近年来随着全球工控安全事件的层出不穷,我国工控安全也面临着重大挑战。由于当前工业企业的工控安全保障能力薄弱,无法抵抗大规模爆发的病毒等安全威胁,因此,除去常规的技术防护措施外,工业企业信息安全关键岗位人员具备专业技能与能力便成为至关重要的保护手段。但是,当前企业对于工控安全建设的投入在人员结构、人员数量、人员能力上均存在明显不足,而工控安全本身属于计算机、自动化、信息安全等多领域交叉学科,企业对于负责工业信息安全管理、规划、运维、应急等相关岗位人员的要求较高,这就造成了工业企业虽然急需工控安全人才,却又不知道如何培养的尴尬局面。
工业企业信息安全岗位人员配置(图1)
一、工业企业工控安全人才能力矩阵
工业企业的安全能力更应侧重于自身的安全保障能力建设与提升,目的是为了在面临大规模爆发的病毒、工控安全攻击、APT攻击、社会工程学攻击等安全威胁时具有自我保障和应对能力,经过多年的行业和项目经验,我们发现,工业企业面临这些威胁,如果只使用安全产品进行防护是不足以达到安全保障的,工业企业需要通过提升企业管理、技术、人员三个维度的能力来完善自身的安全保障体系,整体增强工业企业的安全保障能力。因此,除了完善和落实管理制度与流程、建设产品型安全防护体系之外,人员配备与培养也是极其重要,根据图1中的人员配置规则, 以及各自核心工作职责要求,我们认为工业企业信息安全相关人员应具备以下能力:
工业企业信息安全相关人员能力(图2)
为了更好的培养和提升工业企业不同岗位的人员能力,我们对不同的人员角色进行了能力分析,并结合日常工作内容,编制了《工业企业工控安全人才能力矩阵》(图3),工业企业可以根据能力矩阵对相关角色人员进行针对性的能力提升。
工业企业工控安全人才能力矩阵(图3)
二、工业企业工控安全人才培养方式
培养管理型人员需要深入了解企业现状、充分了解国家标准和行业安全标准;培养技术型人员需要通过理论结合实战的方式,快速提升实战能力。企业工控安全人才培养,主要通过线上和线下两种方式进行。
1. 线上授课方式,以多媒体技术为主要手段,通过互联网进行交互式教学;利用虚拟化和云计算技术,提供接近实战场景的技能练习平台,强化实战能力。
2. 线下授课方式,可根据参加培训对象的知识水平、能力等进行统一分组分班的培训,讲师可第一时间处理和解答学员遇到的问题,具有更好的互动性和代入感。
无论是线上还是线下培养方式,都需要集知识培训、技能训练、仿真演练、管理考核等功能于一体,提供系统化的、持续的人才培养。