史一鸣， 吴木林， 郑 欣

(安徽商贸职业技术学院 经济贸易系， 安徽 芜湖 241002)

虚拟企业成员信息安全胜任评价模型

史一鸣， 吴木林， 郑 欣

(安徽商贸职业技术学院 经济贸易系， 安徽 芜湖 241002)

在分析成员间内部信息攻击行为的特点及胜任特征的基础上，构建了虚拟企业成员信息安全胜任特征评价指标体系和胜任特征评价模型。模型基于安全风险防范思想，将评价分为两个环节，综合考虑了决策者制定决策偏好和候选成员的个性优势，更实际地反映了候选成员间的差别。案例分析验证了该评价模型的有效性和实用性。

虚拟企业成员； 评价; 模型; 信息安全

0 引 言

虚拟企业是一种新兴的组织形式，在世界经济一体化与信息技术革命的大背景下已成为企业的现实选择。虚拟企业具有对市场需求高度敏感性、企业边界模糊、能力专门化、高度的流动性和灵活性、利润共享风险共担、以发达的信息网络为基础等一系列新的特点，但同时也给企业带来了一些新的风险，如核心技术泄露、成员信任危机等。虚拟企业是一种网络式的联盟，其中信息可以在联盟成员之间充分地共享，但随着信息技术应用在广度和深度上的快速推进，信息安全问题日益凸显。信息系统的安全问题涉及到国家和信息用户的根本利益[1-3]。与此同时，信息泄露事件频发，信息系统所面临的安全风险日趋严重。近年来，越来越多的实证表明虚拟企业内部联盟信息系统与信息管理的安全问题是信息系统所面临的主要安全风险[4]，美国FBI(Federal Bueau Investigation)的相关评估报告显示80%的攻击和入侵行为来自组织内部，与此同时,一些研究显示内部信息安全防范并未得到足够的重视[5]。内部攻击可分为主观故意攻击行为和无意识攻击行为，其中主观故意攻击行为源于内部成员基于特定目的利用其对组织和信息系统熟悉及工作之便，对信息系统的数据进行破坏、欺诈和窃取；无意识行为则是组织成员信息安全防范的知识和技能缺乏，或是主观上感知偏差、判断失误等造成的信息安全破坏行为[6-8]。因此,需对虚拟企业内部信息系统与信息管理成员加以科学的甄别和评价，找到能够胜任信息安全职责的成员，消除成员的内部攻击行为，从而实现从源头上确保信息系统安全态势评估技术，通过信息系统安全态势评估，发现信息系统的脆弱性和所面临的威胁，并分析安全事故发生的可能性和后果，从而掌握系统安全态势，评估的方法包括模糊数学、神经网络、贝叶斯网络、粗糙集等方法[9-10]。借助这些方法建立了信息系统安全风险评估模型，但很少有文献涉及到成员信息安全方法方面。针对上述研究中存在的不足，将虚拟企业成员信息安全胜任特征加入内部成员甄别和综合评价分析中，建立虚拟企业内部成员信息安全胜任特征评价模型，为虚拟企业成员的合理选择，防范内部攻击提供科学参考依据。

1 虚拟企业内部成员信息安全胜任特征分析

最早在1973年发表的“Testing competence rather than intelligence”一文将胜任特征界定为：与工作或生活中的重要职能直接相联系的知识、能力、特质或动机[11]。目前，胜任特征的研究主要集中在管理职能的胜任特征，比如Spencer[12]等建立的胜任特征洋葱模型，此模型对胜任特征的研究深入到了更加系统与全面的层次，此外管理者胜任特征模型的建立者Boyatzis提出了可以延伸至各个部门的6个方面的胜任力及19个子胜任特征，对今后的胜任力研究奠定了基础[13]。上述两个模型主要涵盖了人格/动机、特质/自我形象、态度、知识/技能等4个方面，文中以此为分析框架，通过内部攻击行为特点分析进行胜任特征构建。由于内部攻击源于主观故意攻击行为和无意识攻击行为两类差异较大的行为，因此对虚拟企业成员胜任特征的构建也需要从上述两个视角进行，其中,具有潜在主观故意攻击行为的成员很大程度上源于其动机，可以从负面人格特质进行甄别，一些研究表明,负面人格特质引发的破坏性行为导致个体失败，且负面人格特质与任务绩效、关联绩效、整体绩效有关联关系，可以辨识产生偏差行为和主观故意攻击行为[14]；而无意识攻击行为主要表现为信息安全知识、技能和工作态度的缺乏，判断依据为知识/技能和态度两方面的胜任特征，因此相关的胜任特征确立如下：从虚拟企业内部确保信息的真实性，同时灵活、有效地应对各类软件硬件故障的需求来看，需要内部成员同时具备较高的知识水平，知识水平包括专业知识的掌握情况、学习能力、开发经验总结能力、对相关信息收集整理能力等；从组织内部信息保密性、完整性等要求来看，内部成员需要具备较好的工作态度，即判别依据为态度这一方面的胜任特征，具体包括主动性、诚信、严格自律、任务导向等。另外，信息安全岗位需及时、灵活应对各类威胁信息安全的行为，工作压力较大、强度高，需要后选成员具有较好的专业素质，判别依据为特质/团队意识这一方面的胜任特征，包括团队精神、体制、气质等。综上所述，结合已有文献对岗位胜任特征进行较全面的总结，组织内部员工信息安全胜任特征可归为5个方面：负面人格特质、知识水平、团队意识、工作态度和专业素质。

