基于熵值法的復合型網絡安全實戰人才能力評價

左黎明,郝 恬

(華東交通大學 理學院,江西 南昌 330001)

0 引言

隨著信息技術和網絡的快速發展,網絡空間成為繼陸、海、空、天之后的第5大主權爭奪空間[1]。沒有網絡安全,就沒有國家安全。網絡空間安全是維護和保障國家安全、社會安定、科技進步、人民生活及經濟發展不可或缺的組成部分。為了保護和營造良好的網絡生態環境,國家需要建立健全網絡空間安全保障體系及管理機制,維護國家重點部門、基礎設施、涉密單位、重要行業等的網絡安全。人才是一個國家、一個地方發展的核心競爭力[2]。網絡安全的競爭,歸根結底是人才的競爭。國家需著力培養一批高精尖的網絡安全人才隊伍,才能在維護國家網絡空間安全中取得主動權,在未來的網絡信息戰[3]中獲得優勢。各國對網絡安全人才培養工作的重視程度日漸提高[4],并將其提升至國家戰略層面,構建國家網絡安全人才培養體系成為重要國家戰略。近年來,我國十分重視網絡空間安全人才的培養,國家、企業與高校3者聯合,出臺了多項關于網絡安全人才培養的指導性文件和政策措施,為我國網絡安全人才培養提供方向和指導。2021年7月,工業和信息化部發布《網絡安全產業高質量發展三年行動計劃(2021—2023年)(征求意見稿)》[5],強調要發揮領軍人才帶動作用,深化產教融合協同育人,推動開展網絡安全人才能力評價。2022年發布的《中國網絡安全人才建設報告》中首次針對網絡安全領域人才培養供需兩側進行問卷調研,為網絡安全人才的培養提供了基礎數據和方向;同年,《網絡安全人才實戰能力白皮書》[6]在國家網絡安全宣傳周上正式發布,旨在面向網絡安全實戰人才培養,從院校教學體系建設、科教及產教融合、校企聯合、政策扶持等方面提出了許多指導性建議和可行性措施。全社會共同努力的網絡安全防線正在高高筑起。

盡管如此,我國在網絡安全人才能力評價[7]方面還存在不足。常見的人才能力評價方式包括攻防類安全競賽[8]、企業安全響應中心的白帽認證等,這些方式都沒有形成標準化的可推廣的評價體系,在分級評價方面各有短板,且攻防類安全競賽大多只進行團隊評價,很少進行個人評價。針對這些問題,本文選取網絡安全技術應用能力、安全漏洞發現和修復能力、應急響應能力等方面的8個評價指標,采用熵值法[9-10]確定各個指標所占權重,構建了一套基于熵值法的復合型網絡安全實踐人才評價體系;并利用該評價體系對某高校50名網絡安全專業學生能力進行評估,最后針對評估結果進行分析。該評價體系可為學生提供自我能力評估的機會,有助于學生找準差距補短板,明確未來發展方向;同時,為高校和企業遴選人才提供量化參考,進而提升我國網絡安全人才的整體素質和能力。

1 構建復合型網絡安全實戰人才能力評價體系

1.1 評價指標的選取

復合型網絡安全實戰人才能力評價指標的選擇是復雜而關鍵的問題,需要同時兼顧科學性、全面性、實用性。參考國內外學者對網絡安全人才職業勝任能力的研究[11-12],結合如今高校對復合型網絡安全實戰人才的培養模式[13-14],建立了復合型網絡安全實戰人才能力評價指標體系,如表1所示。該體系由8個指標構成,包括網絡安全技術應用能力、安全漏洞發現和修復能力、應急響應能力、信息安全管理能力、工程開發能力、團隊協作能力、學習能力和創新能力以及職業素養。

表1 復合型網絡安全實戰人才能力評價指標

其中,網絡安全技術應用能力、安全漏洞發現和修復能力、應急響應能力、信息安全管理能力均是對網絡安全人才專業性相關的知識和技能掌握情況進行評估。對于網絡安全人才來說,要想在技術知識迭代飛快地大背景下緊跟新技術的步伐,就必須提升自己的學習能力和創新能力。網絡安全實戰能力的考查務必注重考查其專業素養,由于網絡安全人才的操作本身會帶有一定的破壞性,容易涉及國家、企業等機密,因此需規范行為、加強職業道德。為了更好地對標企業,特別引入團隊協作能力指標。

