基于風(fēng)險(xiǎn)感知的個人安全保密行為模型

王涵

摘 要：國家秘密關(guān)系國家安全，商業(yè)秘密關(guān)系企業(yè)的核心競爭力，一旦泄露會給組織利益造成損害。而涉密人員是履行保密責(zé)任的主體，對個人行為的研究、對安全保密工作的開展具有理論意義和應(yīng)用價(jià)值。梳理安全保密行為研究成果，重點(diǎn)關(guān)注對泄密風(fēng)險(xiǎn)的感知，建立基于風(fēng)險(xiǎn)感知的安全保密行為模型和假設(shè)，并在人才培養(yǎng)、制度建設(shè)和宣傳教育方面提出做好安全保密工作的建議。

關(guān)鍵詞：安全保密行為;風(fēng)險(xiǎn);組織個體;計(jì)劃行為理論;恐懼訴求;威懾理論

中圖分類號：F49? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號：1673-291X（2019）12-0196-04

引言

涉密人員是履行保密責(zé)任的主體，竊密和泄密都是人的行為，竊密和反泄密斗爭歸根結(jié)底是人的斗爭。所有安全保密技術(shù)手段都是人來使用的，人是安全保密防護(hù)體系不確定性的因素。再好的安全保密防護(hù)措施和成熟的信息系統(tǒng)也會因人的參與而體現(xiàn)出脆弱性，強(qiáng)壯的訪問控制機(jī)制和密碼系統(tǒng)可能因管理員的配置不當(dāng)而失去作用，防火墻和WAF設(shè)備也可能因使用者的操作失誤而被繞過;另一方面，隱蔽的漏洞也會因可能導(dǎo)致竊密成功的可能，而被竊密者發(fā)現(xiàn)。

研究表明，安全保密技術(shù)手段在一定程度上影響工作效率，使用者經(jīng)常選擇最簡單的安全策略配置甚至直接繞過安全防護(hù)，導(dǎo)致安全保密技術(shù)失效。社會工程學(xué)攻擊利用了使用者保密意識的缺失和人性的弱點(diǎn)，甚至通過金錢賄賂、美色誘惑等手段策反可能知悉涉密信息的人員，尤其是組織領(lǐng)導(dǎo)和信息系統(tǒng)管理員，直接或間接泄露國家秘密、商業(yè)秘密以及其他需要保密的工作信息。

由于人的成長環(huán)境、知識結(jié)構(gòu)和能力的不同，導(dǎo)致對安全保密的認(rèn)識也參差不齊，對保密技術(shù)手段的使用程度不一樣。保密工作需要培養(yǎng)具有符合知識背景的專業(yè)人才，加強(qiáng)保密教育培訓(xùn)，提高人的保密意識和素質(zhì)，防止違規(guī)行為導(dǎo)致的失泄密事件的發(fā)生。

一、文獻(xiàn)綜述

目前，國內(nèi)外對信息安全行為的研究對象包括組織員工對信息安全制度的遵從行為、組織員工對信息安全制度的違背行為、組織員工對信息系統(tǒng)的誤用和濫用行為、信息安全保障行為和信息安全疏忽行為等，但針對保密情境下的個體行為仍有待研究。國內(nèi)保密行為研究大多仍停留在宏觀的、定性的層面，公共政策和法學(xué)研究、政府和企業(yè)案例研究比較多，定量的保密行為研究比較少。

方星等以北京地區(qū)的中小企業(yè)員工為研究對象，驗(yàn)證了計(jì)劃行為理論中行為信念、規(guī)范信念、控制信念和行為態(tài)度、主觀規(guī)范、知覺行為控制等變量對企業(yè)普通員工信息安全行為意向和信息安全實(shí)際行為的影響。Ifinedo將動機(jī)保護(hù)理論、恐懼訴求理論等與計(jì)劃行為理論結(jié)合;Nader加入了感知威脅的嚴(yán)重性、感知威脅的易損性、反應(yīng)效能、反應(yīng)成本、自我效能等變量解釋組織個體的信息安全行為;Johnston等分析了恐懼訴求理論中的感知威脅的嚴(yán)重性和感知威脅的易感性對動機(jī)保護(hù)理論中的響應(yīng)效能和自我效能的影響，進(jìn)而對個人的信息安全行為意向產(chǎn)生影響;甄杰等基于保護(hù)動機(jī)理論和恐懼訴求理論的整合視角，采用案例研究的方法對組織內(nèi)部員工的信息安全保護(hù)行為進(jìn)行研究;石栩楠基于計(jì)劃行為理論，引入了威懾理論研究企業(yè)信息系統(tǒng)中員工行為的影響因素，將威懾理論的正式約束、非正式約束和羞恥等變量加入到模型中。

二、研究模型

本文所指的安全保密行為是指信息安全行為中與信息保密相關(guān)的行為，在信息系統(tǒng)安全中側(cè)重保密性的保障。需要保密的信息可能包括國家秘密、商業(yè)秘密以及其他組織需要保密的工作信息。本文所定義的組織包括政府機(jī)關(guān)、企事業(yè)單位和其他所有在日常工作中產(chǎn)生需要保密的信息的組織，不僅包括狹義上產(chǎn)生、接觸和知悉國家秘密的政府、國企和軍工單位等，也包括對商業(yè)秘密和工作秘密的安全保密工作有需求的民營企業(yè)、私人企業(yè)甚至外資企業(yè)等。

組織中的個體指包括涉密人員和非涉密人員在內(nèi)的所有接觸和知悉需要保密的信息的人員，應(yīng)當(dāng)采取安全保密行為保護(hù)信息在一定時間內(nèi)僅限規(guī)定范圍的人員知悉。泄密行為會使所在組織安全和利益遭受損害，嚴(yán)重的會影響國家利益。組織中的個體被其他組織滲透策反、違反安全保密制度規(guī)定、信息系統(tǒng)被惡意入侵、員工對信息系統(tǒng)不了解、缺乏保密意識導(dǎo)致的消極不作為等行為都可能導(dǎo)致泄密事件的發(fā)生。

本文基于信息安全行為的相關(guān)研究和理論模型，以計(jì)劃行為理論為基礎(chǔ)，將經(jīng)驗(yàn)和投入作為行為信念的心理變量，將保密制度作為規(guī)范信念的心理變量，假設(shè)行為態(tài)度、主觀規(guī)范共同影響組織個體采取安全保密的行為意向，進(jìn)而間接影響個人實(shí)際的安全保密行為。基于對泄密風(fēng)險(xiǎn)的感知，本文引入了恐懼訴求理論，將對風(fēng)險(xiǎn)后果的嚴(yán)重性感知作為感知威脅嚴(yán)重性的心理變量，與自我效能一起正向影響個體的安全保密行為。根據(jù)威懾理論，保密制度等正式的和道德規(guī)范等非正式的約束，以及泄密事件可能帶來的羞愧可能會影響組織員工對泄密風(fēng)險(xiǎn)后果嚴(yán)重性的感知。其中，保密制度是計(jì)劃行為理論和威脅理論的共同變量，具體模型（如下圖所示）。

三、研究假設(shè)

（一）基于計(jì)劃行為理論的假設(shè)

行為信念是個體安全保密意識的體現(xiàn)，表示著個人采取安全保密行為和自身的聯(lián)系。本文將經(jīng)驗(yàn)與投入作為行為信念的心理變量，組織個體的工作經(jīng)驗(yàn)將會影響他對行為結(jié)果的估計(jì)，在安全保密領(lǐng)域受到組織的培訓(xùn)、教育等經(jīng)驗(yàn)使得個體認(rèn)識到泄密風(fēng)險(xiǎn)的存在和泄密后果的嚴(yán)重程度，進(jìn)而將會采取安全保密的行為。因此，可以提出以下假設(shè)：

H1：經(jīng)驗(yàn)和投入正向影響組織個體對安全保密行為的態(tài)度。

在計(jì)劃行為理論中，主觀規(guī)范是解釋周圍其他人的觀點(diǎn)和看法對個體決策行為的影響的變量。組織的保密制度可以代表組織的安全保密規(guī)范，在組織中形成保密的文化和氛圍，對于組織中絕大部分人都會產(chǎn)生潛移默化的影響。因此，本文將保密制度作為規(guī)范信念的心理變量，提出以下假設(shè)：

H2：保密制度正向影響組織個體對安全保密行為的主觀規(guī)范。

模型中提出的行為態(tài)度是指組織中的個體對采取安全保密行為的態(tài)度，體現(xiàn)了個人采取安全保密行為的傾向。一方面，如果組織中的個體對待安全保密行為的態(tài)度是消極的，那么他對待保密工作的重視程度不夠，保密意識淡薄，認(rèn)為保密工作是沒有必要的、沒有作用的、沒有價(jià)值的，就會傾向于不遵守保密制度和流程，增加組織需要保密的國家秘密、商業(yè)秘密等工作信息泄露的風(fēng)險(xiǎn)。另一方面，持有積極行為態(tài)度的組織內(nèi)部員工，能夠認(rèn)識到違反保密規(guī)定的行為可能帶來的泄密風(fēng)險(xiǎn)和對組織利益造成的損害，傾向于在工作中注意安全和保密，采取符合保密制度和流程的行為。因此，可以提出以下假設(shè)：

H3：對待安全保密的行為態(tài)度正向影響個體采取安全保密行為的意向。

本模型定義的主觀規(guī)范指的是組織內(nèi)部個體按照保密制度流程行動時所預(yù)期和感受到的壓力，即個體在組織中采取安全保密行為受到社會因素的影響。

組織通過制定安全保密制度流程等具體政策，對組織中個體的泄密行為進(jìn)行限制，鼓勵員工采取遵從安全保密制度的行為。在組織中，個體采取安全保密行為的意向受周圍領(lǐng)導(dǎo)、同事和下級的影響，當(dāng)大部分人都遵守安全保密制度流程時，該個體也傾向于采取安全保密的行為。當(dāng)組織中絕大部分人都采取安全保密行為時，建立了組織的安全保密文化和氛圍，來自周圍人的壓力使得新進(jìn)入組織的個體傾向于與大部分人保持一致，遵守安全保密制度流程。因此，可以提出以下假設(shè)：

H4：對待安全保密的主觀規(guī)范正向影響個體采取安全保密行為的意向。

行為意向是計(jì)劃行為理論中行為態(tài)度、主觀規(guī)范和知覺行為控制對個人實(shí)際行為影響的中間變量，體現(xiàn)了個人執(zhí)行某項(xiàng)特定行為的意愿。模型定義的安全保密行為意向包括積極的保守組織秘密信息的行為意向和消極的泄密行為意向，其中泄密行為意向包括：違反組織保密制度和規(guī)定的行為意向，不遵守保密工作流程的行為意向、故意泄露組織內(nèi)部秘密信息，以及分享組織內(nèi)部工作資料和信息的行為意向等。安全保密行為意向與泄密行為意向相對立，是指組織內(nèi)部個體遵守組織保密制度和流程，保守組織的國家秘密、商業(yè)秘密和需要保密的工作信息的行為。根據(jù)計(jì)劃行為理論，可以提出以下假設(shè)：

H5：采取安全保密行為的意向正向影響個體實(shí)際的安全保密行為。

（二）基于動機(jī)保護(hù)理論的假設(shè)

模型的自我效能變量定義為組織中個體保守秘密的能力，即個人對自己行動的控制能力和遵守保密制度流程的能力，反映了個人對安全保密知識和技能的掌握能力、對安全保密行為的執(zhí)行能力。如果組織內(nèi)部的個體越相信自己具備保守秘密的能力，那么可以認(rèn)為他越傾向于采取遵守安全保密制度流程的行為。當(dāng)他認(rèn)為自己能控制自己的行為，遵守保密制度和流程，保守組織的秘密的時候，將會提升他采取安全保密行為的意愿，越有可能采取安全保密的行為。因此，可以提出以下假設(shè)：

H6：對待安全保密的自我效能正向影響個體安全保密的實(shí)際行為。

感知威脅的嚴(yán)重性是恐懼訴求理論和動機(jī)保護(hù)理論中的核心變量之一，是威脅評估中對威脅嚴(yán)重性的判斷，也被稱為感知嚴(yán)重性。感知威脅的嚴(yán)重性表示個人對特定行為造成威脅的嚴(yán)重程度的認(rèn)知。泄露國家秘密、商業(yè)秘密和其他組織需要保護(hù)的工作秘密可能給組織個體帶來的后果還包括經(jīng)濟(jì)上的賠償和社會道德輿論的譴責(zé)等。另一方面，泄密會給組織造成安全和利益上的損失，間接對個體產(chǎn)生影響。

如果組織中的個體對泄密風(fēng)險(xiǎn)的后果有足夠的認(rèn)知，能夠充分意識到泄密行為給組織帶來的損失的嚴(yán)重程度和對自己的不良影響，可能會對他采取安全保密行為的意向產(chǎn)生正向影響，使他傾向于保守組織中需要保護(hù)的國家秘密、商業(yè)秘密和工作秘密。當(dāng)他對泄密風(fēng)險(xiǎn)后果的嚴(yán)重程度的判斷越積極，他就越傾向于避免泄密事件的發(fā)生，從而采取安全保密行為。因此，可以提出以下假設(shè)：

H7：對泄密風(fēng)險(xiǎn)后果嚴(yán)重性的感知正向影響個體的實(shí)際安全保密行為。

（三）基于威懾理論的假設(shè)

威懾理論中對于組織政策違背行為的最主要威脅被稱作正式約束，指的是正式的懲罰方式，包括剝奪政治權(quán)利、人身自由和財(cái)產(chǎn)的刑事責(zé)任，賠償損失、賠禮道歉等民事責(zé)任以及吊銷駕駛執(zhí)照、營業(yè)執(zhí)照等其他懲罰方式。正式約束一般表現(xiàn)為法律規(guī)定的制裁和組織對政策違背行為的懲罰。有研究結(jié)果證明，正式約束起到的威懾作用是最為強(qiáng)烈的，對行為后果的嚴(yán)重性的判斷和對刑事責(zé)任、民事責(zé)任等懲罰的恐懼會影響個人的行為。

模型將保密制度作為威懾理論中的正式約束變量使用，是由于保密法律法規(guī)、規(guī)章制度都具有追究責(zé)任和懲罰相關(guān)條款條約，對組織個體具有強(qiáng)制約束力。因此，可以將保密制度作為威懾理論的正式約束變量，提出以下假設(shè)：

H8：保密制度正向影響組織個體對泄密風(fēng)險(xiǎn)后果嚴(yán)重性的感知。

除了法律法規(guī)等正式威懾之外，對于威懾理論的研究表明社會規(guī)范對個人的行為也有著顯著的影響，包括社會情感、社會環(huán)境、社會輿論、社會文化等非正式約束，也包括個人對違背組織政策行為產(chǎn)生的社會影響的心理活動和判斷。法律和道德都是約束人們行為的規(guī)范。當(dāng)個人意識到違規(guī)行為可能造成的后果對社會的負(fù)面影響時，即使沒有明確的法律和制度上的懲罰，他也會受迫于社會道德規(guī)范的壓力，考慮到后果的嚴(yán)重性而產(chǎn)生的道德信念可能使他改變自己的行為。

模型引入道德約束作為威懾理論中的非正式變量，定義道德約束為社會和組織內(nèi)部除保密制度之外的約束個人行為的規(guī)范。不同于違背保密制度的行為后果有明確的懲罰，違背道德約束的行為的后果是社會輿論的譴責(zé)和個人內(nèi)心的負(fù)罪感。從古至今，保守秘密都是對個人道德要求的一部分，不能保守秘密的人不能勝任涉密崗位的工作，也不會得到組織的信任?！胺蚴乱悦艹?，語以泄敗。未必其身泄之也，而語及所匿之事，如此者身危。”當(dāng)組織的個體打算采取可能導(dǎo)致泄密的行為時，道德約束會使他感知到泄密行為可能帶來失去信任的道德問題，從而影響他的安全保密行為。因此，可以提出以下假設(shè)：

H9：道德約束正向影響組織個體對泄密風(fēng)險(xiǎn)后果嚴(yán)重性的感知。

可以將本文提出的假設(shè)歸納（如下表所示）。

四、相關(guān)建議

根據(jù)本文提出的模型，經(jīng)驗(yàn)和投入、保密制度分別正向影響組織個體的行為態(tài)度和主觀規(guī)范，進(jìn)而和知覺行為控制一起間接影響其安全保密的行為意向，從而對其安全安全保密行為有正向影響。組織的保密制度和道德規(guī)范影響組織個體對泄密后果嚴(yán)重性的感知，間接影響組織個體采取安全保密的實(shí)際行為。因此，可以對國家保密行政管理部門、黨政機(jī)關(guān)和企事業(yè)單位安全保密工作提出以下建議。

第一，重視保密人才培養(yǎng)。人是保密工作的主體，安全保密行為歸根結(jié)底是人的行為。研究結(jié)果表明，涉密人員的保密工作經(jīng)驗(yàn)和對保密能力的自信程度顯著影響他的實(shí)際保密行為。因此，提升安全保密工作人員的素質(zhì)和能力，加大專業(yè)人才培養(yǎng)和建設(shè)力度，提高安全保密專業(yè)水平，可以對安全保密工作產(chǎn)生有效的幫助。

第二，完善保密制度建設(shè)。保密制度和流程是安全保密工作的基礎(chǔ)和規(guī)范，研究結(jié)果表明，保密制度顯著影響組織個體的主觀規(guī)范，同時對組織個體對泄密后果嚴(yán)重性的感知也有正面影響。完善的保密制度體系應(yīng)當(dāng)從憲法到法律法規(guī)層面，從部門規(guī)章到實(shí)施細(xì)則層面，從總體保密制度到具體保密規(guī)定層面，對安全保密工作的原則、要求和具體落實(shí)和實(shí)施提供指導(dǎo)。另一方面，保密制度體系也應(yīng)當(dāng)規(guī)定對各種形式的泄密行為的懲罰機(jī)制，對違背保密制度的行為可能帶來的后果會對組織個體產(chǎn)生威懾，進(jìn)而避免泄密事件的發(fā)生。

第三，加強(qiáng)保密宣傳教育。保密意識是組織個體對安全保密工作重要性和泄密后果嚴(yán)重性認(rèn)識的體現(xiàn)。加強(qiáng)保密宣傳教育，一要充分利用黨政機(jī)關(guān)、企事業(yè)單位的培訓(xùn)，將保密宣傳教育納入到日常培訓(xùn)體系當(dāng)中;二要針對重點(diǎn)人員，提升涉密人員對泄密后果嚴(yán)重性的認(rèn)知，增強(qiáng)接觸和知悉組織秘密的工作人員的保密意識;三要面向社會公眾，通過互聯(lián)網(wǎng)等途徑推動社會對安全保密工作的重視，在全社會形成良好的安全保密風(fēng)氣和氛圍。

參考文獻(xiàn)：

[1]? Safa N.S.，Solms R.V.，F(xiàn)urnell S.Information security policy compliance model in or-ganizations[M].Elsevier Advanced Technology Publications，2016.

[2]? Ifinedo P.Understanding information systems security policy compliance：An integra-tion of the theory of planned behavior and the protection motivation theory[J].Com-puters & Security，2012，（1）：83-95.

[3]? Johnston A.C.，Warkentin M.Fear Appeals and Information Security Behaviors：An Empirical Study[J].Mis Quarterly，2010，（3）：549-566.

[4]? 甄杰，謝宗曉，李康宏，等.組織內(nèi)部員工的信息安全保護(hù)行為——基于PMT和FA整合視角的多案例研究[J].管理案例研究與評論，2017，（2）：114-130.

[5]? 方星，林正杰.員工信息安全行為影響因素的實(shí)證研究——基于計(jì)劃行為理論[J].中外企業(yè)家，2013，（11）：122-123.

[6]? 石栩楠.基于計(jì)劃行為理論與威懾理論的信息系統(tǒng)安全模型研究[J].信息通信，2012，（3）：149-151.