一、標(biāo)準(zhǔn)定位與適用范圍

EN 18031-3是歐盟《無線電設(shè)備指令》（RED）框架下，針對金融交易設(shè)備網(wǎng)絡(luò)安全的核心技術(shù)規(guī)范，將于2025年8月1日強制實施。其核心目標(biāo)是借助技術(shù)手段，防范涉及虛擬貨幣或貨幣價值轉(zhuǎn)移的聯(lián)網(wǎng)設(shè)備面臨的金融欺詐風(fēng)險，保障交易數(shù)據(jù)的機密性、完整性和不可抵賴性。

該標(biāo)準(zhǔn)的具體適用設(shè)備如下：

?      支付終端：包括POS機、自助支付終端、移動支付設(shè)備等。

?      加密貨幣設(shè)備：如硬件錢包、冷錢包、支持虛擬貨幣交易的智能設(shè)備。

?      金融物聯(lián)網(wǎng)設(shè)備：聯(lián)網(wǎng)ATM機、智能保險柜、數(shù)字貨幣礦機均在此列。

?      特殊行業(yè)設(shè)備：像支持虛擬貨幣交易的智能手表、可穿戴支付設(shè)備等。

二、核心測試項目與技術(shù)要求

EN 18031-3通過14項安全機制構(gòu)建起全方位防護(hù)體系，關(guān)鍵測試內(nèi)容如下：

（一）硬件與固件安全

1.   安全啟動（Secure Boot）

?      設(shè)備啟動時，需對固件完整性進(jìn)行驗證（例如數(shù)字簽名校驗），以此防止惡意固件注入。

?      禁止回滾到存在已知漏洞的舊版本固件，保證安全更新具有不可逆性。

2.   抗篡改設(shè)計

?      配備物理防拆傳感器，一旦檢測到非法拆解，立即鎖定設(shè)備并清除敏感數(shù)據(jù)。

?      密鑰、私鑰等敏感數(shù)據(jù)需存儲在硬件安全模塊（HSM）中，以抵御側(cè)信道攻擊。

?      實時監(jiān)測電壓、溫度等運行參數(shù)，出現(xiàn)異常時觸發(fā)安全響應(yīng)。

（二）交易安全與審計

3.   交易日志與審計追蹤

?      完整記錄交易時間、金額、用戶身份等信息，日志需加密存儲且不可篡改。

?      支持監(jiān)管機構(gòu)或用戶查詢交易歷史，確保交易可追溯。

4.   多因素認(rèn)證與交易授權(quán)

?      金融交易需支持密碼+生物識別（指紋/面部識別）等多因素認(rèn)證。

?      大額交易需用戶二次確認(rèn)，如通過短信驗證碼、動態(tài)令牌等方式。

?      實行權(quán)限分級管理，分離管理員、操作員、審計員等角色權(quán)限。

（三）通信與加密

5.   端到端加密

?      交易數(shù)據(jù)在設(shè)備與支付網(wǎng)關(guān)間需全程加密，采用TLS 1.3或IPsec協(xié)議。

?      加密密鑰定期輪換，輪換周期不超過90天。

6.   防中間人攻擊

?      設(shè)備需驗證支付網(wǎng)關(guān)證書的有效性，防止證書偽造或中間人攻擊。

（四）認(rèn)證測試要求

7.   第三方檢測

?      高風(fēng)險設(shè)備需通過公告機構(gòu)（NB）的滲透測試（模擬黑客攻擊驗證安全機制）和物理安全測試（檢測防拆設(shè)計有效性）。

?      低風(fēng)險設(shè)備可采用自我聲明，但需滿足安全啟動、日志加密等核心要求。

三、與EN 18031-1/2的核心區(qū)別

四、認(rèn)證實施要點

8.   時間節(jié)點

?      2025年8月1日起，所有適用設(shè)備必須符合EN 18031-3要求，否則無法獲得CE-RED認(rèn)證進(jìn)入歐盟市場。

9.   技術(shù)文檔要求

?      需提交安全設(shè)計文檔（如威脅建模報告）、加密協(xié)議說明、漏洞掃描報告等。

?      高風(fēng)險功能（如虛擬貨幣交易）需提供第三方滲透測試報告。

10. 認(rèn)證周期

?      常規(guī)測試周期3-6個月，加急可縮短至2個月，證書無固定有效期但需年度監(jiān)督審核。

五、行業(yè)影響與趨勢

EN 18031-3的實施，標(biāo)志著歐盟對金融設(shè)備網(wǎng)絡(luò)安全的監(jiān)管進(jìn)入技術(shù)標(biāo)準(zhǔn)化階段。其“安全啟動”“交易日志加密”等核心要求，已被美國PCI DSS、新加坡《網(wǎng)絡(luò)安全法》等國際標(biāo)準(zhǔn)借鑒。隨著歐盟《數(shù)字金融法案》的推進(jìn)，涉及數(shù)字貨幣、跨境支付的智能設(shè)備將進(jìn)一步納入認(rèn)證范圍，推動全球金融設(shè)備安全技術(shù)向更高標(biāo)準(zhǔn)發(fā)展。