基于熵值法的復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)

左黎明,郝 恬

(華東交通大學(xué) 理學(xué)院,江西 南昌 330001)

0 引言

隨著信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)空間成為繼陸、海、空、天之后的第5大主權(quán)爭(zhēng)奪空間[1]。沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)空間安全是維護(hù)和保障國(guó)家安全、社會(huì)安定、科技進(jìn)步、人民生活及經(jīng)濟(jì)發(fā)展不可或缺的組成部分。為了保護(hù)和營(yíng)造良好的網(wǎng)絡(luò)生態(tài)環(huán)境,國(guó)家需要建立健全網(wǎng)絡(luò)空間安全保障體系及管理機(jī)制,維護(hù)國(guó)家重點(diǎn)部門(mén)、基礎(chǔ)設(shè)施、涉密單位、重要行業(yè)等的網(wǎng)絡(luò)安全。人才是一個(gè)國(guó)家、一個(gè)地方發(fā)展的核心競(jìng)爭(zhēng)力[2]。網(wǎng)絡(luò)安全的競(jìng)爭(zhēng),歸根結(jié)底是人才的競(jìng)爭(zhēng)。國(guó)家需著力培養(yǎng)一批高精尖的網(wǎng)絡(luò)安全人才隊(duì)伍,才能在維護(hù)國(guó)家網(wǎng)絡(luò)空間安全中取得主動(dòng)權(quán),在未來(lái)的網(wǎng)絡(luò)信息戰(zhàn)[3]中獲得優(yōu)勢(shì)。各國(guó)對(duì)網(wǎng)絡(luò)安全人才培養(yǎng)工作的重視程度日漸提高[4],并將其提升至國(guó)家戰(zhàn)略層面,構(gòu)建國(guó)家網(wǎng)絡(luò)安全人才培養(yǎng)體系成為重要國(guó)家戰(zhàn)略。近年來(lái),我國(guó)十分重視網(wǎng)絡(luò)空間安全人才的培養(yǎng),國(guó)家、企業(yè)與高校3者聯(lián)合,出臺(tái)了多項(xiàng)關(guān)于網(wǎng)絡(luò)安全人才培養(yǎng)的指導(dǎo)性文件和政策措施,為我國(guó)網(wǎng)絡(luò)安全人才培養(yǎng)提供方向和指導(dǎo)。2021年7月,工業(yè)和信息化部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃(2021—2023年)(征求意見(jiàn)稿)》[5],強(qiáng)調(diào)要發(fā)揮領(lǐng)軍人才帶動(dòng)作用,深化產(chǎn)教融合協(xié)同育人,推動(dòng)開(kāi)展網(wǎng)絡(luò)安全人才能力評(píng)價(jià)。2022年發(fā)布的《中國(guó)網(wǎng)絡(luò)安全人才建設(shè)報(bào)告》中首次針對(duì)網(wǎng)絡(luò)安全領(lǐng)域人才培養(yǎng)供需兩側(cè)進(jìn)行問(wèn)卷調(diào)研,為網(wǎng)絡(luò)安全人才的培養(yǎng)提供了基礎(chǔ)數(shù)據(jù)和方向;同年,《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書(shū)》[6]在國(guó)家網(wǎng)絡(luò)安全宣傳周上正式發(fā)布,旨在面向網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才培養(yǎng),從院校教學(xué)體系建設(shè)、科教及產(chǎn)教融合、校企聯(lián)合、政策扶持等方面提出了許多指導(dǎo)性建議和可行性措施。全社會(huì)共同努力的網(wǎng)絡(luò)安全防線正在高高筑起。

盡管如此,我國(guó)在網(wǎng)絡(luò)安全人才能力評(píng)價(jià)[7]方面還存在不足。常見(jiàn)的人才能力評(píng)價(jià)方式包括攻防類(lèi)安全競(jìng)賽[8]、企業(yè)安全響應(yīng)中心的白帽認(rèn)證等,這些方式都沒(méi)有形成標(biāo)準(zhǔn)化的可推廣的評(píng)價(jià)體系,在分級(jí)評(píng)價(jià)方面各有短板,且攻防類(lèi)安全競(jìng)賽大多只進(jìn)行團(tuán)隊(duì)評(píng)價(jià),很少進(jìn)行個(gè)人評(píng)價(jià)。針對(duì)這些問(wèn)題,本文選取網(wǎng)絡(luò)安全技術(shù)應(yīng)用能力、安全漏洞發(fā)現(xiàn)和修復(fù)能力、應(yīng)急響應(yīng)能力等方面的8個(gè)評(píng)價(jià)指標(biāo),采用熵值法[9-10]確定各個(gè)指標(biāo)所占權(quán)重,構(gòu)建了一套基于熵值法的復(fù)合型網(wǎng)絡(luò)安全實(shí)踐人才評(píng)價(jià)體系;并利用該評(píng)價(jià)體系對(duì)某高校50名網(wǎng)絡(luò)安全專(zhuān)業(yè)學(xué)生能力進(jìn)行評(píng)估,最后針對(duì)評(píng)估結(jié)果進(jìn)行分析。該評(píng)價(jià)體系可為學(xué)生提供自我能力評(píng)估的機(jī)會(huì),有助于學(xué)生找準(zhǔn)差距補(bǔ)短板,明確未來(lái)發(fā)展方向;同時(shí),為高校和企業(yè)遴選人才提供量化參考,進(jìn)而提升我國(guó)網(wǎng)絡(luò)安全人才的整體素質(zhì)和能力。

