歐盟RED指令EN18031安全標(biāo)準(zhǔn)測試如何辦理

2024年8月底，歐盟正式發(fā)布了EN18031系列標(biāo)準(zhǔn)，助力滿足相關(guān)產(chǎn)品在RED指令中網(wǎng)絡(luò)安全的要求。

　　RED 2014/53/EU的網(wǎng)絡(luò)安全

　　RED 2014/53/EU，即無線電設(shè)備指令（The Radio Equipment Directive），是歐洲針對無線產(chǎn)品的一項認(rèn)證指令，Article 3.3（d\（e\（f 中，規(guī)定了網(wǎng)絡(luò)安全的要求內(nèi)容：

　?。╠）radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing anunacceptable degradation of service；

　　無線電設(shè)備不會損害網(wǎng)絡(luò)或其功能，也不會濫用網(wǎng)絡(luò)資源，從而導(dǎo)致不可接受的服務(wù)降級；

　?。╡） radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;

　　無線電設(shè)備包含保障措施，以確保用戶和用戶的個人數(shù)據(jù)和隱私受到保護(hù)；

　　（f）radio equipment supports certain features ensuring protection from fraud；

　　無線電設(shè)備支持某些功能，確保防止欺詐；

　　RED補(bǔ)充指令 2022/30/EU 詳細(xì)說明了Article 3.3（d/（e/（f 的額外細(xì)節(jié)

　　RED補(bǔ)充指令 2023/2444/EU 強(qiáng)制日期推遲到2025年8月1日。

　　EN 18031介紹

　　EN 18031 是由歐洲標(biāo)準(zhǔn)化委員會（CEN）和歐洲電工標(biāo)準(zhǔn)化委員會（CENELEC）聯(lián)合技術(shù)委員會 JTC 13 WG8 開發(fā)的協(xié)調(diào)標(biāo)準(zhǔn)，該委員會專注于網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)。其主要目的是提高無線電設(shè)備保護(hù)其安全資產(chǎn)和網(wǎng)絡(luò)資產(chǎn)免受常見網(wǎng)絡(luò)安全威脅的能力，并減少已知的公開可利用漏洞。

　　2024年8月底，正式發(fā)布EN18031系列標(biāo)準(zhǔn)。

　　適用范圍

　　1、Article3.3（d）（EN 18031-1）

　　無線電設(shè)備不會對網(wǎng)絡(luò)或其運(yùn)行產(chǎn)生有害影響，不會濫用網(wǎng)絡(luò)資源而導(dǎo)致服務(wù)受到嚴(yán)重影響。

　　適用于任何可以通過互聯(lián)網(wǎng)進(jìn)行通信的無線電設(shè)備，無論是直接通信還是通過任何其它設(shè)備（互聯(lián)網(wǎng)連接的無線電設(shè)備）進(jìn)行通信。

　　2、Article3.3（e）（EN 18031-2）

　　無線電設(shè)備應(yīng)有安全措施，確保用戶和訂戶的個人數(shù)據(jù)和隱私得到保護(hù) 。

　　適用于能夠處理個人數(shù)據(jù)或流量數(shù)據(jù)和位置數(shù)據(jù)的以下設(shè)備：

　　a）連接互聯(lián)網(wǎng)的無線設(shè)備，但b）c）d） 所述設(shè)備除外（即不聯(lián)網(wǎng)也需要測試）；

　　b）專為兒童看護(hù)設(shè)計的無線電設(shè)備；

　　c）符合玩具指令（2009/48/EC）規(guī)定的無線電設(shè)備；

　　d）設(shè)計或計劃（無論是否專用于）佩戴、捆綁或懸掛在人體或衣服上的無線電設(shè)備。（人體包括頭、頸、軀干、手臂、手、腿和腳；服裝包括頭飾、手飾和鞋履）。

　　3、Article3.3（f）（EN 18031-3）

　　無線電設(shè)備應(yīng)有安全措施，確保用戶和訂戶的個人數(shù)據(jù)和隱私得到保護(hù)。

　　適用于允許持有人或用戶轉(zhuǎn)移貨幣、貨幣價值或虛擬貨幣的聯(lián)網(wǎng)無線電設(shè)備。

　　EN 18031的評估流程

　　EN 18031系列標(biāo)準(zhǔn)將評估內(nèi)容分成了四類資產(chǎn)：安全資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)、隱私資產(chǎn)和金融資產(chǎn)。

　　其中安全資產(chǎn)在三個標(biāo)準(zhǔn)中均有要求，而其他三種分別對應(yīng)EN 18031-1/2/3三個標(biāo)準(zhǔn)，根據(jù)資產(chǎn)類型有不同的側(cè)重點。

　　步驟1：制造商識別出4類資產(chǎn)：網(wǎng)絡(luò)資產(chǎn)、隱私資產(chǎn)、金融資產(chǎn)和安全資產(chǎn)；

　　步驟2：針對每個資產(chǎn)按照標(biāo)準(zhǔn)中的不同安全機(jī)制要求分別進(jìn)行評估。

　　步驟3：制造商需要根據(jù)產(chǎn)品安全設(shè)計細(xì)節(jié)和使用環(huán)境，參照每個條款決策樹的內(nèi)容，提供相應(yīng)的判斷和充分的理由；

　　認(rèn)證過程中還需要將資產(chǎn)識別表、技術(shù)設(shè)計文檔，以及判決理由陳述等文件提交給測試機(jī)構(gòu)。

　　步驟4：測試機(jī)構(gòu)對安全機(jī)制的適用和適當(dāng)性做出概念評估、功能完整性評估以及功能充分性評估。

　　概念評估：檢查提供的文件和實施理由是否提供了所需的證據(jù)（例如，網(wǎng)絡(luò)接口通信矩陣文檔）；

　　功能完整性評估：檢查并測試所提供的文檔是否完整（例如，使用網(wǎng)絡(luò)掃描器驗證所有外部接口是否已正確識別、記錄和評估）；

　　功能充分性評估：檢查和測試實現(xiàn)是否足夠（例如，在網(wǎng)絡(luò)接口上運(yùn)行模糊測試工具，檢查它是否能夠抵御格式錯誤數(shù)據(jù)的攻擊）。