烟草行业信息安全团队的高质量发展研究
2021-06-03陈曦朱金峰安庆市烟草专卖局公司
陈曦 朱金峰 安庆市烟草专卖局(公司)
在当今的信息时代,随着信息技术的高速发展,网络技术的应用已经渗透进人们生活的各个方面,人们对网络的依赖性越来越强。网络空间作为第五维空间,其中的网络攻击、系统安全、数据泄露等问题也变得愈加的突出。为此,我国于2014年成立了“中央网络安全与信息化领导小组”,习近平总书记亲自担任组长,并且指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。
一、烟草行业信息安全团队建设现状
烟草行业信息化历经二十年建设发展,完善的内部网络成为行业最重要的关键信息基础设施,网络规模大、系统种类多、业务类型杂,造成了对信息安全专业人才质量和数量的需求非常迫切。为做好网络安全工作,行业需要建立完整的信息安全人才梯队,主要以高层团队引领、中层团队攻坚、基层团队执行,为企业的安全战略落地提供全方面的专业技术支撑。
以安徽烟草为例,在全省信息安全团队梯队中,省级的安全专家是核心,负责把控制定全省网络安全战略方向和架构设计,提出信息安全建设指导性意见;中层的市级技术专家负责处置各类安全事件,为省局的信息安全战略落地提供全面的专业技术支撑,是全省行业信息安全团队的中坚力量;基层团队为县级安全从业人员,多为县局系统管理员担任,主要负责日常安全运维工作,处理日常安全问题。
在上述三层安全团队架构之外,为更好地贴近实际业务运营,在省市县各级机关部门中,指定人员担任部门兼职信息安全员,这些人员需要在业务的立项、开发、推广的过程中,能理解安全需求,具备相应的安全意识,以规避业务安全风险。
二、存在的问题
首先是信息安全人才供需不平衡。各市局(公司)受年度招聘计划所限,很难满足信息安全岗位需求。根据各市局(公司)近年来应届毕业大学生招聘的统计数据来看,来自安全专业的学生数量占比较低。同时目前国内各大院校网络安全或信息安全专业的招生规模不足,造成网络安全专业毕业生稀缺。而且由于互联网行业快速发展,对信息安全专业人员需求量巨大、薪资待遇高,形成挤压效应,直接造成了烟草行业对信息安全人才吸引力不足甚至人才流失。
其次是现有信息安全团队培养不完善。一是理论知识与实操能力的矛盾。行业大部分从事信息安全岗位人员的理论知识和实操能力之间存在差距,很多人员文化程度高,理论知识丰富,但在对业务系统的安全防护、加固、安全评估,安全系统和设备的运营维护等方面能力较弱;二是在岗位编制、岗位待遇方面竞争力不强,信息安全岗位成为责任重、风险大、要求高的特殊岗位,而与之不匹配的晋升通道、待遇薪酬等难以吸引其他岗位优秀人员,造成岗位流动性差,人员知识老化等现象。
三、行业信息安全团队建设举措
为提升行业的信息安全保障能力,需要从多方面加大信息安全团队人员的培养力度,建设企业自有的高质量信息安全团队。
(一)明确信息安全团队人员的培养与要求
近年来,对于信息安全人才的建设,国家给予了前所未有的重视。中央网信办联合了有关部委,出台制定了一系列指导意见和具体实施办法,目的就是为了有力地推动我国信息安全人才建设的步伐。烟草行业也根据国家相关法律法规,积极制定了推动信息安全团队建设的政策和措施,将安全人才与培训纳入行业信息安全保障体系框架(图 1)。
图1 行业信息安全保障体系框架
(二)重视信息安全团队人员的精准化培养
信息安全工作对从业人员的技术水平要求较高。网络安全知识面覆盖了整体 信息技术知识领域,如密码学、访问控制、操作系统、通信网络等,甚至会超越 IT 技术知识领域,如物理安全防护等。基于这种特点,信息安全人员更需要精准化培养,培训和认证强化工作便成为重中之重。在我国,目前仅有中国信息安全测评中心提供的CISP(注册信息安全工程师)具有较大影响力。
(三)做好信息安全团队的统一动态管理
随着行业信息安全从业人员(含兼职安全员)的快速增长,传统的人员管理模式已不能满足当前的管理需要。因此,行业不断加强对信息安全团队的统一管理。通过动态管理,一方面实现对行业信息安全人才的统筹化管理,包括人员信息采集统计、线上培训、认证维持、技术能力量化、专家选拔聘任、参与网络安全竞赛报名及战队管理等;另一方面实现对信息安全从业人员信息的动态感知,了解专业人员的岗位变动、技术水平变化等,实现行业范围内的信息安全专家共享使用。
四、思考与建议
打造一支“视野宽、业务熟、技术强”的信息安全团队对做好烟草行业的信息网络安全工作至关重要,我们应借鉴吸收其他行业的成功经验,建立适应烟草行业网络安全特点的信息安全团队建设机制,充分激发信息安全人员的创造性和活力,提出如下建议:
(一)推动高层级的信息安全专家建设
围绕国家网络强国战略目标和行业网络安全工作需要,依托烟草学会,培育选拔一批权威性高、专业性强的信息安全专家,强化和发挥其影响力、号召力,为信息安全专家打通技术晋升通道,研究建立特殊人才激励机制,确保能留得住精通信息安全的高级人才。
(二)加强对信息安全人员的全方位培育
坚持多角度、多层次、全方位培养理念,不断强化信息安全团队整体素质与综合实力。通过举办技术沙龙、工作论坛、讨论群开展技术分享,通过业务培训、认证考试、攻防演练、安全大赛等多种方式,大力培养提升安全人员的技战术水平。营造有利信息安全人员发展的环境,积极组织行业外交流,拓宽专业视野。
五、结语
网络安全事关国家安全,目前已上升到国家战略的高度。烟草行业必须通过加强信息安全团队的建设,从而推动全行业的网信管理水平,最终实现行业各项工作的高质量发展。