CRA 第一類合規指南:路由器、數據機與交換器
摘要
家用 WLAN 路由器、數據機路由器、網際網路數據機、Mesh 路由器節點或交換器,一般應規劃為 重要的第一類 產品。例外取決於核心功能:主打防火牆、IDS/IPS、VPN 閘道或網路管理設備的路由器,可能需要不同的分類分析。
第一份證據工作,是針對確切的 CPE 或網路裝置撰寫分類與邊界備忘錄。它應辨識硬體、韌體、WAN 介面、無線堆疊、LAN 管理介面、行動 App、ISP 或廠商雲端、遠端管理通道、更新機制、元件清單、支援期間,以及任何貼牌或 ISP 韌體修改。
| 產品變體 | 可能的 CRA 分類 | 原因 |
|---|---|---|
| 消費級 WLAN 路由器 | 重要第一類 | 網際網路連線與路由是核心功能 |
| ISP 數據機路由器或 CPE | 重要第一類 | 產品讓客戶連上網際網路 |
| 獨立的纜線、DSL 或光纖數據機 / ONT | 供網際網路連線用時為重要第一類 | 網際網路數據機功能是核心產品功能 |
| Mesh WLAN 套件 | 重要第一類 | Mesh 節點構成路由器產品或產品系列 |
| 4G/5G 行動熱點 | 重要第一類 | 行動 WAN 仍是網際網路連線 |
| 網管型交換器 | 重要第一類 | 交換加上管理平面符合網路產品功能,並擴大證據邊界 |
| 非網管或不可組態的交換器 | 視個案而定 | 在比照網管型網路設備之前,先確認它是否為帶數位元件的產品,以及是否有任何管理平面、韌體更新路徑、雲端/App 功能或其他連網功能 |
| VPN 路由器 | 視個案而定,通常為重要第一類 | 若以 VPN 為賣點行銷,VPN 可能是更具體的功能 |
| 主打防火牆、UTM 或 IPS 的路由器 | 視個案而定,可能為重要第二類 | 防火牆或防護可能成為核心功能 |
| 獨立販售的商用路由器韌體 | 視個案而定 | 軟體產品本身可能就是路由器產品 |
| 採用 OEM 硬體的 ISP 貼牌 CPE | 重要第一類,與角色相關 | 貼牌或韌體變更可能移轉製造商義務 |
分類依據
CRA 把路由器、網際網路數據機與交換器視為重要的第一類產品,這與第二類的防火牆地位不同。只要路由與網際網路連線仍是其核心行銷功能,額外的安全功能就不會把路由器移入第二類。
產品不會只因位於網路邊緣就成為關鍵產品。關鍵清單範圍更窄,並未把消費級路由器或 ISP CPE 整體納入。
路由器產品包含哪些項目?
路由器、數據機或交換器產品,可能不只是那個塑膠外殼:
- 開機載入器、作業系統、核心、無線驅動程式、WAN 堆疊與 LAN 服務;
- 數據機、ONT、乙太網路交換晶片、管理 VLAN 行為,以及(若有)PoE 控制;
- 網頁管理介面、行動 App 配對與本機設定入口;
- TR-069、USP/TR-369 或其他遠端管理通道;
- 用於遠端存取、家長控制、遙測、Mesh 協調或更新調度的廠商或 ISP 雲端;
- 韌體更新服務、簽章金鑰、復原映像與支援流程。
產品檔案也應記錄哪些不屬於產品:客戶的 ISP 帳戶、第三方智慧家庭裝置、客戶自訂的網路規則、分開販售時客戶自備的數據機,以及非製造商提供的下游營運者系統。
製造商應規劃哪一種合規路徑?
重要第一類不代表每台路由器都自動需要第三方評鑑,但也不能假定內部控制必然適用。若製造商可採用一般的內部控制路徑,並已就適用的基本要求完整套用相關的調和標準、共通規範,或在保證等級至少為「重大」的適當歐洲資安認證機制,則該路徑可能可用。若這些依據不存在、僅部分套用、未套用,或未涵蓋所有相關要求,請改規劃 EU 型式檢驗加上內部生產控制,或完整品質保證。一般路徑的運作方式,以及歐盟符合性聲明應載明的內容,請見 適合性評估 與 符合性聲明 指南;本頁只談路由器特定的選擇。
若同一硬體變體同時以防火牆、VPN 閘道、網路管理設備或網管型安全平台行銷,請為該 SKU 另立分類備忘錄。
RED 資安期限如何對應到 CRA?
