基于风险感知的个人安全保密行为模型
2019-06-27王涵
王涵
摘 要:国家秘密关系国家安全,商业秘密关系企业的核心竞争力,一旦泄露会给组织利益造成损害。而涉密人员是履行保密责任的主体,对个人行为的研究、对安全保密工作的开展具有理论意义和应用价值。梳理安全保密行为研究成果,重点关注对泄密风险的感知,建立基于风险感知的安全保密行为模型和假设,并在人才培养、制度建设和宣传教育方面提出做好安全保密工作的建议。
关键词:安全保密行为;风险;组织个体;计划行为理论;恐惧诉求;威慑理论
中图分类号:F49 文献标志码:A 文章编号:1673-291X(2019)12-0196-04
引言
涉密人员是履行保密责任的主体,窃密和泄密都是人的行为,窃密和反泄密斗争归根结底是人的斗争。所有安全保密技术手段都是人来使用的,人是安全保密防护体系不确定性的因素。再好的安全保密防护措施和成熟的信息系统也会因人的参与而体现出脆弱性,强壮的访问控制机制和密码系统可能因管理员的配置不当而失去作用,防火墙和WAF设备也可能因使用者的操作失误而被绕过;另一方面,隐蔽的漏洞也会因可能导致窃密成功的可能,而被窃密者发现。
研究表明,安全保密技术手段在一定程度上影响工作效率,使用者经常选择最简单的安全策略配置甚至直接绕过安全防护,导致安全保密技术失效。社会工程学攻击利用了使用者保密意识的缺失和人性的弱点,甚至通过金钱贿赂、美色诱惑等手段策反可能知悉涉密信息的人员,尤其是组织领导和信息系统管理员,直接或间接泄露国家秘密、商业秘密以及其他需要保密的工作信息。
由于人的成长环境、知识结构和能力的不同,导致对安全保密的认识也参差不齐,对保密技术手段的使用程度不一样。保密工作需要培养具有符合知识背景的专业人才,加强保密教育培训,提高人的保密意识和素质,防止违规行为导致的失泄密事件的发生。
一、文献综述
目前,国内外对信息安全行为的研究对象包括组织员工对信息安全制度的遵从行为、组织员工对信息安全制度的违背行为、组织员工对信息系统的误用和滥用行为、信息安全保障行为和信息安全疏忽行为等,但针对保密情境下的个体行为仍有待研究。国内保密行为研究大多仍停留在宏观的、定性的层面,公共政策和法学研究、政府和企业案例研究比较多,定量的保密行为研究比較少。
方星等以北京地区的中小企业员工为研究对象,验证了计划行为理论中行为信念、规范信念、控制信念和行为态度、主观规范、知觉行为控制等变量对企业普通员工信息安全行为意向和信息安全实际行为的影响。Ifinedo将动机保护理论、恐惧诉求理论等与计划行为理论结合;Nader加入了感知威胁的严重性、感知威胁的易损性、反应效能、反应成本、自我效能等变量解释组织个体的信息安全行为;Johnston等分析了恐惧诉求理论中的感知威胁的严重性和感知威胁的易感性对动机保护理论中的响应效能和自我效能的影响,进而对个人的信息安全行为意向产生影响;甄杰等基于保护动机理论和恐惧诉求理论的整合视角,采用案例研究的方法对组织内部员工的信息安全保护行为进行研究;石栩楠基于计划行为理论,引入了威慑理论研究企业信息系统中员工行为的影响因素,将威慑理论的正式约束、非正式约束和羞耻等变量加入到模型中。
二、研究模型
本文所指的安全保密行为是指信息安全行为中与信息保密相关的行为,在信息系统安全中侧重保密性的保障。需要保密的信息可能包括国家秘密、商业秘密以及其他组织需要保密的工作信息。本文所定义的组织包括政府机关、企事业单位和其他所有在日常工作中产生需要保密的信息的组织,不仅包括狭义上产生、接触和知悉国家秘密的政府、国企和军工单位等,也包括对商业秘密和工作秘密的安全保密工作有需求的民营企业、私人企业甚至外资企业等。
