ETSI EN 303 645标准已成国际趋势  强制性网安法规RED-DA该如何满足?

2025年欧盟即将强制执行「无线电设备指令授权法案（Radio Equipment Directive: the Delegated Act for cyber security, RED-DA Article 3.3 d/e/f），无线电设备（含消费者物联网产品）产品于符合要求并经测试后取得相关认证始得上市。安华联网

监于家用智能设备普及率持续攀升，若设备存在网安隐患而未解决，恐将危害个人数据与消费者隐私，问题不容小觑。为此，欧洲电信标准化协会（ETSI）网络安全技术委员会在2020年6月发布之「ETSI EN 303 645消费型物联网产品-安全基准（Cyber Security for Consumer Internet of Things: Baseline Requirements）」，最早起源于2018年6月，当时为TS 103 645；直到2019年2月才升格成EN标准并更名。

该标准聚焦在消费性物联网产品的网络安全，并纳入GDPR的数据保护条款（Provision），该标准的主要目的是提供一个统一的框架与安全基线，帮助消费者物联网产品制造商提升其产品的网络安全性，以确保其产品的安全性和隐私保护得到有效的管理和实作，以减少设备被入侵或滥用的风险，并已成为全球趋势。

安华联网技术服务处副处长潘勤强指出，根据欧盟的资通讯安全法，资通讯产品区分为基础（Basic）、重要（Substantial）、高（High）三个网络安全等级，各有其对应的标准与合规基准，其中基础等级即适用EN 303 645标准。

迄今为止，包括欧盟、新加坡、芬兰、德国在内的许多国家与地区，皆采用EN 303 645为基础。根据2025年即将强制执行的欧盟「无线电设备指令授权法案（Radio Equipment Directive: the Delegated Act for cyber security, RED-DA Article 3.3 d/e/f），该法规即针对无线电设备（含消费者物联网产品）的市场进入提出了严格的要求，如防范网络滥用、增强个人数据与隐私的保护及防诈骗的安全规定，产品于符合上述要求并经测试后取得相关认证始得上市。

优先导入SSDLC   保证开发流程的安全性

潘勤强说，为让全球制造商／开发商有明确的指引，欧盟欧洲委员会（European Commission）于2002年8月发出标准化请求，由CEN/CENELEC订定调和标准（Harmonized Standard），其内容融合了ETSI EN 303 645与IEC 62443标准。为满足该网安法规，制造商／开发商除将ETSI EN 303 645与IEC 62443标准作为移动指南外，仍应先行导入安全软件开发生命周期（Secure Software Development Lifecycle；SSDLC），使制造商／开发商得在产品的生命周期中早期识别和排除任何安全问题。

EN 303 645标准，为确保物联网装置的安全性及个人数据隐私安全，该标准提出一系列的要求和建议，如禁止使用通用的缺省口令、允许个人删除个人隐私数据及厂商须建立漏洞回报流程与机制等。

由于新兴之网络安全标准趋势并非单纯完成产品开发并经由安全测试等即可符合RED-DA等网络安全法规之要求，该调合标准中所引用，无论是IEC 62443-4-1或是ETSI EN 303645均内含Secure by Design要求。换言之，制造商／开发商并非仅将产品功能开发完成，即可直接通过EN 303 645认证，还须证明整个开发历程的安全性。

透过SSDLC，安华联网表示可以确保产品在开发过程中依循这些安全要求进行，以达到Secure by Design，得以进一步符合RED-DA等法规要求。惟目前因RED-DA之调和标准仍在制订中，其范围与实际条款仍未确立，以下将以EN 303 645为合规主要说明对象。

ETSI EN 303 645测试验证与开发指引

如上所述，EN 303 645系订定物联网信息安全的基本要求。此外，为能让本标准的测试与验证一致性，ETSI在2021年发布「TS 103 701 消费型物联网产品-安全基准合规评估（Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements）」，旨在为测试实验室提供指引，应如何针对EN 303 645标准执行测试与评估。

2020年，ETSI再推出「TR 103 621 消费者物联网产品网络安全指南（Guide to Cyber Security for Consumer Internet of Things），系为制造商／开发商了解并符EN 303 645合规要求提供实作指南（Implementation Guide）。至此，EN 303 645完备其全系列标准、测试验证与开发指引。

而EN 303 645涵盖范围甚广，如物联网闸道器、烟雾侦测器、穿戴式智能装置、智能家庭系统、智能摄影机、智能电视与扬声器…等都在适用范围之列。然，考量物联网产品和使用情境的的多样性，该标准针对有实体使用限制的设备，例如，运算、通讯、储存或电力供应局限的设备，定义为受限设备（Constrained Device），另针对其特性特别制订适用条款以符合实际使用情境；至于移动应用或云端服务，则不在EN 303 645适用范畴。

