以下是根据该法规为您整理出的所有“合规验证项”(可以理解为测试项),分为三大类。
澳大利亚智能设备安全标准 - 合规验证项清单
第一类:密码安全要求 (Requirements in relation to passwords)
(来源: Schedule 1, Clause 2)
核心目标: 杜绝所有设备使用相同的、可预测的弱密码。
| 验证项 ID | 验证项名称 | 验证内容与通过标准 | 备注 |
| PASS-01 | 默认密码的唯一性 | 验证产品的默认密码满足以下二选一: a) 每个独立的产品都有一个唯一的密码。 b) 产品在首次使用时强制要求用户自行设定一个新密码。 |
这是此法规最核心的要求。如果产品有一个所有设备都一样的出厂密码(如"admin"),则直接不合规。 |
| PASS-02 | 唯一密码的生成规则 | 如果采用了上述PASS-01中的a)方案(一机一密),则需进一步验证该唯一密码的生成方式不符合以下任何一种弱规则: a) 基于简单的增量计数器(如 password1, password2...)。 b) 基于任何公开可查的信息。 c) 基于未加密处理的产品唯一标识符(如直接使用序列号作为密码)。 d) 其他任何容易被猜到的方式。 |
如果使用了序列号等唯一标识符,必须通过安全的加密或哈希算法进行处理,使其不可逆推。 |
第二类:安全问题报告要求 (Requirements relating to reports of security issues)
(来源: Schedule 1, Clause 3)
核心目标: 制造商必须提供一个公开、透明的渠道,让任何人(如安全研究员、普通用户)都能报告产品的安全漏洞。
| 验证项 ID | 验证项名称 | 验证内容与通过标准 | 备注 |
| VULN-01 | 漏洞报告联系方式的公开性 | 验证制造商是否已经公开发布了至少一个联系方式,用于接收产品的安全问题报告。 | “公开发布”意味着信息必须是用户无需请求即可轻易获取的,例如在公司网站的“安全”页面上。 |
| VULN-02 | 漏洞处理流程的透明度 | 验证制造商发布的漏洞报告指南中,是否清晰地告知了报告者在提交报告后会收到: a) 收讫确认(Acknowledgement of receipt)。 b) 直到问题解决为止的状态更新(Status updates)。 |
仅仅提供一个邮箱是不够的,必须对后续的处理流程做出承诺。 |
| VULN-03 | 信息的可访问性 | 验证以上所有公开信息是否满足以下条件: a) 无需事先请求即可获得。 b) 使用英文。 c) 免费提供。 d) 获取该信息时,无需报告者提供个人信息。 |
这一点对隐私非常友好,即用户可以匿名查看如何报告漏洞。 |
第三类:软件支持周期和安全更新要求 (Requirements relating to defined support periods and security updates)
(来源: Schedule 1, Clause 4)
核心目标: 制造商必须明确告知消费者,他们将为产品提供多长时间的安全更新支持,并信守承诺。
| 验证项 ID | 验证项名称 | 验证内容与通过标准 | 备注 |
| UPDATE-01 | 支持周期的公开性 | 验证制造商是否已经公开发布了产品的“定义的支持周期”(Defined Support Period)。该周期必须明确为一个带有结束日期的时间段。 | 例如,不能只说“5年”,必须说“自购买之日起5年”或“支持至2030年12月31日”。 |
| UPDATE-02 | 支持周期信息的易得性 | 验证“支持周期”信息是否清晰、透明、易于访问,并且: a) 突出地与产品的主要信息一同展示(尤其是在销售网站上)。 b) 对没有技术背景的普通消费者来说易于理解。 |
消费者在购买前就应该能轻易看到这个产品能获得多久的安全保障。 |
| UPDATE-03 | 支持周期的不可缩短性 | 验证制造商在公开发布支持周期后,没有缩短过该周期。 | 这是一个合规承诺。制造商只能延长,不能缩短已发布的支持周期。 |
| UPDATE-04 | 支持周期延长的通知 | 如果制造商决定延长支持周期,验证其是否尽快地公开发布了新的、延长后的支持周期。 | 这是对消费者有利的变更,需要及时通知。 |
总结与对比
与您之前接触的欧盟EN 18031系列标准相比,澳大利亚的这个法规有几个显著特点:
-
更侧重于策略和透明度: 它不关心您的加密算法具体用了什么(只要符合行业惯例),但非常关心您是否告诉了用户您的安全策略(如支持多久)。
-
三大核心要求:
-
别用通用弱密码。
-
告诉大家怎么联系你报漏洞。
-
告诉大家你会支持产品多久。
-
-
没有深入的技术细节: 它没有像EN 18031那样包含几十个具体的安全机制(如SCM, RLM, GEC等)和复杂的决策树。它的要求更加宏观和原则性。
核心对比总结 (Executive Summary)
| 对比维度 | 英国 PSTI 法规 (2023 No. 1007) | 澳大利亚智能设备安全规则 2025 (草案) | 关键区别与解读 |
| 法律基础 | 《产品安全和电信基础设施法案 2022》(PSTI Act 2022) | 《网络安全法案 2024》(Cyber Security Act 2024) | 两个国家都通过了专门的顶层法案来授权制定具体的技术规则,立法思路相似。 |
| 核心安全要求 | 3项 (密码、漏洞报告、软件更新支持周期) | 3项 (密码、漏洞报告、软件更新支持周期) | 两者的三大核心要求几乎完全一致! 这表明全球在消费物联网安全基线上正在趋同。 |
| 技术细节来源 | 直接引用并依赖 ETSI EN 303 645 和 ISO/IEC 29147 作为“推定符合”的技术标准。 | 将核心要求直接写入法规文本 (Schedule 1),不强制依赖外部标准,但内容与ETSI EN 303 645高度一致。 | 这是最大的区别。 英国法规给了制造商一条捷径:只要你符合ETSI EN 303 645,我就默认你符合PSTI。而澳洲法规是自己定义了要求,你需要直接证明你符合澳洲法规的文本。 |
| 生效日期 | 2024年4月29日 | 2026年3月4日 | 英国的法规已经生效,而澳大利亚的法规给市场留出了更长的过渡期。 |
| 适用产品范围 | 几乎所有连接到互联网或网络的可连接产品。 | 几乎所有直接或间接连接到互联网的可连接产品。 | 两者范围都很广。 |
| 豁免产品 | 有明确的豁免清单,如PC、医疗设备、智能电表、电动汽车充电桩等。 | 同样有明确的豁免清单,如PC、平板、智能手机、医疗设备、车辆及其部件等。 | 豁免清单非常相似,都排除了已经有其他严格监管的行业(如医疗、汽车)和通用计算平台(PC/手机)。 |
| 合规声明 | 强制要求制造商提供“符合性声明”(Statement of Compliance)。 | 强制要求制造商提供“符合性声明”(Statement of compliance)。 | 两者都要求制造商自我声明产品合规,并将责任主体明确为制造商。 |
| 地域范围 | 英国 (英格兰, 威尔士, 苏格兰, 北爱尔兰) | 澳大利亚 | 分别适用于各自的国家市场。 |
| e |