表1 虚拟企业成员胜任特征评价模型

2 虚拟企业内部成员信息安全特征评价模型

根据虚拟企业内部成员信息安全特征评价的内容，评价涉及多项评价指标和综合评价，其中集成加总一般包括赋权和加总模型两个部分：赋权一般包括客观赋权法、主观赋权法和主客观相结合赋权法三类[15]，基于胜任特征评价具有竞争、选拔的功能，采取了基于个性优势的赋权法，该方法属于客观赋权法，一方面能够避免主观因素介入导致的随意性，另一方面还给予了被评价对象体现自身竞争优势和成绩的优势，体现公平竞争的原则[16]；加总模型采用了Lp-metric的聚合函数的VIKOR法，该方法与常用的TOPSIS方法相比，避免了TOSIS方法排序过程中存在的缺点，最大化了群体效用且提供了多种加总方式，更易为决策者介绍[17]。

虚拟企业内部成员信息安全胜任特征评价模型建模过程如下：

步骤1：初步筛选。依据刚性评价指标，即必须满足的评价指标，对候选成员进行初步筛选，从而得到可行的m(m

步骤2：确定胜任特征的权重。在评价问题中，权重系数是一个十分关键的因素，在实际应用中具有重要的指导意义，代表了人们对综合评价的价值取向。在内部信息安全成员组成和建设过程中，需对候选成员进行评比、选拔，这都属于综合评价问题。在综合评价过程中的权重设置环节给予候选成员发出自己的声音，表达自身优势和成绩的机会，并在其中予以体现，能够更好挖掘候选成员的相关信息，体现公平竞争的原则，建立最能体现自身竞争优势的价值来表达优势和成绩。由此，文中从被评价对象“最大化自身利益”的角度出发，借助候选员工的个人胜任评价信息构建个性识别模型进行评价对象ri的个性优势识别，进而得到代表候选员工的权重向量Wi。具体过程如下：

对于m个候选成员，n个胜任特征评价指标得到的评价结论(评价值)用矩阵R表示，即：

(1)

(2)

当评价指标Lj为最小化指标时，其计算方法为：

(3)

把所有评价指标的理想值集中到一起，就得到一个最优解，反之，将所有评价指标的负理想值集中到一起，得到一个最差解。

2)确定代表候选成员的权重向量Wi。候选成员表达自身的利益诉求，通过建立自身的价值取向，影响最终的评价结果，其表现形式为选取对其有利的权重设置方案，由于VIKOR同样为基于距理想点法思想的加总方法，因此当某个评价对象的评价指标值距理想点的距离有明显优势时，应相应地增大评价指标权重，这对该评价对象而言能够显著提高综合评价结论，对其最为有利，因此基于这一思想，对ri而言将其权重向量的个体识别模型设定为：

(4)

步骤3:计算最终价值Di。Ii=(I1,I2,…,Il)表示第i候选成员在m组权重向量下的评价值。Di代表了在所有权重取值下的评价值，其计算公式如下：

(5)

式中:I=(I1，I2，…,Ii)表示第i个候选成员的最终评价值;S=(S1，S2，…,Sl),R=(R1，R2，…,Rl)分别为候选成员的各项胜任评价指标的评价值与相应的正负理想值的相对接近度，v一般取0.5。v大于0.5时，表示根据大多数决议的方式制定决策；v接近0.5时，表示据赞同情况制定决策；v小于0.5时，表示根据拒绝的情况制定决策。S+为群体最大效用，R+为最小个别遗憾。

