英国PSTI法案覆盖产品范围和具体要求

PSTI管控产品范围：

包括互联网连接的产品，但不于互联网连接的产品，典型的产品包括：智能电视、IP摄像机、路由器、智能照明和家用产品等等。

不在PSTI管控范围的产品Schedule 3 Excepted connectable products：

包括计算机（a) 台式电脑；(b) 笔记本电脑；(c)不具备连接蜂窝网络能力的平板电脑（根据制造商的预期用途，专为14岁以下儿童设计的，不属于例外产品）、医疗产品、智能电表产品、电动汽车充电器，及蓝牙一对一连接产品。请注意，这些产品也可能有网络安全要求，但不在PSTI法案管控范围，而是可能由其它法案管控。

PSTI法案对网络安全的要求主要分为三个方面：

1. 通用默认密码安全

2. 弱点报告管理与执行

3. 软件更新

这些要求可以根据PSTI法案直接进行评估，也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303645进行评估来证明产品符合PSTI法案。也就是说，满足ETSI EN 303 645标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。

ETSI EN 303 645针对物联网产品安全及隐私的标准，含如下13类要求：

1) 通用默认密码安全

2) 弱点报告管理与执行

3) 软件更新

4) 机敏安全参数保存

5) 通讯安全

6) 减少暴露攻击面

7) 保护个人资料

8) 软件完整性

9) 系统抗中断能力

10) 检查系统遥测数据

11) 方便使用者删除个人资料

12) 简化设备安装和维护

13) 验证输入数据