组织中的个体指包括涉密人员和非涉密人员在内的所有接触和知悉需要保密的信息的人员,应当采取安全保密行为保护信息在一定时间内仅限规定范围的人员知悉。泄密行为会使所在组织安全和利益遭受损害,严重的会影响国家利益。组织中的个体被其他组织渗透策反、违反安全保密制度规定、信息系统被恶意入侵、员工对信息系统不了解、缺乏保密意识导致的消极不作为等行为都可能导致泄密事件的发生。
本文基于信息安全行为的相关研究和理论模型,以计划行为理论为基础,将经验和投入作为行为信念的心理变量,将保密制度作为规范信念的心理变量,假设行为态度、主观规范共同影响组织个体采取安全保密的行为意向,进而间接影响个人实际的安全保密行为。基于对泄密风险的感知,本文引入了恐惧诉求理论,将对风险后果的严重性感知作为感知威胁严重性的心理变量,与自我效能一起正向影响个体的安全保密行为。根据威慑理论,保密制度等正式的和道德规范等非正式的约束,以及泄密事件可能带来的羞愧可能会影响组织员工对泄密风险后果严重性的感知。其中,保密制度是计划行为理论和威胁理论的共同变量,具体模型(如下图所示)。
三、研究假设
(一)基于计划行为理论的假设
行为信念是个体安全保密意识的体现,表示着个人采取安全保密行为和自身的联系。本文将经验与投入作为行为信念的心理变量,组织个体的工作经验将会影响他对行为结果的估计,在安全保密领域受到组织的培训、教育等经验使得个体认识到泄密风险的存在和泄密后果的严重程度,进而将会采取安全保密的行为。因此,可以提出以下假设:
H1:经验和投入正向影响组织个体对安全保密行为的态度。
在计划行为理论中,主观规范是解释周围其他人的观点和看法对个体决策行为的影响的变量。组织的保密制度可以代表组织的安全保密规范,在组织中形成保密的文化和氛围,对于组织中绝大部分人都会产生潜移默化的影响。因此,本文将保密制度作为规范信念的心理变量,提出以下假设:
H2:保密制度正向影响组织个体对安全保密行为的主观规范。
模型中提出的行为态度是指组织中的个体对采取安全保密行为的态度,体现了个人采取安全保密行为的倾向。一方面,如果组织中的个体对待安全保密行为的态度是消极的,那么他对待保密工作的重视程度不够,保密意識淡薄,认为保密工作是没有必要的、没有作用的、没有价值的,就会倾向于不遵守保密制度和流程,增加组织需要保密的国家秘密、商业秘密等工作信息泄露的风险。另一方面,持有积极行为态度的组织内部员工,能够认识到违反保密规定的行为可能带来的泄密风险和对组织利益造成的损害,倾向于在工作中注意安全和保密,采取符合保密制度和流程的行为。因此,可以提出以下假设:
H3:对待安全保密的行为态度正向影响个体采取安全保密行为的意向。
本模型定义的主观规范指的是组织内部个体按照保密制度流程行动时所预期和感受到的压力,即个体在组织中采取安全保密行为受到社会因素的影响。
组织通过制定安全保密制度流程等具体政策,对组织中个体的泄密行为进行限制,鼓励员工采取遵从安全保密制度的行为。在组织中,个体采取安全保密行为的意向受周围领导、同事和下级的影响,当大部分人都遵守安全保密制度流程时,该个体也倾向于采取安全保密的行为。当组织中绝大部分人都采取安全保密行为时,建立了组织的安全保密文化和氛围,来自周围人的压力使得新进入组织的个体倾向于与大部分人保持一致,遵守安全保密制度流程。因此,可以提出以下假设:
H4:对待安全保密的主观规范正向影响个体采取安全保密行为的意向。
