信息系统安全中的行为与政策问题.doc

信息系统安全中的行为和政策问题：内部威胁 Merrill Warkentin和Robert Willison 欧洲信息系统杂志 （2009）18，101-105. DOI：10.1057/ejis.2009.12 现代全球经济﹑政治格局﹑技术基础设施与社会文化的发展都导致了组织中的日益增加的动态与混乱的环境，这支持了信息系统在商业﹑政府和其他领域的应用。因为我们的协会（经济﹑政策﹑军事﹑合法﹑社会）是日益全球化和内部链接的，由于我们更多的依赖于自动化的控制系统来为我们提供能源和服务，也因为我们建立了基于网络的机制来协调全球化互动，所以我们需要向我们的系统和进程介绍易损性弱点。越来越多的对网络空间的依赖扩大了我们的易损性—隔离不再是一个选项了。对于我们所依赖的信息系统，我们需要对它的各种各样的威胁进行理解和分析，与这种理解和分析的需要相比，之前所讲的现象在任何方面都不是那么要紧和富有挑战性了。 安全威胁有多种来源和成因。在Loch等人的分类学中，信息系统的安全威胁被分类为四种因素—外部原因（人为因素和非人为因素）和内部原因（人为因素和非人为因素）。那些以工程和计算机科学为中心的研究主要是关于外部威胁的，现在已经有很多的人工制品被开发出来保护组织的边界（例如：入侵检测系统﹑防火墙﹑防恶意破坏软件等等）。在管理信息系统的研究传统中，一直都采取很大的努力来调查信息系统安全威胁中的人为犯罪，特别是针对那些在企业组织中的人（在防火墙后，就类似这样）。在Loch等人的框架中，威胁的来源是以人的意图为特征的（目的性的VS偶然性的）。行为研究协会的许多关注是在信息系统安全政策上的，这些政策不被员工所服从。有些行为是基于目的的﹑有意的﹑恶意违规的（就像破坏活动﹑数据窃取﹑数据破坏等等），还有的行为是无意的和偶然的，包括忘记修改密码，在离开工作地之前没有下线，粗心地丢弃了一些敏感信息而不是将它粉碎。Warkentin在1995年扩展了分类学来包括了低级的和高级的威胁，后者是一个有目的性的个体或者是一个寻找模糊弱点和造成巨大经济损失的组织，组织是通过坚持入侵来获得最大化长远效益，从而给经济带来严重损失。 那些来自于人们目的性行为的风险是相当危险的，尤其是在现在这样充满黑客﹑间谍﹑恐怖分子和犯罪团伙的世界，犯罪团伙是为了达到他们的目标，会合作起来全球袭击我们的信息资产。许多恶意的个体希望造成破坏和损失，为了政治原因或是军事目的，有的恶意个体会窃取贸易秘密和法人所有权信息，有的会窃取财政信息来实施诈骗，有的会是身份盗用者，除了这些还有一些其他的犯罪行为。另一种风险是由恶意软件的新级别引起的，这种新级别使得软件更隐蔽和更有效，能够使软件穿透最新的边界防护。这些风险包括病毒﹑蠕虫﹑木马程序﹑隐匿技术和分散的僵尸网络袭击。 但是，最大的威胁是内部威胁--组织中作为防火墙信用代理人的成员（IM和Baskerville,2005年；Stantan等人，2005年；Willison，2006年；Willison和Backhouse,2006年）。这个员工和其他委托人用有效的用户名和密码来定期地和组织内的信息财产相互作用。员工能够对信息系统的机密性﹑完整性和有效性造成损害，通过一些故意的行为（使员工不高兴或者进行间谍活动），或者他们可能会介绍风险性通过对安全政策的被动不服从﹑怠惰﹑马虎﹑低训练或者是缺少动力去有活力地保护完整性和一些敏感信息的私密性，这些敏感信息一般来自于组织和它的合作伙伴﹑委托人﹑顾客和其他。这被叫做“末端安全问题”（Warkentin等人，2004年）因为个体员工是信息系统及其网络作业的末端。（我们有时会说最好的网络作业安全问题--最脆弱的连接—是在键盘与椅子之间。）内部的人经常会通过他们的终端直接接近整个网络工作，这样会造成一个主要的威胁。在50个国家开展的一个对近1400家公司进行的全球性调查中，研究者发现意识和个人问题保持了“最严峻的挑战是传递成功的信息安全主动权”（Ernst和Young，2008年）。尽管社会工程提供了对付黑客的最少的抵抗路径，在这项调查中只有19%的响应者是进行员工的社会工程测试，但是85%声明开展网络安全的定期测试。内部威胁被重复说明是对信息安全的最大威胁，但是在仓促中用不断增长经验的边界控制来保护边界的时候，这个威胁经常被忽略。加深对训练﹑雇佣人员的注重，促使员工安心地工作将产生很大的报酬给实行了这种策略的组织。 大量的方法和观点已经被用来调查企业的信息系统安全管理。这个特殊事件的焦点是集中在私人电脑用户﹑工作团体﹑或者组织和它的进程，之所以包括进程是因为它与信息系统安全的追求相关。组织特有地开发和实施一些计划﹑政策﹑协议和规程来保证信息资源的安全，伴随着用户训练项目和利用统治结构来宣传对安全政策和规程的服从（War