全球范圍內(nèi)網(wǎng)絡(luò)攻擊的頻頻發(fā)生，當(dāng)前全球多個(gè)國(guó)家紛紛啟動(dòng)各項(xiàng)舉措和計(jì)劃，以增強(qiáng)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全。其中，英國(guó)政府在2022年12月通過了《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2022》

(Product Security and Telecommunications

Infrastructure Act 2022，簡(jiǎn)稱“PSTI”法案），并將于2024年4月29日強(qiáng)制實(shí)施。

PSTI法案的目的與要求

PSTI法案規(guī)定了可連接互聯(lián)網(wǎng)的產(chǎn)品以及能夠連接到此類產(chǎn)品和電子通信基礎(chǔ)設(shè)施的產(chǎn)品的安全性，要求所有參與英國(guó)可連接消費(fèi)產(chǎn)品供應(yīng)鏈的企業(yè)，都必須符合最低產(chǎn)品安全要求才能投放市場(chǎng)。相關(guān)產(chǎn)品的制造商、進(jìn)口商和分銷商必須遵守該法案的安全要求，制造商和進(jìn)口商必須確保產(chǎn)品附有合規(guī)聲明，并在出現(xiàn)合規(guī)失敗的情況下采取行動(dòng)，保存調(diào)查記錄等。否則違規(guī)企業(yè)最高處以1000萬(wàn)英鎊或其全球營(yíng)業(yè)額4%的罰款。

PSTI法案需要遵守的三個(gè)關(guān)鍵點(diǎn)

PSTI法案分為兩個(gè)部分：第一部分是保護(hù)產(chǎn)品免受網(wǎng)絡(luò)攻擊的安全要求，規(guī)定在英國(guó)銷售的消費(fèi)

者互聯(lián)網(wǎng)接入產(chǎn)品必須遵守最低網(wǎng)絡(luò)安全要求。

第二部分則是電信基礎(chǔ)設(shè)施指南。其中，有以下三個(gè)關(guān)鍵點(diǎn)需要注意：

密碼要求。

PSTI法案禁止通用默認(rèn)密碼，并對(duì)密碼強(qiáng)度有相關(guān)要求。這意味著，用戶在首次使用時(shí)需要提供唯一的密碼，或需要更改密碼。

安全管理問題。

PSTI法案要求制造商應(yīng)公布漏洞披露政策，即發(fā)現(xiàn)漏洞的任何人都可以通知制造商，制造商通知其客戶并及時(shí)提供修復(fù)的信息。

安全更新周期。

PSTI法案規(guī)定，制造商需要有明確且透明的方式對(duì)用戶公布最短的安全更新周期，即明確說(shuō)明制造商將持續(xù)提供多長(zhǎng)時(shí)間的更新。

這些要求可以根據(jù)PSTI法案直接進(jìn)行評(píng)估，也可以通過引用消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

ETSI EN 303645進(jìn)行評(píng)估來(lái)證明產(chǎn)品符合PSTI法案。也就是說(shuō)，滿足 ETSI EN 303645 標(biāo)準(zhǔn)的三個(gè)章節(jié)和項(xiàng)目的要求就等同于符合英國(guó)PSTI法案的要求。

ETSI EN 303 645針對(duì)物聯(lián)網(wǎng)產(chǎn)品安全及隱私的標(biāo)準(zhǔn)，含如下13類要求：

1）通用默認(rèn)密碼安全

2） 弱點(diǎn)報(bào)告管理與執(zhí)行

3） 軟件更新

4）機(jī)敏安全參數(shù)保存

5） 通訊安全

6） 減少暴露攻擊面

7） 保護(hù)個(gè)人資料

8） 軟件完整性

9） 系統(tǒng)抗中斷能力

10） 檢查系統(tǒng)遙測(cè)數(shù)據(jù)

11） 方便使用者刪除個(gè)人資料

12） 簡(jiǎn)化設(shè)備安裝和維護(hù)

13） 驗(yàn)證輸入數(shù)據(jù)