步骤4:候选成员排序。按Di的值从小到大进行排序，得到候选成员优先排列序列，序列中排在前面的候选成员优先于排在后面的候选成员。

3 案例分析

某制造企业加大了信息化投入，但由于自身技术资源的不足，需选择虚拟企业合作伙伴的加盟合作。为了确保信息安全，需对涉及信息安全的12个成员进行筛选。文中借助此案例进行模型有效性的验证，第一步是对负面人格特质进行初步筛选，评判结果见表2。

表2 负面人格特质评价结果

由表2可以看出，候选成员3和候选成员7均值表现为重度负面人格特质而被筛掉，候选成员1和候选成员4由于单项指标表现为重度负面人格特质而被筛掉，经过初步筛选最后剩余的候选人为8人。

经过筛选后，分别针对每个胜任特征所涉及的内容从不同的角度设计测量条目，采用10点式利克特量表，让被测试者给出对每个条目的同意程度，打分时选的数字越大表示越赞同，1分为最低分，表示非常不赞同该胜任特征，10分为最高分，表示非常赞同该胜任特征，从而得到了8名成员在4项胜任特征上的得分，打分结果见表3。

表3 胜任特征评价结果

步骤1：确定正理想解和负理想解。在4项胜任特征指标中，全部为最大化指标，越大越好，即收益型准则。根据式(2)分别计算胜任特征指标的正理想解和负理想解，结果见表4。

表4 胜任特征评价指标的正理想解和负理想解

步骤2：确定权重设置方案。根据候选成员各项评价指标取值情况，根据式(3)得到集成候选成员意见的权重向量，见表5。

表5 权重设置方案

由表5可知，以候选员工2为例，其权重设置方案(及权重系数)中第一项(知识水平)取值为0.641，说明其最大的个性优势特征体现该胜任特征指标上，在这个指标上，其他的7个候选成员都与其有较大的差距，具有绝对优势。从中不难看出，权重设置方案揭示了候选成员的个性优势特征，决策者可以根据个性优势的差别，结合对候选成员的个性偏好，辅助步骤3得到的最终评价价值进行相关的决策。

步骤3：候选成员最终评价值。决策偏好根据赞同情况制定决策，因此将决策机制系数设为0.5，由式(4)得到最终评价值为：

P1={ 0.569,0.587,0.269，0.378，

0.901,0.644,0.410,0.496}

为了对文中方法(P1)结果进行对比分析，利用TOSIS方法对候选成员进行了综合评价，评价过程中权重采用了基于信息熵的权重设置方案(P2)。引入信息熵的权重设置方案主要是考虑到文中的权重设置方案与基于信息熵的权重设置方案两种方案均为客观赋值法，便于比较方法的特点。最终结论见表6。

表6 胜任评价结果

由表6可知，文中方法与作为对比的方法有较大差别，尽管在最佳候选成员识别上二者相同，但其后成员认定均不相同，且从文中评价结果上看,排序第一的候选成员2与其后的候选成员7和候选成员9差距明显，而作为对比的方法则三者差别很小，几乎可以忽略不计，差别主要来自两个方面:一方面权重设置方案的差异，方法P1的权重设置方案较多地考虑了个性优势差异，方法P2则更多地考虑评价指标所承载的信息量；另一方面，文中方法结合决策者制定方式多样性的实际特点，借助Lp-metric聚合函数，更加科学全面地对指标进行加总。从前述的分析可以得知，文中方法综合考虑了决策者制定决策偏好和候选成员的个性优势，更实际地反应了候选成员间的差别。最后依据最终评价结论排序，结合候选成员的优势胜任特征，本实例中候选成员7,8,11为优先考虑对象。

4 结 语

针对虚拟企业内部成员信息安全胜任评价问题，在分析内部信息攻击行为的特点以及全面总结胜任特征相关研究成果的基础上，构建了内部成员信息安全胜任特征评价指标体系，这为设计信息安全的内部成员的科学规范选拔、配置奠定了基础，在此基础上构建了内部成员信息安全胜任特征评价模型。模型将胜任评价环节分为两个阶段，首先排除了具有显著负面人格特质的成员，其次对余下的胜任特质进行综合评价，评价过程中一方面通过引入优势识别思想强化了对原始指标数据深层信息的挖掘，实现对候选成员个体优势识别，据此形成权证设置方案，与常用的AHP方法、熵权法等赋权方法相比，尊重了每位被评价者的意见，形成的结论更易为被评价者接受，避免了评价排名作为最终结果未能揭示胜任评价的内在规律的弊端，提高了评价模型的实用性，另一方面VIKOR方法提供了3种新的指标加总方法供决策者选择，克服TOPSIS,PROMETHEE等方法加总方式单一，未考虑决策者制定方式多样性的不足，更实际地反应了候选人的差别。最后利用某企业的挑选虚拟企业合作伙伴的内部成员信息安全胜任遴选为例，对提出的胜任评价模型进行了案例分析，结果表明，文中模型具有可操作性和实用性，可以为用户合理遴选、评价涉及信息安全的虚拟企业合作伙伴提供有效的借鉴。