多數路由器與連網數據機都含無線電(WLAN、行動數據機或類似元件),這個具備無線電的子集,在 CRA 到來之前就已跨過一道資安關卡。自 2025 年 8 月 1 日起,無線電設備指令的資安要求(RED 第 3.3 條第 d、e、f 款,由委任規則 (EU) 2022/30 訂定)適用於連網無線電設備,例如 WLAN 路由器、Mesh 節點、數據機路由器與行動閘道。純有線裝置,例如僅含乙太網路的路由器,或不含無線電的 DSL、纜線或光纖裸數據機,落在 RED 資安範圍之外,但每一台仍是 CRA 下帶數位元件的產品。CRA 通報義務自 2026 年 9 月 11 日起算,CRA 於 2027 年 12 月 11 日全面適用,屆時委員會透過委任規則 (EU) 2026/339 廢止 RED 資安委任規則的效果生效,使兩套制度不致重疊。
對路由器製造商而言,務實的解讀是:
- 在 2025 年 8 月 1 日至 2027 年 12 月 10 日之間,適用的無線電設備符合 RED 資安要求;調和路徑走 EN 18031 系列,以其所建構於上的 ETSI EN 303 645 作為消費級基準。
- 自 2027 年 12 月 11 日起,同一批資安義務改隸 CRA,並帶上其更廣的生命週期義務:預設安全的組態、漏洞處理流程、支援期間聲明,以及自 2026 年 9 月 11 日就已起算的通報義務。
- 在 2027 年 12 月 11 日之前已投放市場的路由器,僅在該日之後經實質修改時才納入 CRA。唯一的例外是通報義務,它適用於每一項範圍內產品,包含已售出的單品。
- 籌備中的路由器特定 CRA 調和標準是 ETSI EN 304 627(路由器、數據機與交換器),對應第一類第 12 項與基本資安要求。它仍是草案,因此請依評估當時實際引用的標準規劃合規路徑,並沿用為 RED 建立的控制(安全預設、簽章更新、存取控制)作為 CRA 檔案的基礎,而不是另起一個獨立專案。
應準備哪些證據?
| 證據領域 | 路由器或數據機路由器應掌握什麼 | 為何重要 |
|---|---|---|
| 預期用途 | 家用路由器、ISP CPE、數據機、ONT、Mesh 系統、行動熱點、交換器、VPN 路由器、網管型交換器 | 分類取決於實際的產品變體與宣稱 |
| WAN 攻擊面 | DHCP、PPPoE、IPv6、DNS 代理、NAT、防火牆預設、遠端管理姿態 | 在使用者尚未組態任何設定之前,WAN 側就已接收不受信任的流量 |
| LAN 管理 | 網頁介面、本機 API、設定入口、密碼政策、帳戶復原、存取控制 | 多數組態與所有權錯誤都發生在這裡 |
| 無線 | WPA2/WPA3 預設、WPS 取捨、訪客隔離、SSID/密碼導入、WLAN 晶片韌體 | 無線預設值會成為整個家庭的安全預設值 |
| 遠端管理 | TR-069、USP/TR-369、廠商雲端、ISP 雲端、行動 App 遠端存取 | 這往往是「一台裝置」與「艦隊管理產品」之間的分野 |
| 更新路徑 | 簽章韌體、回滾防護、ISP 推送的版本、復原分割區、更新通知 | 路由器更新必須涵蓋支援期間,並挺過 OEM/ISP 分支 |
| 供應商證據 | SoC SDK、WLAN/基頻供應商、開機載入器、核心、TLS 堆疊、DNS/DHCP 服務 | 路由器廠商繼承了龐大的第三方元件面 |
| 角色證據 | OEM、ISP、進口商、經銷商與貼牌方的責任 | 貼牌 CPE 與韌體分叉可能改變 CRA 檔案的歸屬 |
路由器架構有哪些細節不可遺漏?
路由器證據必須緊貼實際出貨的邊緣裝置。零售 WLAN 路由器、ISP 數據機路由器、PON ONT、纜線數據機、行動熱點、Mesh 節點與網管型交換器,各有不同的 WAN 曝險、遠端管理與韌體分支風險。
| 架構檢查點 | 路由器、數據機或交換器的證據提示 |
|---|---|
| 開機鏈與復原 | 辨識開機 ROM、開機載入器、安全開機狀態、A/B 或單一分割槽映像、復原觸發、防回滾計數器與恢復原廠設定的行為。保留降版與復原濫用測試。 |
| WAN 與佈建 | 區分乙太網路 WAN、PPPoE、DHCP、IPv6、DOCSIS/PON/行動佈建與營運者設定檔。指出在管理介面存在之前,哪些服務會解析未驗證的 WAN 輸入。 |
| WLAN 與基頻層 | 追蹤 WLAN 韌體 blob、管制區域組態、hostapd/wpa_supplicant 分叉、WPS 取捨與 Mesh 導入。供應商韌體屬於通告監看範圍。 |
| 遠端管理 | 對於 TR-069/CWMP、USP/TR-369、廠商雲端或 ISP 雲端,記錄控制器身分、憑證信任、連線請求行為、命令範圍與可稽核性。 |
| 交換器與 Mesh 控制 | 網管型交換器介面、SNMP/API、VLAN、埠鏡像、PoE、EasyMesh 或專有 Mesh 控制器,各需自有的管理平面曝險檢查。對於非網管或不可組態的交換器,先確認是否存在數位管理或更新面。 |
| ISP 與貼牌分支 | 維護一份分支矩陣,顯示 OEM 版本、ISP 分叉、營運者設定檔、OTA 核准、支援期間負責方與使用者通知路徑。 |
| 製造與退貨 | 記錄每台裝置的祕密、印製的憑證、除錯 shell 政策、UART/JTAG 狀態、RMA 抹除與雲端解除綁定。 |
WAN 側是裝置首次解析未驗證輸入之處,而這一側會隨著接取技術而改變。零售乙太網路 WAN 路由器、纜線數據機路由器、光纖 ONT 與行動熱點,既不共用相同的佈建通道,也不共用相同的上游對端。
真實的路由器風險評估長什麼樣?
