德國萊因TUV助攻 電子產(chǎn)業(yè)加速掌握產(chǎn)品網(wǎng)安關(guān)鍵要領(lǐng)

進入數(shù)碼時代，隨著科技演進速度加快，對于人們生活、工作乃至商業(yè)經(jīng)營的影響正急遽擴大；身為科技工具與解決方案提供者的電子產(chǎn)業(yè)，也在這波的變革浪潮中，面臨網(wǎng)安、合規(guī)、隱私保護等接踵而來的嚴峻挑戰(zhàn)。

有感于眾多業(yè)者急欲突破瓶頸、站穩(wěn)浪頭，德國萊因TUV于日前舉行「安全神隊友！ 解鎖信息產(chǎn)品升級關(guān)鍵口令」研討會，動員旗下眾多專家，從揭示最熱門的USB Type-C充電技術(shù)出發(fā)，接續(xù)探討聯(lián)網(wǎng)產(chǎn)品信息安全相關(guān)的歐盟無線電設(shè)備（RED）指令、剖析電子產(chǎn)品標準IEC 62368-1新舊版差異，進而解讀AI對信息電子產(chǎn)業(yè)可能造成的關(guān)鍵影響。

德國萊因TUV董事總經(jīng)理王秀云致詞表示，本次主題圍繞在電子電氣產(chǎn)品領(lǐng)域，橫跨AI、網(wǎng)安兩大熱門議題，也連結(jié)到外銷歐盟時需要遵循的RED指令，加上同樣備受關(guān)注的IEC 62368-1、USB Type-C等議題，足見這次活動內(nèi)容極為豐富。她強調(diào)，德國萊因TUV會持續(xù)分享一些正在發(fā)生或未來要發(fā)生的法規(guī)、標準指令，期盼對電子產(chǎn)業(yè)從業(yè)人員有所啟發(fā)。

歐盟統(tǒng)一充電規(guī)格，2024年底開始強制生效

德國萊因TUV電子電氣產(chǎn)品服務(wù)經(jīng)理吳政璋，以「歐盟統(tǒng)一充電規(guī)格，USB Type-C時代來臨」為題，展開第一場主題演講。他指出德國萊因TUV在2022年甚至前年起，早已密切關(guān)注USB Type-C的進展。

那麼為何德國萊因TUV一再探索這個主題吳政璋解釋，一來因為它與RED指令所管制的資通訊產(chǎn)品至為相關(guān)，而臺灣在全球資通訊產(chǎn)業(yè)居關(guān)鍵合作夥伴地位，二來他形容它像是降龍十八掌，先前只講前面九掌，圍繞在受電端（Powered Device；PD），如今隨著充電端（Power Sourcing Equipment；PSE） 的法規(guī)修改即將誕生，意謂現(xiàn)在已到了揭示后面九掌的時機。

歐盟統(tǒng)一充電規(guī)格，蘊含四大目的，前二大目的包括「確保最低限度兼容性」、「增加使用者便利性」， 當此二者目的符合后，可望接續(xù)實現(xiàn)另外二個目的 -「減少環(huán)境廢棄物」，及「避免技術(shù)市場碎片化」。 原因在于當電子產(chǎn)品更換時，若能沿用外部電源，可避免制造新廢棄物，且確保大家都采用相同USB硬件規(guī)格、USB PD協(xié)定下，達到彼此兼容，避免技術(shù)碎片化。

回顧USB PD發(fā)展史，它在2010年誕生，初期名為USB BC 1.2，用于規(guī)范電池充電功能。2012年「USB PD」供電協(xié)定正式現(xiàn)身。

時至2015年USB PD 3.0出爐，規(guī)格組數(shù)明顯增多，2021年也獲歐盟引用并調(diào)和為EN 62680-1-2:2021標準，此時最大功率仍維持在100瓦。直到2021年USB PD 3.1，2022年成為歐盟EN 62680-1-2:2022標準，最大功率提升為240瓦；此外PD 3.1較特別之處，在于新增EPR（Extend Power Range）級別規(guī)格「28/36/48V@5A」，因在5A恒定不變符合硬件耐受性下，唯有將電壓提高至48V，才能達到240瓦。

欲實現(xiàn)240瓦功率，有賴三位一體，首先需要使用USB PD 3.1協(xié)定，其次線材必須支持48V@5A，最后供電端與受電端都要同時支持此協(xié)定。

歐盟于2022年11月修訂通過統(tǒng)一充電規(guī)格，并于12月公告，后續(xù)分為兩階段強制生效，一是2024年12月28日，適用于小型電子產(chǎn)品，另一是2026年4月28日，適用于筆記本電腦。同時間RED也修改部分內(nèi)容，將原本「透過100W內(nèi)有線充電」的13項納管產(chǎn)品規(guī)定，修訂為240W，與EN 62680-1-2:2022標準亦步亦趨。

