精准安全测试,强化设备与应用防御
作为独立第三方安全评估机构,GRL 提供经 ISO/IEC 17025 认证的公正测试,确保评估过程具备最高的品质标准与技术严谨性。我们获得包括印度国家实验室(NABL)在内的多项国际认可,为客户带来全球信赖与市场信心。
与 GRL 强化网络安全测试
- 全球认证认可 – 包括 NABL,确保测试报告迅速被目标市场接受
- 顶尖行业知识 – 物联网,电信以及软件安全专家
- 尖端设施 – 轻松满足全球合规标准
- 端到端合规支持 – 针对欧洲(欧盟 RED),印度(NCCS,BIS)及全球其市场的监管要求量身定制的网络安全合规解决方案
欧盟无线电设备指令(RED)网路安全法令遵循 – EN 18031-1/2/3
欧盟最新无线电设备指令(RED)规定,所有具备无线连线功能的设备,必须具备高水准的安全性、隐私权保护能力和防诈欺机制,方可在欧盟市场销售。 EN 18031 系列标准作为统一的法令框架,确保制造商在产品进入欧盟市场前全面满足网路安全法规要求,并持续符合 CE 标志的法令义务。
联系 GRL,开启您的 RED EN 18031 合规之旅。
符合新 RED 要求的产品包括:
- 消费性电子产品:智慧型手机,平板电脑和穿戴设备
- 物联网与智慧设备:连网家庭系统与工业设备
- 金融与支付设备:无线支付系统
- 数位与互联消防设备:物联网警报器与照明装置
- 娱乐与教育产品:游戏机与电子阅读器
- 交通与安全设备:汽车远端资讯与免钥匙系统
特定非连网无线电设备:包括处理语音或脸部辨识个人资料的可穿戴设备,玩具和儿童照护用品。
请参阅下表以了解适用详情:
强制法令截止日期 – 2025年 8月 1日
欧盟委员会已将 EN 18031 系列列为 RED 的协调标准,规定自 2025年 8月 1日起,所有投放欧盟市场的新无线电设备必须符合该系列标准。制造商必须在此截止日期前完成产品的测试与认证,以确保符合网路安全法规要求并获得监管批准。
GRL 支援制造商、电信供应商和物联网开发商满足 EN 18031-1、EN 18031-2 和 EN 18031-3 的要求。
- 权威认证的网路安全测试
GRL 的 ISO/IEC 17025 认证实验室为您提供全面的第三方测试和评估服务,助力产品符合欧盟 RED 网路安全指令且顺利进入市场。
- 认证前测试
帮助制造商在预认证阶段查出并解决漏洞,加速审批过程。
- 物联网与无线设备安全测试
包括物联网,智慧家庭和穿戴式装置以及汽车系统和资讯基础设施的专家。
EN 18031-1 – 网络保护
以下措施确保设备不会危害网路的完整性:
- 未经授权的存取与干扰
- 从连接装置传播的恶意软体
- 过量频宽消耗影响效能
EN 18031-2 – 用户资料与隐私保护
以下措施确保个人资料安全:
- 敏感资料加密(传输和储存)
- 防止未经授权的追踪和隐私泄露
- 安全认证,存取控制
EN 18031-3 – 预防诈欺和安全交易
要求对无线电连接的金融设备实施反诈欺安全保护,确保:
- 防止未经授权的交易和身分盗用
- 保障无线支付流程的安全
- 防止设备复制,篡改和网路欺诈
ETSI EN 303 645 法令遵循
欧洲电信标准协会(ETSI)于2020年发布了 ETSI EN 303 645 标准,以因应物联网(IoT)设备安全日益受到关注的问题。该标准为连网消费性物联网设备的设计、开发和生命周期管理提供了安全要求,涵盖了包括智慧家电、穿戴式装置和家庭自动化系统等个人和家庭使用的设备。
需要指出的是,ETSI EN 303 645 标准仅适用于消费性产品,并未涵盖所有物联网设备。例如,医疗、制造或工业领域的物联网设备通常具有不同的安全要求和监管规范,因此不受该标准的约束。
Granite River Labs (GRL) 提供全面的安全测试和法令遵循认证服务,协助制造商、开发者和物联网供应商轻松实现ETSI EN 303 645的要求,确保顺利进入全球市场。
什么是 ETSI EN 303 645?
