軟件安全保障專(zhuān)業(yè)技術(shù)人員勝任力模型研究

摘 要：本文提出了一種軟件安全保障勝任力模型，用于提高軟件安全保障專(zhuān)業(yè)人員的職業(yè)技能。該模型可用于高校根據(jù)該行業(yè)的需求調(diào)整課程內(nèi)容，還可用于企業(yè)員工職業(yè)發(fā)展并以此為標(biāo)準(zhǔn)來(lái)考核未來(lái)的雇員。勝任力模型中的知識(shí)和技能以IEEE計(jì)算機(jī)學(xué)會(huì)和美國(guó)計(jì)算機(jī)協(xié)會(huì)（ACM）認(rèn)證的軟件保證參考課程為基礎(chǔ)，該模型與IEEE專(zhuān)業(yè)活動(dòng)委員會(huì)制定的相關(guān)標(biāo)準(zhǔn)共同構(gòu)建了軟件工程從業(yè)者的勝任力模型。

關(guān)鍵詞：軟件工程；安全保障；勝任力

1 引言

在FORTRAN語(yǔ)言出現(xiàn)之前軟件就已經(jīng)誕生。20世紀(jì)60年代末和70年代初，隨著結(jié)構(gòu)化編程，結(jié)構(gòu)化設(shè)計(jì)，模型和過(guò)程模型（如瀑布模型）的出現(xiàn)，軟件工程逐步發(fā)展為一種職業(yè)。

軟件安全保障勝任力模型為該行業(yè)提供了兩點(diǎn)優(yōu)勢(shì)：首先，一個(gè)標(biāo)準(zhǔn)的模型可以為該行業(yè)的雇主界定其員工所需具備的基本能力提供參考；其次，組織、機(jī)構(gòu)可借助該模型為其員工建立一個(gè)通用的勝任力要求的最小集，更重要的是它可以幫助企業(yè)為任何項(xiàng)目量身定制一套精確的勝任力需求集合。從員工個(gè)人的角度來(lái)說(shuō)，勝任力模型將為軟件安全保障的專(zhuān)業(yè)人員提供一個(gè)改善績(jī)效的標(biāo)準(zhǔn)線(xiàn)路圖，指明其為獲得某個(gè)職位或攀爬其職業(yè)勝任力階梯所需繼續(xù)學(xué)習(xí)的技能。

2 軟件保障勝任力模型

鑒于本文的研究目的，將“軟件安全保障”采用如下定義：為達(dá)到要求的置信概率——軟件系統(tǒng)和服務(wù)以預(yù)期的方式工作，不受意外或人為故意的漏洞的影響，提供適當(dāng)?shù)奈ｋU(xiǎn)環(huán)境下的安全功能并可從非法入侵和故障中恢復(fù)的所應(yīng)用的技術(shù)或程序[1]。

本文提出的軟件安全保障勝任力模型將為管理人員提供對(duì)現(xiàn)有的和潛在的軟件安全保障員工能力評(píng)估的手段；為學(xué)術(shù)或培訓(xùn)機(jī)構(gòu)開(kāi)發(fā)適應(yīng)軟件安全保障的行業(yè)需求的培訓(xùn)課程提供一定的參考；模型將為軟件安全保障專(zhuān)業(yè)人員提供個(gè)人發(fā)展指導(dǎo)和職業(yè)規(guī)劃。

2.1 軟件保障勝任力模型特征

軟件安全保障勝任力模型分為五個(gè)層次（L1-L5），以區(qū)分不同層次的專(zhuān)業(yè)能力——包括知識(shí)、技能和有效性[2]：

2.1.1 L1——技術(shù)人員

通過(guò)技術(shù)資格認(rèn)證或在職業(yè)院校相關(guān)專(zhuān)業(yè)學(xué)習(xí)獲得技術(shù)知識(shí)或技能，有系統(tǒng)操作員、實(shí)現(xiàn)者、測(cè)試員和系統(tǒng)維護(hù)員工作經(jīng)歷，能夠獨(dú)立完成更高層次管理者分配的任務(wù)。

主要任務(wù)：低等次的實(shí)現(xiàn)、測(cè)試和維護(hù)。

2.1.2 L2——職業(yè)入門(mén)層

擁有基于應(yīng)用的知識(shí)和技能和入門(mén)級(jí)職業(yè)效能，獲得計(jì)算機(jī)相關(guān)專(zhuān)業(yè)的學(xué)士學(xué)位或具備同等的工作經(jīng)驗(yàn)。具備管理一個(gè)內(nèi)部小項(xiàng)目、監(jiān)督并為L(zhǎng)1人員分配子任務(wù)、監(jiān)督并評(píng)估系統(tǒng)操作，并建立普遍接受的保障規(guī)范的能力。

