一、岗位职责
1.负责构建工控系统安全风险评估框架,结合资产识别、威胁建模、脆弱性分析、影响评估等环节,形成标准化的风险评估流程。
2.牵头开展工控资产梳理,识别关键设备、网络组件及业务流程,明确资产价值与安全优先级。
3.基于工控系统特点构建威胁模型,分析内外部威胁源的攻击路径与触发条件。
4.整合软硬件后门检测、协议安全分析等结果,量化评估脆弱性被利用的可能性及对生产安全的影响程度,形成风险矩阵。
5.制定风险缓解策略,针对高风险点提出技术整改建议、管理措施及应急预案。
6.定期开展风险复评,跟踪整改措施落地效果,动态更新风险评估报告,支撑工控系统全生命周期的安全管理。
推动风险评估与业务连续性管理(BCM)、灾难恢复(DR)的融合,确保安全措施与生产目标的平衡。
二、任职要求
1.本科及以上学历,安全工程、信息安全、系统工程、自动化等相关专业;硕士及以上学历且研究方向为风险评估、系统安全分析者优先。
2.熟悉风险评估方法论,能结合工控场景进行适配与落地。
3.掌握资产价值评估方法,能从生产影响、经济成本、安全属性等维度量化资产重要性。
4.具备威胁建模工具的使用经验,能绘制攻击树、攻击图,清晰呈现威胁传播路径。
5.了解工控系统典型脆弱性,能关联威胁场景评估其实际风险,而非仅依赖 CVSS 评分。
6.具备数据分析能力,能通过统计方法处理多源风险数据(如检测报告、日志告警、历史事件),支撑风险量化评估。
熟练使用风险评估工具,输出可视化的风险报告。
三、专业知识储备
1.深入理解工控系统的架构分层及各层安全风险特点。
2.熟悉工业行业(如电力、石化、智能制造)的生产流程与安全规范,了解不同行业对风险的容忍阈值。
3.了解供应链安全风险(如设备固件后门、第三方软件漏洞)的传导机制,能将其纳入整体风险评估体系。
4.掌握应急响应流程,能在风险评估中预判突发事件的处置优先级与资源调配方案。
四、经验要求
1.3 年以上信息系统或工控系统风险评估、安全咨询相关工作经验。
2.有主导过大型工业企业(如电厂、化工厂、汽车工厂)安全风险评估项目者优先。
3.持有 CISP、CISSP、CRISC或CISAW证书者优先。
五、综合素质
1.具备较强的系统思维,能从技术、管理、业务等多维度综合评估风险,避免片面性。
2.优秀的沟通能力,能向非技术人员(如生产负责人、管理层)解释风险含义与整改必要性,推动跨部门协作。
3.严谨的责任心,对风险评估结果的准确性与客观性负责,避免过度评估或低估风险。
了解工控行业的监管要求,能确保风险评估工作满足合规性。