歐盟RED網(wǎng)絡(luò)安全標(biāo)準(zhǔn)EN 18031-2

歐盟網(wǎng)絡(luò)安全新規(guī)來(lái)了，2025年1月30日，歐盟委員會(huì)通過(guò)《歐盟公報(bào)》（OJEU）發(fā)布了編號(hào)為(EU) 2025/138的決策文件，正式將EN 18031-1、EN 18031-2及EN 18031-3這三項(xiàng)標(biāo)準(zhǔn)納入《無(wú)線(xiàn)電設(shè)備指令》（RED）的協(xié)調(diào)標(biāo)準(zhǔn)名錄之中。此新規(guī)定于2025年8月1日起生效并將強(qiáng)制執(zhí)行，對(duì)于無(wú)線(xiàn)設(shè)備制造商來(lái)說(shuō)，這是一個(gè)重大的變革與挑戰(zhàn)。

EN 18031系列標(biāo)準(zhǔn)為無(wú)線(xiàn)電設(shè)備滿(mǎn)足歐盟將在2025年8月1日強(qiáng)制執(zhí)行的網(wǎng)絡(luò)安全授權(quán)法案 (Radio Equipment Directive Delegated Act) 設(shè)定了嚴(yán)格規(guī)范。其中，EN 18031-2對(duì)應(yīng)RED指令中的Article 3.3(e)，確保無(wú)線(xiàn)電設(shè)備具備相應(yīng)的隱私保護(hù)功能，為了避免這些設(shè)備被濫用于未經(jīng)授權(quán)的訪(fǎng)問(wèn)或防止個(gè)人信息泄露。

適用產(chǎn)品范圍：

能夠處理個(gè)人隱私數(shù)據(jù)的可聯(lián)網(wǎng)無(wú)線(xiàn)電設(shè)備。

不具備聯(lián)網(wǎng)能力的三類(lèi)無(wú)線(xiàn)電設(shè)備：玩具、兒童護(hù)理類(lèi)設(shè)備、可穿戴類(lèi)設(shè)備。

主要測(cè)試與評(píng)估內(nèi)容：

EN 18031-2涉及兩類(lèi)資產(chǎn)：安全資產(chǎn)與隱私資產(chǎn)，主要測(cè)試與評(píng)估內(nèi)容如下：

通用評(píng)估條款：

訪(fǎng)問(wèn)控制機(jī)制：驗(yàn)證設(shè)備是否實(shí)現(xiàn)了適當(dāng)?shù)脑L(fǎng)問(wèn)控制機(jī)制，確保只有授權(quán)人員能夠訪(fǎng)問(wèn)和處理敏感數(shù)據(jù)。此外，對(duì)于兒童護(hù)理或玩具類(lèi)設(shè)備，還要求實(shí)現(xiàn)不可繞過(guò)的家長(zhǎng)/監(jiān)護(hù)人權(quán)限管理，以保護(hù)兒童的隱私和安全。

安全更新機(jī)制：設(shè)備應(yīng)至少具備一種可用于更新其資產(chǎn)相關(guān)軟件的機(jī)制，如通過(guò)配套APP、Web管理界面或USB本地更新接口實(shí)現(xiàn)。確保設(shè)備的軟件和固件能夠安全、可靠的進(jìn)行更新。

安全存儲(chǔ)機(jī)制：設(shè)備應(yīng)通過(guò)訪(fǎng)問(wèn)權(quán)限控制或數(shù)據(jù)加密等手段保護(hù)持久保存在本地的資產(chǎn)，保證其完整性與機(jī)密性。測(cè)試人員將確認(rèn)相關(guān)加密措施是否有效，包括加密算法的強(qiáng)度、密鑰管理的安全性等，以防止數(shù)據(jù)被未授權(quán)訪(fǎng)問(wèn)或篡改。

安全通信機(jī)制：設(shè)備在涉及到和網(wǎng)絡(luò)資產(chǎn)和安全資產(chǎn)有關(guān)的通信時(shí)，應(yīng)采用適當(dāng)?shù)氖侄伪Ｕ贤ㄐ诺耐暾�性、真�?shí)性和機(jī)密性。例如，采用TLS1.2及以上版本的安全通信協(xié)議，采用符合當(dāng)下密碼學(xué)實(shí)踐的加密套件。