為推動(dòng)網(wǎng)絡(luò)安全發(fā)展，西門子、空客、Allianz、戴姆勒集團(tuán)、IBM、NXP、SGS和荷蘭電信等主流公司，在近期召開(kāi)的德國(guó)慕尼黑安全大會(huì)上簽署了一份《信任憲章》。共同簽署人還包括歐盟內(nèi)部市場(chǎng)、行業(yè)、創(chuàng)業(yè)及中小企業(yè)專員 Elżbieta Bieńkowska，以及加拿大外交部長(zhǎng)兼G7代表 Chrystia Freeland。

[[220476]]

憲章規(guī)定了商業(yè)及政府簽署人都必須遵守的十條原則，包括設(shè)置首席信息官、關(guān)鍵基礎(chǔ)設(shè)施獨(dú)立第三方安全測(cè)試、威脅數(shù)據(jù)共享，以及在IoT設(shè)備中內(nèi)置安全及升級(jí)更新功能。

一、信任憲章的三大目標(biāo)

網(wǎng)絡(luò)安全正成為未來(lái)安全話題的重中之重，尤其是在數(shù)字化時(shí)代。個(gè)人和組織都需要確保自己的數(shù)字技術(shù)是安全的，否則就無(wú)法擁抱數(shù)字化轉(zhuǎn)型。用一句話來(lái)概況，數(shù)字化和網(wǎng)絡(luò)安全必須攜手共進(jìn)。

目標(biāo)之一：保護(hù)個(gè)人和企業(yè)的數(shù)據(jù)及資產(chǎn)。

數(shù)字世界改變一切。人工智能和大數(shù)據(jù)分析正在變革我們的決策過(guò)程;數(shù)十億設(shè)備被接入物聯(lián)網(wǎng)，在全新的層面和范圍上互動(dòng)。

目標(biāo)之二：防止網(wǎng)絡(luò)攻擊對(duì)個(gè)人、公司和基礎(chǔ)設(shè)施的傷害。

數(shù)字技術(shù)的發(fā)展改善了我們的生活和經(jīng)濟(jì)，但惡意網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)也隨之大幅增加。若不能保護(hù)好控制我們家居、醫(yī)院、工廠、電網(wǎng)等重要設(shè)施的系統(tǒng)，可能會(huì)造成災(zāi)難性的后果。民主價(jià)值和經(jīng)濟(jì)成果也需要抵御網(wǎng)絡(luò)和混合威脅的攻擊。

目標(biāo)之三：在聯(lián)網(wǎng)數(shù)字世界中打造可靠的信任基礎(chǔ)。

無(wú)論準(zhǔn)備有多充分，單憑一個(gè)實(shí)體是無(wú)法構(gòu)建數(shù)字安全的。政治、商業(yè)和社會(huì)的力量必須聯(lián)合起來(lái)，因?yàn)榫W(wǎng)絡(luò)安全人人有責(zé)。于是，世界級(jí)安全策略論壇慕尼黑安全大會(huì)(MSC)舉辦之際，主流公司及相關(guān)政體代表簽署了《信任憲章》，旨在引領(lǐng)世界走向更安全的數(shù)字未來(lái)。

二、信任憲章的十大綱領(lǐng)

網(wǎng)絡(luò)安全不應(yīng)僅僅起到安全帶或安全氣囊的作用，它還是數(shù)字經(jīng)濟(jì)成果的基石。個(gè)人和組織都需要相信自己的數(shù)字技術(shù)是安全的;否則就不會(huì)擁抱數(shù)字化轉(zhuǎn)型。簽署《信任憲章》，擬定數(shù)字世界安全基礎(chǔ)原則的原因正在于此。

1. 網(wǎng)絡(luò)和IT安全歸屬

通過(guò)指定具體部門和安全官，將網(wǎng)絡(luò)安全責(zé)任落實(shí)到最高級(jí)別的政府和商業(yè)層次。在整個(gè)組織范圍內(nèi)建立清晰明確的措施、目標(biāo)及正確的思考方式。

