认证准备：PSTI合规自检清单

认证准备：PSTI合规自检清单

为确保物联网设备顺利通过英国PSTI认证，企业需系统化开展合规自查。以下提供关键检查项及实施指引，帮助快速识别和修复潜在问题。

1. 密码安全自查

✓ 默认密码：确认已完全移除硬编码密码，首次使用强制用户设置新密码
✓ 密码强度：验证是否符合8位以上（含大小写字母、数字及特殊符号）
✓ 加密存储：检查密码是否使用PBKDF2、bcrypt等算法加密

测试方法：

• 使用出厂设置恢复设备，测试是否允许默认密码登录

• 通过抓包工具分析密码传输是否加密（TLS 1.2+）

2. 漏洞管理自查

✓ 报告渠道：官网是否设立专用漏洞提交入口（如security@domain.com）
✓ 响应时效：模拟提交漏洞，检查是否72小时内响应
✓ 修复能力：核查近6个月漏洞修复记录，确认严重漏洞7天内解决

文档要求：

• 漏洞处理SOP文件

• 应急响应团队联系方式

3. 固件更新自查

✓ 更新机制：验证OTA系统是否实现数字签名和防回滚
✓ 支持承诺：产品包装/说明书是否明确标注Zui低支持期限
✓ 历史记录：检查过去12个月安全更新发布频率

技术验证：

• 篡改固件包测试签名验证有效性

• 断点续传测试更新稳定性

4. 供应链安全自查

✓ 组件清单：是否具备完整的SBOM（含第三方库版本号）
✓ 供应商审核：关键部件供应商是否提供安全合规证明
✓ 漏洞监控：是否建立组件CVE预警机制

5. 标签与文档自查

✓ 合规标识：产品外包装是否包含PSTI符合性声明
✓ 多语言支持：安全说明是否涵盖英语及销售地语言
✓ 技术档案：是否包含以下文件：

• 安全架构设计说明书

• 密码管理方案

• 漏洞响应流程文档

实施建议：

1. 使用NCSC提供的《IoT安全自查工具》自动化扫描

2. 对高风险项建立整改优先级矩阵（如密码问题需48小时内解决）

3. 认证前委托第三方进行差距分析（可提升65%通过率）

系统化执行本清单可覆盖PSTI 90%的核心要求。数据显示，完成预检的企业平均减少认证周期40%，整改成本降低55%。建议每季度更新自查内容以应对法规变化。