1 構(gòu)建復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)體系

1.1 評(píng)價(jià)指標(biāo)的選取

復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)指標(biāo)的選擇是復(fù)雜而關(guān)鍵的問(wèn)題,需要同時(shí)兼顧科學(xué)性、全面性、實(shí)用性。參考國(guó)內(nèi)外學(xué)者對(duì)網(wǎng)絡(luò)安全人才職業(yè)勝任能力的研究[11-12],結(jié)合如今高校對(duì)復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才的培養(yǎng)模式[13-14],建立了復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)指標(biāo)體系,如表1所示。該體系由8個(gè)指標(biāo)構(gòu)成,包括網(wǎng)絡(luò)安全技術(shù)應(yīng)用能力、安全漏洞發(fā)現(xiàn)和修復(fù)能力、應(yīng)急響應(yīng)能力、信息安全管理能力、工程開(kāi)發(fā)能力、團(tuán)隊(duì)協(xié)作能力、學(xué)習(xí)能力和創(chuàng)新能力以及職業(yè)素養(yǎng)。

表1 復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)指標(biāo)

其中,網(wǎng)絡(luò)安全技術(shù)應(yīng)用能力、安全漏洞發(fā)現(xiàn)和修復(fù)能力、應(yīng)急響應(yīng)能力、信息安全管理能力均是對(duì)網(wǎng)絡(luò)安全人才專(zhuān)業(yè)性相關(guān)的知識(shí)和技能掌握情況進(jìn)行評(píng)估。對(duì)于網(wǎng)絡(luò)安全人才來(lái)說(shuō),要想在技術(shù)知識(shí)迭代飛快地大背景下緊跟新技術(shù)的步伐,就必須提升自己的學(xué)習(xí)能力和創(chuàng)新能力。網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力的考查務(wù)必注重考查其專(zhuān)業(yè)素養(yǎng),由于網(wǎng)絡(luò)安全人才的操作本身會(huì)帶有一定的破壞性,容易涉及國(guó)家、企業(yè)等機(jī)密,因此需規(guī)范行為、加強(qiáng)職業(yè)道德。為了更好地對(duì)標(biāo)企業(yè),特別引入團(tuán)隊(duì)協(xié)作能力指標(biāo)。

1.2 評(píng)價(jià)體系的構(gòu)建

對(duì)于每項(xiàng)指標(biāo)的考核采用筆試、答辯、實(shí)踐操作、取得相應(yīng)證書(shū)等多種方式。對(duì)于k1、k2、k3、k4、k5采用筆試、答辯、實(shí)踐操作和取得相應(yīng)證書(shū)作為考核方式;對(duì)于k6和k8采取筆試和答辯作為其考核方式;對(duì)于k7采用答辯、實(shí)踐操作和取得相應(yīng)證書(shū)3種方式進(jìn)行考核評(píng)估。

此外,復(fù)合型網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)體系采取百分制打分法,先對(duì)7個(gè)指標(biāo)進(jìn)行百分制量化打分,再利用熵值法對(duì)每個(gè)指標(biāo)賦權(quán)值,最終得到某位學(xué)生的綜合量化評(píng)分,進(jìn)而可將能力等級(jí)劃分為初級(jí)、中級(jí)、高級(jí)層次,形成由低到高的階梯化人才成長(zhǎng)路徑。綜合量化評(píng)分與人員等級(jí)的對(duì)應(yīng)關(guān)系,如表2所示。

表2 綜合評(píng)分等級(jí)

基于4種考核方式、8個(gè)考核指標(biāo)及3個(gè)考核等級(jí),構(gòu)成網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)“4+8+3”模型,網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)“4+8+3”模型的總體架構(gòu),如圖1所示。

圖1 網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)“4+8+3”模型架構(gòu)

2 實(shí)證理論模型——熵值法

熵值法是用來(lái)判斷某個(gè)指標(biāo)離散程度的數(shù)學(xué)方法。離散程度越大,該指標(biāo)對(duì)綜合評(píng)價(jià)的影響越大。熵權(quán)法基于各指標(biāo)的變異系數(shù)[15],是一種使用信息熵計(jì)算其權(quán)重的客觀賦值法。

由于能力評(píng)價(jià)系統(tǒng)的7個(gè)指標(biāo)重要程度不同,采用熵值法對(duì)指標(biāo)進(jìn)行賦權(quán)。熵值法模型建立步驟如下。

