歐盟RED網(wǎng)絡(luò)安全標準EN 18031-2
歐盟網(wǎng)絡(luò)安全新規(guī)來了,2025年1月30日,歐盟委員會通過《歐盟公報》(OJEU)發(fā)布了編號為(EU) 2025/138的決策文件,正式將EN 18031-1、EN 18031-2及EN 18031-3這三項標準納入《無線電設(shè)備指令》(RED)的協(xié)調(diào)標準名錄之中。此新規(guī)定于2025年8月1日起生效并將強制執(zhí)行,對于無線設(shè)備制造商來說,這是一個重大的變革與挑戰(zhàn)。
EN 18031系列標準為無線電設(shè)備滿足歐盟將在2025年8月1日強制執(zhí)行的網(wǎng)絡(luò)安全授權(quán)法案 (Radio Equipment Directive Delegated Act) 設(shè)定了嚴格規(guī)范。其中,EN 18031-2對應(yīng)RED指令中的Article 3.3(e),確保無線電設(shè)備具備相應(yīng)的隱私保護功能,為了避免這些設(shè)備被濫用于未經(jīng)授權(quán)的訪問或防止個人信息泄露。
適用產(chǎn)品范圍:
能夠處理個人隱私數(shù)據(jù)的可聯(lián)網(wǎng)無線電設(shè)備。
不具備聯(lián)網(wǎng)能力的三類無線電設(shè)備:玩具、兒童護理類設(shè)備、可穿戴類設(shè)備。
主要測試與評估內(nèi)容:
EN 18031-2涉及兩類資產(chǎn):安全資產(chǎn)與隱私資產(chǎn),主要測試與評估內(nèi)容如下:
通用評估條款:
訪問控制機制:驗證設(shè)備是否實現(xiàn)了適當(dāng)?shù)脑L問控制機制,確保只有授權(quán)人員能夠訪問和處理敏感數(shù)據(jù)。此外,對于兒童護理或玩具類設(shè)備,還要求實現(xiàn)不可繞過的家長/監(jiān)護人權(quán)限管理,以保護兒童的隱私和安全。
安全更新機制:設(shè)備應(yīng)至少具備一種可用于更新其資產(chǎn)相關(guān)軟件的機制,如通過配套APP、Web管理界面或USB本地更新接口實現(xiàn)。確保設(shè)備的軟件和固件能夠安全、可靠的進行更新。
安全存儲機制:設(shè)備應(yīng)通過訪問權(quán)限控制或數(shù)據(jù)加密等手段保護持久保存在本地的資產(chǎn),保證其完整性與機密性。測試人員將確認相關(guān)加密措施是否有效,包括加密算法的強度、密鑰管理的安全性等,以防止數(shù)據(jù)被未授權(quán)訪問或篡改。
安全通信機制:設(shè)備在涉及到和網(wǎng)絡(luò)資產(chǎn)和安全資產(chǎn)有關(guān)的通信時,應(yīng)采用適當(dāng)?shù)氖侄伪U贤ㄐ诺耐暾、真實性和機密性。例如,采用TLS1.2及以上版本的安全通信協(xié)議,采用符合當(dāng)下密碼學(xué)實踐的加密套件。