2. 數(shù)字供應(yīng)鏈責(zé)任

公司和政府(如果有必要的話)必須確立基于風(fēng)險(xiǎn)的規(guī)則，確保各IoT層級(jí)都有定義明確的強(qiáng)制性安全要求。通過(guò)設(shè)置基線標(biāo)準(zhǔn)來(lái)保證機(jī)密性、真實(shí)性、完整性和可用性，比如：

• 身份及訪問(wèn)管理：聯(lián)網(wǎng)設(shè)備必須有安全身份和防護(hù)措施，僅允許已授權(quán)用戶和設(shè)備使用。
• 加密：聯(lián)網(wǎng)設(shè)備必須盡可能確保數(shù)據(jù)存儲(chǔ)和傳輸?shù)臋C(jī)密性。
• 持續(xù)保護(hù)：公司企業(yè)必須通過(guò)安全更新機(jī)制，在其產(chǎn)品、系統(tǒng)及服務(wù)的合理生命周期內(nèi)，提供持續(xù)更新、升級(jí)及修復(fù)補(bǔ)丁。

3. 默認(rèn)安全

采納最恰當(dāng)?shù)陌踩蛿?shù)據(jù)防護(hù)措施，確保產(chǎn)品設(shè)計(jì)、功能、過(guò)程、技術(shù)、運(yùn)營(yíng)、架構(gòu)和商業(yè)模式中都預(yù)配置了最恰當(dāng)?shù)陌踩雷o(hù)措施。

4. 以用戶為中心

在合理生命周期內(nèi)，基于客戶的網(wǎng)絡(luò)安全需求、影響和風(fēng)險(xiǎn)，作為可信合作伙伴為其提供產(chǎn)品、系統(tǒng)、服務(wù)及指導(dǎo)。

5. 創(chuàng)新與聯(lián)合開(kāi)發(fā)

聯(lián)合產(chǎn)業(yè)知識(shí)并深化公司企業(yè)與網(wǎng)絡(luò)安全要求及規(guī)則制定者之間的共同諒解，持續(xù)創(chuàng)新，推動(dòng)網(wǎng)絡(luò)安全適應(yīng)新的威脅;驅(qū)動(dòng)契約式公私合營(yíng)伙伴關(guān)系。

6. 教育

包括學(xué)校課程表上的網(wǎng)絡(luò)安全專業(yè)課程，比如大學(xué)學(xué)位課程和職業(yè)培訓(xùn)，引領(lǐng)未來(lái)所需技能及職位的轉(zhuǎn)變。

7. 關(guān)鍵基礎(chǔ)設(shè)施及解決方案認(rèn)證

公司企業(yè)和政府(如果有必要的話)確立關(guān)鍵基礎(chǔ)設(shè)施及關(guān)鍵IoT解決方案的強(qiáng)制性獨(dú)立第三方認(rèn)證(基于經(jīng)得起未來(lái)考驗(yàn)的定義，特別是在有人身安全風(fēng)險(xiǎn)的領(lǐng)域)。

8. 透明度和響應(yīng)

融入行業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)，共享新洞見(jiàn)、事件信息等;報(bào)告關(guān)于關(guān)鍵基礎(chǔ)設(shè)施的潛在事件。

9. 監(jiān)管框架

促進(jìn)監(jiān)管與標(biāo)準(zhǔn)化的多方合作，設(shè)置匹配世貿(mào)組織(WTO)全球影響力的公平競(jìng)爭(zhēng)環(huán)境;將網(wǎng)絡(luò)安全規(guī)則納入自由貿(mào)易協(xié)定(FTA)。

10. 聯(lián)合行動(dòng)

驅(qū)動(dòng)囊括所有利益相關(guān)者的聯(lián)合行動(dòng)，以便在數(shù)字世界的各個(gè)部分及時(shí)實(shí)現(xiàn)上述原則。