1.2 評價體系的構建

對于每項指標的考核采用筆試、答辯、實踐操作、取得相應證書等多種方式。對于k1、k2、k3、k4、k5采用筆試、答辯、實踐操作和取得相應證書作為考核方式;對于k6和k8采取筆試和答辯作為其考核方式;對于k7采用答辯、實踐操作和取得相應證書3種方式進行考核評估。

此外,復合型網絡安全實戰人才能力評價體系采取百分制打分法,先對7個指標進行百分制量化打分,再利用熵值法對每個指標賦權值,最終得到某位學生的綜合量化評分,進而可將能力等級劃分為初級、中級、高級層次,形成由低到高的階梯化人才成長路徑。綜合量化評分與人員等級的對應關系,如表2所示。

表2 綜合評分等級

基于4種考核方式、8個考核指標及3個考核等級,構成網絡安全實戰人才能力評價“4+8+3”模型,網絡安全實戰人才能力評價“4+8+3”模型的總體架構,如圖1所示。

圖1 網絡安全實戰人才能力評價“4+8+3”模型架構

2 實證理論模型——熵值法

熵值法是用來判斷某個指標離散程度的數學方法。離散程度越大,該指標對綜合評價的影響越大。熵權法基于各指標的變異系數[15],是一種使用信息熵計算其權重的客觀賦值法。

由于能力評價系統的7個指標重要程度不同,采用熵值法對指標進行賦權。熵值法模型建立步驟如下。

步驟一:數據標準化。

假設研究的樣本共有n個學生,共有m個能力評價指標,則xij表示第i位學生第j個指標的數值(i=1,2,3,…,n;j=1,2,3,…,m)。由于指標之間可能存在兩極分化的情況,為了避免數據樣本的兩極干擾,采用最大最小標準化法對數據進行標準化處理。

步驟二:計算信息熵。

步驟三:計算權重。

步驟四:計算不同學生能力綜合評價結果。

3 實證分析

3.1 樣本選擇

隨機抽取50名高校網絡安全專業學生,按照網絡安全實戰人才能力評價“4+8+3”模型中的4種考核方式對學生8個能力指標進行考核并打分,最終得到50條數據樣本。

3.2 評價結果分析

根據實證理論模型提出的最大最小標準化法對數據進行標準化處理,進而采用熵值法計算每個指標權重,得到結果如表3所示。從表3可以看出,首先,安全漏洞發現和修復能力指標權值最大,說明該指標對于綜合成績影響系數最高;其次,網絡安全技術應用能力及應急響應能力;最后,信息安全管理能力、工程開發能力、團隊協作能力和職業素養,學習能力和創新能力對于綜合成績影響系數最低。

表3 各指標權重

根據熵值法求得的權值最終求出這50位同學的綜合評價成績,根據綜合評價成績進行評級,共有初級人員8名,中級人員38名,高級人員4名。初、中、高級占總學生數的比例,如圖2所示,其中,中級占比最高,占總人數的76%;初級人員次之,占16%;高級人員最少,僅占8%。

圖2 初、中、高級人員占比

通過基于熵值法的復合型網絡安全實踐人才評價體系對某高校50名網絡安全專業學生進行能力評估。評估結果顯示,通過高校的培養,大多數學生已經具備中級水平,但高級人才的數量少之又少,同時還存在一小部分學生處于初級水平。高校可根據評估結果,針對不同等級水平的學生進行針對性訓練,可從安全競賽、專業培訓認證、安全會議、眾測項目、攻防演練等方式入手,幫助學生提高實戰水平。

4 結語

本文構建了一套基于熵值法的復合型網絡安全實踐人才評價體系,并利用該評價體系對某高校50名網絡安全專業學生能力進行評估,最后針對評估結果進行分析?；陟刂捣ǖ膹秃闲途W絡安全實踐人才的評價體系按照4種考核方式、8種考核指標及3種能力層次等級,層層遞進,符合科學性;體系采用熵值法為指標確定權值,對于不同樣本會得到最準確的指標權重,符合準確性;基于熵值法的復合型網絡安全實踐人才評價體系針對不同等級的高校及企業均能夠進行人才能力評估,符合實用性,能夠為復合型網絡安全實踐人才的培養和選拔提供有效參考及依據。