准备EN 18031 认证的技术文件需全面覆盖标准对无线电设备网络安全的要求，确保文件的完整性、准确性和可追溯性。以下是具体的准备要点和内容框架：

一、技术文件核心内容

1. 产品基本信息

产品描述：

包括产品名称、型号、用途、技术规格（如频段、传输协议、操作系统等）。

说明产品是否属于标准适用范围（如无线通信设备、智能家居设备等）。

功能架构图：

绘制产品硬件和软件架构图，标注关键组件（如处理器、存储模块、通信模块）、接口（如USB、Wi-Fi、蓝牙）及数据流向。

供应链信息：

列出关键零部件供应商（如芯片厂商、软件供应商），说明第三方组件的安全合规性（如是否已通过其他安全认证）。

2. 安全需求与风险评估

安全资产识别：

明确产品涉及的安全资产，例如：

数据资产：用户隐私数据、通信数据、配置文件等。

系统资产：操作系统、固件、应用程序、加密模块等。

物理资产：设备硬件、存储介质等。

风险评估报告：

依据EN 18031-1 的风险评估方法，分析潜在威胁（如未授权访问、数据泄露、固件篡改等）。

描述已采取的风险缓解措施（如访问控制、加密算法、安全更新机制等）。

3. 安全设计与实现

访问控制与认证：

说明用户权限分级（如管理员/ 普通用户）、默认账户策略（是否禁用默认密码、强制密码复杂度等）。

描述认证机制（如用户名/ 密码、OAuth、生物识别）的技术细节和安全强度（如加密算法强度、会话超时控制）。

数据安全与加密：

列出传输层和存储层使用的加密协议（如TLS 1.3、AES-256），说明密钥管理流程（生成、存储、更新、销毁）。

若涉及用户数据存储，需说明数据分类（如敏感/ 非敏感）、存储期限和删除机制。

安全更新机制：

描述固件/ 软件更新的技术方案（如 OTA 更新、本地更新），包括更新包的完整性校验（如哈希值验证）和加密传输（如 HTTPS）。

说明更新服务器的安全防护措施（如访问控制、入侵检测系统）。

漏洞管理：

提供漏洞报告流程（如公开漏洞响应渠道、补丁开发周期）。

列出已知漏洞的修复记录（如CVE 编号、修复版本号、验证方法）。

4. 测试与验证记录

功能测试报告：

记录对EN 18031 要求的 14 项核心功能（如访问控制、安全审计、抗干扰能力等）的测试过程和结果。

包括测试用例、测试工具（如Wireshark、Nmap）、测试环境（模拟攻击场景）和通过 / 失败结论。

渗透测试报告：

提供第三方机构或内部团队进行的渗透测试结果，覆盖网络层、应用层和物理层的攻击模拟（如DDoS 攻击、固件逆向工程）。

说明漏洞修复后的复测结果。

合规性声明：

由制造商或授权代表签署的书面声明，确认产品符合EN 18031 标准所有适用条款。

5. 质量管理与生产控制

质量管理体系文件：

提供ISO 9001 质量管理体系认证证书（若有），或说明内部质量控制流程（如原材料检验、生产过程记录、成品抽检）。

若涉及软件开发生命周期（SDLC），需描述安全开发生命周期（SDL）的实施情况（如威胁建模、代码审计）。

生产一致性控制（COP）：

说明量产阶段如何确保产品与认证样品一致，例如：

关键零部件的变更管理流程（如更换芯片需重新测试）。

成品的抽样检测计划（如每批次测试安全功能）。

二、文件格式与管理要求

语言与格式：

技术文件需使用欧盟官方语言（如英语、法语、德语），优先使用认证机构指定语言。

建议采用PDF 格式，分章节编号，附目录和索引，便于审核人员查阅。

可追溯性：

对引用的标准、测试报告、供应商文档等需注明版本号和日期。

关键数据（如加密算法参数、漏洞修复记录）需清晰标注，确保可复现验证。

保密与存储：

涉及商业机密的内容（如核心算法、供应链细节）可单独成册，但需向认证机构说明并申请保密审查。

技术文件需至少保存10 年（自产品停止销售起），以备监管机构抽查。

三、常见问题与应对建议

第三方组件的合规性：

若使用开源软件（如Linux 内核），需说明是否已修复已知漏洞，并提供开源许可证合规性声明（如 GPL、MIT）。

要求供应商提供组件的安全测试报告或认证证书（如芯片的CC 认证）。

风险评估的深度：

避免泛泛而谈，需结合产品实际应用场景（如智能家居设备需重点评估隐私泄露风险，工业设备需关注控制指令篡改风险）。

使用标准推荐的风险矩阵（如威胁可能性× 影响程度）量化风险等级。

测试记录的完整性：

测试报告需包含测试人员签名、测试日期和机构印章，若为内部测试，需说明测试团队的独立性和资质。

对未通过的测试项，需详细记录整改措施和重新测试的结果。

四、参考资源

标准原文：EN 18031-1:2020《Radio equipment — Network security — Part 1: Concepts, requirements and vocabulary》等系列标准。

欧盟官方指南：欧盟委员会发布的《无线电设备网络安全合规指南》。

认证机构支持：联系选定的公告机构（NB）获取技术文件模板和审核重点清单。

通过系统化整理上述内容，可显著提高技术文件的通过率，缩短认证周期。建议在准备初期与认证机构沟通，确保文件框架符合其特定要求。

24小时服务热线：131-4343-1439(微信同号)

微测检测专线邮箱：mti@51mti.com