行为意向是计划行为理论中行为态度、主观规范和知觉行为控制对个人实际行为影响的中间变量,体现了个人执行某项特定行为的意愿。模型定义的安全保密行为意向包括积极的保守组织秘密信息的行为意向和消极的泄密行为意向,其中泄密行为意向包括:违反组织保密制度和规定的行为意向,不遵守保密工作流程的行为意向、故意泄露组织内部秘密信息,以及分享组织内部工作资料和信息的行为意向等。安全保密行为意向与泄密行为意向相对立,是指组织内部个体遵守组织保密制度和流程,保守组织的国家秘密、商业秘密和需要保密的工作信息的行为。根据计划行为理论,可以提出以下假设:
H5:采取安全保密行为的意向正向影响个体实际的安全保密行为。
(二)基于动机保护理论的假设
模型的自我效能变量定义为组织中个体保守秘密的能力,即个人对自己行动的控制能力和遵守保密制度流程的能力,反映了个人对安全保密知识和技能的掌握能力、对安全保密行为的执行能力。如果组织内部的个体越相信自己具备保守秘密的能力,那么可以认为他越倾向于采取遵守安全保密制度流程的行为。当他认为自己能控制自己的行为,遵守保密制度和流程,保守组织的秘密的时候,将会提升他采取安全保密行为的意愿,越有可能采取安全保密的行为。因此,可以提出以下假设:
H6:对待安全保密的自我效能正向影响个体安全保密的实际行为。
感知威胁的严重性是恐惧诉求理论和动机保护理论中的核心变量之一,是威胁评估中对威胁严重性的判断,也被称为感知严重性。感知威胁的严重性表示个人对特定行为造成威胁的严重程度的认知。泄露国家秘密、商业秘密和其他组织需要保护的工作秘密可能给组织个体带来的后果还包括经济上的赔偿和社会道德舆论的谴责等。另一方面,泄密会给组织造成安全和利益上的损失,间接对个体产生影响。
如果组织中的个体对泄密风险的后果有足够的认知,能够充分意识到泄密行为给组织带来的损失的严重程度和对自己的不良影响,可能会对他采取安全保密行为的意向产生正向影响,使他倾向于保守组织中需要保护的国家秘密、商业秘密和工作秘密。当他对泄密风险后果的严重程度的判断越积极,他就越倾向于避免泄密事件的发生,从而采取安全保密行为。因此,可以提出以下假设:
H7:对泄密风险后果严重性的感知正向影响个体的实际安全保密行为。
(三)基于威慑理论的假设
威慑理论中对于组织政策违背行为的最主要威胁被称作正式约束,指的是正式的惩罚方式,包括剥夺政治权利、人身自由和财产的刑事责任,赔偿损失、赔礼道歉等民事责任以及吊销驾驶执照、营业执照等其他惩罚方式。正式约束一般表现为法律规定的制裁和组织对政策违背行为的惩罚。有研究结果证明,正式约束起到的威慑作用是最为强烈的,对行为后果的严重性的判断和对刑事责任、民事责任等惩罚的恐惧会影响个人的行为。
模型将保密制度作为威慑理论中的正式约束变量使用,是由于保密法律法规、规章制度都具有追究责任和惩罚相关条款条约,对组织个体具有强制约束力。因此,可以将保密制度作为威慑理论的正式约束变量,提出以下假设:
H8:保密制度正向影响组织个体对泄密风险后果严重性的感知。
除了法律法规等正式威慑之外,对于威慑理论的研究表明社会规范对个人的行为也有着显著的影响,包括社会情感、社会环境、社会舆论、社会文化等非正式约束,也包括个人对违背组织政策行为产生的社会影响的心理活动和判断。法律和道德都是约束人们行为的规范。当个人意识到违规行为可能造成的后果对社会的负面影响时,即使没有明确的法律和制度上的惩罚,他也会受迫于社会道德规范的压力,考虑到后果的严重性而产生的道德信念可能使他改变自己的行为。
模型引入道德约束作为威慑理论中的非正式变量,定义道德约束为社会和组织内部除保密制度之外的约束个人行为的规范。不同于违背保密制度的行为后果有明确的惩罚,违背道德约束的行为的后果是社会舆论的谴责和个人内心的负罪感。从古至今,保守秘密都是对个人道德要求的一部分,不能保守秘密的人不能胜任涉密岗位的工作,也不会得到组织的信任。“夫事以密成,语以泄败。未必其身泄之也,而语及所匿之事,如此者身危。”当组织的个体打算采取可能导致泄密的行为时,道德约束会使他感知到泄密行为可能带来失去信任的道德问题,从而影响他的安全保密行为。因此,可以提出以下假设:
