摘 要：本文提出了一種軟件安全保障勝任力模型，用于提高軟件安全保障專業(yè)人員的職業(yè)技能。該模型可用于高校根據(jù)該行業(yè)的需求調(diào)整課程內(nèi)容，還可用于企業(yè)員工職業(yè)發(fā)展并以此為標(biāo)準(zhǔn)來考核未來的雇員。勝任力模型中的知識和技能以IEEE計算機學(xué)會和美國計算機協(xié)會（ACM）認證的軟件保證參考課程為基礎(chǔ)，該模型與IEEE專業(yè)活動委員會制定的相關(guān)標(biāo)準(zhǔn)共同構(gòu)建了軟件工程從業(yè)者的勝任力模型。

關(guān)鍵詞：軟件工程；安全保障；勝任力

1 引言

在FORTRAN語言出現(xiàn)之前軟件就已經(jīng)誕生。20世紀(jì)60年代末和70年代初，隨著結(jié)構(gòu)化編程，結(jié)構(gòu)化設(shè)計，模型和過程模型（如瀑布模型）的出現(xiàn)，軟件工程逐步發(fā)展為一種職業(yè)。

軟件安全保障勝任力模型為該行業(yè)提供了兩點優(yōu)勢：首先，一個標(biāo)準(zhǔn)的模型可以為該行業(yè)的雇主界定其員工所需具備的基本能力提供參考；其次，組織、機構(gòu)可借助該模型為其員工建立一個通用的勝任力要求的最小集，更重要的是它可以幫助企業(yè)為任何項目量身定制一套精確的勝任力需求集合。從員工個人的角度來說，勝任力模型將為軟件安全保障的專業(yè)人員提供一個改善績效的標(biāo)準(zhǔn)線路圖，指明其為獲得某個職位或攀爬其職業(yè)勝任力階梯所需繼續(xù)學(xué)習(xí)的技能。

2 軟件保障勝任力模型

鑒于本文的研究目的，將“軟件安全保障”采用如下定義：為達到要求的置信概率——軟件系統(tǒng)和服務(wù)以預(yù)期的方式工作，不受意外或人為故意的漏洞的影響，提供適當(dāng)?shù)奈ｋU環(huán)境下的安全功能并可從非法入侵和故障中恢復(fù)的所應(yīng)用的技術(shù)或程序[1]。

本文提出的軟件安全保障勝任力模型將為管理人員提供對現(xiàn)有的和潛在的軟件安全保障員工能力評估的手段；為學(xué)術(shù)或培訓(xùn)機構(gòu)開發(fā)適應(yīng)軟件安全保障的行業(yè)需求的培訓(xùn)課程提供一定的參考；模型將為軟件安全保障專業(yè)人員提供個人發(fā)展指導(dǎo)和職業(yè)規(guī)劃。

2.1 軟件保障勝任力模型特征

軟件安全保障勝任力模型分為五個層次（L1-L5），以區(qū)分不同層次的專業(yè)能力——包括知識、技能和有效性[2]：

2.1.1 L1——技術(shù)人員

通過技術(shù)資格認證或在職業(yè)院校相關(guān)專業(yè)學(xué)習(xí)獲得技術(shù)知識或技能，有系統(tǒng)操作員、實現(xiàn)者、測試員和系統(tǒng)維護員工作經(jīng)歷，能夠獨立完成更高層次管理者分配的任務(wù)。

主要任務(wù)：低等次的實現(xiàn)、測試和維護。

2.1.2 L2——職業(yè)入門層

擁有基于應(yīng)用的知識和技能和入門級職業(yè)效能，獲得計算機相關(guān)專業(yè)的學(xué)士學(xué)位或具備同等的工作經(jīng)驗。具備管理一個內(nèi)部小項目、監(jiān)督并為L1人員分配子任務(wù)、監(jiān)督并評估系統(tǒng)操作，并建立普遍接受的保障規(guī)范的能力。

