郑亚莉，刁良瑞

（郑州航空工业管理学院 信息管理学院，河南 郑州 450046）

信息安全是国家安全体系的重要组成部分。党的十九届四中全会将国家安全体系纳入国家治理体系，把国家安全工作纳入法治化轨道，依法维护国家安全。随后党的二十大报告指出，推进国家安全体系和能力现代化，坚决维护国家安全与社会稳定。信息安全不仅是一种状态，更是一个技术问题、一个管理问题。信息安全的核心在于信息安全能力，即面对信息安全风险时，防范化解重大风险的能力。信息安全是关系国家利益、整体利益与个人利益的大事，必须做好防范化解信息安全风险工作，提高化解风险能力，完善自身风险治理体系，为全面建设社会主义现代化国家提供安全保障。

从信息科学的角度来看，信息安全是指保护信息和信息系统不因偶然或恶意的原因而遭受未经授权的访问、披露、破坏、修改及销毁，保证国家的社会信息化状态和信息技术不受外来的威胁与侵害。信息安全风险是指信息安全管理中存在的薄弱环节所造成的信息资产丢失与损失[1]。目前信息安全领域面临着巨大的风险与威胁，主要包括有组织的金融网络犯罪、系统自身安全漏洞、网络钓鱼、病毒木马、信息泄露、移动威胁与内控风险等，这些风险与威胁给我国社会治理带来了严峻的挑战。

有关信息安全，国内外专家已做出诸多探索，并取得了丰富的研究成果，主要集中在以下方面：（1）信息安全风险认知研究。Zhao指出公众的信息安全风险认知有助于提高信息安全水平，让公众意识到风险认知是促进风险防范与治理的推动力，从而提高公众的风险防范能力[2]。钱晓华认为不断提高员工信息安全意识，健全公司内部信息安全管理制度，持续完善公司内部信息安全体系，是有效避免公司信息安全事件发生的有效途径[3]。（2）信息管理建设研究。张红旗等从理论角度入手，认为信息安全管理保障体系建设的核心在于制度建设、组织建设和员工意识的培养[4]。Mona 从信息与通信技术行业开展信息安全管理优化研究，从风险预防的视角阐述了优化信息安全管理的动因及影响[5]。（3）信息安全技术研究。Naud 在信息安全风险预警阶段对话语倾向性进行分析，通过聚类算法对信息安全风险预警进行分类[6]。随着数据时代深入发展，基于“区块链、人工智能、5G”等信息技术引起的信息安全问题研究呈现繁荣态势。如艾琼从大数据技术的视角出发，对我国科研工作者获取国外学术资源时面临的知识产权保护与隐私数据保护问题的可行性路径进行了探讨[7]。（4）信息安全治理体系建设。陆健健提出要从信息安全立法规范、信息安全风险预警和国家安全战略层面同时抓起，同时完善信息安全技术，实现对信息安全的治理[8]。张慧认为要引入嵌入式治理办法，构建国家网络安全等级保护制度，有效防范网络安全事件的发生[9]。

可见，国内外学者在信息安全领域的研究围绕着风险预防、风险预警与技术以及公众的风险认知、信息安全立法规范与信息安全风险评估等方面开展。在此基础上，本文通过对扎根理论的探索和模糊集定性比较的分析，构建出信息安全事件影响因素理论模型，提炼出触发信息安全事件的路径模式，从而为防范化解风险进一步提供治理依据。

1 研究设计

1.1 研究方法

扎根理论是从经验资料中提炼研究理论，倡导观察者从实际观察出发，对原始资料进行经验概括，自下而上地建立系统理论。目前学术界采用最多的是程序化扎根理论，该理论能够填平实证分析研究与理论框架之间的鸿沟，让理论的产生更具科学性和检验性[10]。因此本文采用程序化扎根理论进行三级编码，提炼出信息安全事件的影响因素，从而形成具有逻辑关系的框架模型。

定性比较分析是将定性与定量相结合的一种方法，该方法从组态思维的视角出发，考虑多个条件变量形成的组态而不是单个条件变量对结果的影响，揭示了各个组态路径与结果之间的关系。在案例选取方面，案例样本数量通常以10～60 个中小样本为主。其中，模糊集定性比较分析能更好地解决复杂组态问题，因此本文通过模糊集定性比较分析提炼相关组态路径，从而为防范化解风险提供一定治理依据。

1.2 案例选取

本文共进行两次案例的选取，第一次案例选取主要用于扎根理论编码分析与模型构建，共选取25个案例，剩余5个案例用作饱和度检验；第二次案例选取主要用于定性比较分析的模型检验，共选取20个案例。文中所选择的案例样本基于以下几点考虑：第一，选取传播范围广泛、影响较大、受关注程度高的事件，可以凸显案例样本的典型性与代表性。第二，在选取的案例样本中，筛选出新闻媒体报道较多、信息公开的典型案例，以此来保证信息的获取以及研究的顺利开展。第三，为进一步加强案例样本的代表性与普适性，分别选取国内外具有代表性的信息安全事件作为案例样本。

2 扎根理论分析与模型构建

为保证编码的科学性与合理性，在实际的编码过程需要严格遵守程序化扎根理论研究方法，通过三级编码对所选取的原始文件进行解读分析、归纳比较，不断提炼出相关概念并给予范畴化，根据核心范畴与主范畴之间的关系构建信息安全事件影响因素理论模型。

2.1 开放性编码

本文在20个案例中随机抽取蔚来用户数据泄露事件、智联招聘简历泄露事件、滴滴被处罚款事件、阿里云泄露用户信息事件、学习通数据库泄露事件、华住酒店5亿条开房记录泄露事件、京东前员工涉案50亿条公民信息泄露案、雅虎大规模信息泄露事件、某科研集团钓鱼邮件攻击事件等20个国内外信息安全事件（分别用A、B、C、D、E、F、G、H、I 等字母表示），对它们进行解读与编码分析，剩余5个案例样本用于饱和度检验。

开放性编码是分析定性数据的初始过程，即对无序的原始资料进行分析，从文本资料中提炼出核心观点，并对其进行聚类与整合，形成初始范畴。在编码过程中，尽量使用可以反映信息安全事件应对行动的词语来编码，以期来呈现事件发生的情境以及事件主体的因果相继性行动。经过不断地比较分析、总结提炼，最终整理得到40个初始概念，每一个概念都列举原始语句作为示例。具体如表1所示。

表1 开放性编码节选

2.2 主轴编码

主轴编码是在开放式编码基础上，根据属性、类别将各个独立的初始范畴进行分析、联结，明确各个概念之间的相互关系，深入挖掘范畴之间的内在逻辑联系，进而提取凝练出更高层次的主范畴。本文在主轴编码过程中，对上一阶段所形成的40个初始概念进行系统分析与组合，共归纳出风险意识薄弱、监测能力不足、安全配置不当等10个范畴，在此基础上又提炼出5个主范畴。如表2所示。

表2 主轴式编码过程

2.3 选择性编码与模型构建

选择性编码是根据各个主范畴与其联结的副范畴之间的逻辑关系，概括出核心范畴，并以一定的线索分析核心范畴与其他范畴之间的内在联系。本文通过对主轴式编码形成的10 个范畴进行反复推敲调试，最终提炼整合出风险认知、监测评估、应急处置、系统配置与外部威胁5 个核心范畴。并基于此，构建出信息安全事件影响因素理论模型。具体见图1。

图1 影响因素理论模型

2.4 理论饱和度检验

理论饱和度是指对新的抽样数据进行比较分析后，未发现新概念、新范畴，类别属性已达到饱和时，即视为理论饱和。本文将用于饱和度检验的印度核酸检测信息泄露事件、江苏高校信息泄露事件、日本优衣库信息泄露事件等5个事件，进行标记、编码、概念化，并没有发现新的重要范畴与关系。这表明，该模型具有良好的理论饱和度。

2.5 模型阐释

影响因素理论模型系统地勾勒出影响因素间的逻辑关系，为剖析和把握问题提供了直观形象的参考。下面将具体阐释模型背后的逻辑关系。

2.5.1 风险认知

信息安全风险防范与治理的首要之处在于相关主体能否做好风险来临前的预防准备工作，风险、信息安全事件、危机是一个连续统一的过程。因为风险与危机之间存在着潜在的因果关系，信息安全事件是促进风险走向危机的关键，因此风险预防是信息安全风险防范的前提与基础。在信息安全预防系统中，风险意识是影响风险防范治理全过程的宏观环境与心理前提，良好的风险意识有利于信息安全风险防范与治理工作的开展，风险防范意识的形成又与相关主体的信息披露、宣传教育息息相关[11]。对于事关信息安全风险的事项，相关治理主体需及时公开信息，做好信息安全知识普及、宣传教育等工作，从意识源头强化社会公众对信息风险的认知，提高公众对风险的敏感度，减少公众因不知情而造成的伤害[12]。

2.5.2 监测评估

监测评估的本质是分析确定风险的过程，它既是防范和遏制风险危机的有效手段，又是加强事故预防和源头治本的重要保障[13]。一方面风险监测可以使企业了解自身存在的威胁与矛盾，确定风险危机的分布和来源，掌握企业信息安全发展状况，及时发现信息安全隐患。另一方面综合评估事件发生的概率以及可能造成的影响和损失，能够最大程度地减少信息安全事件的发生，实现“用最小成本获得最大安全保障”的效果。在风险监测与风险评估的双重作用下，相关治理主体会采取一定的管控措施对风险进行管控。在这一阶段会产生两种结果，当信息安全事件被迅速管控时，就会进入常态化工作阶段；当信息安全事件无法被控制时，就会进入到非常态化阶段，在应急处置这一工作环节循环进行，直至信息安全风险或危害得到控制或消除。

2.5.3 应急处置

风险预防固然能够减少危机发生频率、减轻危机带来的损失，但并不能避免危机的发生[14]。因此，及时高效的应急响应是风险防范与治理过程的关键环节与过程性因素。已有的案例表明，信息安全事件的爆发通常会引发一连串的衍生事件，使得风险危机本身的破坏力远高于单一危机的破坏力。因此信息安全风险防范与治理需要考虑危机带来的连锁反应，合理地调配人、财、物等资源，将事态控制在可控范围内，避免次生危机的发生[15]。同时，协调配合也是风险防范与治理过程中的重要支持资源，特别是不受组织层级结构限制的合作与资源共享对于风险治理至关重要。但在实际情况中，仍存在部门各自为政、协作不足等情况，影响决策的科学性与合理性。

2.5.4 系统配置

目前大部分操作系统的配置都不是最理想的安全状态，即在不同种类、不同版本的硬件软件设备中，不同设备所构成的不同系统中，以及同一系统下的不同设置条件中，都会存在一定的安全漏洞。安全漏洞是指应用软件和操作系统在设计或编写过程中出现的缺陷和错误，如防护设计错误、网络协议不完备等[16]。若某个程序在设计时没有考虑周全，那么非法分子将会利用这些缺陷或错误，通过植入木马病毒等方式对服务器或计算机发起攻击。如果系统的防护能力较差，这些不良代码就会不断繁殖，从而破坏计算机信息系统，盗取其中的关键数据和资料。

2.5.5 外部威胁

信息安全外部威胁主要是指自然因素与人为因素。其中自然因素是指自然灾害，如火灾、水灾、地震以及其他意外事故等，这些灾害都可能导致计算机外部设备出现问题[17]。如果没有及时进行数据备份，就会导致极大安全隐患。与自然因素所带来的危害相比，人为因素给信息安全带来的隐患更大，其中最典型的就是黑客攻击与病毒入侵。不法人员通过系统漏洞或病毒植入对信息数据进行窃取、篡改和恶意删除，这种入侵方式具有一定的隐蔽性和潜伏性，爆发速度快，用户在短期内难以察觉和准备定位。一旦爆发病毒，会迅速导致设备瘫痪，机密的信息数据也会被随意窃取、篡改，严重威胁信息安全。

3 模糊集定性比较分析

3.1 变量设置与赋值

本文将风险认知、监测评估、应急处置、系统配置以及外部威胁作为条件变量，将信息安全事件等级视为结果变量。通过对案例的分析与整理，决定采用四值模糊集赋值法。本文根据《公共互联网网络安全突发事件应急预案》的规定，把事件划分为4个等级，将4个等级与四值模糊集赋值原则相结合进行赋值。其中特别重大事件赋值为1，重大事件赋值为0.67，较大事件赋值为0.33，一般事件赋值为0。具体见表3。

表3 变量的界定与赋值

3.2 必要条件分析

在对条件变量进行组态分析之前，需要通过fsQCA 软件对5 个条件变量的一致性与覆盖率进行测量，分析出5个条件变量是否为必要条件。在fsQ-CA方法中，当条件变量的一致性大于0.9时，就把这个条件变量视为结果产生的必要条件。从表4中可以看出，各条件变量的一致性均小于0.9，这表明单一条件变量无法构成影响信息安全事件的必要条件，也就是说，信息安全事件的发生受多个条件变量的影响。因此，需要综合考虑多个前因条件的协同联动效应。

表4 必要条件分析结果

3.3 条件组态分析

条件组态分析是分析条件因素不同组合方式对结果的影响，它试图解释充分性，而组态充分性需要通过一致性来衡量。一致性阈值与频数阈值的设置需要考虑案例样本等方面的因素，结合本文研究，笔者将一致性阈值与频数阈值设置为系统默认值0.8和1。根据fsQCA 软件最终可以得到三种解：复杂解、中间解与简约解，其中中间解更能反映案例的结果，解释力较强，具有一定的比较优势。因此，本文选择中间解分析条件变量中的必要条件，结合简约解分析核心条件与边缘条件，具体见表5。

表5 变量的条件组态分析结果

由表5 可知，触发信息安全事件的路径是多元的，共存在5种条件组态且所有条件组态的一致性均大于0.8，说明这5 种组态是信息安全突发事件的充分条件。条件组态的总覆盖度为0.714，表明这5 种条件组合可以解释71.4%的信息安全事件案例。

通过横向分析，发现组态1和组态4具有相同核心条件，即外部威胁；组态3 和组态5 具有相同核心条件，即系统配置与外部威胁，在其他条件有所差异；组态2中，应急处置为核心条件，风险认知与监测评估为辅导条件。根据5个条件组态的核心条件与逻辑，发现触发信息安全事件的3条路径。

（1）外部威胁主导型。该路径包括组态1和组态4 共2 条组态，其中外部威胁发挥核心作用，监测评估起辅助作用，该组合表明信息安全事件主要受到外部威胁与监测评估的联动影响。这在“德国硅晶圆厂商造黑客攻击”“阿根廷网络电信公司遭病毒感染”“厄瓜多尔电信公司遭勒索软件攻击”等案例中都有所体现。以厄瓜多尔电信公司遭勒索软件攻击为例，厄瓜多尔网络电信公司CNT遭到勒索软件攻击，随后业务运营、支付门户在短时间内全部陷入瘫痪。非法分子宣称已经拿到了CNT 内部的核心数据，并在数据泄露页面上分享部分文档截图，包括合同、支持日志等信息。非法分子通过对选定目标相关信息的收集，利用一切渠道、弱点进行入侵。入侵完成后加密重要信息数据，用勒索的方式索要钱财，如果企业拒绝支付勒索赎金，勒索团伙将会威胁并公开其核心数据来进行双重勒索。因此，在这种情况下治理此类信息安全事件路径的关键是做好各类信息的存储加密以及备份工作，做好数据尤其是关键数据的备份，促进信息加密技术的应用，优化数据加密技术；加强系统软件的维护与升级，减少信息安全隐患的发生。同时加强对信息技术的投入，定期进行风险监测与评估，对易出风险或潜在风险的部分着重检查，强化病毒管理工作，充分发挥杀毒软件的作用，提高企业风险防范能力[18]。

（2）系统缺陷—外部威胁型。该路径包括组态3和组态5共2条组态，组态3表明信息安全事件主要受风险认知、系统配置以及外部威胁等因素的联动影响。而组态5中表明，信息安全事件主要受系统配置、外部威胁这两大因素的影响，即使其他条件并不存在。从该路径可看出，信息安全事件的产生是软件内部脆弱性和外部威胁共同作用的结果，这在“台湾炼油厂遭受勒索软件攻击”“万豪5亿客户的用户信息泄露”“网络非法团伙利用漏洞盗取平台优惠”等案例中都得到了体现。如在万豪信息泄露事件中，喜达屋网络在2014年就存在被第三方非法授权访问的行为，但直至2018年万豪才发现非法授权的第三方已复制并加密了部分信息。一方面万豪国际对信息安全方面不够重视，存在重视发展、轻视安全的思想，安全防护系统建立不完善，防病毒保护不足，造成企业自身信息安全防护能力低下。另一方面，网络攻击者在对企业系统进行入侵后，会在服务器里植入“后门”，从而不断获取最新数据的攻击效果。而漏洞何时会被发现，取决于企业的风险防御能力。如果信息管理人员防护水平不高，没有及时对系统进行监测排查，那么就很难发现问题。因此，在此要素组合下的相关治理主体首先需要在思想上提高员工的信息安全意识，加强对员工的安全教育和培训。如果员工可以对潜在威胁时刻保持高度警惕，那么也会极大降低安全风险[19]。其次在技术上做好对漏洞的管理、补丁的及时更新；加强系统的安全性，如部署防火墙、防毒墙、防御系统等。最后是加强信息安全的监测预警能力，及时发现恶意网络流量，对信息安全事件的发生提供可靠的追溯依据。

（3）应急响应主导型。在这一组态中，应急处置发挥核心作用，风险认知与监测评估发挥辅助作用，这表明信息安全事件主要受应急处置、风险认知、监测评估等因素影响，即使其他条件并不完备。这在“铝制巨头造商挪威海德鲁被攻击事件”“香格里拉酒店客户信息泄露事件”“某科研集团钓鱼邮件攻击事件”等案例中都有所体现。以某科研集团僵尸网络事件为例，该企业多台终端疑似出现黑客活动迹象，系统网站无法正常运行。但由于该企业内部管理结构混乱，权责分配不合理，应急预案编制简单套用或照搬同类企业，导致企业在应急过程中出现职能交叉、推诿扯皮，响应效率低下等问题，最终错过了最佳应急处置时机，企业正常运转受到了严重影响。因此，在要素组合下的相关治理主体首先需要拥有敏锐的风险防范意识、做好事前准备工作，包括风险排查、风险评估等；其次是建立科学的应急管理体系，确保信息安全运作的顺利进行[20]；最后是利用信息风险预防技术，强化对信息安全风险的监管与防范，有效遏制病毒入侵，从而确保网络信息安全。

3.4 稳健性检验

为避免fsQCA 研究结果的随机性，在进行条件组态分析后，还需通过稳健性检验来检测研究结果的稳定性。目前，学界应用较成熟的方法有增减案例数、调整条件变量、调整一致性门槛值等。本文选择改变一致性门槛值的方法进行检验，将一致性阈值从0.80 提升至0.85，得到新一致性条件下的结果。与原有结果相比，没有发生显著的变化。由此可判断数据分析结果是较为稳健的。具体见表6。

表6 稳健性检验

4 结论

针对信息安全问题，以信息突发事件为对象，运用扎根理论和定性比较分析法分析信息安全事件的影响因素以及组态路径，试图发现信息安全事件的发生机制，从而阻断信息安全事件的发生路径，为信息安全的风险防范治理提供一定借鉴。主要结论如下：

（1）通过对20 个信息安全案例样本进行编码分析，提炼出触发信息安全事件的关键因素，并构建信息安全事件影响因素理论模型。在此基础上运用定性比较分析法分析20 起信息安全事件，得到5 种条件组态，归纳为外部威胁主导型、系统缺陷—威胁型、应急响应主导型3条事故路径。

（2）建议重视外部威胁对信息安全事件的影响。外部威胁作为核心因素出现在信息安全事件的两条路径中，在搜集的案例中主要体现在网络攻击。因此，相关治理主体需要建立风险监测预警机制，时刻关注企业具体发展趋势；建立健全信息安全防护体系，提升信息安全防护技术；强化设备管理体系，做好日常维护与管理工作；加强病毒管理与软件升级，为减少信息安全事件的发生创造良好环境。