把這當作產品檔案中威脅模型應有深度的範例。製造商仍須針對真實路由器、數據機晶片組、無線堆疊、遠端管理通道、供應商 SDK、更新歸屬、銷售宣稱與支援期間承諾,逐一執行評估。
範例產品設定檔
範例產品:ExampleCo HomeRouter R1,一款 Wi-Fi 7 家用路由器,在歐盟透過零售與 ISP 白牌通路販售。它具備乙太網路 WAN、四個 LAN 埠、訪客 WLAN、本機網頁管理介面、行動 App 導入、選用的 ISP 遠端管理、簽章 OTA 韌體、自動更新檢查、DNS/DHCP 服務、家長控制設定檔,以及一份復原映像。
產品邊界涵蓋路由器硬體、開機載入器、核心、WLAN 驅動程式、WAN 服務、LAN 服務、防火牆預設、本機網頁介面、行動 App 配對、用於遠端存取的廠商雲端、選用的 ISP 遠端管理代理程式、OTA 服務、復原映像、支援網站、協同揭露受理窗口與通告流程。它排除分開販售時客戶自備的數據機、ISP 訂閱、第三方智慧家庭裝置、使用者的身分提供者,以及下游 ISP 的 OSS/BSS 系統,除非同一經濟營運者把它們當作產品的一部分提供。
記錄對預期家庭使用、ISP 佈建、管理權歸屬與不支援的部署方式所做的假設。
產品檔案 | SKU 邊界備忘錄 | 風險檔案 | DoC | CE 紀錄 | 支援期間聲明
元件清單 | 服務清單 | 無線預設測試 | 安全更新測試 | 遠端管理審查
供應商通告、SDK 版本紀錄、韌體分支歸屬、元件 CVE 分流,以及修補擴散證據。
針對遭積極利用的漏洞或嚴重資安事件,保留分支矩陣、更新發行紀錄、ISP 核准軌跡、通告紀錄與通報決策紀錄。
來源分支、SDK 版本、WLAN 韌體、核心與簽章金鑰是起始基準。
記錄 ACS/USP 端點、品牌、預設組態、核准流程與使用者通知負責方。
行動 App、雲端配對、Mesh 服務與支援期間聲明,仍在廠商的發行流程之下。
追蹤 OEM、ISP 與貼牌分支是否收到同一份安全修補,或有記錄在案的例外。
資產盤點
| 資產 | 為何重要 | 位於何處 |
|---|---|---|
| WAN 對 LAN 流量控制 | 控管家庭對網際網路的曝險 | NAT、防火牆預設、核心網路 |
| 路由器管理帳戶與工作階段 | 授予對 DNS、WLAN、埠轉送、更新與重設的控制 | 網頁介面、行動 App、本機權杖儲存、雲端帳戶 |
| WLAN 憑證與訪客隔離 | 薄弱預設會曝露家庭網路與連線裝置 | WLAN 組態、導入流程、訪客網路規則 |
| 遠端管理憑證 | 一組艦隊控制憑證可影響眾多路由器 | TR-069/USP 代理程式、憑證儲存、ISP ACS/雲端 |
| 韌體簽章信任錨 | 保護路由器更新通道 | 開機載入器、安全儲存、OTA 服務 |
| DNS/DHCP 組態 | 可重導使用者或中斷連線 | 本機服務、管理介面、ISP 佈建 |
| 交換器管理狀態 | VLAN、埠隔離、PoE 與管理存取可曝露下游網路 | 網管型交換器介面、CLI、SNMP/API、交換器 ASIC 組態 |
| 數據機/ONT 佈建狀態 | 註冊、橋接/路由模式與管理憑證影響網際網路邊緣 | 數據機韌體、營運者設定檔、遠端管理代理程式 |
| 支援與診斷日誌 | 可能揭露 SSID、序號、IP、客戶帳戶關聯與當機資料 | 裝置日誌、行動 App、支援入口 |
| 韌體分支狀態 | ISP/OEM 分支漂移可能讓漏洞未獲修補 | OEM Git/發行系統、ISP 分叉、OTA 儲存庫 |
| 安全開機與防回滾狀態 | 保護復原路徑,並防止已知易受攻擊的映像捲土重來 | 開機載入器、eFuse/RPMB/TPM 狀態、生產紀錄 |
| WLAN/基頻韌體 | 無線電韌體可影響驗證、可用性與網路曝險 | WLAN 晶片、韌體 blob、供應商 SDK、生產映像 |
信任邊界
| 環境 | 預期曝險 | 風險後果 |
|---|---|---|
| WAN 介面 | 持續曝露於不受信任的網路流量 | 解析器錯誤與曝露的服務可能危及裝置 |
| LAN 與設定網路 | 與家庭端點及 IoT 裝置共用 | 本機攻擊者可鎖定管理、探索與薄弱預設 |
| 無線介面 | 可從實體鄰近處接觸 | WPS、薄弱導入或訪客隔離失效會曝露 LAN |
| 交換器管理平面 | 視組態而定,可從管理 VLAN、LAN 或營運者工具接觸 | 薄弱預設可曝露 VLAN、PoE 控制或鏡像埠 |
| 遠端管理路徑 | 從廠商或 ISP 基礎設施到達裝置 | 憑證外洩或 ACS 遭入侵可橫跨眾多路由器擴散 |
| OTA 與復原路徑 | 接收具特權的韌體映像 | 薄弱簽章或回滾會瓦解所有安全修補 |
| ISP/貼牌分支 | 可能更動韌體、雲端端點與支援期間 | 當品牌方掌控發行與支援決策時,義務可能移轉 |
威脅情境
| ID | 威脅情境 | 受威脅資產 | 進入點 |
|---|---|---|---|
| R1 | WAN 管理端點預設啟用或由 ISP 設定檔啟用 | 管理帳戶、路由器組態 | WAN |