[1] Jouko Karjalainen. Tero haahtela, pekka malinen and vesa salminen, profit an risk sharing in a virtual enterprise[J]. International Journal of Innovation an Technology Management,2004,1(1):75-92.

[2] Huang M, Ip W H, Yang H M, et al. A fuzzy synthetic evaluation enbedded taby search for risk programming of virtual enterprises[J]. Int. J. Production Economics,2008,116(1):104-114.

[3] 卢福强，黄敏，王兴伟.基于PSO的虚拟企业风险管理的随机规划模型[J].系统仿真学报，2009,21(20)：6621-6625.

[4] OuYang Y P, Shieh H M, Tzeng G H. A VIKOR technique based on DEMATEL and ANP for information security risk control assessment[C]//Information Sciences,Article in Press.2011.

[5] 应凌云，杨轶.软件动态分析与信息系统安全[J].中国科学院院刊，2011,26(3)：310-315.

[6] 付钰，吴晓平，叶清.基于改进FAHP-BN的信息系统安全态势评估方法[J].通讯学报，2009,30(9)：135-140.

[7] 阙喜戒，孙锐，龚向阳.信息安全原理及应用[M].北京：清华大学出版社，2003:1-50.

[8] Ebru Yeniman Yildirima, GizemAytacb, Nuran Bayramb. Factors influencing infrmation security management in small-an medium-sized enterprises: Acase study from turkey[J]. International Journal of Information Management,2011,31(4):360-365.

[9] 林梦全，王强民，陈秀真，等.基于粗糙集的网络信息安全评估模型研究[J].控制与决策，2007,22(8)：951-955.

[10] Lo C C, Chen W J. A hybrd information security risk assessment procedure considering interdependences between controls[J]. Expert Systems with Applicationsm,2013,39(1):247-237.

[11] Mc Clelland, David C. Testing for competence rather than for intelligence[J]. American Psychologist,1973,28(1):1-14.

[12] Boyatzis T E. The competent management:a model for effective performance[M]. New York: John Wliey,1982:1-20.

[13] Spencer L M, Spencer S M. Competence at work: models for superior performance[M]. [S.l.]: John Wliey & Sons, Inc.,1993:1-50.

[14] Keng Siau, Xin Tan, Hong Sheng. Important characteristics of software development team members:an empirical investigation using repertory grid[J]. Information System Journal,2010,20(6):563-580.

[15] 姜昱汐，迟国泰，严丽俊.基于最大熵原理的线性组合赋权方法[J].运筹与管理，2011,20(1)：53-59.

[16] 贾建锋，赵希男，孙世敏.基于比较优势的组织绩效评价方法及实证研究[J].KEYAN GUANL,2011,32(2):151-159.

[17] Opricovic S, Tzeng G H. Extended VIKOR method in comparison with outranking methods[J]. European Journal of Operational Research,2007,17(2):514-529.

Information security competency evaluation model for virtual enterprise

SHI Yi-ming, WU Mu-lin, ZHENG Xin

(School of Economic and Trade, Anhui Business College, Wuhu 241002， China)

By analyzing the characteristics and competency of information aggressive behavior among the virtual enterprise members, we establish both the index system and mathematical model of competency feature evaluation t for the virtual enterprise members. Based on security risk protection, the model is divided into two sections which take into account the personality of the decision makers and individuality of the team members. The example shows that the model is effective and practical.

virtual enterprise members; evaluation; model; information security.

2014-05-25

安徽省高等学校省级重点质量工程项目(2012ZY108); 安徽商贸职业技术学院资助项目(ZL201101,ZL201212)

史一鸣(1986-)，女，汉族，吉林长春人，安徽商贸职业技术学院助教,硕士，主要从事虚拟企业组织管理、营销与策划方向研究,E-mail:sym727@126.com.

F 224

A

1674-1374(2014)06-0616-06