步驟一:數(shù)據(jù)標(biāo)準(zhǔn)化。

假設(shè)研究的樣本共有n個(gè)學(xué)生,共有m個(gè)能力評(píng)價(jià)指標(biāo),則xij表示第i位學(xué)生第j個(gè)指標(biāo)的數(shù)值(i=1,2,3,…,n;j=1,2,3,…,m)。由于指標(biāo)之間可能存在兩極分化的情況,為了避免數(shù)據(jù)樣本的兩極干擾,采用最大最小標(biāo)準(zhǔn)化法對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理。

步驟二:計(jì)算信息熵。

步驟三:計(jì)算權(quán)重。

步驟四:計(jì)算不同學(xué)生能力綜合評(píng)價(jià)結(jié)果。

3 實(shí)證分析

3.1 樣本選擇

隨機(jī)抽取50名高校網(wǎng)絡(luò)安全專(zhuān)業(yè)學(xué)生,按照網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才能力評(píng)價(jià)“4+8+3”模型中的4種考核方式對(duì)學(xué)生8個(gè)能力指標(biāo)進(jìn)行考核并打分,最終得到50條數(shù)據(jù)樣本。

3.2 評(píng)價(jià)結(jié)果分析

根據(jù)實(shí)證理論模型提出的最大最小標(biāo)準(zhǔn)化法對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理,進(jìn)而采用熵值法計(jì)算每個(gè)指標(biāo)權(quán)重,得到結(jié)果如表3所示。從表3可以看出,首先,安全漏洞發(fā)現(xiàn)和修復(fù)能力指標(biāo)權(quán)值最大,說(shuō)明該指標(biāo)對(duì)于綜合成績(jī)影響系數(shù)最高;其次,網(wǎng)絡(luò)安全技術(shù)應(yīng)用能力及應(yīng)急響應(yīng)能力;最后,信息安全管理能力、工程開(kāi)發(fā)能力、團(tuán)隊(duì)協(xié)作能力和職業(yè)素養(yǎng),學(xué)習(xí)能力和創(chuàng)新能力對(duì)于綜合成績(jī)影響系數(shù)最低。

表3 各指標(biāo)權(quán)重

根據(jù)熵值法求得的權(quán)值最終求出這50位同學(xué)的綜合評(píng)價(jià)成績(jī),根據(jù)綜合評(píng)價(jià)成績(jī)進(jìn)行評(píng)級(jí),共有初級(jí)人員8名,中級(jí)人員38名,高級(jí)人員4名。初、中、高級(jí)占總學(xué)生數(shù)的比例,如圖2所示,其中,中級(jí)占比最高,占總?cè)藬?shù)的76%;初級(jí)人員次之,占16%;高級(jí)人員最少,僅占8%。

圖2 初、中、高級(jí)人員占比

通過(guò)基于熵值法的復(fù)合型網(wǎng)絡(luò)安全實(shí)踐人才評(píng)價(jià)體系對(duì)某高校50名網(wǎng)絡(luò)安全專(zhuān)業(yè)學(xué)生進(jìn)行能力評(píng)估。評(píng)估結(jié)果顯示,通過(guò)高校的培養(yǎng),大多數(shù)學(xué)生已經(jīng)具備中級(jí)水平,但高級(jí)人才的數(shù)量少之又少,同時(shí)還存在一小部分學(xué)生處于初級(jí)水平。高?？筛鶕?jù)評(píng)估結(jié)果,針對(duì)不同等級(jí)水平的學(xué)生進(jìn)行針對(duì)性訓(xùn)練,可從安全競(jìng)賽、專(zhuān)業(yè)培訓(xùn)認(rèn)證、安全會(huì)議、眾測(cè)項(xiàng)目、攻防演練等方式入手,幫助學(xué)生提高實(shí)戰(zhàn)水平。

4 結(jié)語(yǔ)

本文構(gòu)建了一套基于熵值法的復(fù)合型網(wǎng)絡(luò)安全實(shí)踐人才評(píng)價(jià)體系,并利用該評(píng)價(jià)體系對(duì)某高校50名網(wǎng)絡(luò)安全專(zhuān)業(yè)學(xué)生能力進(jìn)行評(píng)估,最后針對(duì)評(píng)估結(jié)果進(jìn)行分析。基于熵值法的復(fù)合型網(wǎng)絡(luò)安全實(shí)踐人才的評(píng)價(jià)體系按照4種考核方式、8種考核指標(biāo)及3種能力層次等級(jí),層層遞進(jìn),符合科學(xué)性;體系采用熵值法為指標(biāo)確定權(quán)值,對(duì)于不同樣本會(huì)得到最準(zhǔn)確的指標(biāo)權(quán)重,符合準(zhǔn)確性;基于熵值法的復(fù)合型網(wǎng)絡(luò)安全實(shí)踐人才評(píng)價(jià)體系針對(duì)不同等級(jí)的高校及企業(yè)均能夠進(jìn)行人才能力評(píng)估,符合實(shí)用性,能夠?yàn)閺?fù)合型網(wǎng)絡(luò)安全實(shí)踐人才的培養(yǎng)和選拔提供有效參考及依據(jù)。