EN 18031 是欧盟针对无线电设备的网络安全标准,于 2024 年 8 月 14 日正式发布,协2025 年 1 月 30 日被纳入无线电设备指令(RED)下的调标准,2025 年 8 月 1 日起强制实施。以下是对它的全面解析:
制定背景
欧盟委员会在 2022 年发布了 RED 指令补充授权法案(EU)2022/30,对网络安全、隐私保护和反欺诈等方面提出明确要求。CEN/CLC 根据欧盟委员会的相关决议起草了 EN 18031 系列标准,以支持 RED 指令的基本要求,特别是第 3 (3) 条的 (d)、(e)、(f) 条款,旨在提升连接互联网的无线电设备的安全性。
标准结构
-
EN 18031 - 1:针对互联网连接的无线电设备的通用安全要求。
-
EN 18031 - 2:涉及数据处理的无线电设备,包括互联网连接的无线电设备、儿童护理无线电设备、玩具无线电设备和可穿戴无线电设备。
-
EN 18031 - 3:针对处理虚拟货币或货币价值的互联网连接无线电设备。
适用范围
包括但不限于手机、平板电脑、笔记本电脑、无线玩具、儿童安全设备、可穿戴设备等能通过互联网直接或间接通信,以及可能暴露敏感个人数据的无线电设备。
核心内容
-
安全机制:引入安全机制概念,关注适用性和 sufficiency。若机制对设备不适用则无需评估;若适用,设备需进行功能和概念评估。标准具有技术无关性,制造商可根据设备预期用途和风险评估进行定制化实施。
-
评估项目:涵盖访问控制机制、安全更新机制、安全存储机制、安全通信机制等通用评估项目,以及针对不同资产类型的特定评估项目,如弹性机制、网络监控机制、日志记录机制等。
-
技术要求:覆盖多种技术要求以保护安全资产、网络资产、隐私资产和金融资产等。包括访问控制和身份认证机制,防止未授权访问和确保用户身份真实性;安全更新和存储机制,保证软件更新的完整性和数据的安全性;安全通信机制,保护网络传输数据;还有 resilience 机制、网络监控机制和密钥管理等要求。
评估流程
-
概念评估:检查文档,确保所选安全机制合理且适用于设备,使用决策树确定机制适用性并提供决策依据。
-
功能测试:通过实际测试验证文档准确性,确保安全机制正确实施。
-
安全测试:采用模糊测试、渗透测试和代码审查等技术,模拟潜在攻击以识别漏洞,评估安全措施的有效性。
与其他标准的关系
EN 18031 与 ETSI 303 645 等现有标准有一定映射关系,制造商可借助现有合规工作来理解与 EN 18031 要求的一致性,发现并弥补差距。
总之,EN 18031 为欧盟市场上的无线电设备制造商提供了明确的网络安全标准和评估方法,有助于保障相关设备的安全性和用户数据隐私,推动整个行业的网络安全水平提升。
领世达实验室
实验室拥有中国CNAS、ISO9001、国家高新技术等多项资质,聚焦于物联网设备、无线通信类设备及相关产品的网络信息安全测试认证。主要研究和测试方向包括物联网与车联网安全、系统与软件安全、密码学与安全协议、射频测试与EMC等
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
