全球范围内网络攻击的频频发生，当前全球多个国家纷纷启动各项举措和计划，以增强关键系统的网络安全。其中，英国政府在2022年12月通过了《产品安全和电信基础设施法案2022》

(Product Security and Telecommunications

Infrastructure Act 2022，简称“PSTI”法案），并将于2024年4月29日强制实施。

PSTI法案的目的与要求

PSTI法案规定了可连接互联网的产品以及能够连接到此类产品和电子通信基础设施的产品的安全性，要求所有参与英国可连接消费产品供应链的企业，都必须符合最低产品安全要求才能投放市场。相关产品的制造商、进口商和分销商必须遵守该法案的安全要求，制造商和进口商必须确保产品附有合规声明，并在出现合规失败的情況下采取行动，保存调查记录等。否则违规企业最高处以1000万英镑或其全球营业额4%的罚款。

PSTI法案需要遵守的三个关键点

PSTI法案分为两个部分：第一部分是保护产品免受网络攻击的安全要求，规定在英国销售的消费

者互联网接入产品必须遵守最低网络安全要求。

第二部分则是电信基础设施指南。其中，有以下三个关键点需要注意：

密码要求。

PSTI法案禁止通用默认密码，并对密码强度有相关要求。这意味着，用户在首次使用时需要提供唯一的密码，或需要更改密码。

安全管理问题。

PSTI法案要求制造商应公布漏洞披露政策，即发现漏洞的任何人都可以通知制造商，制造商通知其客户并及时提供修复的信息。

安全更新周期。

PSTI法案规定，制造商需要有明确且透明的方式对用户公布最短的安全更新周期，即明确说明制造商将持续提供多长时间的更新。

这些要求可以根据PSTI法案直接进行评估，也可以通过引用消费者物联网产品的网络安全标准

ETSI EN 303645进行评估来证明产品符合PSTI法案。也就是说，满足 ETSI EN 303645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。

ETSI EN 303 645针对物联网产品安全及隐私的标准，含如下13类要求：

1）通用默认密码安全

2） 弱点报告管理与执行

3） 软件更新

4）机敏安全参数保存

5） 通讯安全

6） 減少暴露攻击面

7） 保护个人资料

8） 软件完整性

9） 系统抗中断能力

10） 检查系统遥测数据

11） 方便使用者删除个人资料

12） 简化设备安装和维护

13） 验证输入数据