当前位置：首页 > news >正文

欧盟网络安全标准草案EN 18031详解

news 2025/7/26 0:27:59

欧盟网络安全标准草案EN 18031详解

一、前言

本文是关于EN 18031详解，2025年8月1号欧洲国家强制要求的网络安全要求，有兴趣的可以收藏看看。

1、什么是EN 18031

EN 是 "European Norm"的缩写，指欧洲标准；

所以EN 18031 就是指的是欧盟网络安全标准草案18031，是一个针对网络安全或者系统安全的草案。

2、为啥要学习欧盟网络安全草案EN 18031？

2025年8月1日正式实施，不符合RED指令网络信息安全EN 18031标准的产品将无法进入欧盟市场！

这么严重！所以很多大公司最近都是研究这个欧盟的安全草案。

这个草案几年前就提出过，不过是2025年8月1日才强制执行的。很近啊！

目前是相关产品要过 EN 18031 认证要求，需要签署协议。

3、欧盟网络安全草案EN 18031包括的主要内容有哪些？

EN 18031 包含三部分内容，看了一下里面的具体文档，其实内容都是差不多的；

只是针对的具体设备分成了三部分内容，其实就是一个内容。

EN 18031-1：
针对互联网连接的无线电设备，如 IoT 设备、5G 模块、路由器等，聚焦于构建抵御网络资源滥用和服务降级的防线。EN 18031-2：
主要涉及数据处理的无线电设备，包括儿童护理无线电设备、玩具无线电设备和可穿戴无线电设备等，重点关注用户隐私数据安全。EN 18031-3：
面向处理虚拟货币或货币价值的互联网连接无线电设备，如智能硬件钱包、支付设备等，旨在防范欺诈行为，保障金融交易安全。

如果你是手机或者路由设备，只要看 EN 18031-1；

如果你是蓝牙手表，手环，耳机，儿童玩具等设备，只要看 EN 18031-2；

如果你是Post机等金融设备，只要看EN 18031-1；

比如我们这边生成的是Android设备，那么只哟看 EN 18031-1，其他两个文档不用看；

其实这三部分文档内容都是类似，也会有点差别：

在这里插入图片描述

这里可以看到对于系统的权限控制，安全存储，系统升级，加密算法是基本要求；

手机等设备多加了流量控制；

蓝牙穿戴、儿童玩具等设备多加了父母控制要求；

金融POS机等设备多加了金融资产安全控制。

看了三个部分的文档，对比了一下目录，发现这三部分内容是差不多的，只有三个文档只有上面五六大项的差异。

英文三个文档网上可以下载到，每个大概200页，中文的完整文档网上目前是没有，需要找专门机构翻译。

网上大部分都是 EN 18031-1 这个文档，对于Android开发来说就是看这个文档就行。

4、核心技术要求

网络攻击防护：设备需内置防火墙，支持访问控制列表、端口过滤、入侵检测等功能，抵御常见攻击，如端口扫描、SQL 注入等。同时，要具备抵御 DDoS 攻击能力，如限制异常流量。
数据传输安全：无线通信需支持 WPA3 加密协议，管理接口需强制使用 HTTPS 加密传输，防止数据窃听。
远程管理安全：禁止默认开启远程管理功能，若支持远程管理，需通过 VPN 或加密通道连接，且用户认证需采用多因素认证。
用户数据保护：禁止默认收集用户上网行为数据，如需收集需获授权。存储的用户数据需加密存储，访问权限严格控制，遵循数据最小化原则，禁止存储敏感信息。
安全更新机制：需提供自动或手动的安全固件更新功能，更新过程需验证完整性，制造商需承诺在设备生命周期内（通常至少 2 年）提供安全补丁。

