31、信息安全意识：基于网络关联的分析与管理

最新推荐文章于 2025-11-26 11:09:14 发布

a1b2c

最新推荐文章于 2025-11-26 11:09:14 发布

阅读量19

点赞数

CC 4.0 BY-SA版权

分类专栏：数字时代的信任与安全文章标签：信息安全意识行动者网络理论正当程序模型

本文链接：https://blog.youkuaiyun.com/a1b2c/article/details/154333434

数字时代的信任与安全专栏收录该内容

33 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

信息安全意识：基于网络关联的分析与管理

在当今数字化时代，信息安全意识已成为组织信息安全管理中至关重要的一环。然而，目前的信息安全意识项目仍面临诸多挑战，如缺乏理论基础、与整体信息安全管理框架脱节等。本文将深入探讨如何通过关联网络理论和正当程序模型，更有效地分析、理解和管理信息安全意识活动。

信息安全意识的现状与挑战

信息安全意识的传播方法可分为促销类（如活动、海报、游戏等）、教育/互动类（如演示、简短会议、研讨会等）、信息类（如传单、时事通讯、网站帖子、电子邮件等）和强制类（如保密协议、必要的意识考试或测试等）。安全主题涵盖密码使用和管理、恶意代码防护、安全政策、网络使用、垃圾邮件、数据备份、社会工程学等。

全球安全调查显示，信息安全意识举措具有重要意义。一方面，大多数安全损失是由于内部人员非恶意的粗心行为造成的；另一方面，信息安全意识对于组织实现信息安全的战略视角至关重要。然而，信息安全意识仍然是信息安全的一个关键问题。目前的安全意识项目缺乏理论基础，且与整体信息安全管理框架分开实施。

当前信息安全意识的研究方法

目前，大多数提出的信息安全意识框架只是建议或实施意识方法和技术，而没有说明其选择的理由和具体的理论基础。那些基于理论的研究方法，也主要集中在心理或行为理论上。

例如，Thomson 和 von Solms 提出社会心理学理论，利用心理原则来提高安全意识项目的有效性。他们开发了一个态度系统，认为用户的态度受行为意图、行为认知和情感反应的影响。根据这个系统，可以通过三种方法来影响个人的态度：直接改变他们的行为、利用行为的改变来影响一个人的态度、通过说服来改变一个人的态度。

Siponen 提出了一套关于动机的实用方法和原则，包括逻辑、情感、道德和伦理、幸福感、安全感和理性。他的安全意识概念基础基于理性行动理论、计划行为理论、内在动机和技术接受模型。

Qing 等人利用精细可能性模型作为理解说服性沟通有效性的框架。他们通过研究安全信息特征对用户的影响，探索安全信息的有效性和接收者行为的改变。

Puhakainen 旨在实现信息系统用户对信息系统安全政策和指令的合规行为改变。为此，他采用了态度和教学理论。

综上所述，信息安全意识的概念基础可以追溯到心理和行为流派。然而，本文主张应采用考虑安全意识的社会和组织方面的方法。

信息安全意识与信息安全管理的关联

信息系统及其安全会影响人们在不同领域、角色或活动中的表现，因此可以识别出信息安全意识的不同维度，包括组织维度、公众维度、社会政治维度、计算机伦理维度和机构教育维度。本文的重点是信息安全意识的组织维度，即旨在指导组织在安全问题上的行为和文化的有组织、持续的意识举措。

信息安全管理是一个结构化的过程，用于在组织中实施和持续管理信息安全。它包括保护信息和信息设施以确保业务连续性的活动。因此，信息安全管理应被视为一项重要的业务功能，其所有活动都应基于业务需求。

以下是几种常见的安全管理框架：
|框架提出者|框架内容|安全意识活动所在阶段|
| ---- | ---- | ---- |
|Vermeulen 和 von Solms|将安全管理活动分为准备元素（如获得高层管理承诺、描述安全愿景和战略）、实施元素（如确定安全要求、制定安全政策、进行风险管理、实施保障措施和程序）和维护或延续元素（如监控安全状况、确保正确处理事件）|实施阶段|
|Wilson 等人|将安全管理活动分为规划、组织、指导和控制四个阶段。规划是基于对组织信息系统资产的系统研究，制定安全计划，并列出潜在威胁和建议的对策。组织包括实施安全计划的活动，如制定程序和标准、实施安全产品和技术、培训管理员。指导阶段涉及领导和管理安全管理员，并开展用户和管理层的意识项目。控制阶段包括监控保障措施的有效性、内部和外部审计以及调查安全漏洞|指导阶段|
|ISO/IEC 27001 (2005)|提出了一个广泛接受的安全管理框架，即信息安全管理体系（ISMS），分为建立、实施和运行、监控和审查、维护和改进四个阶段。在建立阶段，定义 ISMS 的范围和边界，描述 ISMS 政策，并进行风险管理以制定风险处理计划。实施阶段涉及实施风险处理计划和运行所有安全保障措施。监控和审查活动包括记录及时识别未遂和成功的安全漏洞、事件和错误的程序，并定期审查 ISMS 的有效性。最后阶段包括维护和改进风险管理过程，采取适当的纠正和预防措施，将行动和改进情况传达给所有相关方，并确保改进达到预期目标|实施阶段|

这些分析表明，信息安全意识与整体信息安全管理过程密切相关，不应与其他安全管理活动分开进行或研究。然而，目前的安全管理和安全意识举措忽略了这种关联。为了有效地将意识活动纳入安全管理过程，需要考虑组织、社会和技术背景。

行动者网络理论与正当程序模型

行动者网络理论在信息系统研究中的应用

行动者网络理论（ANT）由科学技术研究（STS）的研究人员 Bruno Latour 和 Michel Callon 提出，并由社会学家 John Law 进一步扩展。该理论的主要目的是探讨技术在社会环境中的作用，以及技术如何随着时间的推移影响和被社会元素所影响。

ANT 认为，技术不是一个可以无冲突地引入社会环境的静态人工制品。相反，人工制品包含了其构造者设计的行动，限制了其使用；因此，人工制品是一个具有铭刻能动性的实体。ANT 描述了行动者如何通过使用非人类行动者形成联盟并招募其他行动者，以加强这种关联和他们的利益。这样，就创建了包括人类和非人类行动者的异质行动者网络。

此外，ANT 研究人类和非人类行动者之间的关系，以及人们围绕技术元素调整其利益的激励和行动。通过研究不同行动者利益调整的过程，可以检查网络稳定性的出现和演变方式。根据 ANT 的观点，稳定的网络是指一定数量的盟友调整了他们的利益，愿意以特定的方式思考和行动，以维护网络。稳定性意味着行动者网络及其底层思想已经制度化，不再被视为有争议的。

在激励其他行动者的过程中，人类行动者将使用场景铭刻在非人类行动者中。这样，他们将角色和要求委托给潜在的盟友。因此，稳定性是持续谈判和利益调整的产物，其维护取决于将行动者的利益转化为网络利益的能力。调整和稳定不是自上而下决策计划的结果，而是自下而上动员行动者的过程的成果。

ANT 已被广泛应用于信息系统研究中，作为理解社会系统如何随着技术的参与而变化的分析工具。在这些研究中，ANT 的应用目标不是批评正确或错误的方向或招募，而是探索过程以某种方式发展的原因。ANT 承认每个人对信息系统有不同的看法，因此其最终的转化不仅受技术因素影响，还受社会互动的影响。

ANT 已被用于研究和解释信息系统项目升级、企业资源规划实施、信息系统提案的开发和评估、电信市场战略制定或个人数字助理（PDA）行业的招募策略等。

翻译与铭刻

Callon 将翻译或行动者网络的创建定义为“一个行动者招募其他行动者的方法”，分为四个阶段：问题化、利益相关化、招募和动员。

在问题化阶段，一个发起或核心行动者识别出具有一致利益的其他行动者。在构建行动者网络的初始阶段，某些行动者将自己定位为解决他们所定义问题的不可或缺的资源，从而将自己确立为问题解决方案的“必经之路”。

利益相关化阶段旨在说服那些利益与发起者利益一致的其他行动者，必要时创造激励措施，使他们愿意克服障碍参与网络。如果这个阶段成功，就会进行招募。招募涉及为行动者分配角色，并试图通过寻找更多行动者来扩展网络。如果一个行动者的行为与她被分配的角色不同，那么她就背叛了网络。