H9:道德约束正向影响组织个体对泄密风险后果严重性的感知。
可以将本文提出的假设归纳(如下表所示)。
四、相关建议
根据本文提出的模型,经验和投入、保密制度分别正向影响组织个体的行为态度和主观规范,进而和知觉行为控制一起间接影响其安全保密的行为意向,从而对其安全安全保密行为有正向影响。组织的保密制度和道德规范影响组织个体对泄密后果严重性的感知,间接影响组织个体采取安全保密的实际行为。因此,可以对国家保密行政管理部门、党政机关和企事业单位安全保密工作提出以下建议。
第一,重视保密人才培养。人是保密工作的主体,安全保密行为归根结底是人的行为。研究结果表明,涉密人员的保密工作经验和对保密能力的自信程度显著影响他的实际保密行为。因此,提升安全保密工作人員的素质和能力,加大专业人才培养和建设力度,提高安全保密专业水平,可以对安全保密工作产生有效的帮助。
第二,完善保密制度建设。保密制度和流程是安全保密工作的基础和规范,研究结果表明,保密制度显著影响组织个体的主观规范,同时对组织个体对泄密后果严重性的感知也有正面影响。完善的保密制度体系应当从宪法到法律法规层面,从部门规章到实施细则层面,从总体保密制度到具体保密规定层面,对安全保密工作的原则、要求和具体落实和实施提供指导。另一方面,保密制度体系也应当规定对各种形式的泄密行为的惩罚机制,对违背保密制度的行为可能带来的后果会对组织个体产生威慑,进而避免泄密事件的发生。
第三,加强保密宣传教育。保密意识是组织个体对安全保密工作重要性和泄密后果严重性认识的体现。加强保密宣传教育,一要充分利用党政机关、企事业单位的培训,将保密宣传教育纳入到日常培训体系当中;二要针对重点人员,提升涉密人员对泄密后果严重性的认知,增强接触和知悉组织秘密的工作人员的保密意识;三要面向社会公众,通过互联网等途径推动社会对安全保密工作的重视,在全社会形成良好的安全保密风气和氛围。
参考文献:
[1] Safa N.S.,Solms R.V.,Furnell S.Information security policy compliance model in or-ganizations[M].Elsevier Advanced Technology Publications,2016.
[2] Ifinedo P.Understanding information systems security policy compliance:An integra-tion of the theory of planned behavior and the protection motivation theory[J].Com-puters & Security,2012,(1):83-95.
[3] Johnston A.C.,Warkentin M.Fear Appeals and Information Security Behaviors:An Empirical Study[J].Mis Quarterly,2010,(3):549-566.
[4] 甄杰,谢宗晓,李康宏,等.组织内部员工的信息安全保护行为——基于PMT和FA整合视角的多案例研究[J].管理案例研究与评论,2017,(2):114-130.
[5] 方星,林正杰.员工信息安全行为影响因素的实证研究——基于计划行为理论[J].中外企业家,2013,(11):122-123.
[6] 石栩楠.基于计划行为理论与威慑理论的信息系统安全模型研究[J].信息通信,2012,(3):149-151.