工业自动化和控制系统网络安全需求的增加,带来了哪些新的工作机会?
国家新能源汽车的大力发展,从技术上,我们的产品站在了行业前列,虽然现在仍旧存在了很多问题,但是由于新能源汽车的大力发展,新能源技术包括电池也同步带来了横向产业的拓展,在国家政策大背景下《"十四五"信息化和工业化深度融合发展规划》新一代信息技术、绿色低碳等为代表的战略性新兴产业技术创新日益加快,这一类的产品不断的走向国际,网络安全问题日益凸显,工业自动化和控制系统的网络安全变成了新的挑战,且会越来越多成为海外当地国家的准入门槛。
各国在工业自动化和控制系统网络安全要求方面的合作机制可以从以下两个方面来看:
• 国际标准制定:国际电工委员会(IEC)等国际标准组织制定了一系列工业自动化和控制系统网络安全标准,如IEC 62443等。这些标准为各国提供了共同的参考和指导,有助于提高全球工业自动化和控制系统的网络安全水平。
• 信息共享与合作:各国政府和相关机构之间建立了信息共享机制,及时分享有关工业自动化和控制系统网络安全威胁、漏洞和事件的信息。此外,国际合作还包括联合研究、培训和演练等活动,以提高各国应对网络安全挑战的能力。
工控产品网络安全需求的增加为众多企业带来了广阔的商业机会,涉及安全产品、服务、培训、监测等多个领域,对有志于提升个人未来潜力,增加收入的朋友来说,是一个不错的择业方向,毕竟现在懂的人还不多,而市场供需决定了你的身价和职业生涯前景,例如前几年的智能网联汽车,需要大量的网络安全从业人员,基本操作就是既懂汽车电子开发又懂网络安全,一下子就把相关岗位的价格提到起飞,现在依然不便宜且难招,我在某聘上面看到的一些岗位薪资,抛开资深岗位,正常区间基本上是在25K-60K,并且13薪是基本操作,关键这个方向是可以深耕且不断提升个人价值的。
相关从业人员为什么贵且难招,先不说产品自身开发就需要很深的技术积累,网络安全开标准目前来说也是比较复杂的一套方法论,我们以IEC62443系列标准举例,其面向资产持有者、服务提供商、产品供应商、对工业自动化和控制系统(IACS)各层级的系统、产品及产品供应商所采用的安全开发生命周期进行安全要求,该类人才是没有办法批量复制的,是需要一定时间的实操项目的经验积累,慢慢才能融入角色,并且逐步资深。
有的朋友建议为什么不去高校应届毕业生看看,是否有相关专业的人才,至少可以省去基础理论培养的时间,少走弯路,小编也是一个比较好奇的人,专门了解过一些企业的技术负责人和HR经理,我们这里不探讨高校的人才机制,得出的结论是:高校很难找到对口专业的人才,可能是这本标准本身在国内使用的时间也并不长。你的稀缺性决定了你的价值,虽然路非坦途,但风景绝美。
下面是我给朋友们找到的一些岗位方向:
1. 工控安全工程师:负责设计、实施和维护工控系统的安全防护措施,包括网络安全架构的规划、安全策略的制定、漏洞评估和修复等。
2. 安全分析师:对工控系统进行安全监测和分析,及时发现潜在的安全威胁,并提供相应的解决方案。
3. 应急响应专家:在工控系统遭受安全攻击时,能够迅速采取措施进行应急处理,降低损失并恢复系统正常运行。
4. 安全审计员:对工控系统的安全策略和措施进行审计,确保其符合相关标准和法规。
5. 工控安全研究员:专注于工控安全领域的研究,探索新的安全技术和解决方案,为行业提供理论支持和创新思路。
6. 安全培训师:为工控领域的从业人员提供网络安全培训,提高他们的安全意识和技能水平。
7. 产品安全经理:负责工控产品的安全规划和管理,确保产品在设计、开发和发布过程中满足安全要求。
8. 漏洞挖掘工程师:专门寻找工控系统中的安全漏洞,为系统的安全改进提供依据。
以上这些职位方向,感兴趣的朋友可以密切关注,找到适合自己的方向,比如你是产品开发工程师,负责系统及软硬件的开发设计,那么可以转向工控安全工程师,把不同国家和地区的网络安全要求融入到产品开发设计中来,如果对工控网络安全认知不多的朋友,建议可以从IEC62443这套标准开始着手,这套方法论在全球范围内认可度高,既包含了宏观层面的安全要求,也包含了具体落地的设计思路,可以帮助各位更好的理解和学习,后续内容中,小编也会给各位做一些IEC62443的扫盲视频。
小编帮大家找了一些学习工业自动化和控制系统网络安全的资源:
相关书籍:
学习网站:
CSDN博客:提供了丰富的技术文章、教程和资源,涵盖了工业自动化和控制系统网络安全的多个方面。
• FreeBuf:网络安全行业门户网站,是一个比较好的安全社区。
• 先知社区:国内优秀的安全社区,有很多网络安全的知识。
• 奇安信技术社区:奇安信攻防社区是奇安信补天漏洞响应平台为用户打造的技术交流分享平台。
• 看雪论坛:一个专注于软件安全研究的论坛,提供了大量的技术文章、漏洞分析和工具资源。
以下是一些与工业自动化和控制系统网络安全相关的认证考试:
1. CISP-ICSSE(国家注册工业控制系统安全工程师):由中国信息安全测评中心实施的专业认证,向社会各组织、团体、企事业单位的工控安全工作人员颁发专业资质证书,是对我国工控安全从业人员进行资质评定的重要形式之一。持证人员需掌握工控安全基础、工控安全风险管理、工控安全防护技术、工控安全法规与标准体系等知识内容,具备从事工业控制系统安全工作的技能,可从事工业控制系统安全设计、服务、运维、安全管理等工作。适合从事信息安全咨询服务、安全建设、测评认证、安全管理工作的人员,以及从事工业控制系统集成、调试、运行、维护和管理的专业人员、IT 运维和技术等从业人员、自动化与仪器仪表技术和运维等从业人员报考。
2. 信息安全保障人员(CISAW)能源行业工业控制系统网络安全方向认证:由中国网络安全审查技术与认证中心发布,通过对认证申请人员的知识、能力和项目实践经验等维度进行综合考查,注重考查其在能源行业工业控制系统网络安全方面的知识与理论,以及在项目建设中的综合应用能力,主要对认证申请人员在能源行业工业控制系统网络安全架构、基础、风险分析、评估、安全防护技术、网络安全运行、防护应用等基础知识和基本技能的掌握程度与综合运用所学知识分析、解决能源行业工业控制系统网络安全问题的能力进行认证。该认证分为基础级、专业级和专业高级三个级别,适合在能源行业领域以及服务于能源行业领域的从事工业控制系统规划、设计、建设、安全运行维护、评估、应急服务的技术人员、管理人员、各级领导和核心人员报考。
3. 工业自动化和控制系统网络安全服务认证:中国网络安全审查技术与认证中心从2021年5月1日起开始受理该认证申请,认证依据为 IEC62443-2-4:2015,IEC62443-2-4:2015/amd1:2017《工业自动化和控制系统安全第2-4部分:IACS 服务提供商的安全程序要求》标准。
4. UL Solution CCSP 针对IEC62443系列标准提供的工业网络安全个人工程师证书,该证书在UL全球官网可查,经过理论结合实践的培训,让学员能掌握标准的基本要求,从而有空间不断的学习和提升,此培训以实用性为准,目的是实际开展IEC62443认证的产品领域,从设计端、验证端、到审核认证端快速导入。
不同的认证考试具有不同的侧重点和适用人群,你可以根据自己的职业发展规划、专业背景和实际需求,选择适合的认证考试进行准备和报考。在准备认证考试时,建议详细了解考试的大纲、要求和参考资料,并通过学习相关知识、参加培训课程、实践操作等方式提升自己的能力,以增加通过认证考试的机会。同时,关注行业动态和最新的网络安全技术,不断更新自己的知识和技能,以适应工业自动化和控制系统网络安全领域的发展和变化。