作为欧洲消费物联网网路安全标准,ETSI EN 303 645 定义了连网装置的最佳安全实践,并获得以下机构认可:
- 欧盟网路安全弹性法案
- 英国产品安全与电信基础设施法案(PTSI)
- 全球物联网安全监理框架
GRL 的物联网安全测试和 ETSI EN 303 645 法令遵循服务包括:
- 法令遵循与认证支援
- 预法令遵循评估:识别未达 ETSI EN 303 645 法令遵循要求的项目
- 技术文件与测试报告:为监理审批做好准备
- 认证支援:顺利满足欧盟监管要求
- 渗透测试与风险评估
- 复原力测试:评估物联网设备针对网路威胁的防御能力
- 漏洞评估:识别韧体、API 和网路协定中的弱点
- 广泛的物联网产品测试
- 智慧家庭与消费性物联网:摄影机、门铃、智慧音响和穿戴式设备
- 工业与企业物联网:智慧电表、工业自动化与连网医疗设备
- 网路通讯设备:路由器、网关和智慧中心
网路安全弹性法案 (CRA)
欧盟网路安全弹性法案为制造商和零售商提供的软硬体产品设定了严格的网路安全要求。该法规将于 2027 年 12 月正式生效,旨在确保相关产品在进入欧盟市场之前已达到数位安全和生命周期管理的基本标准,从而增强欧盟整体数位生态的安全防护能力。
所有具备直接或间接连接其他设备或网路能力的产品均纳入 CRA 的监管范围,涵盖从日常消费性电子产品至复杂的工业系统。开源软体以及已受其他现行法规管辖的产品不在 CRA 的适用范围内。
CRA 透过强制执行网路安全法令义务,旨在降低资料外泄、恶意软体感染和未经授权存取等关键安全风险。符合 CRA 要求的产品将获得 CE 标志,表明其符合欧盟在安全、健康及环境保护等方面的法令遵循标准。
什么是网路安全弹性法案 (CRA)?
CRA 的适用范围包括:
- 消费和工业数位产品 – 连接到网路的任何设备或软体
- 物联网和智慧设备: 穿戴式和智慧家庭设备以及连网电器
- 企业与关键基础设施系统: 云端软体、工业自动化与通讯设备
- 排除项:开源软体及已受现行欧盟网路安全法律监管的产品。
GRL 所提供的 CRA 法令遵循和网路安全测试服务
- 网路安全风险与漏洞评估
- 识别网路威胁、软体和网路风险
- 确保资料储存、传输和系统完整性
- 渗透测试和安全验证
- 测试针对网路攻击、恶意软体和未经授权存取的防御能力
- 评估韧体、软体和应用程式介面的安全性
- 法令遵循与 CE 标志准备
- 预认证评估,以识别未达 CRA 法令要求的项目
- 提交监管文件的技术文件和测试报告
- 为 CE 标识审批提供支援
- 安全软体开发与生命周期管理
- 确保定期软体更新、安全性修补程式和事件回应计划
- 实施严格身份验证和存取控制机制
英国产品安全与电信基础设施法案 2022 条(PSTIA)
英国产品安全与电信基础设施法案 2022 条设定了强制密码要求以及使用者安全资讯的揭露义务,旨在提升英国智慧消费生态系统的整体安全水准。尽管该规定目前仅适用于制造商,但业内普遍预期未来将扩展至进口商和分销商。专家建议供应链相关方尽早落实 PSTIA 法令遵循策略,以规避潜在法令风险及违规行为带来的高额成本。
自 2024年 4月 29日起,英国产品安全与电信基础设施法案 2022 条正式生效。根据2023年产品安全与电信基础设施条例(Security Requirements for Relevant Connectable Products Regulations 2023),面向英国市场的消费性可连接产品制造商必须履行该法案中的相关义务,其中包括一系列最低网路安全要求。
- 本规定可视为2023年产品安全与电信基础设施(相关可连接产品安全要求)规定。
- 该规定从 2024年 4月 29日起生效,适用于英格兰和威尔斯、苏格兰以及北爱尔兰。
产品安全与标准办公室(OPSS)负责监管法规的执行,并与数位、文化、媒体与体育部(DSIT)在谅解备忘录框架下开展合作,确保严格遵守2022年产品安全与标准法案以及2023年相关法规的要求。
- 相关方包括:负责产品安全的相关可连结产品制造商、进口及分销的企业。
- 「相关可连接产品」指能够连接网路或其他网路的设备,旨在改善使用者生活品质。不包括被额外产品项目。
《2023年条例》附表1列出了相关可连接产品必须遵守的具体安全要求。
- 密码:每个产品必须具有唯一密码,或允许使用者自订密码。产品必须符合 ETSI EN 303 645 第 5.1-1 条的要求,并在适用情况下,符合 ETSI EN 303 645 第 5.1-2 条的相关规定。
- 安全问题报告资讯:制造商必须提供明确的产品安全问题报告管道,并符合 ETSI EN 303 645 第 5.2-1 条的要求。
- 安全更新周期:制造商必须告知使用者产品的最短安全更新周期,并确保资讯以清晰、易于存取的方式公开。产品还需符合 ETSI EN 303 645 第 5.3-13 条的要求。
国家通信安全中心 (NCCS)