其实上面的核心要求对于Android系统来说基本是符合要求的；

那还要做修改吗？不知道啊，摸索看看吧。

5、如何学习并适配欧盟网络安全草案EN 18031？

每项都认真研读？

这么多页那不得看得眼都花！

并且很多项的内容是比较虚的，只是一个安全概念。

我看了下EN 18031-1 和 EN 18031-2 都是有十一大项内容，每大项内容里面有3-8项小内容；

算平均大项有五个小内容，那么一共大概有55个内容。看起来好像也不多呀。

EN 18031-3内容更少一点，只有八大项内容。

所以每一项都大致解读一下是没有问题的，需要花点时间。

所以最好的思路应该是拿到 EN 18031草案，先看大项内容，简单理解一下，

有些大项基本是没问题的，就不管了，只看某几个大项和包含的小内容就行了。

下面主要解读一下 EN 18031-1 的主要内容

二、EN 18031-1 主要内容详解

1、EN 18031-1 目录

文档目录翻译结果如下：

目录页
引言....................................5
1 范围....................................6
2 规范性引用文件....................................6
3 术语和定义...........................................6
4 缩略语.................................................11
5 本文档的应用....................................12
6 要求.................................................15
6.1 [ACM] 访问控制机制...........15
6.1.1 [ACM-1] 访问控制机制的适用性....................15
6.1.2 [ACM-2] 适当的访问控制机制....................20
6.2 [AUM] 认证机制..........25
6.2.1 [AUM-1] 认证机制的适用性.....................25
6.2.2 [AUM-2] 适当的认证机制............................34
6.2.3 [AUM-3] 认证器验证..........37
6.2.4 [AUM-4] 更改认证器...........41
6.2.5 [AUM-5] 密码强度......................44
6.2.6 [AUM-6] 暴力破解防护...............52
6.3 [SUM] 安全更新机制............56
6.3.1 [SUM-1] 更新机制的适用性...................................56
6.3.2 [SUM-2] 安全更新..............................59
6.3.3 [SUM-3] 自动更新.....................64
6.4 [SSM] 安全存储机制 ...........68
6.4.1 [SSM-1] 安全存储机制的适用性........................68
6.4.2 [SSM-2] 安全存储机制的适当完整性保护 ..................72
6.4.3 [SSM-3] 安全存储机制的适当保密性保护 ......77
6.5 [SCM] 安全通信机制.........................................82
6.5.1 [SCM-1] 安全通信机制的适用性 ............................82
6.5.2 [SCM-2] 安全通信机制的适当完整性和真实性保护....................88
6.5.3 [SCM-3] 安全通信机制的适当保密性保护....................94
6.5.4 [SCM-4] 安全通信机制的适当重放保护 ....................99
6.6 [RLM] 抗毁性机制.................104
6.6.1 [RLM-1] 抗毁性机制的适用性和适当性 .......................104
6.7 [NMM] 网络监控机制....................109
6.7.1 [NMM-1] 网络监控机制的适用性和适当性 ......109
6.8 [TCM] 流量控制机制........113
6.8.1 [TCM-1] 流量控制机制的适用性和适当性 ........................113
6.9 [CCK] 机密加密密钥 ....................116
6.9.1 [CCK-1] 适当的机密加密密钥 ..............116
6.9.2 [CCK-2] 机密加密密钥生成机制 .120
6.9.3 [CCK-3] 防止预安装机密加密密钥使用静态默认值 ....................125
6.10 [GEC] 通用设备功能 ....................129
6.10.1 [GEC-1] 软件和硬件保持最新，且不存在公开已知的可利用漏洞....................129
6.10.2 [GEC-2] 通过相关网络接口限制服务的暴露范围....................134
6.10.3 [GEC-3] 可选服务及相关暴露网络接口的配置....................138
6.10.4 [GEC-4] 关于暴露的网络接口以及通过网络接口暴露的服务的文档....................141
6.10.5 [GEC-5] 不存在不必要的外部接口....................144
6.10.6 [GEC-6] 输入验证....................147
6.11 [CRY] 加密技术....................152
6.11.1 [CRY-1] 最佳实践加密技术....152
附录 A（资料性）原理......................157
A.1 概述..........................................................157
A.2 原理.......................................................157
附录 B（资料性）与 EN IEC 62443-4-2：2019 的映射....................................................168
B.1 概述..........................................................168
B.2 映射.........................................................168
参考文献..............................................................179

