问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

欧盟RED指令网络安全标准-EN 18031解读

创作时间:
作者:
@小白创作中心

欧盟RED指令网络安全标准-EN 18031解读

引用
1
来源
1.
http://www.ddttest.com/news/144.html

欧盟于2024年8月底正式发布了EN 18031系列标准,以助力相关产品满足RED指令中的网络安全要求。本文将对这一新标准进行详细解读,包括其背景、具体内容、适用范围以及评估流程。

2024年8月底,欧盟正式发布了EN18031系列标准,助力满足相关产品在RED指令中网络安全的要求。

RED 2014/53/EU的网络安全

RED 2014/53/EU,即无线电设备指令(The Radio Equipment Directive),是欧洲针对无线产品的一项认证指令,Article 3.3(d\(e\(f 中,规定了网络安全的要求内容:

  • (d)radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing anunacceptable degradation of service;
    无线电设备不会损害网络或其功能,也不会滥用网络资源,从而导致不可接受的服务降级;

  • (e) radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;
    无线电设备包含保障措施,以确保用户和用户的个人数据和隐私受到保护;

  • (f)radio equipment supports certain features ensuring protection from fraud;
    无线电设备支持某些功能,确保防止欺诈;

RED补充指令 2022/30/EU

详细说明了Article 3.3(d/(e/(f 的额外细节

RED补充指令 2023/2444/EU

强制日期推迟到2025年8月1日。

EN 18031

EN 18031 是由欧洲标准化委员会(CEN)和欧洲电工标准化委员会(CENELEC)联合技术委员会 JTC 13 WG8 开发的协调标准,该委员会专注于网络安全和数据保护。其主要目的是提高无线电设备保护其安全资产和网络资产免受常见网络安全威胁的能力,并减少已知的公开可利用漏洞。

2024年8月底,正式发布EN18031系列标准。

RED与EN 18031关系

适用范围

  • Article3.3(d)(EN 18031-1)
    无线电设备不会对网络或其运行产生有害影响,不会滥用网络资源而导致服务受到严重影响。
    适用于任何可以通过互联网进行通信的无线电设备,无论是直接通信还是通过任何其它设备(互联网连接的无线电设备)进行通信。

  • Article3.3(e)(EN 18031-2)
    无线电设备应有安全措施,确保用户和订户的个人数据和隐私得到保护 。
    适用于能够处理个人数据或流量数据和位置数据的以下设备:
    a) 连接互联网的无线设备,但b)、c)、d) 所述设备除外(即不联网也需要测试);
    b) 专为儿童看护设计的无线电设备;
    c) 符合玩具指令 (2009/48/EC) 规定的无线电设备;
    d) 设计或计划(无论是否专用于)佩戴、捆绑或悬挂在人体或衣服上的无线电设备。(人体包括头、颈、躯干、手臂、手、腿和脚;服装包括头饰、手饰和鞋履)。

  • Article3.3(f)(EN 18031-3)
    无线电设备应有安全措施,确保用户和订户的个人数据和隐私得到保护。
    适用于允许持有人或用户转移货币、货币价值或虚拟货币的联网无线电设备。

豁免范围

  • Article 3.3 (d)、(e)和(f)不适用
    (EU) 2017/745和(EU)2017/746条例监管的医疗设备。

  • Article 3.3 (e)和(f)不适用
    (EU) 2018/1139条例监管的远程控制无人机设备以及可能安装在飞机上的非机载特定无线电设备
    (EU) 2019/2144条例监管的机动车辆及相关系统部件
    (EU) 2019/520指令监管的道路收费系统

EN 18031 共性及差异性评估项目

EN 18031的评估流程

EN 18031系列标准将评估内容分成了四类资产:安全资产、网络资产、隐私资产和金融资产。
其中安全资产在三个标准中均有要求,而其他三种分别对应EN 18031-1/2/3三个标准,根据资产类型有不同的侧重点。

步骤1

制造商识别出4类资产:网络资产、隐私资产、金融资产和安全资产;

步骤2

针对每个资产按照标准中的不同安全机制要求分别进行评估。

步骤3

制造商需要根据产品安全设计细节和使用环境,参照每个条款决策树的内容,提供相应的判断和充分的理由;
认证过程中还需要将资产识别表、技术设计文档,以及判决理由陈述等文件提交给测试机构。

步骤4

测试机构对安全机制的适用和适当性做出概念评估、功能完整性评估以及功能充分性评估。
概念评估:检查提供的文件和实施理由是否提供了所需的证据(例如,网络接口通信矩阵文档);
功能完整性评估:检查并测试所提供的文档是否完整(例如,使用网络扫描器验证所有外部接口是否已正确识别、记录和评估);
功能充分性评估:检查和测试实现是否足够(例如,在网络接口上运行模糊测试工具,检查它是否能够抵御格式错误数据的攻击)。

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号