針對外部電源（EPS）供電端，歐盟也在2023年2月公布外部電源生態(tài)化指令草案；談到個中對應(yīng)統(tǒng)一充電規(guī)格的重點，值得關(guān)注兩項內(nèi)容，一是要求AC/DC的外部電源在輸出端需改為非永久連接式，因為此類產(chǎn)品的損壞通常都在線材的部分，在可更換線材的情況下，假使EPS仍然正常運作理應(yīng)繼續(xù)使用，以延長產(chǎn)品生命周期。其次是AC/DC 外部電源若支持快充則應(yīng)能符合EN 62680-1-2:2022 USB PD標準，并適配于符合EN 62680-1-3:2022標準的輸出線材，達到歐盟統(tǒng)一充電規(guī)格，實現(xiàn)「減少環(huán)境廢棄物」的目標。

善用今后2年時間，準備因應(yīng)RED網(wǎng)安要求

接著由德國萊因TUV的電子電氣產(chǎn)品服務(wù)資深專案經(jīng)理陳舒璇、工業(yè)服務(wù)與信息安全業(yè)務(wù)經(jīng)理莊佩甄二人，聯(lián)手揭開從RED（Radio Equipment Directive）指令到物聯(lián)網(wǎng)與工控網(wǎng)安的關(guān)鍵口令。

陳舒璇表示，當無線產(chǎn)品要進入歐盟販售，即需符合RED指令的安規(guī)、電磁兼容與RF要求；另著眼于信息網(wǎng)絡(luò)安全日益重要，RED亦將網(wǎng)安納入規(guī)范、落在3（3）def條文范圍，預(yù)計2025年8月開始強制執(zhí)行，業(yè)者還有兩年時間做準備。其中3(3)d旨在增強網(wǎng)絡(luò)服務(wù)品質(zhì)的保護，意即當網(wǎng)絡(luò)遭受攻擊時，不能降低服務(wù)品質(zhì)；3(3)e是為了保護個人數(shù)據(jù)及隱私，受到網(wǎng)絡(luò)攻擊時不能外泄個資；3（3）f則是要防止網(wǎng)絡(luò)詐騙。

目前RED尚無明確標準，建議大家參考ETSI TS 103 929，其中提供的IEC62443-4-2、EN 303 645兩項標準，就能對應(yīng)RED Articles 3（3）def要求。以一般無線產(chǎn)品供應(yīng)商而論，可參酌EN 303 645的Mapping Table；系因該標準的范圍比起RED更廣更大，所以只要遵循EN 303 645，對未來符合3（3）def理應(yīng)極具助益。

EN 303 645內(nèi)含13項條款要求，包括缺省口令不能太簡化（如0000或1234）、制造商須提供管理網(wǎng)絡(luò)漏洞的方式、軟件須維持在最新版本、須妥善保存安全參數(shù)、傳輸過程必須安全、須減少黑客攻擊界面（如最小特權(quán)原則）、須確保軟件完整性、須保護個人數(shù)據(jù)安全、須有能力面對斷電或斷網(wǎng)狀況、業(yè)者針對蒐集到的數(shù)據(jù)須分辨能否使用及正確與否、要讓使用者很簡單地刪除想要刪除的數(shù)據(jù)、產(chǎn)品安裝或維護方式務(wù)求方便簡單，及輸入的數(shù)據(jù)須有驗證機制。

值得一提，2022年歐盟有M585決議，要求歐洲兩大標準委員會著手制作Articles 3（3）def對應(yīng)法規(guī)。據(jù)傳相關(guān)草稿已出爐，目前審核中，盡管如此業(yè)者仍可預(yù)先參考M585當中的一些基本原則。

莊佩甄接著說，針對想要準備RED Articles 3（3）標準的業(yè)者，德國萊因已撰寫2 PfG 2912/07.22標準，方便大家用來做過渡期準備。

在2 PfG當中，針對Article 3（3）d要求的身份安全、界面安全、通訊安全、軟件更新等，3（3）e提到個人數(shù)據(jù)儲存、分析、傳輸，乃至刪除用戶通知、內(nèi)部活動日志等，及3(3)f所提避免詐騙的種種內(nèi)容，皆提出完整指引，同時也定義出對應(yīng)的測項。

