建立渗透测试型人才能力评估的综合评价模型

作     者：章秀 刘宝旭 龚晓锐 于冬松 赵蓓蓓 刘媛 ZHANG Xiu;LIU Baoxu;GONG Xiaorui;YU Dongsong;ZHAO Beibei;LIU Yuan

作者机构：中国科学院信息工程研究所北京100093 中国科学院大学网络空间安全学院北京100049 

基　　金：中国科学院网络测评技术重点实验室和网络安全防护技术北京市重点实验室资助 北京市科委项目(No.Z191100007119010,No.Z181100002718002)课题资助 

出 版 物：《信息安全学报》 (Journal of Cyber Security)

年 卷 期：2024年第9卷第6期

页      码：172-207页

摘      要：网络安全人才的培养和选拔,离不开一把衡量人才的“尺子”。以通用漏洞评分系统作为参考范例,一个具备可操作性的评价模型,不能只是一个抽象的思考模型,而是应当包含准则、权重、量化取值方法、计算公式、得分和评级6个要素,现有模型在这些要素上都有不同程度的缺失。因此,本文以多轮问卷调查的形式,综合运用了多种定性与定量评估方法,建立起了具备以上6个要素的渗透测试型人才能力评估的综合评价模型,取名为CEMoPT。首先,我们运用德尔菲法,通过文献阅读归纳形成了评价准则结构和准则项定义;然后,采用层次分析法、熵权法和组合赋权法,得到准则权重;并设计了基于隶属度矩阵标注任务的方法以获得准则量化取值;最后使用模糊综合评价法中相应的计算公式,得到人才的得分和评级。我们设计了在线问卷,招募了72名领域专家,对CEMoPT的6个要素依次开展评议,并严格遵循稳定性度量与共识性度量约束,经历了最长4轮迭代。具体来说,CEMoPT的评价准则包括5个基本度量组和18个准则项,权重是主观权重和客观权重的组合赋权结果,数学公式的核心元素是隶属度矩阵,综合评级分为新手、学徒、高手、专家和大师5级。本文通过设计对比实验,验证了CEMoPT的可靠性。模型建立过程严格遵循科学方法所要求的诸多度量和检验约束,保证了CEMoPT的有效性。

主 题 词：渗透测试型人才 综合评价模型 德尔菲法 层次分析法 熵权法 组合赋权法 模糊综合评价法 

学科分类：08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.19363/J.cnki.cn10-1380/tn.2022.12.09

馆 藏 号：203156441...