PSTI法案的概述

英国的PSTI法案是一项旨在加强电信基础设施和产品安全的立法。这项法案特别关注物联网（IoT）设备的安全，要求所有在英国市场销售的物联网产品必须满足特定的安全要求。PSTI法案的目标是减少网络安全风险，保护消费者和企业免受潜在的安全威胁。

ETSI EN 303645标准的介绍

ETSI EN 303645是由欧洲电信标准协会（ETSI）制定的一套物联网安全标准。这套标准旨在为物联网设备的设计、开发和生产提供一系列的安全指导原则。它包括了一系列的基本要求，如无需密码的安全启动、最小化暴露的攻击面、设备软件更新的安全性等，以确保物联网设备能够抵御网络攻击和数据泄露。ETSI EN 303 645是全球多数国家采用或拟采用的网络安全基线标准，并且已经正式加入了IECEE Scheme，已经不再局限于欧洲，变成了一款全球认可的通用标准，很快，我们就能看到采用ETSI EN 303 645标准的CB报告面世。

PSTI与ETSI EN 303645的关系

PSTI法案与ETSI EN 303645标准之间的关系，在于PSTI法案为物联网设备的安全提供了法律框架和具体要求，而ETSI EN 303645则提供了实现这一框架的具体技术指导。换句话说，PSTI法案定义了物联网设备安全的“什么”，而ETSI EN 303645标准解释了“如何”达到这些安全要求。

主要有三点：

1.  禁止通用密码：避免使用通用密码，采用安全的加密方式，身份验证方式是这项内容考虑的重点，这要求客户对各种端口的安全保护协议得到正确的运用，并遵守国际通用密码加密原则。

2.  实施漏洞披露管理：企业需制定一个漏洞披露政策，允许研究人员和用户报告潜在的安全问题。可以理解为企业需要建立一个公开的漏洞报告机制，并承诺及时响应和修复报告的漏洞。

3. 产品安全更新服务透明化：企业应实施一个安全的软件更新机制，包括使用签名验证更新的完整性和来源。此外，应通知用户可用的更新，并可能提供自动更新选项。

结论

随着物联网设备在我们的日常生活中扮演着越来越重要的角色，确保这些设备的网络安全变得尤为重要。英国的PSTI强制认证法案只是网络安全认证市场的先行者，未来会有更多的国家和区域标准化网络安全的认证要求。