| R2 | 首次使用密碼為共用、可預測,或以整批重複使用的方式印製 | 管理帳戶、WLAN 憑證 | 導入 |
| R3 | DHCP、IPv6、DNS 或 PPPoE 解析器瑕疵可在驗證前觸發 | 路由器完整性、可用性 | WAN 服務 |
| R4 | TR-069 或 USP 憑證外洩並允許遠端組態變更 | 遠端管理憑證、DNS、韌體通道 | ISP/廠商管理 |
| R5 | OTA 復原接受未簽章或較舊的韌體 | 韌體完整性 | OTA/復原 |
| R6 | 訪客 WLAN 可路由到 LAN 裝置或管理介面 | 家庭端點、路由器管理 | 無線/LAN |
| R7 | WPS 或 QR 導入在初始設定後可被濫用 | WLAN 憑證 | 無線導入 |
| R8 | 除錯 shell、telnet、SSH 或 UART 在量產中仍可存取 | 路由器完整性、祕密 | 韌體/實體 |
| R9 | ISP 貼牌韌體分叉漏掉一份 OEM 安全修補 | 韌體分支狀態 | 發行流程 |
| R10 | 行動 App 遠端存取權杖在路由器轉移或恢復原廠設定後仍有效 | 管理帳戶、所有權 | 雲端/App |
| R11 | DNS 或家長控制雲端故障造成不安全的後援行為 | DNS 完整性、可用性 | 雲端依賴 |
| R12 | SoC SDK、WLAN 韌體或內附網路常駐程式的供應商漏洞,在支援期間未獲分流 | 路由器完整性、可用性 | 供應商元件 |
| R13 | 網管型交換器介面或 SNMP/API 以薄弱預設憑證曝露於使用者 LAN | 交換器管理狀態、VLAN 完整性 | LAN/管理平面 |
| R14 | 數據機或 ONT 佈建設定檔啟用超出已評估發行狀態的遠端管理或橋接模式行為 | 數據機/ONT 佈建狀態、WAN 曝險 | 營運者佈建 |
| R15 | 復原模式、按鍵重設開機或 TFTP 復原接受未驗證或降版的映像 | 韌體完整性、安全開機狀態 | 開機載入器/復原 |
| R16 | WLAN 韌體、Mesh 導入或 WPS 行為在不同硬體版次之間不一致,且無發行證據 | WLAN 憑證、訪客隔離 | 無線/供應商 SDK |
| R17 | USP/TR-369 或 TR-069 命令範圍允許超出營運者設定檔原意 | 遠端管理憑證、DNS、OTA | ISP/廠商管理 |
| R18 | App 綁定或雲端所有權權杖在恢復原廠設定或 ISP 退貨後仍存續 | 管理帳戶、所有權 | 重設/雲端帳戶 |
初始風險登錄
| ID | 可能性 | 衝擊 | 初步決定 | 理由 |
|---|---|---|---|---|
| R1 | 低 | 高 | 發行前處理 | 遠端管理曝險給出直接控制,且容易被掃描 |
| R2 | 中 | 高 | 發行前處理 | 家庭使用者常維持預設,除非導入流程強制變更 |
| R3 | 中 | 高 | 發行前處理 | WAN 解析器在驗證前就已曝露 |
| R4 | 中 | 嚴重 | 發行前處理 | 遠端管理失誤可橫跨 ISP 艦隊擴散 |
| R5 | 低 | 嚴重 | 發行前處理 | 韌體回滾可讓已知易受攻擊的版本續命 |
| R6 | 中 | 中 | 發行前處理 | 訪客隔離是使用者的核心期待 |
| R7 | 中 | 中 | 發行前處理 | 在公寓與共用空間中,實體鄰近攻擊很實際 |
| R8 | 中 | 高 | 發行前處理 | 除錯存取是反覆出現的量產逃逸路徑 |
| R9 | 中 | 高 | 發行前處理 | 當 OEM 與 ISP 版本分流時,分支漂移可預見 |
| R10 | 中 | 高 | 發行前處理 | 路由器轉售與 ISP 退貨流程可預見 |
| R11 | 低 | 中 | 發行前處理 | 依賴雲端的控制需要安全的後援行為 |
| R12 | 中 | 高 | 發行前處理 | 路由器元件堆疊在整個支援期間持續出現漏洞 |
| R13 | 中 | 高 | 發行前處理 | 網管型交換器組態可影響眾多下游裝置 |
| R14 | 低 | 高 | 發行前處理 | 佈建漂移可在艦隊規模下曝露網際網路邊緣 |
| R15 | 中 | 嚴重 | 發行前處理 | 復原是攻擊者與維修團隊都能觸及的特權路徑 |
| R16 | 中 | 高 | 發行前處理 | 無線電與 Mesh 行為常隨供應商 SDK 與硬體版次而變 |
| R17 | 中 | 嚴重 | 發行前處理 | 遠端管理範圍錯誤可影響整批艦隊 |
| R18 | 中 | 高 | 發行前處理 | 路由器退貨、轉售與 ISP 換機是常見的生命週期事件 |
控制與證據對應
| 威脅 | 設計控制 | 製造商應保留的證據 |
|---|---|---|
| R1, R8 | WAN 管理預設停用、量產服務清單、管理用防火牆規則、無 telnet 或工廠 shell | 曝險掃描、量產映像檢查表、服務清單差異 |
