左黎明,郝 恬

(华东交通大学 理学院,江西 南昌 330001)

0 引言

随着信息技术和网络的快速发展,网络空间成为继陆、海、空、天之后的第5大主权争夺空间[1]。没有网络安全,就没有国家安全。网络空间安全是维护和保障国家安全、社会安定、科技进步、人民生活及经济发展不可或缺的组成部分。为了保护和营造良好的网络生态环境,国家需要建立健全网络空间安全保障体系及管理机制,维护国家重点部门、基础设施、涉密单位、重要行业等的网络安全。人才是一个国家、一个地方发展的核心竞争力[2]。网络安全的竞争,归根结底是人才的竞争。国家需着力培养一批高精尖的网络安全人才队伍,才能在维护国家网络空间安全中取得主动权,在未来的网络信息战[3]中获得优势。各国对网络安全人才培养工作的重视程度日渐提高[4],并将其提升至国家战略层面,构建国家网络安全人才培养体系成为重要国家战略。近年来,我国十分重视网络空间安全人才的培养,国家、企业与高校3者联合,出台了多项关于网络安全人才培养的指导性文件和政策措施,为我国网络安全人才培养提供方向和指导。2021年7月,工业和信息化部发布《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》[5],强调要发挥领军人才带动作用,深化产教融合协同育人,推动开展网络安全人才能力评价。2022年发布的《中国网络安全人才建设报告》中首次针对网络安全领域人才培养供需两侧进行问卷调研,为网络安全人才的培养提供了基础数据和方向;同年,《网络安全人才实战能力白皮书》[6]在国家网络安全宣传周上正式发布,旨在面向网络安全实战人才培养,从院校教学体系建设、科教及产教融合、校企联合、政策扶持等方面提出了许多指导性建议和可行性措施。全社会共同努力的网络安全防线正在高高筑起。

尽管如此,我国在网络安全人才能力评价[7]方面还存在不足。常见的人才能力评价方式包括攻防类安全竞赛[8]、企业安全响应中心的白帽认证等,这些方式都没有形成标准化的可推广的评价体系,在分级评价方面各有短板,且攻防类安全竞赛大多只进行团队评价,很少进行个人评价。针对这些问题,本文选取网络安全技术应用能力、安全漏洞发现和修复能力、应急响应能力等方面的8个评价指标,采用熵值法[9-10]确定各个指标所占权重,构建了一套基于熵值法的复合型网络安全实践人才评价体系;并利用该评价体系对某高校50名网络安全专业学生能力进行评估,最后针对评估结果进行分析。该评价体系可为学生提供自我能力评估的机会,有助于学生找准差距补短板,明确未来发展方向;同时,为高校和企业遴选人才提供量化参考,进而提升我国网络安全人才的整体素质和能力。

1 构建复合型网络安全实战人才能力评价体系

1.1 评价指标的选取

复合型网络安全实战人才能力评价指标的选择是复杂而关键的问题,需要同时兼顾科学性、全面性、实用性。参考国内外学者对网络安全人才职业胜任能力的研究[11-12],结合如今高校对复合型网络安全实战人才的培养模式[13-14],建立了复合型网络安全实战人才能力评价指标体系,如表1所示。该体系由8个指标构成,包括网络安全技术应用能力、安全漏洞发现和修复能力、应急响应能力、信息安全管理能力、工程开发能力、团队协作能力、学习能力和创新能力以及职业素养。

表1 复合型网络安全实战人才能力评价指标

其中,网络安全技术应用能力、安全漏洞发现和修复能力、应急响应能力、信息安全管理能力均是对网络安全人才专业性相关的知识和技能掌握情况进行评估。对于网络安全人才来说,要想在技术知识迭代飞快地大背景下紧跟新技术的步伐,就必须提升自己的学习能力和创新能力。网络安全实战能力的考查务必注重考查其专业素养,由于网络安全人才的操作本身会带有一定的破坏性,容易涉及国家、企业等机密,因此需规范行为、加强职业道德。为了更好地对标企业,特别引入团队协作能力指标。

