安全安全管理,一个合格的安全管理者需要具备哪些能力?

如果安全管理人员本身能力就不足,如何去做好其他人的安全知识技能的培训管理呢?能力要求不明确:不能系统明确说明各岗位到底需要具备哪些具体的安全履职能力。因此,员工和安全管理者人员安全履职能力不足,是企业做好安全管理工作的关键。各岗位应当具备哪些具体的安全履职能力?

如何提升安全管理人员的履职能力?是个困扰安全管理人员的由来已久的问题。

你是什么角色?

首先,安全管理人员首先要明确的是自己的岗位角色,你到底是什么角色?你这个角色应该干什么?你这个应该干的事情干好了吗?简称灵魂三问!

其次,你还要思考一名优秀的安全管理人员应该扮演一个什么角色。

然而,现实是同事认为你是找茬的、做资料的、打杂的、背锅的,老板认为你就是做台账、整资料、甚至跑腿打杂而已…….久而久之,许多安全管理人员就会陷入迷茫状态,搞不清自己的角色定位,不知道自己究竟应该做些什么,这些别人认为的你应该干的事就像贴标签一样,成了很多企业安全管理人员的主要工作。

岗位能力要求:

要想做好安全管理工作并不容易,最重要的是要有责任心、耐心、细心。一名优秀的安全管理人员应该成为老板的安全助手安全安全管理,一个合格的安全管理者需要具备哪些能力?,做好企业的安全培训教育、有良好的沟通协调和监督指导工作能力等……这才是安全管理真正应该扮演的角色,而不是一些可有可无的“隐形人”。

全员安全生产责任制时代的到来,更清晰界定了安全生产确实人人有责。但,人人有责,那就代表责任有大有小。就比如企业的人力资源总监,是保障人员的配备的安全责任大,还是压缩人力开支的责任大?这个责任孰重孰轻,人家都会权衡利弊的。那么我们安全管理人员呢?都说安全管理不好做,因为监督别人改变确实是不容易的事,既然别人不好改变,打铁还需自身硬,先从提高自我履职能力做起吧!

何为安全履职能力?全员安全生产责任制时代,要求全员履行安全责任,人人讲安全,就要求我们全员具备一定的安全履职能力。如果安全管理人员本身能力就不足,如何去做好其他人的安全知识技能的培训管理呢?

新《安全生产法》第二十七条规定,生产经营单位的主要负责人和安全生产管理人员必须具备与本单位所从事的生产经营活动相应的安全生产知识和管理能力。

全国人大常委会法工委释义:

生产经营单位的安全生产管理人员是本单位直接、具体承担本单位日常的安全生产管理工作的人员。

根据本法规定,这些人员组织或者参与拟订本单位安全生产规章制度、操作规程和生产安全事故应急救援预案;组织或者参与本单位安全生产教育和培训,记录安全生产教育和培训情况;督促落实本单位重大危险源的安全管理措施;组织或者参与本单位应急救援演练;检查本单位的安全生产状况,及时排查生产安全事故隐患;制止和纠正违章指挥、强令冒险作业、违反操作规程的行为;督促落实本单位安全生产整改措施。他们的安全素质的高低将直接影响生产经营单位的安全生产工作的好坏。

生产经营单位的安全生产管理人员必须具备本单位所从事的生产活动相应的安全生产知识和管理能力。这是原则性要求。

一般来讲,生产经营单位的安全生产管理人员的安全生产知识要求高于主要负责人,并要有相应的现场安全管理能力,应当具备下列条件:

(1)熟悉并能认真贯彻国家有关安全生产的法律、法规、规章和方针政策,以及与本单位有关的安全生产规章制度、操作规程及相关的安全标准。

(2)掌握安全分析、安全决策及事故预测和防护知识,具有审查安全建设规划、计划、大中修施工方案的安全决策知识。

(3)具有一定文化程度,受过一定的安全技术培训,具有从事本行业的经验,熟悉和掌握对本单位所从事的生产经营活动必需的安全知识,并能够熟练地在安全生产管理工作中运用。