最后，在动员阶段，核心行动者检查盟友是否按照协议行事，不背叛初始利益。通过创建行动者网络，核心行动者旨在确保从招募的行动者那里获得对其利益的持续支持，并实现网络的稳定。

在翻译阶段，人工制品被用来刺激其他行动者参与并在网络中采用特定角色。为此，一个使用模式或场景被嵌入到人工制品中，以描述未来使用的预期和限制。当一个行动模式被铭刻到一个人工制品中时，该人工制品就成为一个对其用户施加其铭刻模式的行动者。遵循该模式的灵活性根据铭刻的强度而变化。铭刻的强度取决于三个方面：与铭刻相关的周围行动者网络的规模和复杂性、它与这个周围网络的对齐程度以及铭刻本身的强度。然而，不可能确切知道实现给定行动需要哪些铭刻；知识是通过研究尝试铭刻的序列获得的。

正当程序模型

根据 ANT，一个行动者网络可以通过翻译过程和嵌入在人工制品中的铭刻来研究。然而，不可能在短期内确定一个行动者网络的稳定性。事实不是以传统意义上的方式传播的，而是通过额外的人类和非人类联盟的招募和铭刻来翻译和加强（或削弱）。因此，特定主张的最终事实性将通过长期的转变轨迹来决定。

正当程序模型可以用于跟踪决策过程。每当引入新的存在候选者（事实、主张和技术）时，它们会在网络中带来一定程度的困惑。随后会进行一个关于候选者合法性的咨询/辩论过程，以确定候选者在网络中的位置。只有通过这个过程，候选者才能通过制度化被接受，并在通过咨询和层级赋予价值后被接受。否则，她可能会被拒绝和排除。如果试图缩短这个过程，直接将候选者从困惑时刻转移到制度化时刻，失败的可能性可能会大大增加。

应用正当程序模型来监控候选者的纳入和排除，可以为我们提供网络随时间变化的动态视图。需要注意的是，正当程序阶段与翻译的四个阶段并不重合。相反，正当程序为我们提供了一个工具，用于放大特定时刻，分析候选者的纳入或排除。

通过以上内容，我们可以看到行动者网络理论和正当程序模型为我们理解和管理信息安全意识活动提供了新的视角和方法。在下半部分，我们将进一步探讨如何将这些理论应用于信息安全意识活动中，以及如何通过这些理论框架来指导信息安全意识的实践。

信息安全意识：基于网络关联的分析与管理（下半部分）

通过动态正当程序提升信息安全意识

我们认为，借助行动者网络理论（ANT）和正当程序模型，研究人员和从业者能更有效地分析、理解和管理安全意识活动，因为这些活动与特定组织环境中的信息安全管理相互作用。

信息安全意识活动涉及人类（如意识项目的设计者和安全信息的接收者）和非人类行动者（如意识宣传工具，像传单、海报等）。任何意识举措的目标都是让接收者以安全为导向行事，所以整组行动者（人类和非人类行动者）应展现出稳定网络的行为，以实现信息安全。为此，人类行动者（通常是意识项目的设计者）会让非人类行动者参与进来，并为其铭刻特定的与安全相关的角色和行为。例如，安全意识游戏包含了多个用户与安全相关行为的场景，并对符合信息安全最佳实践或政策的行为给予奖励。

此外，安全意识工作涉及不同的利益。不同的安全意识利益相关者群体（行动者），如管理者、管理员、安全官员、终端用户，有着不同的利益，需要进行协调，以使用户以特定的方式行动和思考，从而实现安全。

综上所述，我们可以将信息安全意识视为一个将安全目标进行转化的过程，以创建一个行为以安全为导向的稳定行动者网络。基于 ANT 的分析考虑了行动者的不同利益、角色和目标，以及可能影响组织和安全管理环境的事件和条件。此外，这种分析可以深入了解提供给信息系统用户的动机，以及为促进网络稳定而应用的铭刻的强度。这个框架还可以增强我们对网络随时间形成过程的理解，突出安全意识行动者协调利益的方式，以及意识行动者网络随时间的转变方式。最后，这种分析使行动者能够管理意识行动者网络的转变，并引导其朝着特定方向发展，而不是将其视为一个结果随机的不受控过程。

将基于 ANT 的框架应用于信息安全意识活动

信息安全管理者经常面临为信息安全意识项目的开发和实施争取支持的挑战。下面详细说明如何应用基于 ANT 的框架来应对这些挑战，具体步骤如下：

问题化阶段
- 识别关键问题 ：信息安全管理者需要确定组织中存在的信息安全问题，例如员工对安全政策的不遵守、频繁的安全漏洞等。这些问题应被明确界定，以便后续寻找解决方案。
- 确立自身地位 ：管理者要将自己定位为解决这些问题的关键资源，成为解决问题的“必经之路”。例如，通过向高层管理者展示自己在信息安全领域的专业知识和经验，让他们认识到管理者在解决安全问题中的不可或缺性。
利益相关化阶段
- 分析利益相关者 ：识别与信息安全意识项目相关的所有利益相关者，包括高层管理者、员工、安全官员等。了解他们各自的利益和关注点，例如高层管理者可能更关注项目对业务的影响，员工可能关心项目是否会增加他们的工作负担。
- 创造激励措施 ：根据利益相关者的需求，创造相应的激励措施。对于高层管理者，可以强调项目对业务连续性和声誉保护的重要性；对于员工，可以提供培训机会、奖励机制等，以提高他们参与项目的积极性。
招募阶段
- 分配角色 ：为不同的利益相关者分配明确的角色。例如，安全官员负责制定和执行安全政策，员工需要遵守这些政策并参与培训活动。
- 扩展网络 ：积极寻找更多的行动者加入项目，例如与外部安全专家合作，引入先进的安全技术和理念。
动员阶段
- 监督执行 ：信息安全管理者需要监督利益相关者是否按照协议行事，确保他们不背叛初始利益。例如，定期检查员工对安全政策的遵守情况，对违反规定的行为进行及时纠正。
- 维护稳定 ：通过持续的沟通和协调，维护行动者网络的稳定。及时解决网络中出现的问题和冲突，确保项目的顺利进行。

下面是这个过程的 mermaid 流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([问题化阶段]):::startend --> B(识别关键问题):::process
    A --> C(确立自身地位):::process
    B --> D([利益相关化阶段]):::startend
    C --> D
    D --> E(分析利益相关者):::process
    D --> F(创造激励措施):::process
    E --> G([招募阶段]):::startend
    F --> G
    G --> H(分配角色):::process
    G --> I(扩展网络):::process
    H --> J([动员阶段]):::startend
    I --> J
    J --> K(监督执行):::process
    J --> L(维护稳定):::process

结论

通过本文的探讨，我们可以看到信息安全意识活动是一个复杂的过程，涉及多个方面的因素。传统的信息安全意识研究主要集中在心理和行为理论上，而忽略了社会和组织方面的因素。本文提出的基于行动者网络理论（ANT）和正当程序模型的框架，为信息安全意识的研究和实践提供了新的视角。

这个框架强调了信息安全意识与信息安全管理过程的紧密关联，以及考虑组织、社会和技术背景的重要性。通过将信息安全意识视为一个将安全目标进行转化的过程，我们可以创建一个行为以安全为导向的稳定行动者网络。基于 ANT 的分析能够深入了解行动者的利益、角色和目标，以及影响网络稳定的因素，从而使管理者能够更好地管理意识行动者网络的转变。

在实际应用中，信息安全管理者可以按照问题化、利益相关化、招募和动员四个阶段的步骤，将基于 ANT 的框架应用于信息安全意识项目的开发和实施中。通过这种方式，可以更有效地提高员工的信息安全意识，减少安全漏洞的发生，保障组织的信息安全。

未来，我们可以进一步研究如何优化这个框架，使其更加适应不同组织的需求。例如，可以探索如何更好地平衡不同利益相关者的利益，提高网络的稳定性和适应性。此外，还可以研究如何将这个框架与其他信息安全管理方法相结合，形成更加完善的信息安全管理体系。