EN 18031-1、2、3文档都是一样的目录结构，主要看第6点的要求内容。

其实可以针对某一大项或者小项内容分别分析搜索，看看是否符合要求即可。

下面分别解读一下Android设备这些要求内容是否符合规定：

主要通过AI搜索和个人理解。

2、EN 18031-1 要求解读

6.1 [ACM] 访问控制机制...........15ps:Android 默认的访问控制机制在部分方面符合 EN 18031-1 的要求。ps:特别是Android8以后，增加了动态权限管理,Android13增加了权限沙箱。
6.1.1 [ACM-1] 访问控制机制的适用性....................15
6.1.2 [ACM-2] 适当的访问控制机制....................206.2 [AUM] 认证机制..........25ps:Android 默认认证机制在生物识别集成和基础密码防护上符合 EN 18031-1 的核心要求,密码强度可以加强。
6.2.1 [AUM-1] 认证机制的适用性.....................25
6.2.2 [AUM-2] 适当的认证机制............................34
6.2.3 [AUM-3] 认证器验证..........37
6.2.4 [AUM-4] 更改认证器...........41
6.2.5 [AUM-5] 密码强度......................44ps:Android 允许 4 位数字 PIN（中等强度），而 EN 18031-1 要求密码至少 6 位。as1:所以第一个修改点，可以把默认要求四个密码修改成6个。
6.2.6 [AUM-6] 暴力破解防护...............526.3 [SUM] 安全更新机制............56ps:主要看系统是否支持更新升级，升级包含相关补丁即可
6.3.1 [SUM-1] 更新机制的适用性...................................56
6.3.2 [SUM-2] 安全更新..............................59
6.3.3 [SUM-3] 自动更新.....................646.4 [SSM] 安全存储机制 ...........68ps:Android 默认的安全存储机制在核心功能上满足 EN 18031-1 的基础要求as2:重要数据进行加密保存，比如某些登录密码
6.4.1 [SSM-1] 安全存储机制的适用性........................68
6.4.2 [SSM-2] 安全存储机制的适当完整性保护 ..................72
6.4.3 [SSM-3] 安全存储机制的适当保密性保护 ......776.5 [SCM] 安全通信机制.........................................82ps:Android 默认的安全通信机制在设计上与 EN 18031-1 的要求高度契合，但在实际部署和配置灵活性上存在一定差距。
6.5.1 [SCM-1] 安全通信机制的适用性 ............................82
6.5.2 [SCM-2] 安全通信机制的适当完整性和真实性保护....................88
6.5.3 [SCM-3] 安全通信机制的适当保密性保护....................94
6.5.4 [SCM-4] 安全通信机制的适当重放保护 ....................996.6 [RLM] 抗毁性机制.................104ps:Android 默认的抗毁性机制在部分方面符合 EN 18031-1 的要求，但仍有一些提升空间.
6.6.1 [RLM-1] 抗毁性机制的适用性和适当性 .......................1046.7 [NMM] 网络监控机制....................109ps:Android 系统本身有实时监测网络流量，但是不能识别 DDoS 等网络攻击行为，不好优化。
6.7.1 [NMM-1] 网络监控机制的适用性和适当性 ......109
6.8 [TCM] 流量控制机制........113
6.8.1 [TCM-1] 流量控制机制的适用性和适当性 ........................1136.9 [CCK] 机密加密密钥 ....................116ps:Android 默认的机密加密密钥管理机制在设计上与 EN 18031-1 的要求高度契合，但在实际实施和配置灵活性上存在一定差距.
6.9.1 [CCK-1] 适当的机密加密密钥 ..............116
6.9.2 [CCK-2] 机密加密密钥生成机制 .120
6.9.3 [CCK-3] 防止预安装机密加密密钥使用静态默认值 ....................1256.10 [GEC] 通用设备功能 ....................129ps:Android 默认的通用设备功能在访问控制、数据加密和安全更新等基础层面符合 EN 18031-1 的核心要求，但需通过以下措施弥补短板：厂商一致性约束、网络防护增强、日志与审计完善。
6.10.1 [GEC-1] 软件和硬件保持最新，且不存在公开已知的可利用漏洞....................129
6.10.2 [GEC-2] 通过相关网络接口限制服务的暴露范围....................134
6.10.3 [GEC-3] 可选服务及相关暴露网络接口的配置....................138
6.10.4 [GEC-4] 关于暴露的网络接口以及通过网络接口暴露的服务的文档....................141
6.10.5 [GEC-5] 不存在不必要的外部接口....................144
6.10.6 [GEC-6] 输入验证....................1476.11 [CRY] 加密技术....................152ps:Android 默认的加密技术在算法强度、硬件隔离存储和通信加密等基础层面已满足 EN 18031-1 的核心要求.
6.11.1 [CRY-1] 最佳实践加密技术....152