| R2, R7 | 唯一設定祕密或強制建立憑證、短暫配對視窗、WPS 停用或具理由、速率限制 | 導入測試、憑證產生證據、無線設定審查 |
| R3 | 解析器強化、模糊測試、服務權限分離、WAN 預設丟棄姿態 | 模糊測試報告、服務隔離設計、當機分流 |
| R4 | 雙向驗證、憑證輪替、最小權限佈建、ACS/USP 設定檔審查 | 遠端管理資安審查、憑證生命週期紀錄 |
| R5 | 安全開機、簽章韌體、單調遞增版本計數器、復原映像簽章檢查 | OTA 測試報告、降版拒絕、復原測試 |
| R6 | 訪客網路隔離、管理介面無法從訪客網路接觸、跨 Mesh 節點的迴歸測試 | 網路隔離測試、Mesh 漫遊測試 |
| R9 | OEM/ISP 分支矩陣、修補合併政策、發行核准、支援終止對齊 | 分支矩陣、修補擴散紀錄、ISP 核准軌跡 |
| R10 | 所有權轉移流程、重設時雲端解除綁定、權杖撤銷、退貨裝置抹除 | 重設測試、所有權轉移測試、RMA 檢查表 |
| R11 | 本機 DNS 後援行為、家長控制的安全失效模式、清楚的使用者通知 | 失效模式測試、使用者通知證據 |
| R12 | 元件清單監看、供應商通告受理、韌體元件負責人、發行說明可追溯 | 元件清單差異、通告紀錄、元件決策紀錄 |
| R13 | 管理平面綁定、唯一管理設定、SNMP/API 預設停用或強化、VLAN 隔離測試 | 曝險掃描、預設組態測試、交換器管理審查 |
| R14 | 已評估的佈建設定檔、遠端管理限制、營運者變更控制、回滾與稽核軌跡 | 佈建設定檔紀錄、艦隊組態稽核、營運者核准軌跡 |
| R15 | 經驗證的復原、簽章復原映像、防回滾狀態、必要時的實體復原警示 | 復原濫用測試、開機鏈紀錄、降版拒絕 |
| R16 | 硬體版次矩陣、WLAN 韌體清單、WPS/Mesh 迴歸測試、管制區域審查 | 版次矩陣、無線電韌體紀錄、無線設定測試 |
| R17 | 最小權限遠端管理設定檔、控制器憑證清冊、命令稽核與核准 | TR-069/USP 設定檔審查、憑證生命週期紀錄、稽核樣本 |
| R18 | 所有權轉移流程、重設時雲端解除綁定、ISP 退貨抹除、權杖撤銷 | 重設測試、退貨裝置檢查表、雲端解除綁定證據 |
殘餘風險(套用控制後)
| 殘留領域 | 為何仍存 | 營運證據 |
|---|---|---|
| ISP 分支漂移 | OEM 與 ISP 的發行核准步調可能不同 | 分支矩陣、升級路徑、發行差異審查 |
| 家庭端點遭入侵 | LAN 用戶端上的惡意程式仍可攻擊本機管理或 DNS 設定 | 本機驗證控制、權杖撤銷、管理警示 |
| 新的 WAN 漏洞 | 面向 WAN 的程式碼在支援期間持續接收敵意流量 | 漏洞利用監看、模糊測試節奏、緊急更新流程 |
| 供應商韌體延遲 | WLAN 與 SoC 供應商可能依自身時程釋出修補 | 供應商 SLA 紀錄、緩解備註、客戶通告流程 |
支援、更新與通報應如何運作?
以 HomeRouter R1 為例,務實的 CRA 檔案應納入支援期間的營運模式,而不只是上市前的發行證據。
| 營運領域 | 應準備的證據 |
|---|---|
| 支援期間 | 為零售 SKU 與 ISP 貼牌 SKU 各備一份支援期間理由,以年/月格式的終止日,在購買時與技術可行時於路由器介面中顯示。除非預期使用時間較短,否則規劃至少五年。 |
| 安全更新可取得性 | 安全韌體修補與安全更新套件,在發布後至少十年內仍可取得,或在支援期間較長時涵蓋其餘期間。復原映像、雜湊、發行說明與回滾決策應保留為證據,但不應把每一個非安全套件都描述為法定的十年可取得性宣稱。 |
| OEM 與 ISP 分支矩陣 | 哪個韌體分支經評估、由誰簽章、由誰核准發行、由誰負責緊急修補,以及上游安全修補如何進入貼牌版本。 |
| 單一漏洞聯絡窗口 | 為登記在案的製造商提供一個直接的漏洞通報聯絡窗口,而不只是用戶支援或純自動化的聊天機器人。若由 ISP 擔任貼牌 SKU 的製造商,該 ISP 須負責一條產品資安通報的受理途徑。 |
| 元件盡職調查 | 對核心、無線韌體、DNS/DHCP 服務、TLS 堆疊、行動 SDK 與遠端管理代理程式進行元件清單監看,並在適當時進行供應商通告分流、向上游通知與修補分享。 |
| 積極利用工作流程 | 透過單一通報平台,向被指定為協調者的 CSIRT 與 ENISA 通報:24 小時內早期預警、72 小時內後續通報、在矯正或緩解措施可用後 14 天內提交最終漏洞報告,並在適當時對受影響使用者發出通知或緩解指引。 |
| 嚴重產品資安事件工作流程 | 透過同一平台與相同受文者通報:24 小時內早期預警、72 小時內後續通報、在事件通報後一個月內提交最終事件報告,並在適當時與客戶/ISP 協調,包含必要的使用者通知。 |
| 產品檔案目錄 | 產品識別、邊界圖、WAN/LAN/無線資產、威脅模型、風險登錄、控制、測試證據、元件清單、更新流程、漏洞流程、支援期間理由、操作說明、聲明與合規路徑紀錄。 |
發行前要過哪些驗證關卡?
