德國萊因TUV助攻 電子產(chǎn)業(yè)加速掌握產(chǎn)品網(wǎng)安關(guān)鍵要領(lǐng)

進(jìn)入數碼時(shí)代，隨著(zhù)科技演進(jìn)速度加快，對于人們生活、工作乃至商業(yè)經(jīng)營(yíng)的影響正急遽擴大；身為科技工具與解決方案提供者的電子產(chǎn)業(yè)，也在這波的變革浪潮中，面臨網(wǎng)安、合規、隱私保護等接踵而來(lái)的嚴峻挑戰。

有感于眾多業(yè)者急欲突破瓶頸、站穩浪頭，德國萊因TUV于日前舉行「安全神隊友！ 解鎖信息產(chǎn)品升級關(guān)鍵口令」研討會(huì )，動(dòng)員旗下眾多專(zhuān)家，從揭示最熱門(mén)的USB Type-C充電技術(shù)出發(fā)，接續探討聯(lián)網(wǎng)產(chǎn)品信息安全相關(guān)的歐盟無(wú)線(xiàn)電設備（RED）指令、剖析電子產(chǎn)品標準IEC 62368-1新舊版差異，進(jìn)而解讀AI對信息電子產(chǎn)業(yè)可能造成的關(guān)鍵影響。

德國萊因TUV董事總經(jīng)理王秀云致詞表示，本次主題圍繞在電子電氣產(chǎn)品領(lǐng)域，橫跨AI、網(wǎng)安兩大熱門(mén)議題，也連結到外銷(xiāo)歐盟時(shí)需要遵循的RED指令，加上同樣備受關(guān)注的IEC 62368-1、USB Type-C等議題，足見(jiàn)這次活動(dòng)內容極為豐富。她強調，德國萊因TUV會(huì )持續分享一些正在發(fā)生或未來(lái)要發(fā)生的法規、標準指令，期盼對電子產(chǎn)業(yè)從業(yè)人員有所啟發(fā)。

歐盟統一充電規格，2024年底開(kāi)始強制生效

德國萊因TUV電子電氣產(chǎn)品服務(wù)經(jīng)理吳政璋，以「歐盟統一充電規格，USB Type-C時(shí)代來(lái)臨」為題，展開(kāi)第一場(chǎng)主題演講。他指出德國萊因TUV在2022年甚至前年起，早已密切關(guān)注USB Type-C的進(jìn)展。

那麼為何德國萊因TUV一再探索這個(gè)主題吳政璋解釋?zhuān)粊?lái)因為它與RED指令所管制的資通訊產(chǎn)品至為相關(guān)，而臺灣在全球資通訊產(chǎn)業(yè)居關(guān)鍵合作夥伴地位，二來(lái)他形容它像是降龍十八掌，先前只講前面九掌，圍繞在受電端（Powered Device；PD），如今隨著(zhù)充電端（Power Sourcing Equipment；PSE） 的法規修改即將誕生，意謂現在已到了揭示后面九掌的時(shí)機。

歐盟統一充電規格，蘊含四大目的，前二大目的包括「確保最低限度兼容性」、「增加使用者便利性」， 當此二者目的符合后，可望接續實(shí)現另外二個(gè)目的 -「減少環(huán)境廢棄物」，及「避免技術(shù)市場(chǎng)碎片化」。 原因在于當電子產(chǎn)品更換時(shí)，若能沿用外部電源，可避免制造新廢棄物，且確保大家都采用相同USB硬件規格、USB PD協(xié)定下，達到彼此兼容，避免技術(shù)碎片化。

回顧USB PD發(fā)展史，它在2010年誕生，初期名為USB BC 1.2，用于規范電池充電功能。2012年「USB PD」供電協(xié)定正式現身。

時(shí)至2015年USB PD 3.0出爐，規格組數明顯增多，2021年也獲歐盟引用并調和為EN 62680-1-2:2021標準，此時(shí)最大功率仍維持在100瓦。直到2021年USB PD 3.1，2022年成為歐盟EN 62680-1-2:2022標準，最大功率提升為240瓦；此外PD 3.1較特別之處，在于新增EPR（Extend Power Range）級別規格「28/36/48V@5A」，因在5A恒定不變符合硬件耐受性下，唯有將電壓提高至48V，才能達到240瓦。

欲實(shí)現240瓦功率，有賴(lài)三位一體，首先需要使用USB PD 3.1協(xié)定，其次線(xiàn)材必須支持48V@5A，最后供電端與受電端都要同時(shí)支持此協(xié)定。

歐盟于2022年11月修訂通過(guò)統一充電規格，并于12月公告，后續分為兩階段強制生效，一是2024年12月28日，適用于小型電子產(chǎn)品，另一是2026年4月28日，適用于筆記本電腦。同時(shí)間RED也修改部分內容，將原本「透過(guò)100W內有線(xiàn)充電」的13項納管產(chǎn)品規定，修訂為240W，與EN 62680-1-2:2022標準亦步亦趨。

針對外部電源（EPS）供電端，歐盟也在2023年2月公布外部電源生態(tài)化指令草案；談到個(gè)中對應統一充電規格的重點(diǎn)，值得關(guān)注兩項內容，一是要求AC/DC的外部電源在輸出端需改為非永久連接式，因為此類(lèi)產(chǎn)品的損壞通常都在線(xiàn)材的部分，在可更換線(xiàn)材的情況下，假使EPS仍然正常運作理應繼續使用，以延長(cháng)產(chǎn)品生命周期。其次是AC/DC 外部電源若支持快充則應能符合EN 62680-1-2:2022 USB PD標準，并適配于符合EN 62680-1-3:2022標準的輸出線(xiàn)材，達到歐盟統一充電規格，實(shí)現「減少環(huán)境廢棄物」的目標。

善用今后2年時(shí)間，準備因應RED網(wǎng)安要求

接著(zhù)由德國萊因TUV的電子電氣產(chǎn)品服務(wù)資深專(zhuān)案經(jīng)理陳舒璇、工業(yè)服務(wù)與信息安全業(yè)務(wù)經(jīng)理莊佩甄二人，聯(lián)手揭開(kāi)從RED（Radio Equipment Directive）指令到物聯(lián)網(wǎng)與工控網(wǎng)安的關(guān)鍵口令。

陳舒璇表示，當無(wú)線(xiàn)產(chǎn)品要進(jìn)入歐盟販售，即需符合RED指令的安規、電磁兼容與RF要求；另著(zhù)眼于信息網(wǎng)絡(luò )安全日益重要，RED亦將網(wǎng)安納入規范、落在3（3）def條文范圍，預計2025年8月開(kāi)始強制執行，業(yè)者還有兩年時(shí)間做準備。其中3(3)d旨在增強網(wǎng)絡(luò )服務(wù)品質(zhì)的保護，意即當網(wǎng)絡(luò )遭受攻擊時(shí)，不能降低服務(wù)品質(zhì)；3(3)e是為了保護個(gè)人數據及隱私，受到網(wǎng)絡(luò )攻擊時(shí)不能外泄個(gè)資；3（3）f則是要防止網(wǎng)絡(luò )詐騙。

目前RED尚無(wú)明確標準，建議大家參考ETSI TS 103 929，其中提供的IEC62443-4-2、EN 303 645兩項標準，就能對應RED Articles 3（3）def要求。以一般無(wú)線(xiàn)產(chǎn)品供應商而論，可參酌EN 303 645的Mapping Table；系因該標準的范圍比起RED更廣更大，所以只要遵循EN 303 645，對未來(lái)符合3（3）def理應極具助益。

EN 303 645內含13項條款要求，包括缺省口令不能太簡(jiǎn)化（如0000或1234）、制造商須提供管理網(wǎng)絡(luò )漏洞的方式、軟件須維持在最新版本、須妥善保存安全參數、傳輸過(guò)程必須安全、須減少黑客攻擊界面（如最小特權原則）、須確保軟件完整性、須保護個(gè)人數據安全、須有能力面對斷電或斷網(wǎng)狀況、業(yè)者針對蒐集到的數據須分辨能否使用及正確與否、要讓使用者很簡(jiǎn)單地刪除想要刪除的數據、產(chǎn)品安裝或維護方式務(wù)求方便簡(jiǎn)單，及輸入的數據須有驗證機制。

值得一提，2022年歐盟有M585決議，要求歐洲兩大標準委員會(huì )著(zhù)手制作Articles 3（3）def對應法規。據傳相關(guān)草稿已出爐，目前審核中，盡管如此業(yè)者仍可預先參考M585當中的一些基本原則。

莊佩甄接著(zhù)說(shuō)，針對想要準備RED Articles 3（3）標準的業(yè)者，德國萊因已撰寫(xiě)2 PfG 2912/07.22標準，方便大家用來(lái)做過(guò)渡期準備。

在2 PfG當中，針對Article 3（3）d要求的身份安全、界面安全、通訊安全、軟件更新等，3（3）e提到個(gè)人數據儲存、分析、傳輸，乃至刪除用戶(hù)通知、內部活動(dòng)日志等，及3(3)f所提避免詐騙的種種內容，皆提出完整指引，同時(shí)也定義出對應的測項。