(4)具有一定组织管理能力,较好地组织和领导相应的安全生产工作,具有较好的现场安全生产管理能力。

存在的突出难点:

有些企业说重视安全履职能力管理,也未必每一方面都做到位,因为安全履职能力管理过程中,存在一些突出难点:

1. 能力要求不明确:不能系统明确说明各岗位到底需要具备哪些具体的安全履职能力。

2. 能力水平难测定:缺少一种既相对科学,又比较便捷的履职能力测评方法,很难掌握每一位员工的能力水平并开展有针对性的能力提升。

3. 培训缺乏针对性:培训目的模糊,经常是为了培训而培训,不能说明用于提升哪些岗位人员的什么履职能力。

4. 组织培训耗费大:员工数量大,培训时间有限,倒班来来往往,合适的培训场地不好找,培训难统一。

5. 培训的资源有限:企业内部培训资源一般都比较有限,缺少系统、专业的课程以及合格的培训师。

6. 档案管理不完整:绝大多数情况下也只是一些课程的签到记录。很难做到一人一档,并说明各人的履职能力状况及开展的能力提升情况。

因此,员工和安全管理者人员安全履职能力不足,是企业做好安全管理工作的关键。各岗位应当具备哪些具体的安全履职能力?各个岗位人员安全履职能力到底处于什么水平?如何开展安全履职能力建设?这三大座大山,一直以来是困扰企业的难题。

应用互联网工具:

赛为安全以在石油化工、电力、矿山、冶金、建筑施工、物流园区、装备制造、交通运输、大型商贸综合体和物业管理等领域,深耕安全管理16年的深厚积淀为基础,针对企业安全风险的不同特点考什么证赚钱多,与生产运营充分对接开发了一种新型企业安全管理工具,也许能帮您解决这些困扰已久的问题。

这款安全管理工具名为“安全眼”,其中的“教育培训模块”,便能精准有效帮助企业解决提升安全履职能力提升慢、针对性不强、管理效能低下等老大难问题。

根据不同岗位的不同要求对员工开展与岗位相匹配的岗位培训,员工可自行灵活安排完成

通过系统梳理企业安全管理所需的知识,对接在线互联网工具,可以非常便捷并相对准确地评估每一位员工和管理者的安全履职能力,并基于评估结果,有针对性地配置在线课程。通过评估,培训,再评估,再培训的模式安全安全管理,直到员工掌握与之匹配的岗位知识。可将员工和管理者的安全履职能力持续提升至所期望的水平。

定期安排考试检验学习情况

当然,安全眼的强大功能不止于此,还有30多个不同功能的模块,能有效帮助企业全方位提升安全管理难题,目前已成功应用于多家大型国企、央企等。

安全眼系统或HSE课程咨询

可拨打24小时服务热线:

总之,安全管理是一项系统工程,包含着丰富的内涵和深邃的哲理。要想成为一名合格甚至优秀的管理人员,首先要树立先进的、科学的安全管理理念,并将其学以致用应用在安全管理工作中。说起来容易,然而实际操作中并非易事。安全管理人员只有不断加深自身的理论素养,学会用科学、辨证的眼光看问题,认清和把握安全工作的本质规律,才能在各种错综复杂的情况与是非面前,保持清醒的头脑和坚定的信念,从而做一名合格甚至是优秀的安全管理者。

企业安全管理架构,青藤云安全细述最具影响力的三大安全架构:零信任、ATT&CK、自适应安全

随着安全的快速发展,为应对和解决各种安全问题,各权威机构以及相关专家提出了很多安全架构,它们对安全发展都具有重大意义。但是,如果一定从中选出几个对当今安全发展影响最大的安全架构,笔者会选择提出的 模型(属于自适应架构3.0)、提出的Zero 模型及的ATT&CK框架。

Zero 和 是前几年一直火热的理论模型,ATT&CK则是最近一年国内信息安全圈最火热的一个新名词了。相信安全从业人员对于这几个概念或多或少都有了一定的了解,笔者今天想要重点谈一下这三者之间的一些关系。

