- 中文/English
- 4008-838-258
-
随着万物互联时代的到来,IoT物联网设备在我们身边已随处可见,它们的出现给人们生活工作提供了方便,但与此同时也为黑客们提供了实施网络攻击的温床。所以,IoT产品自身是否安全,这已经是摆在制造商面前不得不面对的问题。
网络安全涉及到方方面面,既关系普通百姓的日常生活,也可上升到国计民生、地缘政治。所以现在世界各地政府都非常重视网络安全能力的建设,陆续推出了与网络安全相关的法规和标准。
什么是RED-DA?
2022年1月欧盟推出了RED-DA补充指令RED Delegated Regulation activates (EU)2022/30,该指令是在2014年5月发布的无线电设备准入指令RED(2014/53/EU)基础上,提出了针对无线电设备在网络安全方面的强制说明,指令强制时间为2025年8月1日,内容包括3条,分别是:
01
原文Article 3.3 d:
“radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing an unacceptable degradation of service”.
原文大意:
无线电设备避免损害网络或网络上的其它功用,也要避免滥用网络资源,从而导致不可接受的网络损失。
法规解读:
需要对能连网的无线电设备加强网络安全防护措施,比如:在产品的用户访问控制、用户认证、安全更新、安全通信等方面。
02
原文Article 3.3.e:
“radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected”.
原文大意:
无线电设备需设有网络安全保障措施,以确保使用者或客户的个人数据及隐私数据得到保障。
法规解读:
凡是存在有处理个人数据、道路交通数据、地理位置数据的无线电产品,需要对该设备加强网络安全防护措施,比如:用户信息采集通知、隐私声明、日志记录及隐私数据的访问控制等。
03
原文Article 3.3.f :
“radio equipment supports certain features ensuring protection from fraud”.
原文大意:
无线设备需有抵御金融反欺诈的能力。
法规解读:
凡是存在有金钱交易的无线电设备,不管是现金还是虚拟货币,该设备都需要满足反欺诈的能力要求,比如:设备是否有用到加密机制、保密机制、完整性保护机制。是否有银行卡信息、交易密码等数据泄露等问题。
RED-DA覆盖范围
RED-DA是针对无线电产品的网络安全强制法规,涉及范围覆盖广泛,包括但不限于,具体还需根据标准的判定条件来决定:
电子设备
如智能手机、平板电脑、电子相机等;
电信设备
如路由器、交换机等网络通信设备;
物联网设备
如智能家居设备、智能工业控制设备;
玩具和儿童保育设备
如婴儿监视器等;
可穿戴设备
如智能手表、健身追踪器等;
特殊行业设备
汽车电子 、无人机、道路交路管理系统(仅适合EN18031-1);
金融交易产品
如POS机、其它金融终端机;
智慧警报设备
含无线功能的自动报警装置等。
豁免范围
医疗器械设备:被2017/745和(EU) 2017/746条例覆盖的医疗设备;
特殊行业设备:被(EU) 2018/1139条例覆盖无人机设备、被(EU) 2019/2144条例覆盖的机动车辆及零部件、被(EU) 2019/520指令覆盖的道路收费系统(仅豁免EN18031-2和-3,-1仍然适用)。
EN 18031标准介绍
在此背景下,欧盟于 2024 年 2 月发布了针对RED-DA 网络安全指令的 prEN 18031 Draft标准,并于8月发布了EN 18031 的Final版本。
EN 18031 系列标准由三部分组成 :
EN 18031-1:
涵盖 RED 指令第 3.3 (d) 条,适用于任何可以通过互联网进行通信的无线电设备,关注无线电设备对网络的影响及网络资源的合理使用,要求设备不会对网络或其运行产生有害影响,不会滥用网络资源而导致服务受到严重影响 。
EN 18031-2:
对应 RED 指令第 3.3 (e) 条,适用于能够处理个人数据、交通数据和位置数据的设备,包括连接互联网的无线设备、专为儿童看护设计的无线电设备、符合 Toys Directive (2009/48/EC) 规定的无线电设备以及设计或计划佩戴、捆绑或悬挂在人体或衣服上的无线电设备等,侧重于保护用户和订单客户的个人数据和隐私。
EN 18031-3:
针对 RED 指令第 3.3 (f) 条,适用于允许持有人或用户转移货币、货币价值或虚拟货币的连网无线电设备,确保设备在处理金融相关操作时的安全性。
EN18031各子标准与安全需求对应表
注释:“√”表示有要求,“×”表示不要求
信测评估测试方案
(1) 项目流程:
(2) 测试步骤:
信测网络安全能力介绍
信测标准下设网络安全业务产线,目前该产线由业务销售组、项目管理组、顾问咨询组、安全实验室组成,可以为客户提供优质高效的服务:
如果您想进一步了解,欢迎联系咨询
EMTEK
邮箱:Security@emtek.com.cn
电话:0755-26954280-840
全国热线:4008-838-258
邮箱: