全球范圍內網絡攻擊的頻頻發生，當前全球多個國家紛紛啟動各項舉措和計劃，以增強關鍵系統的網絡安全。其中，英國政府在2022年12月通過了《產品安全和電信基礎設施法案2022》

(Product Security and Telecommunications

Infrastructure Act 2022，簡稱“PSTI”法案），并將于2024年4月29日強制實施。

PSTI法案的目的與要求

PSTI法案規定了可連接互聯網的產品以及能夠連接到此類產品和電子通信基礎設施的產品的安全性，要求所有參與英國可連接消費產品供應鏈的企業，都必須符合最低產品安全要求才能投放市場。相關產品的制造商、進口商和分銷商必須遵守該法案的安全要求，制造商和進口商必須確保產品附有合規聲明，并在出現合規失敗的情況下采取行動，保存調查記錄等。否則違規企業最高處以1000萬英鎊或其全球營業額4%的罰款。

PSTI法案需要遵守的三個關鍵點

PSTI法案分為兩個部分：第一部分是保護產品免受網絡攻擊的安全要求，規定在英國銷售的消費

者互聯網接入產品必須遵守最低網絡安全要求。

第二部分則是電信基礎設施指南。其中，有以下三個關鍵點需要注意：

密碼要求。

PSTI法案禁止通用默認密碼，并對密碼強度有相關要求。這意味著，用戶在首次使用時需要提供唯一的密碼，或需要更改密碼。

安全管理問題。

PSTI法案要求制造商應公布漏洞披露政策，即發現漏洞的任何人都可以通知制造商，制造商通知其客戶并及時提供修復的信息。

安全更新周期。

PSTI法案規定，制造商需要有明確且透明的方式對用戶公布最短的安全更新周期，即明確說明制造商將持續提供多長時間的更新。

這些要求可以根據PSTI法案直接進行評估，也可以通過引用消費者物聯網產品的網絡安全標準

ETSI EN 303645進行評估來證明產品符合PSTI法案。也就是說，滿足 ETSI EN 303645 標準的三個章節和項目的要求就等同于符合英國PSTI法案的要求。

ETSI EN 303 645針對物聯網產品安全及隱私的標準，含如下13類要求：

1）通用默認密碼安全

2） 弱點報告管理與執行

3） 軟件更新

4）機敏安全參數保存

5） 通訊安全

6） 減少暴露攻擊面

7） 保護個人資料

8） 軟件完整性

9） 系統抗中斷能力

10） 檢查系統遙測數據

11） 方便使用者刪除個人資料

12） 簡化設備安裝和維護

13） 驗證輸入數據