全球范圍內(nèi)網(wǎng)絡(luò)攻擊的頻頻發(fā)生，當前全球多個國家紛紛啟動各項舉措和計劃，以增強關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全。其中，英國政府在2022年12月通過了《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2022》

(Product Security and Telecommunications

Infrastructure Act 2022，簡稱“PSTI”法案），并將于2024年4月29日強制實施。

PSTI法案的目的與要求

PSTI法案規(guī)定了可連接互聯(lián)網(wǎng)的產(chǎn)品以及能夠連接到此類產(chǎn)品和電子通信基礎(chǔ)設(shè)施的產(chǎn)品的安全性，要求所有參與英國可連接消費產(chǎn)品供應(yīng)鏈的企業(yè)，都必須符合最低產(chǎn)品安全要求才能投放市場。相關(guān)產(chǎn)品的制造商、進口商和分銷商必須遵守該法案的安全要求，制造商和進口商必須確保產(chǎn)品附有合規(guī)聲明，并在出現(xiàn)合規(guī)失敗的情況下采取行動，保存調(diào)查記錄等。否則違規(guī)企業(yè)最高處以1000萬英鎊或其全球營業(yè)額4%的罰款。

PSTI法案需要遵守的三個關(guān)鍵點

PSTI法案分為兩個部分：第一部分是保護產(chǎn)品免受網(wǎng)絡(luò)攻擊的安全要求，規(guī)定在英國銷售的消費

者互聯(lián)網(wǎng)接入產(chǎn)品必須遵守最低網(wǎng)絡(luò)安全要求。

第二部分則是電信基礎(chǔ)設(shè)施指南。其中，有以下三個關(guān)鍵點需要注意：

密碼要求。

PSTI法案禁止通用默認密碼，并對密碼強度有相關(guān)要求。這意味著，用戶在首次使用時需要提供唯一的密碼，或需要更改密碼。

安全管理問題。

PSTI法案要求制造商應(yīng)公布漏洞披露政策，即發(fā)現(xiàn)漏洞的任何人都可以通知制造商，制造商通知其客戶并及時提供修復的信息。

安全更新周期。

PSTI法案規(guī)定，制造商需要有明確且透明的方式對用戶公布最短的安全更新周期，即明確說明制造商將持續(xù)提供多長時間的更新。

這些要求可以根據(jù)PSTI法案直接進行評估，也可以通過引用消費者物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標準

ETSI EN 303645進行評估來證明產(chǎn)品符合PSTI法案。也就是說，滿足 ETSI EN 303645 標準的三個章節(jié)和項目的要求就等同于符合英國PSTI法案的要求。

ETSI EN 303 645針對物聯(lián)網(wǎng)產(chǎn)品安全及隱私的標準，含如下13類要求：

1）通用默認密碼安全

2） 弱點報告管理與執(zhí)行

3） 軟件更新

4）機敏安全參數(shù)保存

5） 通訊安全

6） 減少暴露攻擊面

7） 保護個人資料

8） 軟件完整性

9） 系統(tǒng)抗中斷能力

10） 檢查系統(tǒng)遙測數(shù)據(jù)

11） 方便使用者刪除個人資料

12） 簡化設(shè)備安裝和維護

13） 驗證輸入數(shù)據(jù)