先说下自适应安全3.0阶段的模型(持续自适应风险与信任评估),这是自适应安全架构演进后形成的一个概念。所强调的对风险和信任的评估分析,与传统安全方案采用或deny的简单处置方式完全不同,是通过持续监控和审计来判断安全状况的,强调没有绝对的安全和100%的信任,寻求一种0和1之间的风险与信任的平衡。

那么这三个理论框架之间有什么关系呢?笔者认为要实现,第一步就是零信任,首先需要评估安全状况,包括验证用户、验证设备、限制访问和权限,最后是自适应的调整策略。然后,在整个安全过程中,安全状况会随时发生变化,其中最主要就是需要面临各种攻击,因此需要进行持续检测,这个时候ATT&CK框架就是一个很好的安全检测和响应模型。

零信任是实现第一步

为了更好地理解数字时代的信任,需要先了解“”这个词本身的含义。所谓信任,是两个实体之间建立的一个彼此连接关系,这个关系要求彼此能够按照预期的方式做事。在这个过程中,需要监视在彼此交互期间双方是否在约定的预期范围内活动。如果发生风险性的偏差,就需要纠正此类偏差甚至是中断彼此的信任关系。在这里需要强调的是,信任并不是绝对的,而是一个相对的概念,并且是一个动态变化的关系。

在了解了的概念之后,就比较容易了解网络安全概念中所谓的Zero (零信任)了。零信任网络是指,所有初始安全状态的不同实体之间,不管是企业内部还是外部,都没有可信任的连接。只有对实体、系统和上下文的身份进行评估之后,才能动态扩展对网络功能的最低权限访问。

零信任网络默认使用Deny作为起点。在授予网络访问权限之前,要对实体和设备的身份和信任进行评估。当然,提出的模型,已经扩展到了网络之外,包括IT堆栈、风险合规治理流程等方面。在交互过程中不断监视和评估风险和信任级别考证书的正规网站,如果发现信任下降或风险增加到了阈值,需要进行响应,则应该相应地调整访问策略。

战略流程

此外,在战略方法中强调,在交互期间持续监视和评估实体及其行为。在自适应安全架构中,战略总共包括七个步骤,零信任可以作为其第一步,如下图所示。

战略的七个步骤

在的自适应攻击防护架构中,采用的正是零信任策略,如下图右上角红框内容所示。采用零信任架构是防护的第一步,可以很好地应对内部攻击。在建立一定程度的信任连接之前,会对系统进行加固和隔离,所有微隔离的之间都是采用零信任网络连接。而进一步扩展了零信任的概念,并将攻击防护视为一个持续的风险和信任评估过程,如下图深蓝色部分所示。在图形的中心,还扩展了网络之外的功能。例如,在系统上运行时监视可执行代码,以发现恶意行为和风险的迹象,即使它通过了初始风险和信任评估。这就是被称为终端检测和响应的EDR技术。

采用零信任实现自适应攻击防护

同样,在自适应的访问防护架构中,初始安全状态都是默认deny状态企业安全管理架构,青藤云安全细述最具影响力的三大安全架构:零信任、ATT&CK、自适应安全,如下图右上角的红框所示。在对用户的凭据、设备和上下文进行评估之前,用户没有任何访问权限。因此,在建立足够的信任级别之前,不应该授予访问权限。进一步扩展了零信任的概念,并将访问保护视为一个持续的风险和信任评估问题,如下图的深绿色部分所示。在图形的中心,还扩展了网络访问之外的功能。例如,战略方法监视用户的风险行为,即使他们已经通过了初始风险和信任评估,并被授予了对应用程序的访问权。这就是被称为用户和实体行为分析的UEBA。

采用零信任实现自适应访问防护

ATT&CK是持续风险评估的保证

和ATT&CK一样,都非常关注检测和响应部分的实现。而ATT&CK作为入侵分析“钻石”级别的模型,能够增强企业的检测和响应能力。那么,如何根据ATT&CK框架来检查目前安全产品的整体覆盖度,进行全面的差距分析,以及如何将ATT&CK所涵盖的技术点融入到产品中去,这些都是值得大家思考的问题,这也是自适应安全架构最核心的检测和响应部分内容。(建议读者先阅读一下笔者之前的文章《一文看懂ATT&CK框架以及使用场景实例》和《细述 ATT&CK框架的实施和使用方式》,对ATT&CK框架的概念、使用场景、以及实施和使用方式先有一个初步的了解,这更有利于理解文本的内容涵义。)

