全球范圍內(nèi)網(wǎng)絡(luò)攻擊的頻頻發(fā)生,當(dāng)前全球多個(gè)國(guó)家紛紛啟動(dòng)各項(xiàng)舉措和計(jì)劃,以增強(qiáng)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全。其中,英國(guó)政府在2022年12月通過了《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2022》
(Product Security and Telecommunications
Infrastructure Act 2022,簡(jiǎn)稱“PSTI”法案),并將于2024年4月29日強(qiáng)制實(shí)施。
PSTI法案的目的與要求
PSTI法案規(guī)定了可連接互聯(lián)網(wǎng)的產(chǎn)品以及能夠連接到此類產(chǎn)品和電子通信基礎(chǔ)設(shè)施的產(chǎn)品的安全性,要求所有參與英國(guó)可連接消費(fèi)產(chǎn)品供應(yīng)鏈的企業(yè),都必須符合最低產(chǎn)品安全要求才能投放市場(chǎng)。相關(guān)產(chǎn)品的制造商、進(jìn)口商和分銷商必須遵守該法案的安全要求,制造商和進(jìn)口商必須確保產(chǎn)品附有合規(guī)聲明,并在出現(xiàn)合規(guī)失敗的情況下采取行動(dòng),保存調(diào)查記錄等。否則違規(guī)企業(yè)最高處以1000萬(wàn)英鎊或其全球營(yíng)業(yè)額4%的罰款。
PSTI法案需要遵守的三個(gè)關(guān)鍵點(diǎn)
PSTI法案分為兩個(gè)部分:第一部分是保護(hù)產(chǎn)品免受網(wǎng)絡(luò)攻擊的安全要求,規(guī)定在英國(guó)銷售的消費(fèi)
者互聯(lián)網(wǎng)接入產(chǎn)品必須遵守最低網(wǎng)絡(luò)安全要求。
第二部分則是電信基礎(chǔ)設(shè)施指南。其中,有以下三個(gè)關(guān)鍵點(diǎn)需要注意:
密碼要求。
PSTI法案禁止通用默認(rèn)密碼,并對(duì)密碼強(qiáng)度有相關(guān)要求。這意味著,用戶在首次使用時(shí)需要提供唯一的密碼,或需要更改密碼。
安全管理問題。
PSTI法案要求制造商應(yīng)公布漏洞披露政策,即發(fā)現(xiàn)漏洞的任何人都可以通知制造商,制造商通知其客戶并及時(shí)提供修復(fù)的信息。
安全更新周期。
PSTI法案規(guī)定,制造商需要有明確且透明的方式對(duì)用戶公布最短的安全更新周期,即明確說(shuō)明制造商將持續(xù)提供多長(zhǎng)時(shí)間的更新。
這些要求可以根據(jù)PSTI法案直接進(jìn)行評(píng)估,也可以通過引用消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
ETSI EN 303645進(jìn)行評(píng)估來(lái)證明產(chǎn)品符合PSTI法案。也就是說(shuō),滿足 ETSI EN 303645 標(biāo)準(zhǔn)的三個(gè)章節(jié)和項(xiàng)目的要求就等同于符合英國(guó)PSTI法案的要求。
ETSI EN 303 645針對(duì)物聯(lián)網(wǎng)產(chǎn)品安全及隱私的標(biāo)準(zhǔn),含如下13類要求:
1)通用默認(rèn)密碼安全
2) 弱點(diǎn)報(bào)告管理與執(zhí)行
3) 軟件更新
4)機(jī)敏安全參數(shù)保存
5) 通訊安全
6) 減少暴露攻擊面
7) 保護(hù)個(gè)人資料
8) 軟件完整性
9) 系統(tǒng)抗中斷能力
10) 檢查系統(tǒng)遙測(cè)數(shù)據(jù)
11) 方便使用者刪除個(gè)人資料
12) 簡(jiǎn)化設(shè)備安裝和維護(hù)
13) 驗(yàn)證輸入數(shù)據(jù)