2014年4月16日歐盟無線電設備指令（RED）正式發佈後，對無線電設備的網路安全提出了要求，以符合無線電設備的互聯網安全所需。而為了因應無線設備符合RED提出的網路安全要求， TÜV萊因制定了2PfG 2912/07.22標準，並於2022年9月發佈。

越來越多的無線電互聯網設備在使用過程中會連接互聯網，所以無線聯網設備的網路安全需要按照相關標準進行規範化管理。2PfG 2912是德國萊因所提出，為一項符合ＲＥＤ指令安全要求的網路安全標準。

以下從背景、適用範圍、相關要求等方面，對2PfG 2912/07.22標準進行分析，幫助大家積極應對市場和法規的變化，為無線電設備互聯網安全做好充足準備。

 

 

德國萊因 2PfG標準涵蓋了以下三個主要領域：

網路彈性

如果無線聯網設備能夠通過互聯網進行通訊，無論是直接通訊還是通過其他設備輔助（例如zigbee設備通過zigbee閘道連接到互聯網），本條款都適用。該條款包括以下7條具體要求：

• 身份驗證

例如：互聯網通訊訊時需要通過用戶名和密碼登錄並通過手機或郵箱驗證碼登錄。

• 介面安全

例如：物理介面的防曝露可以是使用外殼或者類似的保護措施。

• 通訊安全

例如：通訊過程中使用加密方法應考慮最佳實踐原則。使用知名的通訊協定和科學界公認的加密演算法，如SOGIS認可的加密機制中的TLS加密套件。

• 軟體更新安全

例如：軟體的完整性可以通過計算更新的校驗和或者摘要來驗證；可以通過數位簽章來驗證真實性。

• 確保軟體完整性

例如：設備啟動過程中對自身軟體進行完整性校驗，防止被篡改的軟體運行。

• 輸入輸出驗證

本條要求可以通過校驗規則來驗證或者通過某些技術方法驗證，例如消息重放攻擊。

• 軟體和硬體漏洞

軟體漏洞可以通過漏洞掃描工具發現，硬體漏洞的驗證可以通過在CVE網站中搜索處理器的型號來實現。

 

個人資料保護和隱私

本條款適用於有處理任何與個人資料、流量資料和位置資料能力的設備。此處的處理包括收集、記錄、傳輸等。

• 個人資料的存儲

本條要求包括2部分，第一步是要根據廠商的資訊來識別存儲在設備上的個人 資料。然後驗證個人資料是否安全存儲。

• 個人資料的分析

如通過分析圖像來識別物體以避開障礙物是一個典型的應用。

• 個人資料的傳輸

傳輸個人資料時應使用最佳密碼實踐來保證個人資料的機密性。

• 個人資料的刪除

如長按無線電設備上的擦除按鈕這一操作是符合要求的。

• 用戶通知

更改可能影響資料保護和隱私的配置，應通知使用者。

• 內部活動記錄

設備應記錄與個人資料相關的活動。日誌檔的保護等同於個人資料的保護。

 

支付資料保護

如果設備能夠處理與交易資料有關的任何資訊以發起欺詐，則本條款適用。

• 支付資料的存儲
• 支付資料的分析
• 支付資料的傳輸
• 支付資料的刪除
• 內部活動記錄

 

隨著歐盟市場對產品網路安全關注度的持續提高，為了消除網路安全方面的合規隱憂及應對市場和法規的變化，德國萊因TÜV根據不同的法規和最佳實踐制定了符合RED指令要求的網路安全要求目錄。在調合法規正式發佈之前，我們建議廠商儘快為無線設備的網路安全做好準備。

進一步訊息, 請聯絡工業服務與資訊安全莊小姐 irene.chuang@tuv.com