国家通讯安全中心(NCCS)隶属于印度政府电信部(DoT),负责通过对电信设备的安全评估与认证,确保印度关键通讯基础设施的网路安全。 NCCS 制定的《印度电信安全保障要求》(ITSAR)为电信网路设备定下安全性要求,适用于印度境内所有电信服务供应商及电信基础设施进口企业。
ITSAR 归于《电信设备强制测试与认证制度》(MTCTE)架构下,负责网路安全、资料隐私及合法监听等关键领域。遵循 ITSAR 要求不仅有助于提升印度电信网路的整体防护能力,也为电信设备制造商在参与印度公私营专案招标时提供明显的竞争优势。作为 NCCS 指定的电信安全测试实验室(TSTL),GRL 可依据 ITSAR 要求及其他国家/国际标准,为以下设备提供网路安全测试服务:
- IP 路由器(独立式、云管理式、虚拟式)
- Wi-Fi 用户端设备 (CPE)
- 独立式或云管理接入点 (AP)
- 光线路终端 (OLT) 和光网络终端 (ONT)
- 5G/LTE 核心与无线网络组件
获得 NCCS 认证是电信设备取得 MTCTE 认证的必要条件,而 MTCTE 认证则是电信设备进入印度市场的强制性要求。
BIS CCTV 网路安全
印度电子与资讯科技部(MeitY)实施的强制注册计画(CRS)要求所有消费性电子产品制造商将产品注册至印度标准局(BIS),并须通过 BIS 认可实验室的测试以纳入 BIS 注册目录。
自 2025年 4月 9日起,除符合电气安全标准外,所有闭路电视摄影机(CCTV)还必须符合《基本要求》(ER01)中所规定的网路安全技术规范。该规范旨在防止敏感资讯泄露,并确保系统的可靠性与稳定性。
关键测试项目包括:开放的网路服务、设备通讯协定、对 UART、JTAG、SWD 等调试介面的实体存取权限、记忆体与韧体撷取能力、韧体更新机制的安全性,以及资料储存与加密策略。
原始设备制造商(OEM)应重点关注以下最低安全要求:
- 访问控制: 为管理员、操作员和用户实施基于角色的身份验证。
- 网络安全:确保数据存储和传输的端到端加密,以防止窃听或数据泄露。
- 软件安全:定期更新固件和软件,修复漏洞;禁用未使用的功能,限制不必要的网络服务;执行强密码策略,包括多因素认证(MFA)。
- 渗透测试与网络威胁抵御:定期进行渗透测试,识别并修复漏洞;确保系统能抵御网络攻击、恶意软件及未经授权的访问尝试。
GRL India 已获得英国工业安全局 (BIS) 授权,根据强制注册计划 (CRS) 为闭路电视摄影机提供网路安全测试,帮助制造商在认证前进行预符合性测试,并测试 ER01 中列出的基本安全要求所定义的以下安全参数:
- 硬体级安全参数
- 软体/韧体
- 确保流程阶段遵循安全法令
- 产品开发阶段的保障安全法令遵循
漏洞评估与渗透测试 (VAPT)
VAPT 对于识别、分析和缓解连网设备(包括电信、物联网和无人机)安全风险至关重要。美国国家标准与技术研究院(NIST)发布的 SP 800-115 提供了结构化的安全测试方法,确保系统的复原能力,并符合相关法规要求。
提供服务包括:
- 漏洞评估 (VA) – 找出安全漏洞
- 自动化和手动扫描硬体、韧体及软体中的漏洞。
- 评估加密、身份验证和存取控制机制。
- 根据风险度进行评估与优先排序。
- 渗透测试 (PT) – 模拟现实攻击
- 黑盒、灰盒和白盒测试方法。
- 模拟网路攻击、恶意软体注入及非法存取行为
- 测试韧体完整性、API 安全性和网路复原力。
应用程式安全测试 (AST)
在网路、行动、物联网、电信网路或嵌入式设备上运行的现代应用程式是网路攻击的主要攻击目标。弱身份验证、无担保的应用程式介面以及未修补的漏洞可能导致系统于资料外泄、服务中断和安全漏洞的风险。确保顽强的应用程式安全性对维护用户信任、法令遵循以及业务连续性至关重要。
- 网页与行动应用程式安全测试
- 物联网与嵌入式系统应用安全测试
- API 与云端应用程式安全测试
- 渗透测试与漏洞利用模拟
- 安全软体开发与 DevSecOps 实践
Granite River Labs(GRL)作为经 NABL(ISO/IEC 17025)认证的实验室,透过基于 OWASP Top 10 和 CWE 25 框架的严格安全测试,协助制造商、软体开发人员和服务提供者强化应用程式的安全性。端到端安全评估确保应用程式在从开发到部署的每个阶段都能抵御网路威胁。
CIS 基准法令遵循测试
网路基础设施常常成为网路攻击的目标。因此,路由器、交换器、防火墙、VPN 闸道及其他设备的安全加固机关重要。网路安全中心(CIS)基准提供了业界认可的安全配置,旨在降低系统漏洞、防止未经授权的访问,并提升系统的防御能力。 GRL 的 CIS 基准符合性测试服务包括:
- 基础安全设定验证
- 网路加固与安全配置测试
- 自动化法令遵循稽核与报告生成
- 渗透测试与漏洞评估
携手优质伙伴,稳固市场地位
借助 GRL 合规性测试和市场准入专业知识,将合规性挑战转化为市场机会。满足并超越现行网路安全标准及客户期望,通往全球市场成功的快车道。
超越合规,与 GRL 掌握新市场,守护未来。