EN 18031 是欧盟针对无线电设备网络安全的核心标准之一,属于 CE RED(无线电设备指令)的补充技术规范,于 2025 年 8 月 1 日起强制实施。以下是关于 EN 18031 认证的详细介绍:
法规依据与目的:EN 18031 是欧盟对《无线电设备指令》(RED 2014/53/EU)的补充法规,依据 (EU) 2022/30 授权法案制定,旨在强化联网设备的网络安全防护、用户隐私保护及金融防欺诈能力。
标准构成:
EN 18031-1:针对所有联网无线电设备,关注网络保护和服务完整性,要求设备具备抗网络攻击、流量控制和弹性恢复机制等,如配置密码策略,禁用 “免密访问”,内置防火墙,支持访问控制列表等,无线通信需支持 WPA3 加密协议等。
EN 18031-2:主要针对处理个人数据的设备,侧重儿童隐私保护、数据删除等,禁止默认收集用户上网行为数据,如需收集需获授权,且数据需加密存储。
EN 18031-3:针对处理虚拟货币或货币价值的互联网连接无线电设备,强调安全启动、防篡改设计和多因素认证等,以防止欺诈行为,要求支付设备需通过 “安全启动” 验证,若支持远程管理,需通过 VPN 或加密通道连接等。
适用范围:EN 18031 认证覆盖所有具备联网功能的无线电设备,包括智能手机、智能音箱、无线耳机、智能门锁、工业传感器、POS 机、加密货币硬件钱包等。医疗器械、航空设备、道路收费系统等可获豁免。
检测内容:
通信安全测试:验证 Wi-Fi 协议安全性,检测 WPA3 加密实现情况,测试 Web 管理页面身份认证强度,检测是否存在 CSRF 等漏洞。
数据安全测试:检查用户数据是否加密存储,验证用户权限划分是否合理。
漏洞扫描与渗透测试:使用自动化工具扫描设备端口和服务,检测已知漏洞,模拟黑客攻击获取设备控制权。
安全更新测试:验证固件更新流程完整性,测试更新服务器安全性。
认证流程:通常需先准备技术文档,如原理图、安全设计文档等,同时提供 4-6 台样机,然后提交申请,认证机构进行测试,企业根据测试结果整改,最后认证机构审核通过后颁发证书。
证书有效期:证书无固定有效期,但需配合每年一次的年度监督审核,确保持续合规。
未通过认证的后果:从 2025 年 8 月起,未通过 EN 18031 认证的产品将被欧盟海关拦截,已上市产品面临强制召回,企业还可能面临最高达全球年营收 4% 的巨额罚款。
