文 | 永信至诚高级副总裁 李炜,我来为大家讲解一下关于培养合格人才观念?跟着小编一起来看一看吧!
培养合格人才观念
文 | 永信至诚高级副总裁 李炜
在《关键信息基础设施安全保护条例》(以下简称《条例》)实施一周年之际,在配合关基运营单位、行业保护单位和相关监管部门具体工作的实践上,笔者对关键信息基础设施安全保护工作提出以下几方面建议。
一、加强人才培养,提升全员网络安全素养
做好关键信息基础设施保护,一个重要的基础是要有合格的网络安全人才。人是安全的核心,所有制度的执行、防护技术的应用和日常的安全运营都需要符合要求的网安人才来执行。但实际上,一些关基运营单位编制稀缺,没有足够的人才梯队,只能一味依托外部力量,导致企业的安全能力无法与业务进行有效融合。同时,针对关基的保护涉及上下游产业链,关基保护不仅是网络安全专业人员的责任,更是每个关基运营单位和关联单位全体人员共同承担的义务,提升全员安全意识和网络安全素养势在必行。
二、提升网络安全认知,优化考核机制水平
虽然随着攻防演练等活动的常态化开展,各界对于网络安全的认知已经有了极为显著的提升,但一些单位依然存在制约关基保护工作的瓶颈。这个瓶颈来自对网络安全认知的不均衡不统一,进而在网络安全考核机制和保障制度上限制了关基保护工作的活力和生命力。例如,在一些单位内部,业务部门仍然认为网络安全规范要求可以“打折”“妥协”,视网络安全技术检测为“麻烦”,一些管理者对网络安全的考核思路依然是“不出事是本分,出了事要追责”,没有建立统一科学的网络安全观。导致网络安全预算和编制一卡再卡,但网络安全责任越来越重,人员不堪重负。对此,建议一是从考核机制上,不再简单粗暴的以“不出事”的负面指标进行评价,改为更全面的评价自身网络安全能力、网络安全健康状态和网络安全工作落实程度,鼓励各级部门主动发现风险,贡献可落地的好的做法和经验,创造良性的关保工作氛围。二是从资源保障上,落实各部门关基保护的责权匹配,给予必要的人员编制、组织架构和资金支持,与考核结果挂钩。三是从工作方法上,应强调网络安全与专业业务深度融合,让网络安全的内部管理制度能真正融合到业务环节,真正实现网络安全保护措施和关基系统承载业务的“同步规划,同步建设,同步使用”。
三、提升协同响应水平,增强风险预化解能力
关基保护工作“重点多”“难点多”“盲点多”。重点多,关基保护必须从业务逻辑、数据使用、网络连接、权限交叉等多个维度进行综合评估,才能找出防护重点,很难依靠传统思维“一封了之,一堵了之”。重点多,是既要做好关键系统自身防护,更要做好与其他系统和网络结合部的管控。难点多,是关键信息基础设施承载着最核心的业务,必须兼顾关基系统的安全性、业务便捷性和数据的利用效率,需要进行科学而严谨的评估和取舍。盲点多,来自供应链的风险,来自内部的风险,来自安全服务人员的风险等都是大量盲点,机制上和运营上都普遍存在“灯下黑”的问题。
关基保护应当提前主动做好防范化解的全局统筹。一是从技术上加强覆盖关基系统全生命周期的安全检验检测。通过专业检验检测系统对关基系统进行“安全风洞”测试,提升系统总体安全水平。二是侧重强化重点人员管控。针对内部关键岗位人员、外部安全服务人员和供应商驻场人员等,建立安全操作和服务管控平台,把重点人员、重点行为、重要数据和关基系统用技术平台管控起来,避免通过“人”的环节引发风险。三是建立完善风险协同响应机制。大量真实案例表明,针对国家关键信息基础设施的攻击,通常采用迂回、潜伏策略,攻击者通过分支机构、供应链、产业链上下游薄弱环节切入,取得“内部可信”身份后,长期潜伏,伺机而动。所以针对关基的保护协同不仅要在纵向上贯穿监管单位、保护单位和运营单位,更要延伸到运营单位的分支末梢和外部供应商,横向上联通行业内兄弟单位,打通情报共享和应急联动模式,建立行业共同防御机制,主动将风险防范化解于爆发之前。
(本文刊登于《中国信息安全》杂志2022年第9期)
,
