全球范圍內(nèi)網(wǎng)絡(luò)攻擊的頻頻發(fā)生，當(dāng)前全球多個(gè)國(guó)家紛紛啟動(dòng)各項(xiàng)舉措和計(jì)劃，以增強(qiáng)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全。其中，英國(guó)政府在2022年12月通過(guò)了《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2022》（Product Security and Telecommunications Infrastructure Act 2022，簡(jiǎn)稱“PSTI”法案），并將于2024年4月29日強(qiáng)制實(shí)施。PSTI法案的實(shí)施將更好地確保消費(fèi)者的互聯(lián)網(wǎng)接入產(chǎn)品能更安全地抵御網(wǎng)絡(luò)攻擊，但另一方面，也給生產(chǎn)連接互聯(lián)網(wǎng)的相關(guān)產(chǎn)品的制造商提出了更為嚴(yán)格的要求。

PSTI法案規(guī)定了可連接互聯(lián)網(wǎng)的產(chǎn)品以及能夠連接到此類產(chǎn)品和電子通信基礎(chǔ)設(shè)施的產(chǎn)品的安全性，要求所有參與英國(guó)可連接消費(fèi)產(chǎn)品供應(yīng)鏈的企業(yè)，都必須符合最低產(chǎn)品安全要求才能投放市場(chǎng)。相關(guān)產(chǎn)品的制造商、進(jìn)口商和分銷商必須遵守該法案的安全要求，制造商和進(jìn)口商必須確保產(chǎn)品附有合規(guī)聲明，并在出現(xiàn)合規(guī)失敗的情況下采取行動(dòng)，保存調(diào)查記錄等。否則違規(guī)企業(yè)最高處以1000萬(wàn)英鎊或其全球營(yíng)業(yè)額4%的罰款。

PSTI法案分為兩個(gè)部分：第一部分是保護(hù)產(chǎn)品免受網(wǎng)絡(luò)攻擊的安全要求，規(guī)定在英國(guó)銷售的消費(fèi)者互聯(lián)網(wǎng)接入產(chǎn)品必須遵守最低網(wǎng)絡(luò)安全要求。

第二部分則是電信基礎(chǔ)設(shè)施指南。其中，有以下三個(gè)關(guān)鍵點(diǎn)需要注意：

• 密碼要求。
  PSTI法案禁止通用默認(rèn)密碼，并對(duì)密碼強(qiáng)度有相關(guān)要求。 這意味著，用戶在首次使用時(shí)需要提供唯一的密碼，或需要更改密碼。

• 安全管理問(wèn)題。
  PSTI法案要求制造商應(yīng)公布漏洞披露政策，即發(fā)現(xiàn)漏洞的任何人都可以通知制造商，制造商通知其客戶并及時(shí)提供修復(fù)的信息。

• 安全更新周期。
  PSTI法案規(guī)定，制造商需要有明確且透明的方式對(duì)用戶公布最短的安全更新周期，即明確說(shuō)明制造商將持續(xù)提供多長(zhǎng)時(shí)間的更新。

• 這些要求可以根據(jù)PSTI法案直接進(jìn)行評(píng)估，也可以通過(guò)引用消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ETSI EN 303 645進(jìn)行評(píng)估來(lái)證明產(chǎn)品符合PSTI法案。也就是說(shuō)，滿足ETSI EN 303 645 標(biāo)準(zhǔn)的三個(gè)章節(jié)和項(xiàng)目的要求就等同于符合英國(guó)PSTI法案的要求。

• ETSI EN 303 645針對(duì)物聯(lián)網(wǎng)產(chǎn)品安全及隱私的標(biāo)準(zhǔn)，含如下13類要求：

• 1) 通用默認(rèn)密碼安全

• 2) 弱點(diǎn)報(bào)告管理與執(zhí)行

• 3) 軟件更新

• 4) 機(jī)敏安全參數(shù)保存

• 5) 通訊安全

• 6) 減少暴露攻擊面

• 7) 保護(hù)個(gè)人資料

• 8) 軟件完整性

• 9) 系統(tǒng)抗中斷能力

• 10) 檢查系統(tǒng)遙測(cè)數(shù)據(jù)

• 11) 方便使用者刪除個(gè)人資料

• 12) 簡(jiǎn)化設(shè)備安裝和維護(hù)

• 13) 驗(yàn)證輸入數(shù)據(jù)

新法案覆蓋的產(chǎn)品范圍包括：連接互聯(lián)網(wǎng)的相關(guān)產(chǎn)品，例如網(wǎng)絡(luò)攝像頭、智能門鎖、報(bào)警系統(tǒng)、智能家居助手、智能手機(jī)、智能家電、可穿戴設(shè)備等，也適用于不能直接連接到互聯(lián)網(wǎng)但能同時(shí)連接到多個(gè)其他設(shè)備的產(chǎn)品，如智能照明器具、智能控制器、物聯(lián)網(wǎng)基站等。

但是，現(xiàn)有立法涵蓋的產(chǎn)品（包括醫(yī)療保健監(jiān)控產(chǎn)品和智能電表）或復(fù)雜的產(chǎn)品（如自動(dòng)駕駛汽車）不包括在PSTI法案中。與此同時(shí)，也有部分產(chǎn)品擁有豁免權(quán)，其中包括：北愛(ài)爾蘭銷售的產(chǎn)品；臺(tái)式機(jī)、平板電腦，以及14歲以上使用的電腦平板；智能電表、電動(dòng)汽車充電樁和醫(yī)療設(shè)備。

PSTI法案文件：

 1.英國(guó)產(chǎn)品安全和電信基礎(chǔ)設(shè)施（產(chǎn)品安全）PSTI法案 

The UK Product Security and Telecommunications Infrastructure (Product Security) regime.

https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2. 2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案

Product Security and Telecommunications Infrastructure Act 2022

https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

3. 2023 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施（相關(guān)可連接產(chǎn)品的安全要求）法案

The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

https://www.legislation.gov.uk/uksi/2023/1007/contents/made