ATT&CK框架核心就是以矩阵形式展现的TTPs,即, and (战术、技术及步骤),是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。因此,TTPs也是痛苦金字塔中对防御最有价值的一类IoC。当然这也意味着收集TTPs,并将其应用到网络防御中的难度系数是最高的。而ATT&CK则是有效分析攻击者行为(即TTPs)的威胁分析框架。

提出的痛苦金字塔

提出的痛苦金字塔

ATT&CK使用攻击者的视角,比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。对于检测,虽然很多防御模型会向防御者显示警报,但不提供引起警报事件的任何上下文,例如从防御者的视角自上而下地介绍安全目标的CIA模型、侧重于漏洞评级CVSS、主要考虑风险计算的模型等。这些模型只能形成一个浅层次的参考框架,并没有提供导致这些警报的原因以及与系统或网络上可能发生的其它事件的关系。

而ATT&CK框架提供了对抗行动和信息之间的关系和依存关系,防御者就可以追踪攻击者采取每项行动的动机,并了解这些行动和依存关系。拥有了这些信息之后,安全人员的工作从寻找发生了什么事情,转变为按照ATT&CK框架,将防御策略与攻击者的手册对比,预测会发生什么事情。这正是所倡导的“预防有助于布置检测和响应措施,检测和响应也有助于预测”。

使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点。ATT&CK框架已定义了大约50种不同类型的数据源。对于每个数据源,企业需要对数据质量、数量内容等方面进行管理。可以使用 ATT&CK导航工具,按下图所示方式将数据源映射到ATT&CK技术,进行可视化展示。

数据源可视化示例

其次,对于企业机构来说,知道威胁主体使用了哪些ATT&CK技术,这一点也至关重要。组织机构可以根据 ATT&CK知识库中存在的威胁组织和恶意软件创建热力图。将威胁组织使用的技术与企业的检测或可见性水平进行比较,确定哪些方面可能存在差距,需要改进,从而增强检测和事件响应能力。下图显示了一个基于ATT&CK中所有威胁组织数据的热力图。热力图中的颜色越深,则表示攻击组织使用该技术的频率就越高。

基于威胁组织的热力图

例如,某些ATT&CK技术与自身组织机构相关。那么,组织机构就可以将其与当前的检测状态进行直观比较,确定在ATT&CK技术方面可能存在的差距或改进之处。

将威胁主体攻击技术与企业的检测结果进行比较

最后,基于上述分析,以ATT&CK框架为基础实现检测方案的可视化,然后对检测方案进行评分(如下图所示),管理检测和响应方案。

显示检测方案分数的热力图示例

写在最后

Zero 和ATT&CK架构都是从攻击者的视角出发看问题,颠覆了传统上的纯粹防御安全观念,与倡导的安全人员应该通过理解上下文和持续风险评估来灵活调整安全策略的理念有诸多异曲同工之处。

鉴于在安全领域,防御者始终处于一个敌暗我明的天生劣势,因此,安全人员应该采用零信任的态度企业安全管理架构,并主动提高安全检测能力,才是根本之策。蓝图可以帮助大家实现这一目标,而Zero 和ATT&CK框架则是成功落实该理念的关键保障。

本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请添加站长微信举报,一经查实,本站将立刻删除。
如若转载,请注明出处:https://www.zhiyeeedu.com/46612.html

(0)
上一篇 2024年 4月 21日 下午5:24
下一篇 2024年 4月 21日 下午7:08

相关推荐

评论列表(0条)

联系我们

联系我们

18923864400

在线咨询: QQ交谈 邮件:zhiyeeedu@163.com 工作时间:周一至周五,9:00-18:00,节假日休息

关注微信
关注微信
返回顶部
职业教育资格考证信息平台
在线客服