標準解讀 | 歐盟RED網絡安全標準EN 18031-1

歐盟委員會于2022年發布了RED指令補充授權法案(EU) 2022/30，對無線電設備的網絡安全、隱私保護和反欺詐等方面提出了明確要求。針對RED中的網絡安全要求，歐盟于2024年8月發布EN 18031標準。

2025年1月30日，歐盟委員會正式將EN 18031標準列入《歐盟官方公報》（OJ）的《無線電設備指令》（RED）協調標準清單。該法案將于2025年8月1日正式實施，屆時無線電設備必須符合RED指令第3(3)條(d)、(e)和(f)點的網絡信息安全要求才能進入歐盟市場銷售。其中，EN 18031-1對應RED指令中的Article 3.3(d)，聚焦于連接互聯網的無線電設備，在保障網絡安全、規范市場秩序等方面發揮著關鍵作用。

適用產品范圍：

直接聯網的無線電設備：能夠獨立連接到互聯網并進行通信的無線電設備，例如智能手機、平板電腦、智能家居設備等。

間接聯網的無線電設備：設備本身不具備獨立聯網能力，但可通過其他可聯網的中介設備（如網關、手機）與互聯網通信。

評估要點說明：

EN 18031系列標準將評估對象按資產分為安全資產、網絡資產、隱私資產和金融資產四類。

安全資產：關乎設備自身的安全防護機制，如設備的訪問控制、認證等功能；

網絡資產：側重于設備與網絡交互過程中的安全性，防止對網絡造成損害；

隱私資產：聚焦于保護用戶的個人數據和隱私，避免數據被非法獲取和使用；

金融資產：則主要針對涉及金融交易功能的設備，確保交易安全，防止欺詐。

EN 18031-1標準主要管制安全資產與網絡資產兩個方面，旨在確保無線電設備在連接互聯網時不會對網絡或其功能造成損害，并防止濫用網絡資源，從而避免服務質量的不可接受下降。

EN 18031-1標準主要測試與評估內容：

安全通信機制：確保設備在進行網絡通信時采用安全傳輸措施，防止未經授權的訪問、篡改或重放攻擊。如：TLS 加密、WPA2認證、AES-CCM保護；

安全更新機制：確保設備的可更新性，更新過程的安全性。如：通過數字簽名驗證固件包的完整性、禁用未加密的HTTP通道；

流量控制機制：對于網絡設備應有效管理和限制流量，防止未授權的訪問。如：IPv4過濾、MAC地址過濾、VPN。