主要任務(wù)：主要原理、模塊設(shè)計(jì)和實(shí)施。

2.1.3 L3——從業(yè)者

所擁有知識(shí)、技能和職業(yè)能效的深度及廣度超過(guò)L2，通常具有2-5年的專(zhuān)業(yè)工作經(jīng)驗(yàn)?？蓤?zhí)行L2人員的全部任務(wù)外，還具備為內(nèi)部項(xiàng)目制定計(jì)劃、任務(wù)及日程安排，定義并管理項(xiàng)目，監(jiān)督企業(yè)層面的團(tuán)隊(duì)，評(píng)估系統(tǒng)保障質(zhì)量，建立并健全普遍接受的軟件保障規(guī)范的能力。

主要任務(wù)：需求分析、結(jié)構(gòu)設(shè)計(jì)、權(quán)衡分析和風(fēng)險(xiǎn)評(píng)估。

2.1.4 L4——高級(jí)從業(yè)者

所擁有知識(shí)、技能和職業(yè)能效的深度及廣度超過(guò)L3，有5-10年的工作經(jīng)驗(yàn)及高階的職業(yè)發(fā)展計(jì)劃，具有碩士學(xué)位或受過(guò)同等的教育/培訓(xùn)。可執(zhí)行L3人員的所有任務(wù)，并能夠確定和探索有效的軟件保障措施，以實(shí)現(xiàn)、管理大型項(xiàng)目，與外部代理機(jī)構(gòu)進(jìn)行交互等等。

主要任務(wù)：保障評(píng)估，保障管理，跨越生命周期的風(fēng)險(xiǎn)管理。

2.1.5 L5——專(zhuān)家

勝任力水平超越L4；通過(guò)開(kāi)發(fā)、修改和創(chuàng)建研究方法、實(shí)現(xiàn)措施以及整個(gè)組織層面及以上的理論推進(jìn)領(lǐng)域的發(fā)展；得到同行的認(rèn)可。通常包括很小一部分（如2%或更少）軟件保障行業(yè)某一組織的員工。

2.2 軟件安全保障的知識(shí)、技能和效果

表1列出了勝任力模型中的知識(shí)領(lǐng)域。每個(gè)知識(shí)領(lǐng)域進(jìn)一步劃分成二級(jí)單元[3]，示于表2，針對(duì)每個(gè)單元，進(jìn)一步描述了每個(gè)層次對(duì)應(yīng)的勝任力活動(dòng)。

2.3 各層次勝任力界定（表2）

3 軟件安全保障勝任力模型應(yīng)用實(shí)例

軟件保障勝任力模型在實(shí)際中有多種方式的應(yīng)用。例如，某組織打算招聘一個(gè)入門(mén)級(jí)的軟件安全保障專(zhuān)業(yè)人員，則可以L(fǎng)1及L2作為崗位考量標(biāo)準(zhǔn)，并將其中的部分條件納入工作或職位的描述。

另一應(yīng)用者是軟件安全保障課程資源的開(kāi)發(fā)或在軟件工程課程中加入軟件安全保障內(nèi)容的高校教師[4]。模型層次的應(yīng)用可幫助教師規(guī)劃高職學(xué)生、本科生以及研究生課程內(nèi)容深度。

4 結(jié)語(yǔ)

本文提出的軟件安全保障勝任力模型為評(píng)估和提升軟件保障專(zhuān)業(yè)人員能力奠定了基礎(chǔ)。第一層次至第五層次的勝任力跨度以及將其分解為個(gè)人勝任力的論述為組織或個(gè)人提供了必要的細(xì)節(jié)，以確定整個(gè)知識(shí)域和知識(shí)元中軟件保障勝任力。該模型還為一個(gè)組織提供了一個(gè)框架，使勝任力模型的特征適應(yīng)于組織的特定領(lǐng)域、文化或結(jié)構(gòu)。

參考文獻(xiàn)：

[1]Information Technology Competency Model，Employment and Training Administration，Department of Labor，August 2012.

[2]Hadfield，S."Integrating Software Assurance and Secure Programming Concepts and Mindsets into an Undergraduate Computer Science Program."Presented at Department of Homeland Security Software Assurance Forum. March 29，2012.

[3]Graduate Reference Curriculum for Systems Engineering （GRCSE），version 0.5，Body of Knowledge and Curriculum to Advance Systems Engineering （BKCASE），Hoboken，NJ，USA：Stevens Institute of Technology，December 2013.

[4]馮明，尹明鑫.勝任力模型構(gòu)建方法綜述[J].科技管理研究，2010（09）.

作者簡(jiǎn)介： 侯潔（1982-），女 ， 天津人，碩士，研究方向：軟件工程、教育技術(shù)學(xué)。endprint