主要任務(wù)：主要原理、模塊設(shè)計和實施。

2.1.3 L3——從業(yè)者

所擁有知識、技能和職業(yè)能效的深度及廣度超過L2，通常具有2-5年的專業(yè)工作經(jīng)驗?？蓤?zhí)行L2人員的全部任務(wù)外，還具備為內(nèi)部項目制定計劃、任務(wù)及日程安排，定義并管理項目，監(jiān)督企業(yè)層面的團隊，評估系統(tǒng)保障質(zhì)量，建立并健全普遍接受的軟件保障規(guī)范的能力。

主要任務(wù)：需求分析、結(jié)構(gòu)設(shè)計、權(quán)衡分析和風(fēng)險評估。

2.1.4 L4——高級從業(yè)者

所擁有知識、技能和職業(yè)能效的深度及廣度超過L3，有5-10年的工作經(jīng)驗及高階的職業(yè)發(fā)展計劃，具有碩士學(xué)位或受過同等的教育/培訓(xùn)?？蓤?zhí)行L3人員的所有任務(wù)，并能夠確定和探索有效的軟件保障措施，以實現(xiàn)、管理大型項目，與外部代理機構(gòu)進行交互等等。

主要任務(wù)：保障評估，保障管理，跨越生命周期的風(fēng)險管理。

2.1.5 L5——專家

勝任力水平超越L4；通過開發(fā)、修改和創(chuàng)建研究方法、實現(xiàn)措施以及整個組織層面及以上的理論推進領(lǐng)域的發(fā)展；得到同行的認可。通常包括很小一部分（如2%或更少）軟件保障行業(yè)某一組織的員工。

2.2 軟件安全保障的知識、技能和效果

表1列出了勝任力模型中的知識領(lǐng)域。每個知識領(lǐng)域進一步劃分成二級單元[3]，示于表2，針對每個單元，進一步描述了每個層次對應(yīng)的勝任力活動。

2.3 各層次勝任力界定（表2）

3 軟件安全保障勝任力模型應(yīng)用實例

軟件保障勝任力模型在實際中有多種方式的應(yīng)用。例如，某組織打算招聘一個入門級的軟件安全保障專業(yè)人員，則可以L1及L2作為崗位考量標(biāo)準(zhǔn)，并將其中的部分條件納入工作或職位的描述。

另一應(yīng)用者是軟件安全保障課程資源的開發(fā)或在軟件工程課程中加入軟件安全保障內(nèi)容的高校教師[4]。模型層次的應(yīng)用可幫助教師規(guī)劃高職學(xué)生、本科生以及研究生課程內(nèi)容深度。

4 結(jié)語

本文提出的軟件安全保障勝任力模型為評估和提升軟件保障專業(yè)人員能力奠定了基礎(chǔ)。第一層次至第五層次的勝任力跨度以及將其分解為個人勝任力的論述為組織或個人提供了必要的細節(jié)，以確定整個知識域和知識元中軟件保障勝任力。該模型還為一個組織提供了一個框架，使勝任力模型的特征適應(yīng)于組織的特定領(lǐng)域、文化或結(jié)構(gòu)。

參考文獻：

[1]Information Technology Competency Model，Employment and Training Administration，Department of Labor，August 2012.

[2]Hadfield，S."Integrating Software Assurance and Secure Programming Concepts and Mindsets into an Undergraduate Computer Science Program."Presented at Department of Homeland Security Software Assurance Forum. March 29，2012.

[3]Graduate Reference Curriculum for Systems Engineering （GRCSE），version 0.5，Body of Knowledge and Curriculum to Advance Systems Engineering （BKCASE），Hoboken，NJ，USA：Stevens Institute of Technology，December 2013.

[4]馮明，尹明鑫.勝任力模型構(gòu)建方法綜述[J].科技管理研究，2010（09）.

作者簡介： 侯潔（1982-），女 ， 天津人，碩士，研究方向：軟件工程、教育技術(shù)學(xué)。endprint