培養合格人才觀念?文 | 永信至誠高級副總裁 李炜，我來為大家講解一下關于培養合格人才觀念?跟着小編一起來看一看吧!

培養合格人才觀念

文 | 永信至誠高級副總裁 李炜

在《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）實施一周年之際，在配合關基運營單位、行業保護單位和相關監管部門具體工作的實踐上，筆者對關鍵信息基礎設施安全保護工作提出以下幾方面建議。

一、加強人才培養，提升全員網絡安全素養

做好關鍵信息基礎設施保護，一個重要的基礎是要有合格的網絡安全人才。人是安全的核心，所有制度的執行、防護技術的應用和日常的安全運營都需要符合要求的網安人才來執行。但實際上，一些關基運營單位編制稀缺，沒有足夠的人才梯隊，隻能一味依托外部力量，導緻企業的安全能力無法與業務進行有效融合。同時，針對關基的保護涉及上下遊産業鍊，關基保護不僅是網絡安全專業人員的責任，更是每個關基運營單位和關聯單位全體人員共同承擔的義務，提升全員安全意識和網絡安全素養勢在必行。

二、提升網絡安全認知，優化考核機制水平

雖然随着攻防演練等活動的常态化開展，各界對于網絡安全的認知已經有了極為顯著的提升，但一些單位依然存在制約關基保護工作的瓶頸。這個瓶頸來自對網絡安全認知的不均衡不統一，進而在網絡安全考核機制和保障制度上限制了關基保護工作的活力和生命力。例如，在一些單位内部，業務部門仍然認為網絡安全規範要求可以“打折”“妥協”，視網絡安全技術檢測為“麻煩”，一些管理者對網絡安全的考核思路依然是“不出事是本分，出了事要追責”，沒有建立統一科學的網絡安全觀。導緻網絡安全預算和編制一卡再卡，但網絡安全責任越來越重，人員不堪重負。對此，建議一是從考核機制上，不再簡單粗暴的以“不出事”的負面指标進行評價，改為更全面的評價自身網絡安全能力、網絡安全健康狀态和網絡安全工作落實程度，鼓勵各級部門主動發現風險，貢獻可落地的好的做法和經驗，創造良性的關保工作氛圍。二是從資源保障上，落實各部門關基保護的責權匹配，給予必要的人員編制、組織架構和資金支持，與考核結果挂鈎。三是從工作方法上，應強調網絡安全與專業業務深度融合，讓網絡安全的内部管理制度能真正融合到業務環節，真正實現網絡安全保護措施和關基系統承載業務的“同步規劃，同步建設，同步使用”。

三、提升協同響應水平，增強風險預化解能力

關基保護工作“重點多”“難點多”“盲點多”。重點多，關基保護必須從業務邏輯、數據使用、網絡連接、權限交叉等多個維度進行綜合評估，才能找出防護重點，很難依靠傳統思維“一封了之，一堵了之”。重點多，是既要做好關鍵系統自身防護，更要做好與其他系統和網絡結合部的管控。難點多，是關鍵信息基礎設施承載着最核心的業務，必須兼顧關基系統的安全性、業務便捷性和數據的利用效率，需要進行科學而嚴謹的評估和取舍。盲點多，來自供應鍊的風險，來自内部的風險，來自安全服務人員的風險等都是大量盲點，機制上和運營上都普遍存在“燈下黑”的問題。

關基保護應當提前主動做好防範化解的全局統籌。一是從技術上加強覆蓋關基系統全生命周期的安全檢驗檢測。通過專業檢驗檢測系統對關基系統進行“安全風洞”測試，提升系統總體安全水平。二是側重強化重點人員管控。針對内部關鍵崗位人員、外部安全服務人員和供應商駐場人員等，建立安全操作和服務管控平台，把重點人員、重點行為、重要數據和關基系統用技術平台管控起來，避免通過“人”的環節引發風險。三是建立完善風險協同響應機制。大量真實案例表明，針對國家關鍵信息基礎設施的攻擊，通常采用迂回、潛伏策略，攻擊者通過分支機構、供應鍊、産業鍊上下遊薄弱環節切入，取得“内部可信”身份後，長期潛伏，伺機而動。所以針對關基的保護協同不僅要在縱向上貫穿監管單位、保護單位和運營單位，更要延伸到運營單位的分支末梢和外部供應商，橫向上聯通行業内兄弟單位，打通情報共享和應急聯動模式，建立行業共同防禦機制，主動将風險防範化解于爆發之前。

（本文刊登于《中國信息安全》雜志2022年第9期）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!