潘勤强接着指出，EN 303 645共有13+1个网络安全与数据保护条款，里头蕴含68个要求，其中33个系强制要求，另35个为建议要求。值得一提，在网安界为人熟知的OWASP IoT Top 10弱点，基本上都被涵盖在EN 303 645标准内，例如，弱口令或硬编码口令与隐私防护不足等，意谓SO（Supplier Organization；制造商／开发商）须正视这些问题并加以解决。

至于SO如何展开EN 303 645合规旅程？首先研发团队须导入「安全软件开发生命周期」（SSDLC），IEC 62443也有相同概念，都要求实现基于安全的设计、即Secure by Design，在产品设计阶段纳入安全考量。其次需要根据EN 303 645、TR 103 621等文件来理解相关要求，以完成产品设计与开发。当完成产品开发，可委托拥有合格第三方测试实验室「安华联网」执行测试。接着测试实验室将依TS 103 701规范，要求SO先行填写实作一致性声明书（Implementation Conformance Statement；ICS）与实作额外信息表（IXIT, Implementation eXtra Information for Testing）等文件，据此制定测试计划并开展测试作业。

先确认设计合理性，再验证设计的真实性

对于测试实验室而言，SO须提出实作一致性声明书做出相关实作的声明，详细说明受测设备（DUT）中实作或支持的功能。由于该声明书中分为四种状态：强制性要求（Mandatory）、建议性要求（Recommendation）、有条件式强制性要求（Mandatory with Condition）、有条件式建议性要求（Recommendation with Condition），SO须详细填写该声明书，值得注意的是，若要整体判定通过，至少所有强制性要求之所有项目须支持并通过测试。

而，有条件式强制性要求与有条件式建议性要求项目，若其条件不符合，标准允许其标示不适用，惟须述明合理之原因或理由；至于建议性要求项目，假使SO有意受测（标准原则上鼓励申请测试），仍可填写为YES，但到第六阶段「整体合规评定」时，若确认某建议性要求项目测试未通过，「整体合规评定」就不会过关。故最后SO、测试实验室须进行协商并决定哪些建议性要求或有条件式建议性项目应排除以符合标准之第体合规评定。

除了实作一致性声明书外，SO另应针对其受测设备之设计，详细填写实作额外信息表，共分为29个独立表格，旨在使测试人员了解产品设计与实作方式及须进行测试之内容，例如该受测设备可透过HTTPS协定于443埠进行存取，其认证因子为预安装之口令（Pre-installed password），包含其缺省口令产生方式、口令学应用相关细节（如HTTPS是通过TLS通道并使用哪些安全套件）等。测试实验室须获得相应的说明，始得针对受设备进行完整安全测试。

换言之，实验室会依一致性声明书中列为YES的项目逐一进行安全测试测试；然规范中并未限定具体的测试工具与步骤，因此不同的实验室，可能采用不同工具来测试同一个安全项目。

此外针对TS 103 701所列测试情境而言，例如5.1-1，就涵盖两个不同测试用例（Test Case），分别为概念性（Conceptual）与功能性（Functional）验证，前者主要是依据实作额外信息表相应的设计内容，验证SO撰写的设计内容的合理性，确认完成后进入与功能性验证，验证产品的实际运作与其提供之实作额外信息表相应的设计内容是否相符。

完成测试后，测试实验室将提出测试报告，载明其验证与测试结果，当验证设计合理且实际验证亦符合将评定为「Pass」；若当中只要有一项评定为「Fail」，即无法通过整体合规验证。惟若因建议性要求或有条件式建议性项目（非强制性）未通过，而整体判定未通过，可在一致性声明书重新声明不符合项目，以此来达到整体判定通过的目的。

潘勤强根据实测经验，分享几个值得SO留意的重点。例如有的产品用HTTP方式传送帐密验证封包，但HTTP为明文传输，相对不安全，即便传输内容已经过编码、弱加密等处理，仍有机会遭黑客进行破解，像该实例中，其传输之虽经由MD5进行保护，但仍被测试人员还原，而导致最终验证不通过。此外，像是SO是否实作漏洞披露政策、是否保持软件更新、或在通讯中使用的加密套件是否达到最佳实践建议的安全的版本（例如，TLS 1.2以上），都是测试的重点。

综上所述，建议SO将ETSI TS 103 621视为实作时的重要指南与参考文件，必要时协请专家的指引或协助，以缩短导入时程。请记住不仅仅EN 303 645将软件安全开发生命周期（SSDLC）纳入规范，还包括OT／IIOT领域标准IEC 62443、车载领域标准ISO／SAE 21434等也提出类似的要求。这已经成为当今的共识和最佳实践。因此，寻求网络安全标准合规的第一步，就是导入SSDLC。同时，请密切关注并遵守相关领域的法规与标准，以确保物联网设备具有适当的安全性和隐私保护措施。如有需要，随时寻求专家的协助和指引，以确保顺利实作和达到法遵与合规目标。