路由器發行不應靠一句籠統的「已做資安審查」就放行。請列出可能擋下出貨的具體決策,並為每一項標明它防範的失效、關閉它的控制,以及證明該控制確實運作的產物。
- G1首次使用憑證擋下發行
- 失效
共用或可預測的管理或 WLAN 密碼,或整批重複使用的印製祕密。
- 控制
每台裝置唯一祕密或強制建立憑證;WPS 關閉或具理由。
- 佐證
導入測試與憑證產生證據。
- 失效
- G2佈建後的 WAN 曝險擋下發行
- 失效
在使用者尚未組態任何設定之前,遠端管理或某個不必要或未評估、會解析未驗證 WAN 輸入的服務就已可接觸。
- 控制
WAN 管理預設關閉、預設丟棄姿態、解析器強化與最小服務清單。
- 佐證
佈建後 WAN 曝險掃描。
- 失效
- G3無線與訪客隔離擋下發行
- 失效
訪客網路可路由到 LAN 裝置或到達管理介面。
- 控制
預設訪客隔離;管理介面無法從訪客網路接觸;跨 Mesh 節點迴歸。
- 佐證
網路隔離與 Mesh 漫遊測試。
- 失效
- G4更新與復原路徑擋下發行
- 失效
OTA 或復原接受未簽章或較舊的韌體映像。
- 控制
安全開機、簽章映像、單調遞增版本計數器與降版拒絕。
- 佐證
降版失敗與復原濫用測試結果。
- 失效
- G5遠端管理範圍未記錄則擋下
- 失效
TR-069 或 USP 命令範圍讓控制器能變更超出已評估營運者設定檔的範圍。
- 控制
最小權限設定檔、控制器憑證清冊、命令稽核。
- 佐證
設定檔審查與命令稽核樣本。
- 失效
- G6供應商堆疊附監看出貨
- 失效
支援視窗內,SoC SDK、WLAN 韌體或內附網路常駐程式出現漏洞。
- 控制
具指名負責人的元件清單、通告監看與回溯修補就緒。
- 佐證
受影響元件分流決策。
- 失效
路由器從概念到支援由誰負責?
路由器發行的責任,會在它從產品定義走向客戶家中與 ISP 網路上運行的艦隊時多次易手。下方的軌道為每個階段指派一位單一當責主導者、該主導者持續維護的紀錄,以及下一階段開始前必須關閉的關卡。
每個轉換都是一個凍結點:邊界在架構開始前固定、設計意圖在寫程式前固定、建構在驗證前固定、發行在出貨前固定,之後韌體在支援視窗內持續運行。一份漏洞通報、一則 ISP 或供應商通告,或一次現場故障,會重新開啟下一份邊界備忘錄、威脅清單與元件清單,而不是已經出貨的那一份。
檔案中應放哪些證據紀錄?
檔案應讓審查者能順著路由器決策,從產品識別一路追到資安控制。每一列都指向一份持續維護的紀錄,而不是一堆彼此無關的截圖。
| 證據領域 | 路由器、數據機路由器或交換器應掌握什麼 |
|---|---|
| 產品識別 | 型號、硬體版次、SoC 與 WLAN 晶片組、WAN 類型、韌體分支、行動 App 版本、交換器/Mesh 選項 |
| 預期用途 | 家用路由器、ISP CPE、網際網路數據機、ONT、Mesh 套件、行動熱點、網管型交換器或 VPN 路由器,並指名零售與 ISP 貼牌變體 |
| 網路韌性設計檔案 | WAN 曝險、LAN 與無線預設、遠端管理權限、OTA 與復原路徑、威脅清單與處置計畫 |
| 元件清單 | 開機載入器、核心、WLAN 韌體、WAN-PHY/數據機堆疊、DNS/DHCP 服務、TLS 堆疊、遠端管理代理程式、行動 SDK,並附指名負責人與通告監看 |
| 安全預設 | 無共用預設憑證、WAN 管理預設關閉、簽章更新、降版拒絕、訪客隔離、鎖定除錯埠、佈建後服務清單 |
| 更新機制 | 簽章韌體、復原映像、防回滾狀態、ISP/OEM 分支對照、使用者更新通知 |
| 漏洞處理 | 揭露政策、單一聯絡窗口、分流工作流程、元件通告監看、ISP/貼牌通告路由 |
| 使用者操作說明 | 安全導入、密碼與訪客設定、更新設定、支援終止揭露、除役與重設 |
| 可追溯性與聯絡 | 型式/批次/序號資訊、製造商或 ISP 聯絡方式、支援期間終止日,以及一個不只是自動機器人的單一漏洞通報聯絡窗口 |
路由器元件清單應放入什麼?
CRA 要求一份可由機器讀取的元件清單,辨識產品的元件並至少涵蓋頂層相依,目前尚未指定單一固定格式。路由器製造商通常選用 CycloneDX 或 SPDX。元件清單機制的跨產品細節,見專屬的 元件清單指南;本節談路由器特定的樹狀結構。
一次路由器發行會出貨多個更新週期各自獨立的數位元件,而非單一二進位檔。兩種模式都能達到 CRA 最低要求:一份產品層級的元件清單,內含按元件分節的內容(開機載入器、核心、WLAN 韌體、WAN-PHY 堆疊、網路常駐程式、TLS、遠端管理代理程式與網頁介面,各自鎖定版本),或每個出貨元件各一份清單、每次發行更新。只要可由機器讀取且涵蓋頂層相依,兩者皆可。
發行簽核要檢查什麼?
