全相關(guān)的法規(guī)和標(biāo)準(zhǔn)��。
2022年1月歐盟推出了RED-DA補(bǔ)充指令RED Delegated Regulation activates (EU)2022/30,該指令是在2014年5月發(fā)布的無(wú)線電設(shè)備準(zhǔn)入指令RED(2014/53/EU)基礎(chǔ)上�����,提出了針對(duì)無(wú)線電設(shè)備在網(wǎng)絡(luò)安全方面的強(qiáng)制說(shuō)明��,指令強(qiáng)制時(shí)間為2025年8月1日�,內(nèi)容包括3條,分別是:
原文Article 3.3 d:
“radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service”.
原文大意:
無(wú)線電設(shè)備避免損害網(wǎng)絡(luò)或網(wǎng)絡(luò)上的其它功用���,也要避免濫用網(wǎng)絡(luò)資源��,從而導(dǎo)致不可接受的網(wǎng)絡(luò)損失�����。
法規(guī)解讀:
需要對(duì)能連網(wǎng)的無(wú)線電設(shè)備加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施�,比如:在產(chǎn)品的用戶訪問(wèn)控制、用戶認(rèn)證����、安全更新、安全通信等方面����。
原文Article 3.3.e:
“radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected”.
原文大意:
無(wú)線電設(shè)備需設(shè)有網(wǎng)絡(luò)安全保障措施,以確保使用者或客戶的個(gè)人數(shù)據(jù)及隱私數(shù)據(jù)得到保障���。
法規(guī)解讀:
凡是存在有處理個(gè)人數(shù)據(jù)�、道路交通數(shù)據(jù)��、地理位置數(shù)據(jù)的無(wú)線電產(chǎn)品����,需要對(duì)該設(shè)備加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施�,比如:用戶信息采集通知、隱私聲明����、日志記錄及隱私數(shù)據(jù)的訪問(wèn)控制等��。
原文Article 3.3.f :
“radio equipment supports certain features ensuring protection from fraud”.
原文大意:
無(wú)線設(shè)備需有抵御金融反欺詐的能力�。
法規(guī)解讀:
凡是存在有金錢交易的無(wú)線電設(shè)備����,不管是現(xiàn)金還是虛擬貨幣,該設(shè)備都需要滿足反欺詐的能力要求��,比如:設(shè)備是否有用到加密機(jī)制�、保密機(jī)制、完整性保護(hù)機(jī)制��。是否有銀行卡信息�����、交易密碼等數(shù)據(jù)泄露等問(wèn)題���。
RED-DA是針對(duì)無(wú)線電產(chǎn)品的網(wǎng)絡(luò)安全強(qiáng)制法規(guī)�����,涉及范圍覆蓋廣泛���,包括但不限于����,具體還需根據(jù)標(biāo)準(zhǔn)的判定條件來(lái)決定:
如智能手機(jī)�����、平板電腦��、電子相機(jī)等��;
如路由器����、交換機(jī)等網(wǎng)絡(luò)通信設(shè)備;
如智能家居設(shè)備�����、智能工業(yè)控制設(shè)備�;
汽車電子 、無(wú)人機(jī)�����、道路交路管理系統(tǒng)(僅適合EN18031-1)��;
含無(wú)線功能的自動(dòng)報(bào)警裝置等���。
醫(yī)療器械設(shè)備:被2017/745和(EU) 2017/746條例覆蓋的醫(yī)療設(shè)備����;
特殊行業(yè)設(shè)備:被(EU) 2018/1139條例覆蓋無(wú)人機(jī)設(shè)備�、被(EU) 2019/2144條例覆蓋的機(jī)動(dòng)車輛及零部件、被(EU) 2019/520指令覆蓋的道路收費(fèi)系統(tǒng)(僅豁免EN18031-2和-3��,-1仍然適用)��。
在此背景下����,歐盟于 2024 年 2 月發(fā)布了針對(duì)RED-DA 網(wǎng)絡(luò)安全指令的 prEN 18031 Draft標(biāo)準(zhǔn),并于8月發(fā)布了EN 18031 的Final版本�����。
EN 18031 系列標(biāo)準(zhǔn)由三部分組成 :
涵蓋 RED 指令第 3.3 (d) 條,適用于任何可以通過(guò)互聯(lián)網(wǎng)進(jìn)行通信的無(wú)線電設(shè)備����,關(guān)注無(wú)線電設(shè)備對(duì)網(wǎng)絡(luò)的影響及網(wǎng)絡(luò)資源的合理使用,要求設(shè)備不會(huì)對(duì)網(wǎng)絡(luò)或其運(yùn)行產(chǎn)生有害影響�,不會(huì)濫用網(wǎng)絡(luò)資源而導(dǎo)致服務(wù)受到嚴(yán)重影響 。
對(duì)應(yīng) RED 指令第 3.3 (e) 條��,適用于能夠處理個(gè)人數(shù)據(jù)���、交通數(shù)據(jù)和位置數(shù)據(jù)的設(shè)備����,包括連接互聯(lián)網(wǎng)的無(wú)線設(shè)備�����、專為兒童看護(hù)設(shè)計(jì)的無(wú)線電設(shè)備����、符合 Toys Directive (2009/48/EC) 規(guī)定的無(wú)線電設(shè)備以及設(shè)計(jì)或計(jì)劃佩戴、捆綁或懸掛在人體或衣服上的無(wú)線電設(shè)備等�����,側(cè)重于保護(hù)用戶和訂單客戶的個(gè)人數(shù)據(jù)和隱私�。
針對(duì) RED 指令第 3.3 (f) 條,適用于允許持有人或用戶轉(zhuǎn)移貨幣���、貨幣價(jià)值或虛擬貨幣的連網(wǎng)無(wú)線電設(shè)備����,確保設(shè)備在處理金融相關(guān)操作時(shí)的安全性���。
EN18031各子標(biāo)準(zhǔn)與安全需求對(duì)應(yīng)表
(1) 項(xiàng)目流程:
(2) 測(cè)試步驟:
信測(cè)網(wǎng)絡(luò)安全能力介紹
信測(cè)標(biāo)準(zhǔn)下設(shè)網(wǎng)絡(luò)安全業(yè)務(wù)產(chǎn)線��,目前該產(chǎn)線由業(yè)務(wù)銷售組�、項(xiàng)目管理組、顧問(wèn)咨詢組���、安全實(shí)驗(yàn)室組成��,可以為客戶提供優(yōu)質(zhì)高效的服務(wù):
如果您想進(jìn)一步了解���,歡迎聯(lián)系咨詢
郵箱:Security@emtek.com.cn
電話:0755-26954280-840
全國(guó)熱線:4008-838-258
郵箱: