国产人妻精品区一区二区,国产农村妇女毛片精品久久,JAPANESE日本丰满少妇,日本公妇理伦a片,射精专区一区二区朝鲜

4 月 29 日，英國消費者互聯產品安全制度正式開始生效，英國由此成為首個禁止在物聯網設備上使用(yong)默認弱密(mi)碼的國家。

圖源：英國政府官(guan)網

該法案誕生的(de)起源(yuan)最早可以追(zhui)溯(su)到 2016 年 10 月 21 日發生的(de)惡(e)性網絡攻擊(ji)事件。

當時，黑(hei)客們(men)使用(yong)了一(yi)種被(bei)(bei)稱作(zuo)“物聯網破壞者”的(de) Mirai 病(bing)毒，該病(bing)毒每(mei)掃描到一(yi)個物聯網設備(bei)（比如網絡(luo)攝像頭、智能(neng)開(kai)關(guan)等）后(hou)，就會嘗試使用(yong)默認(ren)密碼(ma)進(jin)行登陸（一(yi)般為 admin/admin，Mirai 病(bing)毒自(zi)帶 60 個通用(yong)密碼(ma)），一(yi)旦(dan)登陸成功，這(zhe)臺物聯網設備(bei)就進(jin)入(ru)“肉雞”名(ming)單，開(kai)始被(bei)(bei)黑(hei)客操(cao)控(kong)攻擊(ji)其他網絡(luo)設備(bei)。黑(hei)客們(men)借此控(kong)制了美(mei)國大量的(de)網絡(luo)攝像頭和相關(guan)的(de) DVR 錄像機，然(ran)后(hou)操(cao)縱這(zhe)些“肉雞”攻擊(ji)了美(mei)國的(de)多個知名(ming)網站(zhan)，包括 Twitter、Paypal、Spotify 在(zai)內等多個人們(men)每(mei)天都用(yong)的(de)網站(zhan)被(bei)(bei)迫中斷服務，幾(ji)乎讓美(mei)國大半個互聯網陷入(ru)癱瘓狀態。

Mirai 病毒由三名 20 歲左右的(de)(de)(de)(de)美國公(gong)民開(kai)發，雖然(ran)他們(men)很快被逮(dai)捕(bu)并處罰(fa)，但(dan)該(gai)病毒卻(que)引(yin)發了產業(ye)的(de)(de)(de)(de)廣(guang)泛(fan)擔憂——如(ru)果物聯網(wang)設備制造商的(de)(de)(de)(de)安全策略過(guo)于草率，那么有(you)可(ke)能(neng)造成廣(guang)泛(fan)的(de)(de)(de)(de)、出(chu)乎意料的(de)(de)(de)(de)影響。

英國最新法案的落地，正是對這類安全漏洞的有力回應。它要求物聯網設備制造商在生產過程中就加強安全防護措施，從源頭上杜絕弱密碼等安全隱患。具體而言，物聯網設備將不得使用“admin”或者“12345”等默認密碼，而且制造商還需要發布聯系方式，以便用戶可以報告錯誤。

不符(fu)合規(gui)定的產(chan)品可能(neng)面臨被召回，相關(guan)公司則面臨最高 1000 萬英鎊或其全(quan)球收入 4% 的罰款(kuan)，以較高者為準。

英國物聯網安全法案相關細節

從 2024 年 4 月 29 日起，英國消(xiao)費者互(hu)聯(lian)產品(pin)(pin)安全制度正式(shi)生效(xiao)。從該日期(qi)起，該法(fa)律將要求英國消(xiao)費者互(hu)聯(lian)產品(pin)(pin)（或(huo)“智能”產品(pin)(pin)）的制造商遵守(shou)該法(fa)案中規定的相關義務，其(qi)中包括(kuo)確保他們及其(qi)產品(pin)(pin)滿足相關的最低(di)安全要求。

該制度由(you)兩項(xiang)立法組(zu)成：

• 《2022 年產品安全和電信基礎設施 ( PSTI ) 法案(an)》第 1 部分；和

• 《2023 年(nian)產品安(an)全和電信基礎設施（相(xiang)關互聯產品的安(an)全要求）法規》。

圖源：英(ying)國(guo)政府官(guan)網

PSTI 法(fa)(fa)案(an)于(yu) 2022 年 12 月(yue)獲得(de)批準。政府于(yu) 2023 年 4 月(yue)發布了 PSTI（相關互聯(lian)產品的安全要(yao)求）法(fa)(fa)規的完整草案(an)。這些法(fa)(fa)規于(yu) 2023 年 9 月(yue) 14 日簽署(shu)成為法(fa)(fa)律。

• 誰受到新法規約束？

簡單來說，相關互聯產品的制造商、進口商和分銷商將受到新法規約束。所以該法規會對中國物聯網設備制造商的出海產生一定影響。

• 哪些產品受到管控？

PSTI 管控產品范圍包括互聯網連接的產品，例如網絡攝像頭、智能門鎖、報警系統、智能家居助手、智能手機、智能家電、可穿戴設備等；也適用于不能直接連接到互聯網但能同時連接到多個其他設備的產品，如智能照明器具、智能控制器、物聯網基站等。

不(bu)在 PSTI 管(guan)控范圍的(de)(de)產品(pin)包(bao)括計算(suan)機(ji)（a) 臺式電(dian)腦；(b) 筆記(ji)本(ben)電(dian)腦；(c) 不(bu)具備連接蜂窩網絡能力(li)的(de)(de)平板電(dian)腦（根據制造(zao)商的(de)(de)預期(qi)用(yong)途，專為14歲以下兒(er)童設計的(de)(de)，不(bu)屬(shu)于例(li)外產品(pin)）、醫療產品(pin)、智能電(dian)表產品(pin)、電(dian)動汽車充電(dian)器(qi)，及藍牙(ya)一對一連接產品(pin)。

值(zhi)得注意(yi)的(de)是，這些產品也(ye)可能(neng)有網(wang)絡安全要求，但不在PSTI法(fa)案管控(kong)(kong)范圍，而是可能(neng)由其(qi)它法(fa)案管控(kong)(kong)。

• 法規關鍵要求

①通用默認密碼要求：法規(gui)禁止通用(yong)默認密(mi)(mi)碼(ma)，并對密(mi)(mi)碼(ma)強度有相關(guan)要求。這意味(wei)著(zhu)，用(yong)戶在首次(ci)使(shi)用(yong)時(shi)需(xu)(xu)要提供唯一的密(mi)(mi)碼(ma)，或(huo)需(xu)(xu)要更(geng)改密(mi)(mi)碼(ma)。

②安全漏洞報告與處理：制造商必須(xu)提供有關(guan)如何(he)向他們(men)報(bao)告(gao)其產品安(an)全漏洞(dong)的(de)信息(xi)。制造商還(huan)必須(xu)提供有關(guan)時間范圍(wei)的(de)信息(xi)，在該(gai)時間范圍(wei)內(nei)確認(ren)收(shou)到(dao)報(bao)告(gao)和狀態(tai)更新，直到(dao)報(bao)告(gao)編寫者可以預(yu)期所報(bao)告(gao)的(de)安(an)全問(wen)題得到(dao)解決。

③最短的安全更新周期信息：制(zhi)造商(shang)需(xu)要(yao)有(you)明(ming)確且(qie)透明(ming)的(de)方(fang)式(shi)對用戶公布最短的(de)安全更(geng)新周期，即明(ming)確說明(ming)制(zhi)造商(shang)將持續提(ti)(ti)供(gong)(gong)多長時間的(de)更(geng)新。這(zhe)些信息應以英文免費提(ti)(ti)供(gong)(gong)，無需(xu)事先(xian)請求，并且(qie)以不具備任(ren)何技術知識的(de)讀者也能理解的(de)方(fang)式(shi)提(ti)(ti)供(gong)(gong)。

同時(shi)，法(fa)案范圍內產品(pin)必須隨附(fu)合規聲明(ming)，其中必須包括以下(xia)信(xin)息:

• 產品(類型和批次)

• 每個制造(zao)商的名稱和(he)地址(zhi)，以(yi)及(ji)(如(ru)適用)其授權代表

• 聲明由產品制造商(shang)或其代表編寫

• 符合(he)相關安全要求(《PSTI條例》附表1)或(huo)符合(he)視(shi)為(wei)符合(he)的條件(jian)(附表2)的聲(sheng)明

• 制造商首次供應產品時正確的產品規定支持期

• 合規聲明的簽名、簽名人姓名和(he)職務以及簽發地點(dian)和(he)日期

• 法規如何執行？

據悉，產(chan)品安全和(he)標準(zhun)辦公室(shi) (OPSS) 將根據與 DSIT 簽署的諒(liang)解備(bei)忘(wang)錄，自 2024 年 4 月 29 日起負責執行 2022 年PSTI 法(fa)案(an)和(he) 2023 年法(fa)規。

OPSS 隸(li)屬于商(shang)業(ye)貿易部(bu)，已經執行英(ying)國現有的產(chan)(chan)品安(an)全(quan)法規(gui) OPSS 將利用現有流程和關系，以穩(wen)健(jian)和基于風險的方(fang)式執行英(ying)國產(chan)(chan)品安(an)全(quan)制度，并對不遵守義務的企業(ye)采取適當(dang)和相稱的行動。

各國相繼出臺物聯網安全相關政策

據研究(jiu)機構預測(ce)，到(dao) 2030 年物(wu)聯(lian)網設備(bei)數量將(jiang)超(chao)過 294.2 億(yi)，按照聯(lian)合國預測(ce) 2030 年全球人(ren)口(kou) 85 億(yi)計算的(de)話，屆時平均每個人(ren)就對應 3 臺物(wu)聯(lian)網設備(bei)。

隨著聯網設備的激增，IoT 設備終端受到網絡攻擊的次數也越來越多，消費者對網絡安全和隱私保護意識在逐漸增強，品牌商的網絡安全和數據保護已提升到了戰略地位。網絡安全法規強制性化漸成趨勢，各個國家紛紛出臺了網絡安全法規，例如中國、歐盟、英國、新加坡、巴西、日本以及美國都已經提上了日程，以增強市場物聯網產品規范化管理。

早在 2020 年，新加坡網(wang)(wang)絡安全(quan)局(ju) (CSA) 表(biao)示(shi)，新(xin)加坡已加入制(zhi)定網(wang)(wang)絡安全(quan)標簽計劃的(de)(de)國家行列，這在(zai)(zai)亞太地區尚屬首(shou)次。該計劃允許(xu)用戶在(zai)(zai)購(gou)買產品(pin)之前輕松(song)評(ping)估產品(pin)的(de)(de)安全(quan)性，識別具有更好網(wang)(wang)絡安全(quan)措(cuo)施(shi)的(de)(de)產品(pin)，并做出明智的(de)(de)決定。隨后的(de)(de)幾年間，新(xin)加坡陸(lu)續推(tui)動了和多個(ge)國家、地區、聯盟的(de)(de)網(wang)(wang)絡安全(quan)標簽互認證。

今年 3 月，美國聯(lian)(lian)邦通訊委員會 (FCC) 公開投(tou)票正式通過了物(wu)(wu)聯(lian)(lian)網安(an)全(quan)(quan)標簽計劃(hua) (Cybersecurity Labeling Program)，在該(gai)計劃(hua)下，符(fu)合相(xiang)關條件的消(xiao)費物(wu)(wu)聯(lian)(lian)網產品將被賦予網絡安(an)全(quan)(quan)標識(shi)標簽 (Cyber Trust Mark)，方(fang)便消(xiao)費者(zhe)根(gen)據(ju)產品安(an)全(quan)(quan)信(xin)息做(zuo)出(chu)購買決(jue)策，同時(shi)安(an)全(quan)(quan)可信(xin)產品在市場上(shang)具(ju)有差(cha)異化優勢，激勵物(wu)(wu)聯(lian)(lian)網產品制造(zao)商推出(chu)符(fu)合更(geng)高安(an)全(quan)(quan)標準的產品。

隨后不久的 4 月，日本經濟(ji)產業(ye)省(sheng)發布(bu)了《物(wu)(wu)聯(lian)網安(an)全合格評估計劃(hua)草案》征求意見稿，可以看作是日本版物(wu)(wu)聯(lian)網安(an)全標簽(qian)計劃(hua)，對(dui)標美國、新加坡(po)等(deng)國家和地(di)區的物(wu)(wu)聯(lian)網安(an)全標簽(qian)計劃(hua)。

同樣是在 4 月，歐盟投票(piao)通過了《網絡安(an)全彈性(xing)法(fa)案（CRA）》，這是一(yi)項旨在全面提升歐(ou)盟境內數字產(chan)(chan)品(pin)(pin)安(an)全防護(hu)水平的(de)(de)重大舉(ju)措。該法(fa)案的(de)(de)覆蓋范圍廣泛，不僅關注產(chan)(chan)品(pin)(pin)的(de)(de)設計(ji)和生產(chan)(chan)過程，還延(yan)伸到產(chan)(chan)品(pin)(pin)的(de)(de)銷(xiao)售(shou)、使用以及(ji)報(bao)(bao)廢處(chu)理等環節(jie)。這意(yi)味著(zhu)，在歐(ou)盟市場上銷(xiao)售(shou)的(de)(de)每一(yi)款(kuan)數字產(chan)(chan)品(pin)(pin)，都必(bi)須經過嚴格的(de)(de)審(shen)查，確保其符(fu)合(he)法(fa)案規定的(de)(de)網絡安(an)全標準。以漏(lou)洞報(bao)(bao)告為例：制造商必(bi)須在24小(xiao)時內向其指定的(de)(de)歐(ou)盟成員國計(ji)算機安(an)全事故(gu)響(xiang)應(ying)小(xiao)組 (CISRT) 報(bao)(bao)告任何被惡意(yi)行為者利用的(de)(de)產(chan)(chan)品(pin)(pin)漏(lou)洞。然(ran)后，制造商必(bi)須在72小(xiao)時內提交(jiao)(jiao)一(yi)份(fen)(fen)總體跟(gen)進報(bao)(bao)告，并在緩解措施出(chu)臺(tai)后 14 天內提交(jiao)(jiao)一(yi)份(fen)(fen)詳細報(bao)(bao)告。

再看我國， 2021 年，工信部印發物聯網基礎安全標準體系建設指南的通知，提出到2022年，初步建立物聯網基礎安全標準體系，研制重點行業標準10項以上，明確物聯網終端、網關、平臺等關鍵基礎環節安全要求，滿足物聯網基礎安全保障需要，促進物聯網基礎安全能力提升。到2025年，推動形成較為完善的物聯網基礎安全標準體系，研制行業標準30項以上，提升標準在細分行業及領域的覆蓋程度，提高跨行業物聯網應用安全(quan)水(shui)平(ping)，保障消(xiao)費者安全(quan)使(shi)用。

物聯網設備制造商需積極應對安全挑戰

近期，Asimily 發布了(le)一份題為《2024 年物聯網設備安(an)全(quan)：無所(suo)作(zuo)為的(de)高昂(ang)成本》的(de)新報告(gao)，報告(gao)有(you)一些(xie)核心洞察(cha)值得關注(zhu)：

從受攻擊的設備來看，路由器是最具針對性的物聯網設備，占所有物聯網感染的 75%。黑客利用路由器作為訪問網絡內其他連接設備的墊腳石。安全攝像頭和 IP 攝像頭是第二大目標設備，占所有攻擊的 15%。其他常見的目標設備包括數字標牌、媒體播放器、數字錄像機、打印機和智能照明。該報告還強調了與專業設備相關的特別嚴重的風險，包括對醫療保健中的患者護理至關重要的設備（包括血糖監測儀和起搏器）、制造業的實時監測設備以及市政當局的水質傳感器。

從受攻擊的行業來看，犯罪分子越來越將注意力集中在制造業、金融和能源行業，零售、教育、醫療保(bao)健和政府(fu)組(zu)織仍然是熱門(men)目標，而媒體(ti)和交通在過去幾年中已不再受(shou)到(dao)重視。

