全球范围内网络攻击的频频发生，当前全球多个国家纷纷启动各项举措和计划，以增强关键系统的网络安全。其中，英国政府在2022年12月通过了《产品安全和电信基础设施法案2022》（Product Security and Telecommunications Infrastructure Act 2022，简称“PSTI”法案），并将于2024年4月29日强制实施。PSTI法案的实施将更好地确保消费者的互联网接入产品能更安全地抵御网络攻击，但另一方面，也给生产连接互联网的相关产品的制造商提出了更为严格的要求。

PSTI法案规定了可连接互联网的产品以及能够连接到此类产品和电子通信基础设施的产品的安全性，要求所有参与英国可连接消费产品供应链的企业，都必须符合最低产品安全要求才能投放市场。相关产品的制造商、进口商和分销商必须遵守该法案的安全要求，制造商和进口商必须确保产品附有合规声明，并在出现合规失败的情况下采取行动，保存调查记录等。否则违规企业最高处以1000万英镑或其全球营业额4%的罚款。

PSTI法案分为两个部分：第一部分是保护产品免受网络攻击的安全要求，规定在英国销售的消费者互联网接入产品必须遵守最低网络安全要求。

第二部分则是电信基础设施指南。其中，有以下三个关键点需要注意：

• 密码要求。
  PSTI法案禁止通用默认密码，并对密码强度有相关要求。 这意味着，用户在首次使用时需要提供唯一的密码，或需要更改密码。

• 安全管理问题。
  PSTI法案要求制造商应公布漏洞披露政策，即发现漏洞的任何人都可以通知制造商，制造商通知其客户并及时提供修复的信息。

• 安全更新周期。
  PSTI法案规定，制造商需要有明确且透明的方式对用户公布最短的安全更新周期，即明确说明制造商将持续提供多长时间的更新。

• 这些要求可以根据PSTI法案直接进行评估，也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说，满足ETSI EN 303 645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。

• ETSI EN 303 645针对物联网产品安全及隐私的标准，含如下13类要求：

• 1) 通用默认密码安全

• 2) 弱点报告管理与执行

• 3) 软件更新

• 4) 机敏安全参数保存

• 5) 通讯安全

• 6) 减少暴露攻击面

• 7) 保护个人资料

• 8) 软件完整性

• 9) 系统抗中断能力

• 10) 检查系统遥测数据

• 11) 方便使用者删除个人资料

• 12) 简化设备安装和维护

• 13) 验证输入数据

新法案覆盖的产品范围包括：连接互联网的相关产品，例如网络摄像头、智能门锁、报警系统、智能家居助手、智能手机、智能家电、可穿戴设备等，也适用于不能直接连接到互联网但能同时连接到多个其他设备的产品，如智能照明器具、智能控制器、物联网基站等。

但是，现有立法涵盖的产品（包括医疗保健监控产品和智能电表）或复杂的产品（如自动驾驶汽车）不包括在PSTI法案中。与此同时，也有部分产品拥有豁免权，其中包括：北爱尔兰销售的产品；台式机、平板电脑，以及14岁以上使用的电脑平板；智能电表、电动汽车充电桩和医疗设备。

PSTI法案文件：

 1.英国产品安全和电信基础设施（产品安全）PSTI法案 

The UK Product Security and Telecommunications Infrastructure (Product Security) regime.

https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2. 2022 年产品安全和电信基础设施法案

Product Security and Telecommunications Infrastructure Act 2022

https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

3. 2023 年产品安全和电信基础设施（相关可连接产品的安全要求）法案

The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

https://www.legislation.gov.uk/uksi/2023/1007/contents/made