咨詢熱線:0769-3882-6677中文版ENGLISH

歐盟RED指令網絡安全標準-EN 18031解讀

Date: 2024-12-25Hits: 16401
導讀:2024年8月底,歐盟正式發布了EN18031系列標準,助力滿足相關產品在RED指令中網絡安全的要求。 ...

2024年8月底,歐盟正式發布了EN18031系列標準,助力滿足相關產品在RED指令中網絡安全的要求。

RED 2014/53/EU的網絡安全

RED 2014/53/EU,即無線電設備指令(The Radio Equipment Directive),是歐洲針對無線產品的一項認證指令,Article 3.3(d\(e\(f 中,規定了網絡安全的要求內容:

(d)radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing anunacceptable degradation of service;

無線電設備不會損害網絡或其功能,也不會濫用網絡資源,從而導致不可接受的服務降級;

(e) radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;

無線電設備包含保障措施,以確保用戶和用戶的個人數據和隱私受到保護;

(f)radio equipment supports certain features ensuring protection from fraud;

無線電設備支持某些功能,確保防止欺詐;

RED補充指令 2022/30/EU 


詳細說明了Article 3.3(d/(e/(f 的額外細節

RED補充指令 2023/2444/EU 


強制日期推遲到2025年8月1日。


EN 18031

EN 18031 是由歐洲標準化委員會(CEN)和歐洲電工標準化委員會(CENELEC)聯合技術委員會 JTC 13 WG8 開發的協調標準,該委員會專注于網絡安全和數據保護。其主要目的是提高無線電設備保護其安全資產和網絡資產免受常見網絡安全威脅的能力,并減少已知的公開可利用漏洞。

2024年8月底,正式發布EN18031系列標準。
RED與EN 18031關系



適用范圍

●Article3.3(d)(EN 18031-1)

無線電設備不會對網絡或其運行產生有害影響,不會濫用網絡資源而導致服務受到嚴重影響。

適用于任何可以通過互聯網進行通信的無線電設備,無論是直接通信還是通過任何其它設備(互聯網連接的無線電設備)進行通信。

●Article3.3(e)(EN 18031-2)

無線電設備應有安全措施,確保用戶和訂戶的個人數據和隱私得到保護 。

適用于能夠處理個人數據或流量數據和位置數據的以下設備:

a) 連接互聯網的無線設備,但b)、c)、d) 所述設備除外(即不聯網也需要測試);

b) 專為兒童看護設計的無線電設備;

c) 符合玩具指令 (2009/48/EC) 規定的無線電設備;

d) 設計或計劃(無論是否專用于)佩戴、捆綁或懸掛在人體或衣服上的無線電設備。(人體包括頭、頸、軀干、手臂、手、腿和腳;服裝包括頭飾、手飾和鞋履)。

●Article3.3(f)(EN 18031-3)

無線電設備應有安全措施,確保用戶和訂戶的個人數據和隱私得到保護。

適用于允許持有人或用戶轉移貨幣、貨幣價值或虛擬貨幣的聯網無線電設備。

豁免范圍

●Article 3.3 (d)、(e)和(f)不適用

(EU) 2017/745和(EU)2017/746條例監管的醫療設備。

●Article 3.3 (e)和(f)不適用

(EU) 2018/1139條例監管的遠程控制無人機設備以及可能安裝在飛機上的非機載特定無線電設備

(EU) 2019/2144條例監管的機動車輛及相關系統部件

(EU) 2019/520指令監管的道路收費系統

EN 18031 共性及差異性評估項目

EN 18031的評估流程


EN 18031系列標準將評估內容分成了四類資產:安全資產、網絡資產、隱私資產和金融資產。

其中安全資產在三個標準中均有要求,而其他三種分別對應EN 18031-1/2/3三個標準,根據資產類型有不同的側重點。



步驟1

制造商識別出4類資產:網絡資產、隱私資產、金融資產和安全資產;

步驟2

針對每個資產按照標準中的不同安全機制要求分別進行評估。





步驟3

制造商需要根據產品安全設計細節和使用環境,參照每個條款決策樹的內容,提供相應的判斷和充分的理由;

認證過程中還需要將資產識別表、技術設計文檔,以及判決理由陳述等文件提交給測試機構。


步驟4

測試機構對安全機制的適用和適當性做出概念評估、功能完整性評估以及功能充分性評估。

概念評估:檢查提供的文件和實施理由是否提供了所需的證據(例如,網絡接口通信矩陣文檔);

功能完整性評估:檢查并測試所提供的文檔是否完整(例如,使用網絡掃描器驗證所有外部接口是否已正確識別、記錄和評估);

功能充分性評估:檢查和測試實現是否足夠(例如,在網絡接口上運行模糊測試工具,檢查它是否能夠抵御格式錯誤數據的攻擊)。

      東電軟件與信息安全實驗室是由廣東東電檢測技術有限公司出資承建的第三方軟件檢測實驗室。實驗室占地面積約400平方米,擁有完善的硬件設施和先進的國際知名品牌測試工具。

實驗室依托東電檢測豐厚的技術經驗和專業的人才團隊,為物聯網設備、智能網聯汽車、信息系統等領域提供功能、性能、軟件故障診斷與分析、滲透、漏洞掃描、安全風險評估等一系列的檢測服務工作。



上一篇:面向新能源、自動駕駛! ——東電檢測建成一座下一篇:注意!印尼SDPPI海外認可實驗室清單已失效!
?
檢測中心
 認證服務
 新聞動態
 關于東電
 服務支持
 聯系我們

業務咨詢:(東莞)0769-38826677   總部電話:0769-3882-6678   傳真:0769-3882-6679
公司地址:(總部)東莞松山湖高新技術產業開發區總部二路17號B棟;

郵箱:service@dgddt.com; Copyright © 2018-2019 http://www.bokezhuti.cn 廣東東電檢測技術有限公司 版權所有
檢測認證公司   認證機構 粵ICP備17000636號

?

微信咨詢
微信咨詢微信咨詢

專線聯系

0769-3882 6677
專線聯系電話

?

微信公眾號
微信咨詢關注微信公眾號