软件安全保障专业技术研究

1引言

在FORTRAN语言出现之前软件就已经诞生。20世纪60年代末和70年代初，随着结构化编程，结构化设计，模型和过程模型（如瀑布模型）的出现，软件工程逐步发展为一种职业。软件安全保障胜任力模型为该行业提供了两点优势：首先，一个标准的模型可以为该行业的雇主界定其员工所需具备的基本能力提供参考；其次，组织、机构可借助该模型为其员工建立一个通用的胜任力要求的最小集，更重要的是它可以帮助企业为任何项目量身定制一套精确的胜任力需求集合。从员工个人的角度来说，胜任力模型将为软件安全保障的专业人员提供一个改善绩效的标准线路图，指明其为获得某个职位或攀爬其职业胜任力阶梯所需继续学习的技能。

2软件保障胜任力模型

鉴于本文的研究目的，将“软件安全保障”采用如下定义：为达到要求的置信概率——软件系统和服务以预期的方式工作，不受意外或人为故意的漏洞的影响，提供适当的危险环境下的安全功能并可从非法入侵和故障中恢复的所应用的技术或程序[1]。本文提出的软件安全保障胜任力模型将为管理人员提供对现有的和潜在的软件安全保障员工能力评估的手段；为学术或培训机构开发适应软件安全保障的行业需求的培训课程提供一定的参考；模型将为软件安全保障专业人员提供个人发展指导和职业规划。

2.1软件保障胜任力模型特征

软件安全保障胜任力模型分为五个层次(L1-L5)，以区分不同层次的专业能力——包括知识、技能和有效性[2]：

2.1.1L1——技术人员通过技术资格认证或在职业院校相关专业学习获得技术知识或技能,有系统操作员、实现者、测试员和系统维护员工作经历，能够独立完成更高层次管理者分配的任务。主要任务：低等次的实现、测试和维护。

2.1.2L2——职业入门层拥有基于应用的知识和技能和入门级职业效能，获得计算机相关专业的学士学位或具备同等的工作经验。具备管理一个内部小项目、监督并为L1人员分配子任务、监督并评估系统操作，并建立普遍接受的保障规范的能力。主要任务：主要原理、模块设计和实施。

2.1.3L3——从业者所拥有知识、技能和职业能效的深度及广度超过L2，通常具有2-5年的专业工作经验。可执行L2人员的全部任务外，还具备为内部项目制定计划、任务及日程安排，定义并管理项目，监督企业层面的团队，评估系统保障质量，建立并健全普遍接受的软件保障规范的能力。主要任务：需求分析、结构设计、权衡分析和风险评估。

2.1.4L4——高级从业者所拥有知识、技能和职业能效的深度及广度超过L3，有5-10年的工作经验及高阶的职业发展计划，具有硕士学位或受过同等的教育/培训。可执行L3人员的所有任务，并能够确定和探索有效的软件保障措施，以实现、管理大型项目，与外部机构进行交互等等。主要任务：保障评估，保障管理，跨越生命周期的风险管理。

2.1.5L5——专家胜任力水平超越L4；通过开发、修改和创建研究方法、实现措施以及整个组织层面及以上的理论推进领域的发展；得到同行的认可。通常包括很小一部分（如2%或更少）软件保障行业某一组织的员工。

2.2软件安全保障的知识、技能和效果

列出了胜任力模型中的知识领域。每个知识领域进一步划分成二级单元[3]，针对每个单元，进一步描述了每个层次对应的胜任力活动。

3软件安全保障胜任力模型应用实例

软件保障胜任力模型在实际中有多种方式的应用。例如，某组织打算招聘一个入门级的软件安全保障专业人员，则可以L1及L2作为岗位考量标准，并将其中的部分条件纳入工作或职位的描述。另一应用者是软件安全保障课程资源的开发或在软件工程课程中加入软件安全保障内容的高校教师[4]。模型层次的应用可帮助教师规划高职学生、本科生以及研究生课程内容深度。

4结语

本文提出的软件安全保障胜任力模型为评估和提升软件保障专业人员能力奠定了基础。第一层次至第五层次的胜任力跨度以及将其分解为个人胜任力的论述为组织或个人提供了必要的细节，以确定整个知识域和知识元中软件保障胜任力。该模型还为一个组织提供了一个框架，使胜任力模型的特征适应于组织的特定领域、文化或结构。

作者：侯洁 单位：天津医科大学医学英语与健康传媒学院