为推动网络安全发展,西门子、空客、Allianz、戴姆勒集团、IBM、NXP、SGS和荷兰电信等主流公司,在近期召开的德国慕尼黑安全大会上签署了一份《信任宪章》。共同签署人还包括欧盟内部市场、行业、创业及中小企业专员 Elżbieta Bieńkowska,以及加拿大外交部长兼G7代表 Chrystia Freeland。
宪章规定了商业及政府签署人都必须遵守的十条原则,包括设置首席信息官、关键基础设施独立第三方安全测试、威胁数据共享,以及在IoT设备中内置安全及升级更新功能。
一、信任宪章的三大目标
网络安全正成为未来安全话题的重中之重,尤其是在数字化时代。个人和组织都需要确保自己的数字技术是安全的,否则就无法拥抱数字化转型。用一句话来概况,数字化和网络安全必须携手共进。
目标之一:保护个人和企业的数据及资产。
数字世界改变一切。人工智能和大数据分析正在变革我们的决策过程;数十亿设备被接入物联网,在全新的层面和范围上互动。
目标之二:防止网络攻击对个人、公司和基础设施的伤害。
数字技术的发展改善了我们的生活和经济,但恶意网络攻击的风险也随之大幅增加。若不能保护好控制我们家居、医院、工厂、电网等重要设施的系统,可能会造成灾难性的后果。民主价值和经济成果也需要抵御网络和混合威胁的攻击。
目标之三:在联网数字世界中打造可靠的信任基础。
无论准备有多充分,单凭一个实体是无法构建数字安全的。政治、商业和社会的力量必须联合起来,因为网络安全人人有责。于是,世界级安全策略论坛慕尼黑安全大会(MSC)举办之际,主流公司及相关政体代表签署了《信任宪章》,旨在引领世界走向更安全的数字未来。
二、信任宪章的十大纲领
网络安全不应仅仅起到安全带或安全气囊的作用,它还是数字经济成果的基石。个人和组织都需要相信自己的数字技术是安全的;否则就不会拥抱数字化转型。签署《信任宪章》,拟定数字世界安全基础原则的原因正在于此。
1. 网络和IT安全归属
通过指定具体部门和安全官,将网络安全责任落实到最高级别的政府和商业层次。在整个组织范围内建立清晰明确的措施、目标及正确的思考方式。
2. 数字供应链责任
公司和政府(如果有必要的话)必须确立基于风险的规则,确保各IoT层级都有定义明确的强制性安全要求。通过设置基线标准来保证机密性、真实性、完整性和可用性,比如:
- 身份及访问管理:联网设备必须有安全身份和防护措施,仅允许已授权用户和设备使用。
- 加密:联网设备必须尽可能确保数据存储和传输的机密性。
- 持续保护:公司企业必须通过安全更新机制,在其产品、系统及服务的合理生命周期内,提供持续更新、升级及修复补丁。
3. 默认安全
采纳最恰当的安全和数据防护措施,确保产品设计、功能、过程、技术、运营、架构和商业模式中都预配置了最恰当的安全防护措施。
4. 以用户为中心
在合理生命周期内,基于客户的网络安全需求、影响和风险,作为可信合作伙伴为其提供产品、系统、服务及指导。
5. 创新与联合开发
联合产业知识并深化公司企业与网络安全要求及规则制定者之间的共同谅解,持续创新,推动网络安全适应新的威胁;驱动契约式公私合营伙伴关系。
6. 教育
包括学校课程表上的网络安全专业课程,比如大学学位课程和职业培训,引领未来所需技能及职位的转变。
7. 关键基础设施及解决方案认证
公司企业和政府(如果有必要的话)确立关键基础设施及关键IoT解决方案的强制性独立第三方认证(基于经得起未来考验的定义,特别是在有人身安全风险的领域)。
8. 透明度和响应
融入行业网络安全网络,共享新洞见、事件信息等;报告关于关键基础设施的潜在事件。
9. 监管框架
促进监管与标准化的多方合作,设置匹配世贸组织(WTO)全球影响力的公平竞争环境;将网络安全规则纳入自由贸易协定(FTA)。
10. 联合行动
驱动囊括所有利益相关者的联合行动,以便在数字世界的各个部分及时实现上述原则。
