欧盟RED指令网络安全标准-EN 18031解读
Date: 2024-12-25Hits: 25
导读:2024年8月底,欧盟正式发布了EN18031系列标准,助力满足相关产品在RED指令中网络安全的要求。 ...
2024年8月底,欧盟正式发布了EN18031系列标准,助力满足相关产品在RED指令中网络安全的要求。
RED 2014/53/EU的网络安全
RED 2014/53/EU,即无线电设备指令(The Radio Equipment Directive),是欧洲针对无线产品的一项认证指令,Article 3.3(d\(e\(f 中,规定了网络安全的要求内容:
(d)radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing anunacceptable degradation of service;
无线电设备不会损害网络或其功能,也不会滥用网络资源,从而导致不可接受的服务降级;
(e) radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;
无线电设备包含保障措施,以确保用户和用户的个人数据和隐私受到保护;
(f)radio equipment supports certain features ensuring protection from fraud;
无线电设备支持某些功能,确保防止欺诈;
RED补充指令 2022/30/EU
详细说明了Article 3.3(d/(e/(f 的额外细节
RED补充指令 2023/2444/EU
强制日期推迟到2025年8月1日。
EN 18031 是由欧洲标准化委员会(CEN)和欧洲电工标准化委员会(CENELEC)联合技术委员会 JTC 13 WG8 开发的协调标准,该委员会专注于网络安全和数据保护。其主要目的是提高无线电设备保护其安全资产和网络资产免受常见网络安全威胁的能力,并减少已知的公开可利用漏洞。
2024年8月底,正式发布EN18031系列标准。
RED与EN 18031关系
适用范围
●Article3.3(d)(EN 18031-1)
无线电设备不会对网络或其运行产生有害影响,不会滥用网络资源而导致服务受到严重影响。
适用于任何可以通过互联网进行通信的无线电设备,无论是直接通信还是通过任何其它设备(互联网连接的无线电设备)进行通信。
●Article3.3(e)(EN 18031-2)
无线电设备应有安全措施,确保用户和订户的个人数据和隐私得到保护 。
适用于能够处理个人数据或流量数据和位置数据的以下设备:
a) 连接互联网的无线设备,但b)、c)、d) 所述设备除外(即不联网也需要测试);
b) 专为儿童看护设计的无线电设备;
c) 符合玩具指令 (2009/48/EC) 规定的无线电设备;
d) 设计或计划(无论是否专用于)佩戴、捆绑或悬挂在人体或衣服上的无线电设备。(人体包括头、颈、躯干、手臂、手、腿和脚;服装包括头饰、手饰和鞋履)。
●Article3.3(f)(EN 18031-3)
无线电设备应有安全措施,确保用户和订户的个人数据和隐私得到保护。
适用于允许持有人或用户转移货币、货币价值或虚拟货币的联网无线电设备。
豁免范围
●Article 3.3 (d)、(e)和(f)不适用
(EU) 2017/745和(EU)2017/746条例监管的医疗设备。
●Article 3.3 (e)和(f)不适用
(EU) 2018/1139条例监管的远程控制无人机设备以及可能安装在飞机上的非机载特定无线电设备
(EU) 2019/2144条例监管的机动车辆及相关系统部件
(EU) 2019/520指令监管的道路收费系统
EN 18031 共性及差异性评估项目
EN 18031的评估流程
EN 18031系列标准将评估内容分成了四类资产:安全资产、网络资产、隐私资产和金融资产。
其中安全资产在三个标准中均有要求,而其他三种分别对应EN 18031-1/2/3三个标准,根据资产类型有不同的侧重点。
步骤1
制造商识别出4类资产:网络资产、隐私资产、金融资产和安全资产;
步骤2
针对每个资产按照标准中的不同安全机制要求分别进行评估。
步骤3
制造商需要根据产品安全设计细节和使用环境,参照每个条款决策树的内容,提供相应的判断和充分的理由;
认证过程中还需要将资产识别表、技术设计文档,以及判决理由陈述等文件提交给测试机构。
步骤4
测试机构对安全机制的适用和适当性做出概念评估、功能完整性评估以及功能充分性评估。
概念评估:检查提供的文件和实施理由是否提供了所需的证据(例如,网络接口通信矩阵文档);
功能完整性评估:检查并测试所提供的文档是否完整(例如,使用网络扫描器验证所有外部接口是否已正确识别、记录和评估);
功能充分性评估:检查和测试实现是否足够(例如,在网络接口上运行模糊测试工具,检查它是否能够抵御格式错误数据的攻击)。
东电软件与信息安全实验室是由广东东电检测技术有限公司出资承建的第三方软件检测实验室。实验室占地面积约400平方米,拥有完善的硬件设施和先进的国际知名品牌测试工具。
实验室依托东电检测丰厚的技术经验和专业的人才团队,为物联网设备、智能网联汽车、信息系统等领域提供功能、性能、软件故障诊断与分析、渗透、漏洞扫描、安全风险评估等一系列的检测服务工作。
上一篇:电子产品怎么做UL认证?您是否遇到以下难题?下一篇:没有了。
- 友情链接: 东电检测阿里巴巴店铺
东电检测
| 检测中心 | 认证服务 | 新闻动态 | 关于东电 | 服务支持 | 联系我们 |
 |
业务咨询:(东莞)0769-38826677,(天津) 022-58038033 总部电话:0769-3882-6678 传真:0769-3882-6679 (天津)天津开发区微电子工业区微四路19号D栋:(广州)广州市增城区增江街道纬五路4号5栋102-112
邮箱:service@dgddt.com; Copyright © 2018-2019 http://www.dgddt.com 广东东电检测技术有限公司 版权所有 |
 |
微信咨询
关注微信公众号