网络安全归根结底是网络安全人才的竞争

 行业动态     |      2019-12-30 12:46

在互联网的迅猛发展下,世界已经进入了互联互通互动的新时代,互联网为人们在信息共享、信息安全等方面提供了极大便利,但同时互联网在发展过程中的安全隐患也逐渐增多,众多维护网络安全的互联网企业应运而生。从而导致网络安全的竞争,但归根结底是网络安全人才的竞争。

  大数据时代,信息安全问题被屡屡提及,在商业机遇和风险不断演变的背景之下,企业信息安全该如何保障。“不同的行业在企业信息化安全建设里面有很多共性的东西在。”邢红波指出,当下企业之所以要做信息安全规划,很大程度源于以下四个层面的思考:

  随着企业数字化转型的深入,线上线下一体化“数字化是双胞胎”的运营逐步实现,信息资产已经成为企业最有价值、最具竞争力的核心资产,如何以更合理、更高效的方式实现信息(数字)资产的保护,对信息安全建设提出了更高要求。

  工业互联网时代IT、OT、CT快速融合,IoT模糊了传统安全边界,数据安全是工业互联网面临的最大壁垒之一,开展针对性的信息安全建设是构架坚固的网络安全系统、管理脆弱环节、保护敏感信息与知识产权的有效途径。

  信息即财富的趋势下,越来越多的黑客组织投身于信息资产的窃取,攻击手段变幻莫测,攻击渠道多种多样,IoT设备、工业网已经成为不法黑客的攻击重点,为整个网络空间的安全环境带来全新挑战。

  国外GDPR、联邦数据法、国内安全法、工业控制系统安全指南、信息安全等级保护法以及企业还需通过ISO27001认证,建立相应的安全规划方案为后续体系建设指明方向,确保企业合规运营。

  此外,相较于其他行业,汽车行业电动化、网联化、共享化趋势,使得新兴技术的发展应用在提高工作效率,满足客户体验的同时,特别是政策性影响,也给安全技术带来了新的风险、挑战和要求。“汽车行业的企业安全需求重点在于全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障者五个层面。“邢红波直言,其实大多数企业安全并没有想象中的复杂,只要仔细梳理,思路就会很清晰。从管理角度而言,目前企业的信息安全现状主要表现在信息安全管理、信息安全技术、人员安全意识和安全事件四个维度上。

  凡事预则立,不立则废。从企业战略和IT战略出发,设计出企业信息安全建设的整体规划,逐步推演,才能制定出信息安全的原则策略。邢红波透露,前途汽车的安全规划战略只有四点要求,即和公司战略保持一致、满足企业业务需求、体现信息部门价值、符合相应的法律法规。

  “越安全就越不易用,越易用就越不安全,这是一个始终无法解决的矛盾。”邢红波认为,在做信息安全的过程中,必须在信息安全投入和使用中做好平衡,更关注安全,还是更关注业务,信息安全原则的选择需要做好充分考量。

  “在保障企业正常运营效率的同时,采取一切必要的管理和技术手段,保护企业的核心数据资产和IT系统的机密性、完整性和可用性;确保企业信息安全运营符合相应法律法规的要求,这就是我们整个企业信息安全规划的整体策略。”邢红波表示,在完备的规划策略之下,前途汽车希望通过“人防”+“技防”,实现“事前防御、事中控制、事后追溯”的管理目标,全面降低企业信息安全风险,实现合规合赢,做到涉密信息拿不走、黑客进不来、安全不违规、特权不滥用。

  信息安全建设规划方面,前途汽车借用了信息安全成熟度滑动标尺模型为工具进行行业对标,确定信息安全建设中期目标,包括联合安全厂商,与成熟企业进行行业对标参考。“我们始终认为制度和人是关键,是核心,技术仅仅只是手段。”在前途汽车的“P.P.T”(Process、Personal、Technology)信息安全建设指导理念中指出,信息安全工作,管理是核心,技术是手段,不是紧靠技术系统上线就可完成,而是融合管理和技术两方面的投入,进而改变员工的思想、行为和企业安全文化的一个持续过程。

  “信息安全建设有很多内容,企业不能一次性的将它实施完成,因此需要有自己的实施线路图优先级考虑。”在前途汽车的信息安全建设过程中,邢红波要求从严重性、风险、收益、易实施性、最佳实践五个维度衡量并进行轻重缓急分配,确定事件优先级。

 
人才缺口巨大,人才质量仍需提升
 
四川大学网络空间安全学院常务副院长,教授,博导表示,一流网络空间安全学院的建设,需要一流的师资、科研能力的提升、高水平科研平台的搭建和创新培养模式的探索,才能培养出符合社会期待的网络安全人才。
 
有专家曾估算,我国网络安全专业人才缺口达70万人,并将每年递增1.5万人。
 
“不用纠结具体数据,毋庸置疑,网络安全人才缺口数量是巨大的。目前我国高校每年培养网络安全相关专业毕业的本科生和研究生数量为1万人左右,与需求量差距甚大。但目前所面临的人才问题不仅是数量上,更是质量上的。