為推動網(wǎng)絡安全發(fā)展，西門子、空客、Allianz、戴姆勒集團、IBM、NXP、SGS和荷蘭電信等主流公司，在近期召開的德國慕尼黑安全大會上簽署了一份《信任憲章》。共同簽署人還包括歐盟內(nèi)部市場、行業(yè)、創(chuàng)業(yè)及中小企業(yè)專員 Elżbieta Bieńkowska，以及加拿大外交部長兼G7代表 Chrystia Freeland。

[[220476]]

憲章規(guī)定了商業(yè)及政府簽署人都必須遵守的十條原則，包括設置首席信息官、關鍵基礎設施獨立第三方安全測試、威脅數(shù)據(jù)共享，以及在IoT設備中內(nèi)置安全及升級更新功能。

一、信任憲章的三大目標

網(wǎng)絡安全正成為未來安全話題的重中之重，尤其是在數(shù)字化時代。個人和組織都需要確保自己的數(shù)字技術是安全的，否則就無法擁抱數(shù)字化轉(zhuǎn)型。用一句話來概況，數(shù)字化和網(wǎng)絡安全必須攜手共進。

目標之一：保護個人和企業(yè)的數(shù)據(jù)及資產(chǎn)。

數(shù)字世界改變一切。人工智能和大數(shù)據(jù)分析正在變革我們的決策過程;數(shù)十億設備被接入物聯(lián)網(wǎng)，在全新的層面和范圍上互動。

目標之二：防止網(wǎng)絡攻擊對個人、公司和基礎設施的傷害。

數(shù)字技術的發(fā)展改善了我們的生活和經(jīng)濟，但惡意網(wǎng)絡攻擊的風險也隨之大幅增加。若不能保護好控制我們家居、醫(yī)院、工廠、電網(wǎng)等重要設施的系統(tǒng)，可能會造成災難性的后果。民主價值和經(jīng)濟成果也需要抵御網(wǎng)絡和混合威脅的攻擊。

目標之三：在聯(lián)網(wǎng)數(shù)字世界中打造可靠的信任基礎。

無論準備有多充分，單憑一個實體是無法構建數(shù)字安全的。政治、商業(yè)和社會的力量必須聯(lián)合起來，因為網(wǎng)絡安全人人有責。于是，世界級安全策略論壇慕尼黑安全大會(MSC)舉辦之際，主流公司及相關政體代表簽署了《信任憲章》，旨在引領世界走向更安全的數(shù)字未來。

二、信任憲章的十大綱領

網(wǎng)絡安全不應僅僅起到安全帶或安全氣囊的作用，它還是數(shù)字經(jīng)濟成果的基石。個人和組織都需要相信自己的數(shù)字技術是安全的;否則就不會擁抱數(shù)字化轉(zhuǎn)型。簽署《信任憲章》，擬定數(shù)字世界安全基礎原則的原因正在于此。

1. 網(wǎng)絡和IT安全歸屬

通過指定具體部門和安全官，將網(wǎng)絡安全責任落實到最高級別的政府和商業(yè)層次。在整個組織范圍內(nèi)建立清晰明確的措施、目標及正確的思考方式。

2. 數(shù)字供應鏈責任

公司和政府(如果有必要的話)必須確立基于風險的規(guī)則，確保各IoT層級都有定義明確的強制性安全要求。通過設置基線標準來保證機密性、真實性、完整性和可用性，比如：

• 身份及訪問管理：聯(lián)網(wǎng)設備必須有安全身份和防護措施，僅允許已授權用戶和設備使用。
• 加密：聯(lián)網(wǎng)設備必須盡可能確保數(shù)據(jù)存儲和傳輸?shù)臋C密性。
• 持續(xù)保護：公司企業(yè)必須通過安全更新機制，在其產(chǎn)品、系統(tǒng)及服務的合理生命周期內(nèi)，提供持續(xù)更新、升級及修復補丁。

3. 默認安全

采納最恰當?shù)陌踩蛿?shù)據(jù)防護措施，確保產(chǎn)品設計、功能、過程、技術、運營、架構和商業(yè)模式中都預配置了最恰當?shù)陌踩雷o措施。

4. 以用戶為中心

在合理生命周期內(nèi)，基于客戶的網(wǎng)絡安全需求、影響和風險，作為可信合作伙伴為其提供產(chǎn)品、系統(tǒng)、服務及指導。

5. 創(chuàng)新與聯(lián)合開發(fā)

聯(lián)合產(chǎn)業(yè)知識并深化公司企業(yè)與網(wǎng)絡安全要求及規(guī)則制定者之間的共同諒解，持續(xù)創(chuàng)新，推動網(wǎng)絡安全適應新的威脅;驅(qū)動契約式公私合營伙伴關系。

6. 教育

包括學校課程表上的網(wǎng)絡安全專業(yè)課程，比如大學學位課程和職業(yè)培訓，引領未來所需技能及職位的轉(zhuǎn)變。

7. 關鍵基礎設施及解決方案認證

公司企業(yè)和政府(如果有必要的話)確立關鍵基礎設施及關鍵IoT解決方案的強制性獨立第三方認證(基于經(jīng)得起未來考驗的定義，特別是在有人身安全風險的領域)。

8. 透明度和響應

融入行業(yè)網(wǎng)絡安全網(wǎng)絡，共享新洞見、事件信息等;報告關于關鍵基礎設施的潛在事件。

9. 監(jiān)管框架

促進監(jiān)管與標準化的多方合作，設置匹配世貿(mào)組織(WTO)全球影響力的公平競爭環(huán)境;將網(wǎng)絡安全規(guī)則納入自由貿(mào)易協(xié)定(FTA)。

10. 聯(lián)合行動

驅(qū)動囊括所有利益相關者的聯(lián)合行動，以便在數(shù)字世界的各個部分及時實現(xiàn)上述原則。