歐盟發行前的簽核,應能關閉四個紀錄資料夾,如下方 Q1 至 Q4 所示。完整的檔案索引在上面的證據對照表中;這裡的四個問題,只是當某個資料夾為空時會擋下發行的那幾項。
| 資料夾 | 發行問題 | 路由器特定證據指引 |
|---|---|---|
| Q1 分類理由備忘錄 | 這項產品為何如此分類? | 核心功能(路由與網際網路連線)、預期用途、銷售宣稱、零售與 ISP 變體,以及所選合規路徑 |
| Q2 出貨元件清單 | 產品究竟是什麼? | 路由器硬體、韌體、WAN/LAN/無線服務、網頁介面、遠端管理代理程式、OTA 服務、雲端端點,以及排除的客戶/ISP 系統 |
| Q3 安全預設測試包 | 哪些已預設保護妥當,又將如何安全更新? | 無共用預設憑證、WAN 管理預設關閉、簽章更新、降版拒絕、訪客隔離、WPS 取捨、鎖定除錯埠、佈建後服務清單 |
| Q4 漏洞處理流程 | 出貨後將如何處理漏洞與嚴重事件? | 公開聯絡窗口、揭露政策、分流工作流程、元件通告監看、ISP/貼牌通告路由、24 小時與 72 小時通報就緒 |
發行簽核資料夾 Q1 至 Q4
- Q1 分類理由備忘錄。 為何屬於第一類第 12 項?核心功能、預期用途、銷售宣稱、零售與 ISP 變體,以及所選合規路徑。
- Q2 出貨元件清單。 路由器硬體、韌體、WAN/LAN/無線服務、網頁介面、遠端管理代理程式、OTA 服務、雲端端點,以及排除的客戶/ISP 系統。
- Q3 安全預設測試包。 無共用預設憑證、WAN 管理預設關閉、簽章更新、降版拒絕、訪客隔離、WPS 取捨、鎖定除錯埠。
- Q4 漏洞處理流程。 公開聯絡窗口、揭露政策、分流工作流程、元件通告監看,以及針對預警、後續通報與最終報告的通報就緒。
簽核關卡: 若有紀錄缺失,則該發行不予簽核。
路由器如何交接給進口商、經銷商、ISP 與營運者?
經濟營運者交接:角色與側邊檢查
- 01 製造商/OEM。 負責發行包:聲明、CE、檔案索引、支援視窗與漏洞聯絡窗口。
- 02 進口商。 核對發行包、CE、檔案索引、支援日期與漏洞聯絡窗口,並確認收到的版本就是已評估版本:無線國家設定、ISP 設定檔、遠端管理憑證、App 配對與 OTA 端點。任一項有疑慮就暫停出貨。
- 03 經銷商。 檢查可見的 CE、隨附文件、支援與更新聲明,且不得加上「安全閘道」、「企業防火牆」或「網管型 VPN 設備」等落在已評估邊界之外的宣稱。若誇大支援、與聲明不符,或在已知問題後仍持續販售,就暫停上架。
- 04 ISP 或貼牌品牌。 品牌、雲端管理、更新歸屬與遠端管理的營運,各自即可觸發製造商義務。以自身名義投放路由器,或對其實質修改(貼牌韌體、新雲端、新更新通道),即成為該項供應的製造商,因此供應商檔案不能取代自身的角色分析。
- 05 營運者或訂戶。 接收通告與更新,並回報問題。非製造商。
側邊檢查 A。 授權代表委任為任意性,但若存在,必須以書面為之,並涵蓋保存聲明與文件、以及配合主管機關。沒有委任的非歐盟製造商改用串接:進口商、經銷商,然後是最高使用者基數所在地。當通報鏈中沒有設於歐盟的營運者時,通報端點落到使用者最多的會員國。
側邊檢查 B。 自有品牌的進口商或經銷商,或任何實質修改者,會成為受影響供應的製造商。
常見問題
路由器是否因為有防火牆就屬於第二類?
預設不會。正常的路由器通常是重要第一類。當防火牆、入侵偵測或入侵防護成為產品的核心功能時,才會變成第二類的問題。
ISP 提供的路由器是否在範圍內?
是,只要它以帶數位元件的產品身分投放歐盟市場。實務上的關鍵問題是:貼牌韌體、支援期間、更新通道與漏洞流程的製造商是誰。
路由器是否屬於關鍵產品?
不是。消費級路由器、ISP 數據機路由器與交換器,不會只因為對網路接取很重要就成為關鍵產品。
商用開源路由器韌體會改變答案嗎?
可能會。商業供應的韌體映像或設備發行版,本身可能就是帶數位元件的產品。製造商應記錄投放市場的內容,以及更新與漏洞處理的歸屬。
若該軟體確實符合自由與開源軟體的資格,且落在重要類別,CRA 設有一個特定的合規選項,要求的技術文件在投放市場時即公開。不要只因某私有 ISP 韌體分叉或商用設備包含開源套件,就把這條路徑套用上去。
符合 RED 資安期限是否代表路由器已經 CRA 合規?
