軟件安全保障專業技術人員勝任力模型研究

摘 要：本文提出了一種軟件安全保障勝任力模型，用于提高軟件安全保障專業人員的職業技能。該模型可用于高校根據該行業的需求調整課程內容，還可用于企業員工職業發展并以此為標準來考核未來的雇員。勝任力模型中的知識和技能以IEEE計算機學會和美國計算機協會（ACM）認證的軟件保證參考課程為基礎，該模型與IEEE專業活動委員會制定的相關標準共同構建了軟件工程從業者的勝任力模型。

關鍵詞：軟件工程；安全保障；勝任力

1 引言

在FORTRAN語言出現之前軟件就已經誕生。20世紀60年代末和70年代初，隨著結構化編程，結構化設計，模型和過程模型（如瀑布模型）的出現，軟件工程逐步發展為一種職業。

軟件安全保障勝任力模型為該行業提供了兩點優勢：首先，一個標準的模型可以為該行業的雇主界定其員工所需具備的基本能力提供參考；其次，組織、機構可借助該模型為其員工建立一個通用的勝任力要求的最小集，更重要的是它可以幫助企業為任何項目量身定制一套精確的勝任力需求集合。從員工個人的角度來說，勝任力模型將為軟件安全保障的專業人員提供一個改善績效的標準線路圖，指明其為獲得某個職位或攀爬其職業勝任力階梯所需繼續學習的技能。

2 軟件保障勝任力模型

鑒于本文的研究目的，將“軟件安全保障”采用如下定義：為達到要求的置信概率——軟件系統和服務以預期的方式工作，不受意外或人為故意的漏洞的影響，提供適當的危險環境下的安全功能并可從非法入侵和故障中恢復的所應用的技術或程序[1]。

本文提出的軟件安全保障勝任力模型將為管理人員提供對現有的和潛在的軟件安全保障員工能力評估的手段；為學術或培訓機構開發適應軟件安全保障的行業需求的培訓課程提供一定的參考；模型將為軟件安全保障專業人員提供個人發展指導和職業規劃。

2.1 軟件保障勝任力模型特征

軟件安全保障勝任力模型分為五個層次（L1-L5），以區分不同層次的專業能力——包括知識、技能和有效性[2]：

2.1.1 L1——技術人員

通過技術資格認證或在職業院校相關專業學習獲得技術知識或技能，有系統操作員、實現者、測試員和系統維護員工作經歷，能夠獨立完成更高層次管理者分配的任務。

主要任務：低等次的實現、測試和維護。

2.1.2 L2——職業入門層

擁有基于應用的知識和技能和入門級職業效能，獲得計算機相關專業的學士學位或具備同等的工作經驗。具備管理一個內部小項目、監督并為L1人員分配子任務、監督并評估系統操作，并建立普遍接受的保障規范的能力。

主要任務：主要原理、模塊設計和實施。

2.1.3 L3——從業者

所擁有知識、技能和職業能效的深度及廣度超過L2，通常具有2-5年的專業工作經驗。可執行L2人員的全部任務外，還具備為內部項目制定計劃、任務及日程安排，定義并管理項目，監督企業層面的團隊，評估系統保障質量，建立并健全普遍接受的軟件保障規范的能力。

主要任務：需求分析、結構設計、權衡分析和風險評估。

2.1.4 L4——高級從業者

所擁有知識、技能和職業能效的深度及廣度超過L3，有5-10年的工作經驗及高階的職業發展計劃，具有碩士學位或受過同等的教育/培訓。可執行L3人員的所有任務，并能夠確定和探索有效的軟件保障措施，以實現、管理大型項目，與外部代理機構進行交互等等。

主要任務：保障評估，保障管理，跨越生命周期的風險管理。

2.1.5 L5——專家

勝任力水平超越L4；通過開發、修改和創建研究方法、實現措施以及整個組織層面及以上的理論推進領域的發展；得到同行的認可。通常包括很小一部分（如2%或更少）軟件保障行業某一組織的員工。

2.2 軟件安全保障的知識、技能和效果

表1列出了勝任力模型中的知識領域。每個知識領域進一步劃分成二級單元[3]，示于表2，針對每個單元，進一步描述了每個層次對應的勝任力活動。

2.3 各層次勝任力界定（表2）

3 軟件安全保障勝任力模型應用實例

軟件保障勝任力模型在實際中有多種方式的應用。例如，某組織打算招聘一個入門級的軟件安全保障專業人員，則可以L1及L2作為崗位考量標準，并將其中的部分條件納入工作或職位的描述。

另一應用者是軟件安全保障課程資源的開發或在軟件工程課程中加入軟件安全保障內容的高校教師[4]。模型層次的應用可幫助教師規劃高職學生、本科生以及研究生課程內容深度。

4 結語

本文提出的軟件安全保障勝任力模型為評估和提升軟件保障專業人員能力奠定了基礎。第一層次至第五層次的勝任力跨度以及將其分解為個人勝任力的論述為組織或個人提供了必要的細節，以確定整個知識域和知識元中軟件保障勝任力。該模型還為一個組織提供了一個框架，使勝任力模型的特征適應于組織的特定領域、文化或結構。

參考文獻：

[1]Information Technology Competency Model，Employment and Training Administration，Department of Labor，August 2012.

[2]Hadfield，S."Integrating Software Assurance and Secure Programming Concepts and Mindsets into an Undergraduate Computer Science Program."Presented at Department of Homeland Security Software Assurance Forum. March 29，2012.

[3]Graduate Reference Curriculum for Systems Engineering （GRCSE），version 0.5，Body of Knowledge and Curriculum to Advance Systems Engineering （BKCASE），Hoboken，NJ，USA：Stevens Institute of Technology，December 2013.

[4]馮明，尹明鑫.勝任力模型構建方法綜述[J].科技管理研究，2010（09）.

作者簡介： 侯潔（1982-），女 ， 天津人，碩士，研究方向：軟件工程、教育技術學。endprint