隨著萬物互聯時代的到來��,IoT物聯網設備在我們身邊已隨處可見��,它們的出現給人們生活工作提供了方便���,但與此同時也為黑客們提供了實施網絡攻擊的溫床。所以,IoT產品自身是否安全����,這已經是擺在制造商面前不得不面對的問題。
網絡安全涉及到方方面面�����,既關系普通百姓的日常生活����,也可上升到國計民生、地緣政治�����。所以現在世界各地政府都非常重視網絡安全能力的建設�����,陸續(xù)推出了與網絡安全相關的法規(guī)和標準�����。
2022年1月歐盟推出了RED-DA補充指令RED Delegated Regulation activates (EU)2022/30,該指令是在2014年5月發(fā)布的無線電設備準入指令RED(2014/53/EU)基礎上���,提出了針對無線電設備在網絡安全方面的強制說明���,指令強制時間為2025年8月1日,內容包括3條�����,分別是:
原文Article 3.3 d:
“radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service”.
原文大意:
無線電設備避免損害網絡或網絡上的其它功用�����,也要避免濫用網絡資源��,從而導致不可接受的網絡損失�����。
法規(guī)解讀:
需要對能連網的無線電設備加強網絡安全防護措施�,比如:在產品的用戶訪問控制、用戶認證�����、安全更新、安全通信等方面���。
原文Article 3.3.e:
“radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected”.
原文大意:
無線電設備需設有網絡安全保障措施��,以確保使用者或客戶的個人數據及隱私數據得到保障�����。
法規(guī)解讀:
凡是存在有處理個人數據����、道路交通數據����、地理位置數據的無線電產品,需要對該設備加強網絡安全防護措施����,比如:用戶信息采集通知、隱私聲明����、日志記錄及隱私數據的訪問控制等�����。
原文Article 3.3.f :
“radio equipment supports certain features ensuring protection from fraud”.
原文大意:
無線設備需有抵御金融反欺詐的能力��。
法規(guī)解讀:
凡是存在有金錢交易的無線電設備,不管是現金還是虛擬貨幣�����,該設備都需要滿足反欺詐的能力要求����,比如:設備是否有用到加密機制、保密機制����、完整性保護機制。是否有銀行卡信息�����、交易密碼等數據泄露等問題����。
RED-DA是針對無線電產品的網絡安全強制法規(guī)�,涉及范圍覆蓋廣泛���,包括但不限于����,具體還需根據標準的判定條件來決定:
汽車電子 、無人機�����、道路交路管理系統(僅適合EN18031-1);
醫(yī)療器械設備:被2017/745和(EU) 2017/746條例覆蓋的醫(yī)療設備���;
特殊行業(yè)設備:被(EU) 2018/1139條例覆蓋無人機設備、被(EU) 2019/2144條例覆蓋的機動車輛及零部件���、被(EU) 2019/520指令覆蓋的道路收費系統(僅豁免EN18031-2和-3�����,-1仍然適用)��。
在此背景下�����,歐盟于 2024 年 2 月發(fā)布了針對RED-DA 網絡安全指令的 prEN 18031 Draft標準����,并于8月發(fā)布了EN 18031 的Final版本。
EN 18031 系列標準由三部分組成 :
涵蓋 RED 指令第 3.3 (d) 條���,適用于任何可以通過互聯網進行通信的無線電設備����,關注無線電設備對網絡的影響及網絡資源的合理使用���,要求設備不會對網絡或其運行產生有害影響�����,不會濫用網絡資源而導致服務受到嚴重影響 ��。
對應 RED 指令第 3.3 (e) 條��,適用于能夠處理個人數據�����、交通數據和位置數據的設備�����,包括連接互聯網的無線設備�����、專為兒童看護設計的無線電設備���、符合 Toys Directive (2009/48/EC) 規(guī)定的無線電設備以及設計或計劃佩戴����、捆綁或懸掛在人體或衣服上的無線電設備等�,側重于保護用戶和訂單客戶的個人數據和隱私。
針對 RED 指令第 3.3 (f) 條����,適用于允許持有人或用戶轉移貨幣��、貨幣價值或虛擬貨幣的連網無線電設備��,確保設備在處理金融相關操作時的安全性�����。
注釋:“√”表示有要求�����,“×”表示不要求
(1) 項目流程:
(2) 測試步驟:
信測標準下設網絡安全業(yè)務產線,目前該產線由業(yè)務銷售組�����、項目管理組����、顧問咨詢組、安全實驗室組成�,可以為客戶提供優(yōu)質高效的服務:
郵箱:Security@emtek.com.cn
電話:0755-26954280-840
全國熱線:4008-838-258
郵箱: