网络安全监管人才需要具备一定的技能,如分析和解决问题的能力、沟通和协调的能力、安全测试和评估的能力等,还需要具备团队合作和沟通能力,能够有效地与其他团队成员、上级领导、相关机构和企业等进行协作和沟通,完成各项工作任务。有了基础知识以后,只有在实践中不断积累经验,才能更好地了解网络安全领域的各种问题和挑战,提升解决问题的能力。
一般说来,如图3-14所示,网络安全监管人员可以分为评估执行方、网安警务人员、行业监管人员几个层级。
图3-14 监管人才成长路径
网安和行业监管都是很好的安全参与者。2022年9月,国家网信办发布征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见通知,重点加大了违法行为的处罚力度,有助于提升组织对信息安全的重视程度,进一步推动组织对网络安全的投入。
安全参与的各监管方如下。
1)中央网信办:负责制定网络安全法律法规和政策和推动落地,监督和协调全国网络安全工作。
2)公安部:安全保卫局负责制定网络安全技术标准和规范和推动落地,打击和防范网络犯罪;各地公安网警大队主要负责打击网络犯罪和维护网络安全。
3)工信部:负责制定信息化和网络安全产业发展规划和政策和推动落地,加强网络基础设施和信息系统安全监管。
4)国家密码管理局:负责制定信息安全和密码技术的发展规划和标准和推动落地,管理和监督国家密码事业。
5)国家互联网应急中心:负责响应和处理重大网络安全事件,加强网络安全应急响应和技术支持。
6)国家信息安全漏洞库:负责收集和管理信息系统漏洞信息,发布漏洞报告和安全预警,提供漏洞修复建议。
省、市、地方各级网络安全监管部门应根据各地实际情况,加强本地区网络安全监管和维护。很多时候,这些监管机构更多扮演的是“幕后英雄”的角色,收集网络违法犯罪线索,对网上轻微违法行为开展警示教育,及时制止违法信息传播,对不实信息进行公开辟谣,普及网络安全知识等。
最后,网络安全监管人员由于平时经常能接触到一些个人、组织和国家层面的敏感信息,应具备高尚的道德素养和职业操守,遵守职业道德和法律法规。
各地的公安网警大队是网络安全监督的执行者。例如,某市以《全市基层派出所网安警务室工作规范》,规范网安基础工作规程,统一工作台账格式,全市各派出所全部建成了网安警务室;积极开展专/兼职网安队伍建设,大力推动网络社会防控进社区,建设专/兼职网安民警队伍,并实行持证上岗制度,让网安业务接地气,形成网安工作全局化,网络社会底层管控现实化。
一些关系国计民生的企业,例如金融企业每天都会从事一些经济活动,不少犯罪分子会利用此渠道,实施侵犯他人财产权益的行为。因此,金融行业对监管人才安全监管水平和能力要求较高。中国人民银行从监管职能方面将数据治理能力纳入机构治理评价体系及行政处罚范围,已有多家银行被行政处罚。
金融机构作为传统的重监管领域,普遍形成了较为完善的网络安全组织与制度管理体系。监管部门要求提升金融机构内部网络管理人员的能力,从源头上提升安全管理水平,避免治标不治本的问题。随着顶层制度的不断完善,它们对网络安全监管正从“买硬件”转向“重实战”,未来向“端·流量·云”的攻防能力升级。