1.2 评价体系的构建

对于每项指标的考核采用笔试、答辩、实践操作、取得相应证书等多种方式。对于k1、k2、k3、k4、k5采用笔试、答辩、实践操作和取得相应证书作为考核方式;对于k6和k8采取笔试和答辩作为其考核方式;对于k7采用答辩、实践操作和取得相应证书3种方式进行考核评估。

此外,复合型网络安全实战人才能力评价体系采取百分制打分法,先对7个指标进行百分制量化打分,再利用熵值法对每个指标赋权值,最终得到某位学生的综合量化评分,进而可将能力等级划分为初级、中级、高级层次,形成由低到高的阶梯化人才成长路径。综合量化评分与人员等级的对应关系,如表2所示。

表2 综合评分等级

基于4种考核方式、8个考核指标及3个考核等级,构成网络安全实战人才能力评价“4+8+3”模型,网络安全实战人才能力评价“4+8+3”模型的总体架构,如图1所示。

图1 网络安全实战人才能力评价“4+8+3”模型架构

2 实证理论模型——熵值法

熵值法是用来判断某个指标离散程度的数学方法。离散程度越大,该指标对综合评价的影响越大。熵权法基于各指标的变异系数[15],是一种使用信息熵计算其权重的客观赋值法。

由于能力评价系统的7个指标重要程度不同,采用熵值法对指标进行赋权。熵值法模型建立步骤如下。

步骤一:数据标准化。

假设研究的样本共有n个学生,共有m个能力评价指标,则xij表示第i位学生第j个指标的数值(i=1,2,3,…,n;j=1,2,3,…,m)。由于指标之间可能存在两极分化的情况,为了避免数据样本的两极干扰,采用最大最小标准化法对数据进行标准化处理。

步骤二:计算信息熵。

步骤三:计算权重。

步骤四:计算不同学生能力综合评价结果。

3 实证分析

3.1 样本选择

随机抽取50名高校网络安全专业学生,按照网络安全实战人才能力评价“4+8+3”模型中的4种考核方式对学生8个能力指标进行考核并打分,最终得到50条数据样本。

3.2 评价结果分析

根据实证理论模型提出的最大最小标准化法对数据进行标准化处理,进而采用熵值法计算每个指标权重,得到结果如表3所示。从表3可以看出,首先,安全漏洞发现和修复能力指标权值最大,说明该指标对于综合成绩影响系数最高;其次,网络安全技术应用能力及应急响应能力;最后,信息安全管理能力、工程开发能力、团队协作能力和职业素养,学习能力和创新能力对于综合成绩影响系数最低。

表3 各指标权重

根据熵值法求得的权值最终求出这50位同学的综合评价成绩,根据综合评价成绩进行评级,共有初级人员8名,中级人员38名,高级人员4名。初、中、高级占总学生数的比例,如图2所示,其中,中级占比最高,占总人数的76%;初级人员次之,占16%;高级人员最少,仅占8%。

图2 初、中、高级人员占比

通过基于熵值法的复合型网络安全实践人才评价体系对某高校50名网络安全专业学生进行能力评估。评估结果显示,通过高校的培养,大多数学生已经具备中级水平,但高级人才的数量少之又少,同时还存在一小部分学生处于初级水平。高校可根据评估结果,针对不同等级水平的学生进行针对性训练,可从安全竞赛、专业培训认证、安全会议、众测项目、攻防演练等方式入手,帮助学生提高实战水平。

4 结语

本文构建了一套基于熵值法的复合型网络安全实践人才评价体系,并利用该评价体系对某高校50名网络安全专业学生能力进行评估,最后针对评估结果进行分析。基于熵值法的复合型网络安全实践人才的评价体系按照4种考核方式、8种考核指标及3种能力层次等级,层层递进,符合科学性;体系采用熵值法为指标确定权值,对于不同样本会得到最准确的指标权重,符合准确性;基于熵值法的复合型网络安全实践人才评价体系针对不同等级的高校及企业均能够进行人才能力评估,符合实用性,能够为复合型网络安全实践人才的培养和选拔提供有效参考及依据。