隨著(zhù)萬(wàn)物互聯(lián)時(shí)代的到來(lái),IoT物聯(lián)網(wǎng)設備在我們身邊已隨處可見(jiàn),它們的出現給人們生活工作提供了方便,但與此同時(shí)也為黑客們提供了實(shí)施網(wǎng)絡(luò )攻擊的溫床。所以,IoT產(chǎn)品自身是否安全,這已經(jīng)是擺在制造商面前不得不面對的問(wèn)題。
網(wǎng)絡(luò )安全涉及到方方面面,既關(guān)系普通百姓的日常生活,也可上升到國計民生、地緣政治。所以現在世界各地政府都非常重視網(wǎng)絡(luò )安全能力的建設,陸續推出了與網(wǎng)絡(luò )安全相關(guān)的法規和標準。
什么是RED-DA?
2022年1月歐盟推出了RED-DA補充指令RED Delegated Regulation activates (EU)2022/30,該指令是在2014年5月發(fā)布的無(wú)線(xiàn)電設備準入指令RED(2014/53/EU)基礎上,提出了針對無(wú)線(xiàn)電設備在網(wǎng)絡(luò )安全方面的強制說(shuō)明,指令強制時(shí)間為2025年8月1日,內容包括3條,分別是:
01
原文Article 3.3 d:
“radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service”.
原文大意:
無(wú)線(xiàn)電設備避免損害網(wǎng)絡(luò )或網(wǎng)絡(luò )上的其它功用,也要避免濫用網(wǎng)絡(luò )資源,從而導致不可接受的網(wǎng)絡(luò )損失。
法規解讀:
需要對能連網(wǎng)的無(wú)線(xiàn)電設備加強網(wǎng)絡(luò )安全防護措施,比如:在產(chǎn)品的用戶(hù)訪(fǎng)問(wèn)控制、用戶(hù)認證、安全更新、安全通信等方面。
02
原文Article 3.3.e:
“radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected”.
原文大意:
無(wú)線(xiàn)電設備需設有網(wǎng)絡(luò )安全保障措施,以確保使用者或客戶(hù)的個(gè)人數據及隱私數據得到保障。
法規解讀:
凡是存在有處理個(gè)人數據、道路交通數據、地理位置數據的無(wú)線(xiàn)電產(chǎn)品,需要對該設備加強網(wǎng)絡(luò )安全防護措施,比如:用戶(hù)信息采集通知、隱私聲明、日志記錄及隱私數據的訪(fǎng)問(wèn)控制等。
03
原文Article 3.3.f :
“radio equipment supports certain features ensuring protection from fraud”.
原文大意:
無(wú)線(xiàn)設備需有抵御金融反欺詐的能力。
法規解讀:
凡是存在有金錢(qián)交易的無(wú)線(xiàn)電設備,不管是現金還是虛擬貨幣,該設備都需要滿(mǎn)足反欺詐的能力要求,比如:設備是否有用到加密機制、保密機制、完整性保護機制。是否有銀行卡信息、交易密碼等數據泄露等問(wèn)題。
RED-DA覆蓋范圍
RED-DA是針對無(wú)線(xiàn)電產(chǎn)品的網(wǎng)絡(luò )安全強制法規,涉及范圍覆蓋廣泛,包括但不限于,具體還需根據標準的判定條件來(lái)決定:
電子設備
如智能手機、平板電腦、電子相機等;
電信設備
如路由器、交換機等網(wǎng)絡(luò )通信設備;
物聯(lián)網(wǎng)設備
如智能家居設備、智能工業(yè)控制設備;
玩具和兒童保育設備
如嬰兒監視器等;
可穿戴設備
如智能手表、健身追蹤器等;
特殊行業(yè)設備
汽車(chē)電子 、無(wú)人機、道路交路管理系統(僅適合EN18031-1);
金融交易產(chǎn)品
如POS機、其它金融終端機;
智慧警報設備
含無(wú)線(xiàn)功能的自動(dòng)報警裝置等。
豁免范圍
醫療器械設備:被2017/745和(EU) 2017/746條例覆蓋的醫療設備;
特殊行業(yè)設備:被(EU) 2018/1139條例覆蓋無(wú)人機設備、被(EU) 2019/2144條例覆蓋的機動(dòng)車(chē)輛及零部件、被(EU) 2019/520指令覆蓋的道路收費系統(僅豁免EN18031-2和-3,-1仍然適用)。
EN 18031標準介紹
在此背景下,歐盟于 2024 年 2 月發(fā)布了針對RED-DA 網(wǎng)絡(luò )安全指令的 prEN 18031 Draft標準,并于8月發(fā)布了EN 18031 的Final版本。
EN 18031 系列標準由三部分組成 :
EN 18031-1:
涵蓋 RED 指令第 3.3 (d) 條,適用于任何可以通過(guò)互聯(lián)網(wǎng)進(jìn)行通信的無(wú)線(xiàn)電設備,關(guān)注無(wú)線(xiàn)電設備對網(wǎng)絡(luò )的影響及網(wǎng)絡(luò )資源的合理使用,要求設備不會(huì )對網(wǎng)絡(luò )或其運行產(chǎn)生有害影響,不會(huì )濫用網(wǎng)絡(luò )資源而導致服務(wù)受到嚴重影響 。
EN 18031-2:
對應 RED 指令第 3.3 (e) 條,適用于能夠處理個(gè)人數據、交通數據和位置數據的設備,包括連接互聯(lián)網(wǎng)的無(wú)線(xiàn)設備、專(zhuān)為兒童看護設計的無(wú)線(xiàn)電設備、符合 Toys Directive (2009/48/EC) 規定的無(wú)線(xiàn)電設備以及設計或計劃佩戴、捆綁或懸掛在人體或衣服上的無(wú)線(xiàn)電設備等,側重于保護用戶(hù)和訂單客戶(hù)的個(gè)人數據和隱私。
EN 18031-3:
針對 RED 指令第 3.3 (f) 條,適用于允許持有人或用戶(hù)轉移貨幣、貨幣價(jià)值或虛擬貨幣的連網(wǎng)無(wú)線(xiàn)電設備,確保設備在處理金融相關(guān)操作時(shí)的安全性。
EN18031各子標準與安全需求對應表
注釋?zhuān)骸啊獭北硎居幸?,“×”表示不要?nbsp;
信測評估測試方案
(1) 項目流程:
(2) 測試步驟:
信測網(wǎng)絡(luò )安全能力介紹
信測標準下設網(wǎng)絡(luò )安全業(yè)務(wù)產(chǎn)線(xiàn),目前該產(chǎn)線(xiàn)由業(yè)務(wù)銷(xiāo)售組、項目管理組、顧問(wèn)咨詢(xún)組、安全實(shí)驗室組成,可以為客戶(hù)提供優(yōu)質(zhì)高效的服務(wù):
如果您想進(jìn)一步了解,歡迎聯(lián)系咨詢(xún)
EMTEK
郵箱:Security@emtek.com.cn
電話(huà):0755-26954280-840