1. 简介
1.1. 背景和动机
由于小型企业无法访问结构化系统,且缺乏大型组织通常拥有的专用资源,它们经常面临巨大的网络安全挑战 [ [1 ]。为大型企业设计的网络安全框架通常对小型企业来说过于复杂且不切实际,导致它们容易受到复杂的网络威胁 2 ]。这种复杂性可能导致小型企业实施临时的安全措施,从而无意中在其网络防御中留下漏洞。此外,这些小型企业通常依赖外部服务提供商或 IT 支持进行系统管理。然而,这种依赖可能会带来问题,因为这些提供商可能提供通用的监控服务,而不会提供有关其有效性的切实可理解的数据。因此,小型企业主可能缺乏必要的知识来严格评估这些措施,从而无法确定其网络安全策略的有效性,甚至无法就其安全态势提出相关的质询。这些挑战构成了我们所提出的人机协作框架专门用于解决的核心现实问题。
人机协作 (Human-AI) 为应对这些挑战提供了一个颇具前景的解决方案,即开发专门针对小型企业需求的定制化、易于访问的工具和框架。此外,学术环境也提供了一个独特的机会,让学生通过顶点课程参与到与行业相关的实践项目中,获得开发这些工具的实践经验。结构化的研发 (R&D) 议程可以支持在模拟咨询公司内开发此类资源,为学生创造可持续的项目机会,并协调教育目标和行业目标,以产生实际影响。
1.2. 研发议程的目的和范围
本项目的目标是建立一家模拟网络安全咨询初创公司,提供全面的商业和技术咨询服务,并根据小型企业的需求量身定制。为此,本文提出了一个研发议程,作为指导咨询能力和资源开发的结构化框架,重点关注实际实施和可扩展的解决方案。该议程在网络安全硕士项目的顶点课程中开发,旨在为学生提供实际经验,同时确保符合澳大利亚计算机协会 (ACS) 认证标准以及核心知识体系 (CBoK) 和信息时代技能框架 (SFIA)。该框架还旨在为多个利益相关者(包括学者、教育设计人员、项目主管、行业合作伙伴、工学结合 (WIL) 团队和学生)提供合作机会,让他们贡献专业知识、提供意见并提供反馈。通过将教育目标与实际行业应用相结合,该框架的各个阶段和交付成果旨在支持初创公司的成长和可持续发展,从而实现咨询实践的系统性和持续改进。此外,该议程的组织允许学生将他们的项目扩展到进一步的研究途径,提供攻读硕士或博士学位的机会,为网络安全知识和实践的进步做出贡献。
本研究以三个主要研究问题 (RQ) 为指导,分别探讨:(1) 设计一个可扩展的网络安全咨询框架;(2) 整合人机协作以提升生产力和可扩展性;(3) 使该框架与教育和行业目标保持一致。这些问题以及特定于第二阶段的研究问题和详细目标将在第 3 部分中介绍。
1.3. 论文结构
本文分为七个主要部分。第 1 节和第 2 节研究了面向开发的项目和面向研究的项目以及人机协作的基础方法,提供了背景并支持研发议程方法的选择。第 3 节阐述了影响研发议程初步设计和实施的三个研究问题 (RQ),并提出了一系列按发展阶段划分的次要研究问题 (SRQ) 以及研发议程的主要目标。第 4 节详细介绍了研发议程的设计和发展方法,讨论了与研究问题 1相关的面向开发的项目和面向研究的项目的核心要求和方法选择。第 5 节概述了四个发展阶段及其可交付成果,介绍了人机协作工作流程和顶点对齐,直接解决了研究问题 2和**研究问题 3。**第6 节反思了议程的影响、可扩展性和需要改进的领域,而第 7 节总结了贡献、教育和行业影响以及未来研究的方向。
2.文献综述