為何要制作2 PfG標準？她解釋?zhuān)聡R因希望客戶(hù)在RED正式頒布前有依循的目標，不要等到標準頒布了、才倉促探究合規之道；畢竟網(wǎng)安功能是透過(guò)設計出來(lái)的、不是測試出來(lái)的，若在一開(kāi)始設計時(shí)沒(méi)有做到，最終測試時(shí)就不會(huì )具備這樣的能力。2 PfG標準所參酌的依據，同時(shí)涵括EN 303 645、IEC?62443等重要標準。

理解新版電子產(chǎn)品安全標準，并關(guān)注AIGC網(wǎng)安風(fēng)險

活動(dòng)后半場(chǎng)包含兩場(chǎng)演說(shuō)，其中一位主講人為臺灣德國萊因電子電氣產(chǎn)品服務(wù)技術(shù)專(zhuān)家林文堂，另一位為DIGITIMES分析師黃耀漢。

林文堂將講題設定在「電子產(chǎn)品安全標準IEC 62368-1 3/4版差異分析」。他表示IEC 62368-1最新的第四版于2023年5月發(fā)行，與前版的主要差別，首先是撤除IEC 60950-1或IEC 60065定義的內外部組件／子組件規定。其余修改重點(diǎn)，遍布于外部電路、防火外殼、液體填充部件、電池充電等范疇。

關(guān)于外部電路的修訂，可分環(huán)境1、環(huán)境0兩部分來(lái)談。環(huán)境1部分，戶(hù)外的中長(cháng)距離配線(xiàn)適用1500V的瞬態(tài)電壓（Transient Voltages）要求，若配線(xiàn)處在市電（Mains）所走的路徑，適用4000V瞬態(tài)電壓要求。至于環(huán)境0，意指端子符合IEC/EN 61000-4-5或布線(xiàn)配線(xiàn)小于10米者，主要定義設備互聯(lián)規范；假使有提供電源使用的外部電路、其線(xiàn)徑須大于0.4mm，在成對導體電纜上的電流應限制于1.3A RMS或DC。

防火外殼部分，針對專(zhuān)業(yè)設備的開(kāi)孔出現了較前版更寬松的解釋?zhuān)灰獋让骈_(kāi)孔不超過(guò)外殼厚度的11倍即可。而在液體填充零件部分，主要加入一些制冷劑的要求，基本上應符合IEC 60335-2-40和／或IEC 61010-2-011規范，并刪除液體超過(guò)1升的設備不適用的條文；此外模塊LFC（Liquid Field Component），若非已符合IEC 61010，皆需通過(guò)G.15測試要求。

有關(guān)充電的要求，凡是符合IEC 62133-2的電池，并用于固定設備中的子系統供電應用，依靠電氣、電子、軟件控制及系統作為安全防護者，應符合IEC 62619的8.1要求，或必須提供安全防護；再來(lái)電池本身須額外提供一個(gè)防火外殼，以加強保護。

擔任壓軸講師的DIGITIMES分析師黃耀漢，則剖析AI對信息電子產(chǎn)業(yè)的影響與趨勢發(fā)展。他引述美國一份調查報告指出，2023年有60%企業(yè)規劃采購生成式AI（AIGC）工具，55%員工認為AIGC有助提升生產(chǎn)力，且無(wú)論對信息管理、營(yíng)運管理、客戶(hù)服務(wù)、市場(chǎng)行銷(xiāo)、業(yè)務(wù)銷(xiāo)售或人力資源皆有正面影響，足見(jiàn)AIGC趨勢已無(wú)法回避。

另按財團法人人工智能科技基金會(huì )在2022年的調查，將「尚未導入任何信息系統」、「已有基礎的信息系統」及「信息系統已進(jìn)行整合，將不同系統的數據透過(guò)API或應用程序連結在一起」歸類(lèi)為無(wú)AI應用，另將「導入外部信息系統，串聯(lián)內外部數據分析，加速商業(yè)決策判斷」、「善用數據分析來(lái)輔助助進(jìn)行商業(yè)決策制定，將數碼化視為必要任務(wù)」歸類(lèi)有AI應用。

在此脈絡(luò )下，目前ICT產(chǎn)業(yè)中約60%屬于無(wú)AI應用，而制造業(yè)更高達75%，顯示AI技術(shù)的導入商機仍大，值得期待。惟企業(yè)投入AIGC應用時(shí)，應留意隱藏網(wǎng)安問(wèn)題，包括訓練流程的數據傳輸、推論流程的用戶(hù)提出數據，皆是需要管控的信息泄漏點(diǎn)。

2023年AI當道，電子產(chǎn)業(yè)亟待掌握的市場(chǎng)趨勢及技術(shù)發(fā)展變化仍然很大，選擇合適的驗證單位為軟硬件安全的神隊友，將有利企業(yè)專(zhuān)注強化核心競爭力。