不是。自 2025 年 8 月 1 日起,連網無線電設備符合無線電設備指令的資安要求,而那些控制(安全預設、更新完整性、存取保護)是正確的基礎。但 CRA 加上更廣的生命週期:有記錄的漏洞處理流程、公布的支援期間終止日、整個產品的預設安全,以及通報義務。RED 資安委任規則自 2027 年 12 月 11 日起廢止,屆時由 CRA 接手。
重新檢視觸發: 把 RED 檔案當作起點,並在 2027 年 12 月 11 日之前對照 CRA 基本要求做差距評估。
路由器在 CRA 下適用哪一份調和標準?
無線電設備階段的調和標準集是 EN 18031 系列,建構於作為消費級基準的 ETSI EN 303 645 之上。籌備中的路由器特定 CRA 標準是 ETSI EN 304 627(路由器、數據機與交換器),對應第一類第 12 項。它仍是草案,因此請在評估當時確認所引用的標準與任何調和限制。
合規紀錄: 一份簡短備忘錄,指名所依據的標準、版本、任何不符產品的限制,以及由此得出的合規路徑。
網管型交換器是否比照路由器,非網管交換器是否在範圍內?
網管型交換器有管理平面(網頁介面、CLI、SNMP/API、VLAN)與韌體更新路徑,因此通常比照重要第一類網路設備處理,並備有自身的管理平面證據。純非網管、不可組態、無管理面、無韌體更新且無連網功能的交換器,需要個案檢查它是否算得上 帶數位元件的產品。
邊界紀錄: 每個交換器 SKU 一行備註,說明是否存在管理或更新面。
Mesh WLAN 套件算一項產品還是多項?
構成一個系統的 Mesh 節點,通常就是路由器產品或產品系列。請依出貨狀態評估整套套件:控制器節點、衛星節點、導入流程與 Mesh 控制協定。節點間信任與導入交握,屬於無線攻擊面的一部分。
邊界紀錄: 在邊界備忘錄中指名套件內的節點、Mesh 控制協定與導入方式。
獨立數據機或 ONT 若僅作橋接,是否在範圍內?
供網際網路連線用的數據機、纜線數據機或光纖 ONT,通常是重要第一類,即使在橋接模式下也是,因為網際網路數據機功能是核心產品功能,而裝置仍有韌體、佈建通道,且往往有遠端管理代理程式。橋接相對於路由模式改變的是曝險,而非基本分類。
邊界紀錄: 記錄佈建通道、遠端管理代理程式,以及橋接或路由模式何者為已評估的預設。
4G 或 5G 行動熱點是否在範圍內?
是。行動 WAN 仍是網際網路連線,因此行動熱點或 4G/5G 路由器通常是重要第一類。行動佈建路徑與 SIM/eSIM 處理,屬於 WAN 攻擊面的一部分。
邊界紀錄: 指名行動模組、佈建路徑與管理通道。
路由器必須支援與更新多久?
路由器的安全更新算什麼?
一份簽章韌體映像,經安全開機鏈驗證,搭配單調遞增版本計數器,使較舊的易受攻擊版本無法重新安裝,並有一條同樣會拒絕未簽章或降版映像的復原路徑。ISP 推送與 OEM 更新都必須走這條路徑。
測試產物: 一份簽章更新驗證日誌、一次降版失敗測試,以及針對確切韌體版本的復原濫用測試。
TR-069 或 USP 遠端管理是否改變產品邊界?
若由製造商或 ISP 提供遠端管理通道,它就在邊界之內,是一條艦隊控制路徑,而不只是營運者功能。營運者的自動組態伺服器、連線請求機制、命令範圍與憑證信任,全都屬於評估範圍。
證據: 一份控制器憑證清冊,以及一份綁定到已評估營運者設定檔的命令範圍矩陣。
ISP 貼牌 CPE 的製造商是誰?
以自身名義或商標投放產品,或實質修改已評估產品者。重新貼牌 OEM 硬體、分叉韌體、營運管理雲端或掌握更新通道的 ISP,可能就該貼牌 SKU 承擔製造商義務,包含漏洞通報聯絡窗口。
角色紀錄: 以書面劃分聲明、韌體分支、更新通道、支援期間與通報聯絡窗口的歸屬。
路由器製造商應建立的第一份證據是什麼?
針對確切 SKU 的一份簡短分類與邊界備忘錄:路由器、數據機路由器、Mesh 套件、交換器、熱點或 VPN 路由器。指名 WAN 類型、無線堆疊、LAN 管理面、遠端管理通道、雲端服務、更新歸屬、支援期間與排除的系統。
分類紀錄: 一份單頁備忘錄,供風險評估、合規路徑選擇、進口商發行包與支援期間聲明共同引用。
路由器韌體在發行後發現漏洞該怎麼辦?
路由器風險評估應在何時更新?
每當出貨中的路由器以會移動信任邊界的方式改變時:新的 WAN 類型、新的遠端管理設定檔、WLAN 或 SoC SDK 變更、新的雲端依賴、Mesh 導入變更、除錯埠行為變更,或新的 ISP 分支。若變更重新開啟一條曝險或權限路徑,僅憑一則發行說明並不足夠。通報義務自 2026 年 9 月 11 日起適用,因此揭露政策與單一聯絡窗口應在那之前就已運作。
重新檢視觸發: 任何對 WAN 曝險、無線預設、遠端管理範圍、更新路徑、供應商元件或 ISP 分支的變更,都會重新開啟邊界備忘錄與風險評估。