模拟网络安全咨询公司的研发议程提供了一个结构化的框架,用于开发和评估符合小型企业需求的信息系统 (IS) 工件。为了应对网络安全咨询领域的关键挑战,该议程依赖于一套支持开发导向和研究导向项目的基础方法。在制定毕业设计项目时,应仔细考虑并选择这些方法,并根据其实用性、适用性以及满足行业和学术需求的能力进行选择。此外,从设计人员、开发人员、最终用户和其他利益相关者等各利益相关者收集数据的可行性和设计,在选择合适的方法来回答研究问题 (RQ) 时起着关键作用。因此,每种方法的选择都旨在促进系统性的数据收集、迭代改进和项目评估,确保与议程的实践和学术目标保持一致。
2.1. 发展导向项目的方法论
研发议程中的开发导向型项目专注于创建实用的咨询产品,例如工具、模板和资源,供小型企业用于增强网络安全实践。这些项目的主要方法包括设计-构建-测试-学习 (DBTL);敏捷方法、参与式设计 (PD);以及以用户为中心的设计 (UCD)。这些方法支持迭代设计和持续改进,这对于开发有效且以用户为中心的咨询工具至关重要。
DBTL是一种结构化方法,广泛应用于工程和信息系统领域,提供设计、开发、测试和学习的循环,支持快速原型设计和调整 [ 3 ]。对于面向开发的项目,DBTL 有助于快速迭代,使团队能够根据用户反馈和性能测试改进成果。这种方法与咨询环境非常契合,在咨询环境中,解决方案必须灵活且能够响应客户需求。通过 DBTL 循环迭代,成果得到不断改进,从而增强其与小型企业网络安全的相关性和适用性。
敏捷开发是咨询工具开发的另一个关键方法,强调灵活性、渐进式改进以及对利益相关者反馈的响应 [ 4,5 ]。其迭代特性支持模块化的项目开发方法,使学生团队能够分阶段创建成果,每个增量都建立在之前的迭代之上。这在短期教学中尤其有益,因为它允许团队快速生成功能性成果,然后可以根据客户和利益相关者的补充意见进一步完善。敏捷开发注重渐进式进展,确保以开发为导向的项目能够适应不断变化的网络安全需求。
在最终用户输入至关重要的项目中,PD和UCD方法也会被考虑。PD直接让利益相关者参与设计过程,确保开发的产品符合他们的实际需求和偏好 [ 6 , 7 []](https://www.mdpi.com/2624-800X/5/2/21#B7-jcp-05-00021)。这种方法通常被视为一种设计方法,而非严格的研究方法 [ 8 ],并且在咨询环境中尤其重要,因为了解小型企业客户面临的独特挑战可以带来更有效的解决方案。
相比之下, UCD则包含一套广泛的理念和一系列方法,专注于设计优先考虑最终用户易用性和可访问性的成品[ 9 ]。UCD 描述了最终用户影响设计成形的设计流程;用户参与的方式多种多样[ 10 ],但基本原则是他们以某种方式参与。通过围绕用户需求和反馈进行设计决策,UCD 提高了成品的可用性,使其特别适合小型企业客户独立使用的工具。PD 和 UCD 共同帮助确保在研发议程中开发的成品不仅功能齐全,而且易于访问且与最终用户相关。表 1提供了面向开发的项目方法比较。
表 1. 面向发展的项目方法论比较。
表 1. 面向发展的项目方法论比较。
| 方法论 | 二丁基硫代磷酸酯 | 敏捷开发 | 局部放电 | 都柏林大学 |
|---|---|---|---|---|
| 焦点/目标 | 通过迭代循环开发和完善实用工具或框架。 | 通过利益相关者的持续反馈,频繁迭代以改进工具。 | 与利益相关者共同创造解决方案以确保相关性和可用性。 | 根据用户需求设计解决方案,并持续反馈以形成结果。 |
| 核心活动 | 不断设计、构建、测试、学习和改进。 | 迭代开发、发布并收集用 |