从上面ps：的描述看，Android默认环境基本都符合EN 18031-1 的核心要求；

但是每个点AI搜索分析，都是有优化的空间，有些修改点并不是很好优化啊，所以不管先！

Android默认环境基本都符合EN 18031-1 的核心要求；
有想深入连接的可以对每个小项进入深入剖析了解。

3、能想出来的修改点无非是一些简单的内容

下面是自己想出来的一些优化内容：

（1）锁屏密码从最少4位变成最少6位
（2）不管是系统密码还是自研应用的重要密码都用加密保存，特别是保存在prop或者Settings里面的密码
（3）Wifi mac地址随机
（4）重要信息（比如密码，Wifi地址，个人登录信息）不显示在打印日志或者部分显示

三、其他

1、EN 18031-1草案小结

Android默认环境基本都符合EN 18031-1 的核心要求；但是每个小的内容项，都是有优化的空间；

一般开发团队无法进行深入适配修改，只能修改一下简单易懂的问题。

其实EN 18031 认证主要工作估计就是填表，把系统一些信息对应的填写到认证测试表中。

可能看完上面内容，很多概念都是比较模糊的，还是对 EN 18031 具体适配不是很懂，

也是比较正常的，我也是刚摸索这个，估计后面还有学习。

2、EN 18031 制定相关国家

如果该草案成为欧洲标准，CEN和CENELEC成员必须遵守CEN/CENELEC-内部
规定赋予本欧洲标准国家标准地位的条件的法规改变。
本欧洲标准草案由CEN和CENELEC制定，有三个官方版本（英语、法语、德语）。

由CEN和CENELEC成员负责翻译成其本国语言的任何其他语言的版本，

并通知CEN-CENELEC管理中心的版本与官方版本具有相同的状态。

CEN和CENELEC成员是奥地利、比利时、法国、德国、希腊、匈牙利、冰岛、爱尔兰、意大利、日本、拉脱维亚、立陶宛、卢森堡、马耳他、墨西哥、荷兰、挪威、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士和土耳其的国家标准机构和国家电工委员会，
保加利亚、克罗地亚、塞浦路斯、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、冰岛、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、挪威、波兰、葡萄牙、北马其顿共和国、罗马尼亚、塞尔维亚、，斯洛伐克、斯洛文尼亚、西班牙、瑞典、瑞士、土耳其和英国。

上面这个一段内容是EN 18031文档的内容。

可以看到制定 EN 18031 草案的并且全是欧洲国家，比如日本和土耳其不是，中国并没有参与制定草案。

不管有没有参与制定草案，按照他们的说法，如果出口到欧洲的设备不符合EN 18031要求，就会被警告罚款。