歐盟RED指令EN18031網(wǎng)絡安全標準測試如何辦理？2024年8月底，歐盟正式發(fā)布了EN18031系列標準，助力滿足相關(guān)產(chǎn)品在RED指令中網(wǎng)絡安全的要求。

　　RED 2014/53/EU的網(wǎng)絡安全

　　RED 2014/53/EU，即無線電設備指令（The Radio Equipment Directive），是歐洲針對無線產(chǎn)品的一項認證指令，Article 3.3（d\（e\（f 中，規(guī)定了網(wǎng)絡安全的要求內(nèi)容：

　　（d）radio equipment does not harm the network or its functioning nor misuse network resources, thereby causing anunacceptable degradation of service；

　　無線電設備不會損害網(wǎng)絡或其功能，也不會濫用網(wǎng)絡資源，從而導致不可接受的服務降級；

　?。╡） radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and of the subscriber are protected;

　　無線電設備包含保障措施，以確保用戶和用戶的個人數(shù)據(jù)和隱私受到保護；

　　（f）radio equipment supports certain features ensuring protection from fraud；

　　無線電設備支持某些功能，確保防止欺詐；

　　RED補充指令 2022/30/EU 詳細說明了Article 3.3（d/（e/（f 的額外細節(jié)

　　RED補充指令 2023/2444/EU 強制日期推遲到2025年8月1日。

　　EN 18031介紹

　　EN 18031 是由歐洲標準化委員會（CEN）和歐洲電工標準化委員會（CENELEC）聯(lián)合技術(shù)委員會 JTC 13 WG8 開發(fā)的協(xié)調(diào)標準，該委員會專注于網(wǎng)絡安全和數(shù)據(jù)保護。其主要目的是提高無線電設備保護其安全資產(chǎn)和網(wǎng)絡資產(chǎn)免受常見網(wǎng)絡安全威脅的能力，并減少已知的公開可利用漏洞。

　　2024年8月底，正式發(fā)布EN18031系列標準。

　　適用范圍

　　1、Article3.3（d）（EN 18031-1）

　　無線電設備不會對網(wǎng)絡或其運行產(chǎn)生有害影響，不會濫用網(wǎng)絡資源而導致服務受到嚴重影響。

　　適用于任何可以通過互聯(lián)網(wǎng)進行通信的無線電設備，無論是直接通信還是通過任何其它設備（互聯(lián)網(wǎng)連接的無線電設備）進行通信。

　　2、Article3.3（e）（EN 18031-2）

　　無線電設備應有安全措施，確保用戶和訂戶的個人數(shù)據(jù)和隱私得到保護 。

　　適用于能夠處理個人數(shù)據(jù)或流量數(shù)據(jù)和位置數(shù)據(jù)的以下設備：

　　a）連接互聯(lián)網(wǎng)的無線設備，但b）c）d） 所述設備除外（即不聯(lián)網(wǎng)也需要測試）；

　　b）專為兒童看護設計的無線電設備；

　　c）符合玩具指令（2009/48/EC）規(guī)定的無線電設備；

　　d）設計或計劃（無論是否專用于）佩戴、捆綁或懸掛在人體或衣服上的無線電設備。（人體包括頭、頸、軀干、手臂、手、腿和腳；服裝包括頭飾、手飾和鞋履）。

　　3、Article3.3（f）（EN 18031-3）

　　無線電設備應有安全措施，確保用戶和訂戶的個人數(shù)據(jù)和隱私得到保護。

　　適用于允許持有人或用戶轉(zhuǎn)移貨幣、貨幣價值或虛擬貨幣的聯(lián)網(wǎng)無線電設備。

　　EN 18031的評估流程

　　EN 18031系列標準將評估內(nèi)容分成了四類資產(chǎn)：安全資產(chǎn)、網(wǎng)絡資產(chǎn)、隱私資產(chǎn)和金融資產(chǎn)。

　　其中安全資產(chǎn)在三個標準中均有要求，而其他三種分別對應EN 18031-1/2/3三個標準，根據(jù)資產(chǎn)類型有不同的側(cè)重點。

　　步驟1：制造商識別出4類資產(chǎn)：網(wǎng)絡資產(chǎn)、隱私資產(chǎn)、金融資產(chǎn)和安全資產(chǎn)；

　　步驟2：針對每個資產(chǎn)按照標準中的不同安全機制要求分別進行評估。

　　步驟3：制造商需要根據(jù)產(chǎn)品安全設計細節(jié)和使用環(huán)境，參照每個條款決策樹的內(nèi)容，提供相應的判斷和充分的理由；

　　認證過程中還需要將資產(chǎn)識別表、技術(shù)設計文檔，以及判決理由陳述等文件提交給測試機構(gòu)。

　　步驟4：測試機構(gòu)對安全機制的適用和適當性做出概念評估、功能完整性評估以及功能充分性評估。

　　概念評估：檢查提供的文件和實施理由是否提供了所需的證據(jù)（例如，網(wǎng)絡接口通信矩陣文檔）；

　　功能完整性評估：檢查并測試所提供的文檔是否完整（例如，使用網(wǎng)絡掃描器驗證所有外部接口是否已正確識別、記錄和評估）；

　　功能充分性評估：檢查和測試實現(xiàn)是否足夠（例如，在網(wǎng)絡接口上運行模糊測試工具，檢查它是否能夠抵御格式錯誤數(shù)據(jù)的攻擊）。

　　以上資料由環(huán)測威檢測整理發(fā)布，如有疑問或需檢測認證歡迎與環(huán)測威檢測直接溝通（4008-707-283）。深圳CTB檢測機構(gòu)擁有自建實驗室，為廣大客戶提供各行各業(yè)的檢測認證服務，深受廣大客戶信賴。