為何要制作2 PfG標準？她解釋，德國萊因希望客戶在RED正式頒布前有依循的目標，不要等到標準頒布了、才倉促探究合規(guī)之道；畢竟網(wǎng)安功能是透過設(shè)計出來的、不是測試出來的，若在一開始設(shè)計時沒有做到，最終測試時就不會具備這樣的能力。2 PfG標準所參酌的依據(jù)，同時涵括EN 303 645、IEC?62443等重要標準。

理解新版電子產(chǎn)品安全標準，并關(guān)注AIGC網(wǎng)安風險

活動后半場包含兩場演說，其中一位主講人為臺灣德國萊因電子電氣產(chǎn)品服務(wù)技術(shù)專家林文堂，另一位為DIGITIMES分析師黃耀漢。

林文堂將講題設(shè)定在「電子產(chǎn)品安全標準IEC 62368-1 3/4版差異分析」。他表示IEC 62368-1最新的第四版于2023年5月發(fā)行，與前版的主要差別，首先是撤除IEC 60950-1或IEC 60065定義的內(nèi)外部組件／子組件規(guī)定。其余修改重點，遍布于外部電路、防火外殼、液體填充部件、電池充電等范疇。

關(guān)于外部電路的修訂，可分環(huán)境1、環(huán)境0兩部分來談。環(huán)境1部分，戶外的中長距離配線適用1500V的瞬態(tài)電壓（Transient Voltages）要求，若配線處在市電（Mains）所走的路徑，適用4000V瞬態(tài)電壓要求。至于環(huán)境0，意指端子符合IEC/EN 61000-4-5或布線配線小于10米者，主要定義設(shè)備互聯(lián)規(guī)范；假使有提供電源使用的外部電路、其線徑須大于0.4mm，在成對導(dǎo)體電纜上的電流應(yīng)限制于1.3A RMS或DC。

防火外殼部分，針對專業(yè)設(shè)備的開孔出現(xiàn)了較前版更寬松的解釋，只要側(cè)面開孔不超過外殼厚度的11倍即可。而在液體填充零件部分，主要加入一些制冷劑的要求，基本上應(yīng)符合IEC 60335-2-40和／或IEC 61010-2-011規(guī)范，并刪除液體超過1升的設(shè)備不適用的條文；此外模塊LFC（Liquid Field Component），若非已符合IEC 61010，皆需通過G.15測試要求。

有關(guān)充電的要求，凡是符合IEC 62133-2的電池，并用于固定設(shè)備中的子系統(tǒng)供電應(yīng)用，依靠電氣、電子、軟件控制及系統(tǒng)作為安全防護者，應(yīng)符合IEC 62619的8.1要求，或必須提供安全防護；再來電池本身須額外提供一個防火外殼，以加強保護。

擔任壓軸講師的DIGITIMES分析師黃耀漢，則剖析AI對信息電子產(chǎn)業(yè)的影響與趨勢發(fā)展。他引述美國一份調(diào)查報告指出，2023年有60%企業(yè)規(guī)劃采購生成式AI（AIGC）工具，55%員工認為AIGC有助提升生產(chǎn)力，且無論對信息管理、營運管理、客戶服務(wù)、市場行銷、業(yè)務(wù)銷售或人力資源皆有正面影響，足見AIGC趨勢已無法回避。

另按財團法人人工智能科技基金會在2022年的調(diào)查，將「尚未導(dǎo)入任何信息系統(tǒng)」、「已有基礎(chǔ)的信息系統(tǒng)」及「信息系統(tǒng)已進行整合，將不同系統(tǒng)的數(shù)據(jù)透過API或應(yīng)用程序連結(jié)在一起」歸類為無AI應(yīng)用，另將「導(dǎo)入外部信息系統(tǒng)，串聯(lián)內(nèi)外部數(shù)據(jù)分析，加速商業(yè)決策判斷」、「善用數(shù)據(jù)分析來輔助助進行商業(yè)決策制定，將數(shù)碼化視為必要任務(wù)」歸類有AI應(yīng)用。

在此脈絡(luò)下，目前ICT產(chǎn)業(yè)中約60%屬于無AI應(yīng)用，而制造業(yè)更高達75%，顯示AI技術(shù)的導(dǎo)入商機仍大，值得期待。惟企業(yè)投入AIGC應(yīng)用時，應(yīng)留意隱藏網(wǎng)安問題，包括訓(xùn)練流程的數(shù)據(jù)傳輸、推論流程的用戶提出數(shù)據(jù)，皆是需要管控的信息泄漏點。

2023年AI當?shù)溃娮赢a(chǎn)業(yè)亟待掌握的市場趨勢及技術(shù)發(fā)展變化仍然很大，選擇合適的驗證單位為軟硬件安全的神隊友，將有利企業(yè)專注強化核心競爭力。