同時，網絡保險公司正在限制賠付金額。隨(sui)著網(wang)絡攻擊變(bian)得(de)(de)越(yue)(yue)(yue)來(lai)越(yue)(yue)(yue)普遍，網(wang)絡安(an)全(quan)(quan)保(bao)險變(bian)得(de)(de)越(yue)(yue)(yue)來(lai)越(yue)(yue)(yue)昂貴(gui)且(qie)難以獲得(de)(de)。現在(zai)，越(yue)(yue)(yue)來(lai)越(yue)(yue)(yue)多的保(bao)險公司要求企業具備強大的物聯網(wang)安(an)全(quan)(quan)和風險管理(li)能力，以獲得(de)(de)承(cheng)保(bao)資格，并且(qie)越(yue)(yue)(yue)來(lai)越(yue)(yue)(yue)多地拒絕(jue)(jue)或限制那些不(bu)符合(he)特(te)定閾值的企業的承(cheng)保(bao)范圍(wei)。在(zai)網(wang)絡保(bao)險公司拒絕(jue)(jue)承(cheng)保(bao)的原因(yin)中，缺乏(fa)安(an)全(quan)(quan)協議是最常見的，占 43%。不(bu)遵守合(he)規(gui)程序占承(cheng)保(bao)拒絕(jue)(jue)的 33%。

顯然(ran)，安(an)(an)全風險為(wei)物聯網設備(bei)制(zhi)(zhi)造(zao)商(shang)(shang)帶來了新的(de)挑戰(zhan)，而各(ge)個國家新法(fa)案的(de)實施(shi)都(dou)意味(wei)著制(zhi)(zhi)造(zao)商(shang)(shang)需(xu)(xu)要(yao)(yao)承擔更多(duo)的(de)責任和(he)義務。他(ta)們需(xu)(xu)要(yao)(yao)確保所生產(chan)的(de)物聯網產(chan)品具備(bei)足夠的(de)安(an)(an)全性，包括防止未經授權的(de)訪問、保護數據的(de)完整性和(he)有效性等方(fang)面。同時，他(ta)們還(huan)需(xu)(xu)要(yao)(yao)建立相應的(de)流程(cheng)和(he)文件(jian)，以證明其產(chan)品符合法(fa)案的(de)要(yao)(yao)求。

從各個國家的法律來看，違反方案會遭遇嚴厲的處罰，除了巨額的賠償金外，企業的聲譽損失可能更加難以挽回——這將對那些忽視網絡安全問題、企圖通過降低成本來獲取市場競爭力的制造商形成有力的震懾。

對(dui)中國這樣的(de)(de)物聯(lian)網(wang)產(chan)品(pin)(pin)生產(chan)和出口大(da)國而言，相(xiang)關(guan)(guan)制(zhi)造(zao)商(shang)(shang)需要(yao)積極(ji)應對(dui)。一方面，制(zhi)造(zao)商(shang)(shang)要(yao)確保設計的(de)(de)產(chan)品(pin)(pin)符(fu)(fu)合標(biao)準(zhun)(zhun)要(yao)求后(hou)再投入(ru)生產(chan)從(cong)而進入(ru)市(shi)場，相(xiang)關(guan)(guan)廠家應該在(zai)產(chan)品(pin)(pin)開發過(guo)程中盡早了解相(xiang)關(guan)(guan)法律法規(gui)，以便更好地規(gui)劃產(chan)品(pin)(pin)設計、生產(chan)和出海，確保產(chan)品(pin)(pin)符(fu)(fu)合安全(quan)標(biao)準(zhun)(zhun)。另一方面，制(zhi)造(zao)商(shang)(shang)也要(yao)持(chi)續加(jia)大(da)技術研發和創新投入(ru)，提升產(chan)品(pin)(pin)的(de)(de)安全(quan)水平(ping)，形成(cheng)差異(yi)化競(jing)爭優勢，從(cong)而在(zai)全(quan)球(qiu)市(shi)場中爭得更多的(de)(de)份額。