法规详解 | RED指令补充授权(EU)2022/30法案技术详解

2022年1月12日，欧洲委员会正式发布了 (EU) 2022/30法案，规定相关产品制造商在设计和生产中必须考虑到RED指令的三点网络安全要求。规定的适用产品包括大多数可接入互联网的无线终端设备，如路由器，摄像头，智能门锁，智能家电，玩具和儿童看护设备等，但是不包含其他特定指令监管的设备如汽/车、医疗器械和民航相关的系统。此法案将给制造商留出30个月的缓冲期，将于2024年8月1日正式生效，作为RED认证的一部份，强制执行。

标准演进的时间节点

· 2021/10/29：托管法案被欧盟委员会采纳；

· 2022/01/10：协调标准的标准化要求草案由欧盟委员会出版；

· 2022/01/12：托管法案由官方(Official Journal)发布；

· 2022/02/02：托管法案发布后20天正式生效(要求Notified Body参与)；

· 2022/04：欧洲标准化组织官方标准化要求；

· 2023/10：欧盟委员会期望发布协调标准；

· 2024/08/01：该法案正式生效。

该法案与RED指令与第3（3）（d）、（e）和（f）三点要求有关：

第3（3）（d），以确保网络不受损害，不被误用

期望：

o   设备如预期工作；

o   设备不能妥协违背；

o   无线冒充设备不能干/扰网络（安全）。

举例：

o   错误数据发送至网络接口不能进一步处理和限流是为了避免资源耗竭；

o   通信参数的系统配置仅能被授权用户修改；

o   凭证的充分保护是为了防止异常链路和进一步误用；

o   使用升级安全软件能保护设备完整性；

o   保护免拒绝服务攻击，不成为其中一部分。

安全目标：

o   获得控制（包括检测和阻断未经授权的取得）；

o   输入验证；

o   软件完整；

o   安全软件上传。

第3（3）（e），以确保个人数据和隐私受到保护

期望：

o   防止未经授权进入和对个人数据的加工；

o   防止个人数据泄露。

举例：

o   在外部接口应该需要进行身份认证以防未经授权而获得数据；

o   初次使用时，强制将出厂默认凭证更改为唯一凭证；

o   确保仅是授权用户能执行一定的操作，比如添加新用户；

o   经授权或同意，坐标信息和其他隐私敏感数据是可访问的。

安全目标：

o   通过标识、身份验证和授权建立访问控制；

o   建立角色访问来保护某些功能和数据；

o   保护个人数据，像存储或传输时的个人资料加密；

o   远程数据的传输应该备有证书文件，由用户授权和保护。

第3（3）（f），以确保防止欺诈

期望：

o   建立使用设备的人与任何远程系统/人的身份；

o   沟通的完整性和不可否认性；

o   建立授权/少特权。

举例：

o   保护证书（对身份盗窃）；

o   冒充他人身份（举例：CEO 诈骗）；

o   冒充经授权用户系统；

o   绕过身份验证；

o   防止对设备的重放攻击；

o   防止对经授权用户的锁定；

o   防止流氓应用软件被下载到设备上；

o   保护用户从未经授权功能上运行他们的设备(比如：加密采矿)。

安全目标：

o   通过标识、身份验证和授权建立访问控制；

o   建立角色访问来保护某些功能和数据；

o   保护个人数据，像存储或传输时的个人资料加密；

o   远程数据的传输应该备有证书文件，由用户授权和保护。

公告机构的欧盟类型检验

只要没有协调标准，制造商可以通过确保相关公告机构的评估来证明其产品的符合性。

• 根据RED合格评定程序，要求有附件III或附件IV，因此在实施协调标准之前应涉及公告机构(Notified Body)；

• 斯捷

• 检测建议使用ETSI EN 303 645为RED DoC参考标准；

为什么是ETSI EN 303 645

1. 相似的范围：

• RED DR=能在因特网上进行通讯的无线电设备；

• ETSI = “...连接到网络基础设施 (如互联网或家庭网络) 的物联网设备；

2.良好的覆盖：ETSI EN 303 645 (规定) + ETSI TS 103 701 (合格评定)，见标准要求草案

3. 欧盟认可：由ETSI定义和维护等同于欧洲标准化组织ESO。