標(biāo)準(zhǔn)解讀 | 歐盟RED網(wǎng)絡(luò)安全標(biāo)準(zhǔn)EN 18031-1

歐盟委員會(huì)于2022年發(fā)布了RED指令補(bǔ)充授權(quán)法案(EU) 2022/30，對(duì)無(wú)線電設(shè)備的網(wǎng)絡(luò)安全、隱私保護(hù)和反欺詐等方面提出了明確要求。針對(duì)RED中的網(wǎng)絡(luò)安全要求，歐盟于2024年8月發(fā)布EN 18031標(biāo)準(zhǔn)。

2025年1月30日，歐盟委員會(huì)正式將EN 18031標(biāo)準(zhǔn)列入《歐盟官方公報(bào)》（OJ）的《無(wú)線電設(shè)備指令》（RED）協(xié)調(diào)標(biāo)準(zhǔn)清單。該法案將于2025年8月1日正式實(shí)施，屆時(shí)無(wú)線電設(shè)備必須符合RED指令第3(3)條(d)、(e)和(f)點(diǎn)的網(wǎng)絡(luò)信息安全要求才能進(jìn)入歐盟市場(chǎng)銷(xiāo)售。其中，EN 18031-1對(duì)應(yīng)RED指令中的Article 3.3(d)，聚焦于連接互聯(lián)網(wǎng)的無(wú)線電設(shè)備，在保障網(wǎng)絡(luò)安全、規(guī)范市場(chǎng)秩序等方面發(fā)揮著關(guān)鍵作用。

適用產(chǎn)品范圍：

直接聯(lián)網(wǎng)的無(wú)線電設(shè)備：能夠獨(dú)立連接到互聯(lián)網(wǎng)并進(jìn)行通信的無(wú)線電設(shè)備，例如智能手機(jī)、平板電腦、智能家居設(shè)備等。

間接聯(lián)網(wǎng)的無(wú)線電設(shè)備：設(shè)備本身不具備獨(dú)立聯(lián)網(wǎng)能力，但可通過(guò)其他可聯(lián)網(wǎng)的中介設(shè)備（如網(wǎng)關(guān)、手機(jī)）與互聯(lián)網(wǎng)通信。

評(píng)估要點(diǎn)說(shuō)明：

EN 18031系列標(biāo)準(zhǔn)將評(píng)估對(duì)象按資產(chǎn)分為安全資產(chǎn)、網(wǎng)絡(luò)資產(chǎn)、隱私資產(chǎn)和金融資產(chǎn)四類。

安全資產(chǎn)：關(guān)乎設(shè)備自身的安全防護(hù)機(jī)制，如設(shè)備的訪問(wèn)控制、認(rèn)證等功能；

網(wǎng)絡(luò)資產(chǎn)：側(cè)重于設(shè)備與網(wǎng)絡(luò)交互過(guò)程中的安全性，防止對(duì)網(wǎng)絡(luò)造成損害；

隱私資產(chǎn)：聚焦于保護(hù)用戶的個(gè)人數(shù)據(jù)和隱私，避免數(shù)據(jù)被非法獲取和使用；

金融資產(chǎn)：則主要針對(duì)涉及金融交易功能的設(shè)備，確保交易安全，防止欺詐。

EN 18031-1標(biāo)準(zhǔn)主要管制安全資產(chǎn)與網(wǎng)絡(luò)資產(chǎn)兩個(gè)方面，旨在確保無(wú)線電設(shè)備在連接互聯(lián)網(wǎng)時(shí)不會(huì)對(duì)網(wǎng)絡(luò)或其功能造成損害，并防止濫用網(wǎng)絡(luò)資源，從而避免服務(wù)質(zhì)量的不可接受下降。

EN 18031-1標(biāo)準(zhǔn)主要測(cè)試與評(píng)估內(nèi)容：

安全通信機(jī)制：確保設(shè)備在進(jìn)行網(wǎng)絡(luò)通信時(shí)采用安全傳輸措施，防止未經(jīng)授權(quán)的訪問(wèn)、篡改或重放攻擊。如：TLS 加密、WPA2認(rèn)證、AES-CCM保護(hù)；

安全更新機(jī)制：確保設(shè)備的可更新性，更新過(guò)程的安全性。如：通過(guò)數(shù)字簽名驗(yàn)證固件包的完整性、禁用未加密的HTTP通道；

流量控制機(jī)制：對(duì)于網(wǎng)絡(luò)設(shè)備應(yīng)有效管理和限制流量，防止未授權(quán)的訪問(wèn)。如：IPv4過(guò)濾、MAC地址過(guò)濾、VPN。