隨著(zhù)萬(wàn)物互聯(lián)時(shí)代的到來(lái)���,IoT物聯(lián)網(wǎng)設備在我們身邊已隨處可見(jiàn)��,它們的出現給人們生活工作提供了方便�����,但與此同時(shí)也為黑客們提供了實(shí)施網(wǎng)絡(luò )攻擊的溫床�。所以�����,IoT產(chǎn)品自身是否安全�����,這已經(jīng)是擺在制造商面前不得不面對的問(wèn)題����。
網(wǎng)絡(luò )安全涉及到方方面面���,既關(guān)系普通百姓的日常生活��,也可上升到國計民生�、地緣政治����。所以現在世界各地政府都非常重視網(wǎng)絡(luò )安全能力的建設��,陸續推出了與網(wǎng)絡(luò )安全相關(guān)的法規和標準����。
2022年1月歐盟推出了RED-DA補充指令RED Delegated Regulation activates (EU)2022/30���,該指令是在2014年5月發(fā)布的無(wú)線(xiàn)電設備準入指令RED(2014/53/EU)基礎上���,提出了針對無(wú)線(xiàn)電設備在網(wǎng)絡(luò )安全方面的強制說(shuō)明��,指令強制時(shí)間為2025年8月1日�,內容包括3條��,分別是:
原文Article 3.3 d:
“radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service”.
原文大意:
無(wú)線(xiàn)電設備避免損害網(wǎng)絡(luò )或網(wǎng)絡(luò )上的其它功用���,也要避免濫用網(wǎng)絡(luò )資源�����,從而導致不可接受的網(wǎng)絡(luò )損失��。
法規解讀:
需要對能連網(wǎng)的無(wú)線(xiàn)電設備加強網(wǎng)絡(luò )安全防護措施�,比如:在產(chǎn)品的用戶(hù)訪(fǎng)問(wèn)控制���、用戶(hù)認證��、安全更新����、安全通信等方面���。
原文Article 3.3.e:
“radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected”.
原文大意:
無(wú)線(xiàn)電設備需設有網(wǎng)絡(luò )安全保障措施��,以確保使用者或客戶(hù)的個(gè)人數據及隱私數據得到保障��。
法規解讀:
凡是存在有處理個(gè)人數據���、道路交通數據����、地理位置數據的無(wú)線(xiàn)電產(chǎn)品���,需要對該設備加強網(wǎng)絡(luò )安全防護措施���,比如:用戶(hù)信息采集通知����、隱私聲明����、日志記錄及隱私數據的訪(fǎng)問(wèn)控制等���。
原文Article 3.3.f :
“radio equipment supports certain features ensuring protection from fraud”.
原文大意:
無(wú)線(xiàn)設備需有抵御金融反欺詐的能力��。
法規解讀:
凡是存在有金錢(qián)交易的無(wú)線(xiàn)電設備�����,不管是現金還是虛擬貨幣��,該設備都需要滿(mǎn)足反欺詐的能力要求���,比如:設備是否有用到加密機制�����、保密機制�、完整性保護機制���。是否有銀行卡信息��、交易密碼等數據泄露等問(wèn)題��。
RED-DA是針對無(wú)線(xiàn)電產(chǎn)品的網(wǎng)絡(luò )安全強制法規���,涉及范圍覆蓋廣泛��,包括但不限于��,具體還需根據標準的判定條件來(lái)決定:
如智能手機����、平板電腦�����、電子相機等����;
如路由器����、交換機等網(wǎng)絡(luò )通信設備���;
如智能家居設備�、智能工業(yè)控制設備���;
汽車(chē)電子 ���、無(wú)人機�、道路交路管理系統(僅適合EN18031-1)����;
含無(wú)線(xiàn)功能的自動(dòng)報警裝置等�。
醫療器械設備:被2017/745和(EU) 2017/746條例覆蓋的醫療設備���;
特殊行業(yè)設備:被(EU) 2018/1139條例覆蓋無(wú)人機設備�����、被(EU) 2019/2144條例覆蓋的機動(dòng)車(chē)輛及零部件�����、被(EU) 2019/520指令覆蓋的道路收費系統(僅豁免EN18031-2和-3��,-1仍然適用)���。
在此背景下�,歐盟于 2024 年 2 月發(fā)布了針對RED-DA 網(wǎng)絡(luò )安全指令的 prEN 18031 Draft標準����,并于8月發(fā)布了EN 18031 的Final版本��。
EN 18031 系列標準由三部分組成 :
涵蓋 RED 指令第 3.3 (d) 條��,適用于任何可以通過(guò)互聯(lián)網(wǎng)進(jìn)行通信的無(wú)線(xiàn)電設備���,關(guān)注無(wú)線(xiàn)電設備對網(wǎng)絡(luò )的影響及網(wǎng)絡(luò )資源的合理使用���,要求設備不會(huì )對網(wǎng)絡(luò )或其運行產(chǎn)生有害影響�����,不會(huì )濫用網(wǎng)絡(luò )資源而導致服務(wù)受到嚴重影響 �����。
對應 RED 指令第 3.3 (e) 條����,適用于能夠處理個(gè)人數據�、交通數據和位置數據的設備����,包括連接互聯(lián)網(wǎng)的無(wú)線(xiàn)設備��、專(zhuān)為兒童看護設計的無(wú)線(xiàn)電設備���、符合 Toys Directive (2009/48/EC) 規定的無(wú)線(xiàn)電設備以及設計或計劃佩戴�����、捆綁或懸掛在人體或衣服上的無(wú)線(xiàn)電設備等�����,側重于保護用戶(hù)和訂單客戶(hù)的個(gè)人數據和隱私����。
針對 RED 指令第 3.3 (f) 條���,適用于允許持有人或用戶(hù)轉移貨幣��、貨幣價(jià)值或虛擬貨幣的連網(wǎng)無(wú)線(xiàn)電設備��,確保設備在處理金融相關(guān)操作時(shí)的安全性�。
注釋?zhuān)骸啊獭北硎居幸?�,“×”表示不要?nbsp;
(1) 項目流程:
(2) 測試步驟:
信測標準下設網(wǎng)絡(luò )安全業(yè)務(wù)產(chǎn)線(xiàn)����,目前該產(chǎn)線(xiàn)由業(yè)務(wù)銷(xiāo)售組�����、項目管理組��、顧問(wèn)咨詢(xún)組����、安全實(shí)驗室組成�,可以為客戶(hù)提供優(yōu)質(zhì)高效的服務(wù):
如果您想進(jìn)一步了解���,歡迎聯(lián)系咨詢(xún)
郵箱:Security@emtek.com.cn
電話(huà):0755-26954280-840
全國熱線(xiàn):4008-838-258
郵箱: