（管理科学与工程专业论文）企业信息安全策略成功实施的影响因素研究.pdf

浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 摘要 信息已经成为企业的一项重要资产，信息安全也得到了越来越多企业的关 注。为了保障组织的信息安全，许多企业都制定了自己的信息安全策略，但是， 这些信息安全策略经常形同虚设，没有发挥到应有的作用。在学术研究方面，信 息安全策略已经成为信息安全领域里新的研究方向，但就信息安全策略实施问题 开展的研究还十分缺乏，本研究就是在这样的背景下进行的。 本文以信息安全策略的成功实施为研究对象，所研究的影响因素包括策略本 身因素、社会环境因素和员工个人因素三个方面。在本研究中，信息安全策略的 实施效果用信息安全遵守行为和信息安全参与行为来衡量。策略本身因素包括策 略的易读性和策略的实用性：社会环境因素包括管理者支持、监督行为和同事的 信息安全行为；员工个人因素是本研究提出的信息安全自我效能感。 本研究采用问卷调查方法来获取数据，通过现场调研回收有效问卷1 1 4 份。 本研究采用s p s s1 2 0 对调研数据进行统计分析，数据分析方法包括信度分析、 因子分析、多元线性回归分析等。 通过数据分析发现，策略的实用性、管理者支持、监督行为、同事的信息安 全行为和信息安全自我效能感对信息安全遵守行为有正向影响，策略的易读性、 管理者支持、监督行为、同事的信息安全行为和信息安全自我效能感对信息安全 参与行为有正向影响。 本文在最后一章给出了本研究的理论价值和现实价值，并指出了本研究的不 足之处，以及未来研究需要改进的地方。 关键词：信息安全策略、信息安全遵守行为、信息安全参与行为、信息安全 自我效能感 塑坚盔兰塑主堂垡堕塞 垒些堡墨塞全墼堕盛垫壅塑塑墅堕里壅堕塑 a b s t r a c t i n f o r m a t i o nh a sb e e na ni m p o r t a n ta s s e to fc o r p o r a t i o n s ，a n dm o r ea n dm o r e c o r p o r a t i o n sb e g i nt op a ym o r ea t t e n t i o nt oi n f o r m a t i o ns e c u r i t y i no r d e rt o a s s u r e i n f o r m a t i o ns e c u r i t y , m a n yc o r p o r a t i o n sh a v ee s t a b l i s h e di n f o r m a t i o ns e c u r i t yp o l i c y h o w c v e r , t h e r ei sf e we m p l o y e et oc o m p l yw i t hi n f o r m a t i o ns e c u f i 母p o l i c ya tw o r k ， s ot h e s ep o l i c i e sd o n tb e c o m ee f f e c f i v eu s u a l l y h lt h ef i e l do fi n f o r m a t i o ns e c u r i t y , i n f o r m a t i o ns e c u r i t yp o l i c yh a sb e c o m eah o tr a s e a r c ht o p i c ，h o w e v e r , t h e r ei sf e w r e s e a r c hp a y i n ga t t e n t i o nt oi n f o r m a t i o ns e c u r i t yp o l i c ye n f o r c e m e n t u n d e rt h i s c o n d i t i o n ，t h i sa r t i c l et r i e s t od os o m er e s e a r c ho ni n f o r m a t i o ns e c u r i t yp o l i c y e n f o m e m e n t s u c c e s s f u li n f o r m a t i o ns e c u r i t yp o l i c ye n f o m e m e n ti s t h e o b j e c t i v e o f i n v e s t i g a t i o ni nt h i ss t u d y , a n dt h e r ea r et h r e ek i n d so fa f f e c t i n gf a c t o r s ，w h i c ha r e p o l i c yf a c t o r s ，s o c i a l c o n t e x t u a lf 如t o 弱，a n de m p l o y e ef a c t o r i nt h i ss t u d y ， i n f o r m a t i o ns e c u r i t yp o l i c ye n f o r c e m e n ti sm e a s u r e db yi n f o r m a t i o ns e c u r i t y c o m p l i a n tb e h a v i o ra n di n f o r m a t i o ns e c u r i t yp a r t i c i p a n tb e h a v i o r p o l i c y f a c t o r s i n c l u d et w ov a r i a b l e s ，w h i c ha r ep o l i c y su n d e r s t a n d a b i l i t ya n dp o l i c y sp r a c t i c a l i t y s o c i a lc o n t e x t u a lf a c t o r si n c l u d et h r e ev a r i a b l e s ，w h i c ha r em a n a g e m e n tp r a c t i c e s ， s u p e r v i s o r yp r a c t i c e sa n dc o w o r k e r si n f o r m a t i o ns e c u r i t yb e h a v i o r ；e m p l o y e ef a c t o r i si n f o r m a t i o ns e e u r i t ys e l f - e f f i c a c y , w h i c hi sd e v e l o p e db yt h i ss t u d y d a t ai sc o l l e c t e df r o mas a m p l eo f1 1 4e m p l o y e e su s i n gq u e s t i o n n a i r ea n d a n a l y z e du s i n gs p s s1 2 0 t 1 1 i ss t u d yu s e ss e v e r a lm e t h o d s t oa n a l y z ed a t a , s u c ha s r e l i a b i l i t y a n a l y s i s ，f a c t o ra n a l y s i s ，m u l t i p l el i n e a rr e g r e s s i o na n a l y s i s ，a n ds oo n ： t h e r ea r es o m ef i n d i n g si nt h i ss t u d y p o l i c y sp r a c t i c a l i t y , m a n a g e m e n tp r a c t i c e s ， s u p e r v i s o r yp r a c t i c e s ，c o w o r k e r s i n f o r m a t i o ns e c u r i t yb e h a v i o ra n di n f o r m a t i o n s e c u r i t ys e l f - e f f i c a c ya r e f o u n dt ob ep o s i t i v e l yr e l a t e dt oi n f o r m a t i o ns e c u r i t y c o m p l i a n tb e h a v i o r p o l i c y su n d e r s t a n d a b i f i t y , m a n a g e m e n tp r a c t i c e s ，s u p e r v i s o r y p r a c t i c e s ，c o w o r k e r s i n f o r m a t i o n s e c u r i t y b e h a v i o ra n di n f o r m a t i o n s e c u r i t y s e l f - e f f i c a c yh a v ep o s i t i v ei m p a c t so ni n f o r m a t i o ns e c u r i t yp a r t i c i p a n tb e h a v i o r a tl a s t ，t h i sa r t i c l ei l l u m i n a t e st h e o r e t i c a la r i dp r a c t i c a li m p l i c a t i o n s a tt h es a m e t i m e ，t h i sa r t i c l ep o i n t so u tt h es h o r t a g eo f t h i ss t u d ya tt h ee n d ，t ow h i c hf u t u r es t u d y n e e d st op a ya t t e n t i o n 。 k e yw o r d s ：i n f o r m a t i o ns e c u r i t yp o l i c y , i n f o r m a t i o ns e e u r i t yc o m p l i a n t b e h a v i o r , i n f o r m a t i o ns e c u r i t yp a r t i c i p l a n tb e h a v i o r , i n f o r m a t i o ns e c u r i t y s e l f - e f f i c a c y 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 1 绪论 i i 问题的提出 1 。1 ，1 理论背景 在2 0 世纪的大部分时间里，信息安全就是通信保密。针对专业化的攻击手 段，采用的保护措施就是加密，不断提高密码算法的强度，胜过攻击就是安全的。 这个时期被称为通信保密( c o m s e c ) 时代，其标志是1 9 4 9 年香农( c e s h a n n o n ) 发表的保密通信的信息理论。这个时期的理论是建立在香农的信息论理 论基础之上的。 到了2 0 世纪9 0 年代前后，随着信息的发展和互联网的兴起，人们逐步意识 到，数字化信息除了有保密性的需要外，还有信息的完整性、信息和信息系统的 可用性需求，因此，这一时期的专家学者明确提出，信息安全就是要保证信息的 保密性、完整性和可用性。这一时期被描述为网络和信息安全阶段，其最基础的 构件是保密性、完整性和可用性模型，即c i a 模型。这个阶段又可以进一步划分 为前后两个时期，先是i n f o s e c 时期，其标志是1 9 7 7 年美国国家标准局公布的 国家数据加密标准( d e s ) 和1 9 8 3 美国国防部公布的可信计算机系统评价准则 ( t c s e c ) 。从9 0 年代后期开始，信息安全在原来的概念上增加了信息和系统的 可控性、信息行为的不可否认性要求，同时，人们也开始认识到，安全的概念已 经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，包 括对信息的保护、检测、反应和恢复能力，除了要进行信息的安全保护，还应该 重视提高安全预警能力、系统的入侵检测能力，景统的事件反应能力和系统遭到 入侵引起破坏的快速恢复能力。安全表现为系统的安全，在这个阶段，主要面对 的是威胁，能够应对这些威胁就是安全的。网络和信息安全以完整性策略为主， 所用的基本技术是防火墙、v p n 加密隧道、i d s 入侵检测、防病毒等，因此其基 础技术是防护技术。 现在，信息安全已经进入个全新时期。现代信息安全被表述为一个综合利 用了数学、物理、管理学、通信和计算机科学等诸多学科成果的交叉学科领域， 是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信 息安全、国家信息安全的总和( 崔光耀，2 0 0 5 ) 信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。 基础理论研究包括密码研究、安全理论研究；应用技术研究则包括安全实现技术 和安全平台技术研究；安全管理研究包括安全标准、安全策略、安全测评等。 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 密码理论的研究重点是算法，包括数据加密算法、数字签名算法、消息摘要 算法及相应密钥管理协议等。这些算法提供两个方面的服务：一方面，直接对信 息进行运算，保护信息的安全特性，即通过加密变换保护信息的机密性，通过信 息摘要变换检测信息的完整性，通过数字签名保护信息的抗否认性；另一方面， 提供对身份认证和安全协议等理论的支持。 安全理论的研究重点是单机或网络环境下信息防护的基本理论，主要有访问 控制、身份认证、审计追踪、安全协议等。这些研究成果为建设安全平台提供理 论依据。 安全实现技术的研究重点是单机或网络环境下信息防护的应用技术，目前主 要有防火墙技术、入侵检测技术、漏洞扫描技术、防病毒技术等。其研究思路与 具体的平台环境关系密切，研究成果直接为平台安全防护和检测提供技术依据。 平台安全是指保障承载信息产生、存储、传输和处理的平台的安全和可控。 平台是由网络设备、主机( 服务器和终端) 、通信网、数据库等有机组合而成的， 这些设备组成网络并形成特定的连接边界。因而，平台安全涉及物理安全、网络 安全、系统安全、数据安全、边界安全，还包括用户行为的安全。 管理安全是信息安全的一个重要研究领域。普遍认为，信息安全三分靠技术， 七分靠管理，可见管理的份量。管理应该有统一的标准、可行的策略和必要的测 评，因而，管理安全包括安全标准、安全策略、安全测评等。这些管理措施作用 于安全理论和技术的各个方面。 安全标准研究是推进安全技术和产品标准化、规范化的基础，各个国家都非 常重视安全标准的研究和制定。主要的标准化组织都推出了安全标准，著名的安 全标准有可信计算机系统评估准则( t c s e c ) ，信息技术安全性评估准则( c c ) 、信 息安全管理标准i s o1 7 7 9 9 和i s o2 7 0 0 1 等。安全标准给出了技术发展、产品研制、 安全测评、方案设计等多方面的技术依据。如t c s e c 将安全划分为七个等级，并 从技术、文档、保障等方面规定了各个安全等级的要求。安全标准研究的主要内 容包括安全等级划分标准、安全技术操作标准、安全体系结构标准、安全产品测 评标准、安全工程实施标准等。 安全策略是安全系统设计、实施、管理和评估的依据。具体的信息和网络安 全应该达到什么样的强度、应保护那些资源、应花费多大代价、应采取什么措施 等都是由安全策略决定的。不同的国家和单位针对不同的应用都应该制定相应的 安全策略。比如，什么级别的信息应该采取什么保护强度、针对不同级别的风险 能承受什么样的代价等问题都应该制定策略。安全策略研究的内容包括安全风险 的评估、安全代价的评估、安全机制的制定、安全策略的实施和管理等。 安全测评是依据安全标准对安全产品或信息系统进行安全性评定。目前开展 的测评有些是由技术评测机构开展的技术测评，有些是由安全主管部门开展的市 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 场准入测评。测评包括功能测评、性能测评、安全性测评、安全等级测评等。安 全测评研究的内容有测评模型、测评方法、测评工具、测评规程等( 段云所，2 0 0 4 ， p 2 5 ) i 1 2 现实背景 在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商 业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依 赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全成为企业 管理越来越关键的一部分 现实世界的任何系统都是由一串复杂的环节组成的，安全措施必须渗透到系 统的所有地方，其中一些环节甚至是系统的设计者、实现者和使用者都不知道的。 因此，不安全因素总是存在，没有一个系统是完美的，没有一项技术是万能的。 我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门 开始出台一系列相关策略，直接牵引、推进信息安全的应用和发展。由政府主导 的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台针对信息 安全技术产品的应用标准和规范，安全技术、产品、市场在发展，很多组织都在 制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划( 郝晓 玲，2 0 0 3 ) 。 长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、 数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。致力 于安全技术和产品研发的企业不遗余力地投入资源，新的技术和产品不断涌现； 其它企业也更加相信安全产品，把仅有的预算也都投入到安全产品的采购上。事 实上，仅仅依靠技术和产品来保障信息安全的愿望往往难以尽如人意，许多复杂、 多变的安全威胁和隐患靠产品是无法消除的。“三分技术，七分管理”这个在其 他领域总结出来的实践经验和原则，在信息安全领域也同样适用。据有关部门统 计，在所有的计算机安全事件中，约有5 2 是人为因素造成的，2 5 是由火灾、 水灾等自然灾害引起，技术错误占1 傩，组织内部人员作案占1 0 ，仅有3 左右 是由外部不法人员的攻击造成的。简单归类，管理方面因素所占比重高达7 0 以 上，而这些安全问题中的9 5 是可以通过科学的信息安全管理来避免的。因此， 管理已经成为信息安全保障能力的重要基础( 蒋朝惠，许石青，2 0 0 5 ) 。 总结近年来发达国家信息安全领域的发展和演变，可以看到以下规律和趋 势：信息化的深入导致对信息安全的重视，信息安全的核心从安全技术逐渐转移 到安全管理，基于安全策略的管理是安全管理的重点。 信息安全策略是一个组织解决信息安全问题最重要的步骤，也是组织整个信 息安全体系的基础。信息安全策略明确规定了组织需要保护什么，为什么需要保 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 护和由谁进行保护，没有合理的信息安全策略，再好的信息安全专家和安全工具 也没有价值。一个组织的信息安全策略可以反映出这个组织对现实安全威胁和未 来安全风险的预期，也可以反映出组织内部业务人员和技术人员对安全风险的认 识和应对。 1 1 3 要研究的问题 基于前面对信息安全研究背景的介绍可以发现，信息安全策略已经成为信息 安全领域的一个热点研究课题，其重要性也得到了企业的广泛认可。然而，信息 安全策略只有得到有效实施，才能对企业的信息安全做出贡献，但是，信息安全 策略的实旌问题目前并没有得到有效解决。 因此，本文研究的主要问题是，找出企业信息安全策略成功实施的影响因素， 并通过实证分析，发现这些影响因素中的关键因素。 1 2 研究的范围、内容和目标 1 。2 1 研究的范围 ( 1 ) 本文的研究对象是企业信息安全策略的成功实施，是针对企业开展的 研究。 ( 2 ) 本文的调研数据来自于在杭州市进行日常运作的企业，而且这些企业 实施了信息安全策略。 ( 3 ) 本文的调研对象是企业的普通员工，这些员工在日常工作中会接触到 企业的信息系统。 1 2 2 研究的内容 ( 1 ) 信息安全策略研究文献综述 广泛阅读国内外文献，从信息安全策略的相关概念到信息安全策略的实施， 从信息安全策略本身的研究到信息安全策略的相关研究，对信息安全策略的研究 成果进行全面地整理，充分了解信息安全策略研究的过去和现在。 ( 2 ) 提出研究假设和理论模型 在文献综述的基础上，本研究的主题和研究假设得以确定。研究假设是本研 究的重点，因为，只有通过研究假设的检验，理论知识库才可能增添新的知识 研究假设要落实到变量层面，进而形成本研究的理论模型。 浙江大学硕士学位论文企业信息安全策略成功实旄的影响因素研究 ( 3 ) 企业信息安全策略成功实施的影响因素的实证分析 本文进行的是一次实证研究。在文献阅读和访谈调研的基础上，形成本研究 的调查问卷。通过问卷调查收集数据，根据对数据进行统计分析的结果，验证本 研究的理论假设，并得出研究结论。 1 2 。3 研究的目标 ( 1 ) 基于国内外学者在信息安全策略方面的研究成果，从中国企业的实际 情况出发，拟定企业信息安全策略成功实施的影响因素体系 ( 2 ) 在实地调研的基础上，利用统计分析软件对调研数据进行分析，找出 影响企业信息安全策略成功实施的关键因素。 ( 3 ) 根据统计分析结果，在信息安全管理方面为中国企业提出针对性的对 策建议。 1 3 研究的意义 1 3 1 理论意义 在信息安全领域，“三分技术，七分管理”的理念已经被广泛认同。通过文 献阅读可以发现，早期的信息安全研究主要集中在安全技术方面，2 0 世纪9 0 年 代前后，信息安全管理方面的研究才开始得到重视并逐渐发展( 朱晓欢，黄水清， 2 0 0 6 ) 。 信息安全篡略是信息安全管理方向的研究热点。在信息安全策略方面，国内 的研究主要还是定性地阐述，国外有些学者则已经开始通过实证调研对相关问题 进行探讨，并取得了一定成果( 赵洪彪，2 0 0 4 ；f u l f o r d ，d o h e r t y ，2 0 0 3 ，2 0 0 5 ) 。 通过广泛的文献检索，就信息安全策略的实施问题，本研究有两个发现：第一， 暂时没有找到对信息安全策略的实施效果进行定量度量的学术研究成果，也没有 文献提出定量度量策略实施效果的方法；第二，针对信息安全策略实施效果的影 响因素，不同学者的研究侧重于不同的方面，国外实证研究成果关注策略实施过 程中的社会环境因素，国内定性研究则关注策略制定过程中的影响因素( g r i f f i n ， n e a l ，2 0 0 0 ，2 0 0 2 ：c h a n ，w o o n k a n k a n h a l l i 。2 0 0 5 ：赵洪彪，2 0 0 4 ) 。 因此，本研究的理论意义就在于，在中国的现实环境中，结合国内外的研究 成果，提出衡量企业信息安全策略实施效果的定量方法和影响策略实施效果的因 素体系，并通过实证分析在理论上弥补国内外研究的缺陷。 浙江大学硕士学位论文企业信息安全镱略成功实施的影响因素研究 1 3 2 现实意义 随着信息安全事件的不断发生，信息安全问题已经逐渐得到企业领导者和管 理者的广泛重视，除了安全技术的不断投资，许多管理者也开始重视企业信息安 全的管理问题。在学者和外部专家的推动下，很多国内企业相继开展了信息安全 管理体系建设。然而，国内企业在进行制度体系建设时，经常出现的情况是，刚 开始热情高涨，文档制度一大堆，一段时间之后，这些文档制度就被束之高阁， 一切又回到旧轨道，致使企业的信息安全策略得不到真正地实施( 牛志军，2 0 0 6 ) 。 因此，本研究的现实意义就在于，在实证调研的基础上，通过对调研数据的 统计分析，找出影响企业信息安全策略成功实施的关键因素，有针对性地提出政 策建议，帮助解决信息安全策略实施难的问题，提高企业的信息安全管理水平。 1 4 研究方法和技术路线 1 4 1 研究方法 在研究方法上，本文注重规范分析与实证分析的相互结合，力求使本研究的 过程和结论既具有合理性，又具有科学性。规范分析是本研究科学地提出问题、 认识问题的前提，是实证分析的基础。实证分析又是检验理论模型合理程度以及 研究假设的重要依据。本文主要采取了以下几种研究方法： ( 1 ) 文献阅读 广泛阅读国内外文献，从信息安全策略的相关概念到信息安全策略的实施， 从信息安全策略本身的研究到信息安全策略的相关研究，对信息安全策略的研究 成果进行全面地整理。 ( 2 ) 访谈调查 为了更好地了解中国企业信息安全管理的实际情况，本研究选取了一些实施 过信息安全策略的企业进行访谈调查，主要是为了拟定企业信息安全策略成功实 施的影响因素体系，并形成调查闯卷。 ( 3 ) 问卷调查 根据文献阅读及访谈调查的情况，制作调查问卷。问卷调查分两个阶段进行： 第一阶段是问卷的试调查。将问卷的雏形设计好之后，先选取小样本进行前期调 查，目的是发现问卷设计中不妥的地方并及时修改；第二阶段是大规模的正式调 查。根据前期调查的结果，制作正式的调查问卷，并进行大规模地发放和回收。 ( 4 ) 统计分析 在闯卷调查的基础上，利用统计分析工具对获得的数据进行统计分析，验 证研究假设，找出关键影响因素，并得出结论。 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 1 4 2 技术路线 本研究所采用的技术路线如图1 1 所示。在本研究中，首先进行的是文献阅 读，通过对国内外研究成果的回顾，了解信息安全策略的研究现状和动态，并确 定研究主题。在文献阅读的基础上，建立本研究的理论模型，并进行访谈调查， 最终形成正式的调查问卷。经过有针对性地问卷调研，利用统计分析工具对采集 的数据进行处理，根据统计分析结果，验证假设，得出结论。 图1 1 技术路线图 1 。5 研究的主要创新点 ( 1 ) 提出了定量衡量企业信息安全策略实施效果的方法 本文进行的是一次实证研究，为了科学地衡量各个因素对企业信息安全策略 成功实施的影响程度，就必须精确地衡量策略的实施效果。纵观国内外的研究文 献，尽管信息安全策略已经得到了广泛的关注，但暂时还没有发现关于如何界定 策略的实施效果的研究。本文借鉴绩效研究以及安全行为科学研究的成果，采用 员工的信息安全遵守行为和信息安全参与行为来衡量企业信息安全策略的实施 效果。 守 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 ( 2 ) 提出了影响企业信息安全策略实施效果的因素体系 影响企业信息安全策略实施效果的因素很多国外的实证研究主要关注实施 过程中的社会环境因素，比如，管理者支持、监督行为以及同事之间的交互作用 等。国内在这方面的研究主要是定性地讨论，除了国外研究涉及到的社会环境因 素之外，许多国内学者同时还提出了信息安全策略本身的因素。本文不仅综合考 虑了策略本身的因素和社会环境因素，同时还考查了员工个人的因素，提出了一 个更加完善的影响因素体系。 ( 3 ) 将自我效能感的研究应用于信息安全领域 自我效能感的概念最早出现于社会认知理论，后来被广泛应用于教育、医疗、 体育等很多领域。本研究把自我效能感应用于信息安全领域，并提出了信息安全 自我效能感的概念，用来描述员工在信息安全方面对自己的认知，这种认知对他 们的信息安全行为将产生重要影响。 ( 4 ) 调研对象是企业的普通员工 在信息安全领域现有的实证研究当中，调研对象通常都是企业的信息主管层 面的员工，请他们来评价企业的信息安全状况。本文的研究把调研对象限定于企 业的普通员工，他们是企业信息安全策略的执行者，通过考查他们的行为才能确 切地知道企业的信息安全策略实施情况。 1 6 论文的结构安排 本文的结构安排如下： 第一章：绪论。本章首先介绍信息安全策略研究的理论背景和现实背景。并 由此引出本文要研究的问题。明确了要研究的问题之后，进而介绍了本文的研究 内容以及希望达成的目标，同时也说明了本研究的理论意义和现实意义，以及为 了实现研究目标而采用的研究方法和技术路线。任何一项研究都应该对这个领域 的发展做出贡献，因此在第一章中，本研究的创新点介绍了本文的贡献。 第二章：文献综述。每一项研究都要借助他人的研究成果，本文也不例外。 本章首先介绍了信息安全策略的相关概念，继而回顾了信息安全策略方面的研究 现状，并重点介绍了针对信息安全策略实施问题开展的研究。 第三章；研究假设和理论模型。研究假设的提出，既是对前人理论研究综述 的成果，又是对现实问题思考的结晶，更是本论文随后论证工作的起点和目标 第三章给出了本研究采用的理论模型，并提出了相应的研究假设。对这些假设进 行验证是本研究的一项重要工作 第四章；研究方法论。本章具体阐述了调查问卷的设计、数据的采集、变量 的测量以及测量指标的量化，并介绍了主要的数据分析方法。 第五章：数据分析和假设验证。本章介绍了对回收数据的处理过程，主要采 浙江大学硕；士学位论文企业信息安全策略成功实施的影响因素研究 用的统计分析方法是因子分析、信度检验和多元线性回归分析等。根据统计分析 结果，对第三章提出的研究假设进行验证。 第六章：研究结果和讨论。本章首先描述了数据处理和分析的结果，进而阐 明了本论文的理论价值和实际价值，并提出了本研究所存在的不足和有待进一步 解决的问题。 本文各章节的内容与所要解决的问题的关系如图1 2 所示： 要解决的问题各章的内容 图1 2 论文逻辑关系图 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 2 文献综述 2 1 信息安全策略相关概念 2 1 i 信息 2 1 1 i 信息的定义 信息作为科学的概念，首先是在信息论中得以专门研究的。1 9 2 8 年，哈特 莱( 凡v l h a r t l e y ) 在贝尔系统技术杂志上发表了一篇题为信息传输 的论文。在这篇论文中，哈特莱把“信息”理解为选择通信符号的方式，他指出， 发信者所发出的信息，就是发信者从通信符号表中选择符号的具体方式。 哈特莱的这种理解在一定程度上解释了通信工程中的一些信息问题，但也存 在一些严重的局限性主要表现在；一方面，他所定义的信息只考虑选择的方式， 不涉及内容和价值，也没有考虑信息的统计性质 另_ 二方面，将信息理解为选择 的方式，就必须有一个选择的主题作为限制条件。这些缺点使得它的应用范围受 到很大的限制。 1 9 4 8 年，贝尔实验室的香农( c e s h a n n o n ) 在贝尔系统技术杂志上 发表了标志着信息论诞生的著名论文通信的数学理论，香农是从通信工程的 角度去研究信息传递与度量问题的。他在定量测度信息时，把信息定义为随机不 确定性的减少，亦即信息是用来减少随机不确定性的东西。 尽管香农的信息概念比以往的认识有了巨大的进步，但仍存在局限性，这一 概念同样没有包含信息的内容和价值，只考虑了随机型的不定性，没有从根本上 回答“信息是什么”的问题。 1 9 5 0 年，控制论的奠基人维纳( n w i e n e r ) 发表了题为控制论与社会 一书。在书中，维纳把信息概念引入控制论，将信息概念与人的认识、动物的感 知活动联系起来。他指出，“人通过感觉器官感知外部世界”，“我们支配环境的 命令就是给环境一种信息”，因此，“信息就是我们在适应外部世界并把这种适应 反作用于外部世界的过程中，同外部世界进行交换的内容的名称”，“接受信息和 使用信息的过程，就是我们适应外部环境的偶然性的过程，也是我们在这个环境 中有效地生活的过程”。在这里，维纳把人与外部环境交换信息的过程看成一种 广义的通信过程，试图从信息本身的内容属性上给信息下定义，注意了信息的质 的方面，给人们提供了一条深入揭示信息本质的正确途径( 宋克振，张凯，2 0 0 5 ， p 2 ) 。 浙江大学硕士学位论文 企业信息安全策略成功实旌的影响因素研究 1 9 7 5 年，意大利学者朗高( g l o n g o ) 在信息论：新的趋势与未决问题 一书的序言中认为，“信息是反映事物的形式、关系和差别的东西，它包含在事 物的差异之中，而不在事物本身。” 1 9 8 8 年，我国的信息论专家钟义信教授在信息科学原理一书中把信息 定义为：事物运动的状态和状态变化的方式。并通过引入约束条件推导了信息的 概念体系，对信息进行了完整和准确的描述。信息的这个定义具有很大的普遍性， 不仅涵盖所有其他的信息定义，而且通过引入约束条件还能转化为所有其他的信 息定义( 牛少彰，2 0 0 4 ，p 2 - 3 ) 在信息安全管理标准i s o i e c2 7 0 0 1 中，国际标准化组织指出，“信息是一 个组织的资产，像其它重要的业务资产一样，对组织有价值，需要妥善保护”， “信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以通过邮 递或电子手段发送，可以在电影里或者谈话中提到”。 2 1 1 2 信息的性质和特征 ( i ) 普遍性和可识别性 信息来源于物质和物质的运动。只要存在物质，只要存在变化着的事物或运 动着的客体，就会存在信息。信息不仅普遍存在，而且也可以进行识别。人们通 过感官或多种探测手段都可以直接或间接地识别出客观事物的形状、特征以及变 化所产生的信息，特别是找出其中的差异，这就是认识信息的关键。 ( 2 ) 存储性和可处理性 信息既依存于物质和意识，又可以脱离物质和意识而独立存在，并可以存储 起来。信息存储是通过信息载体来将信息进行保存，以备后用，或者先存入然后 再进行分析整理，这是信息不同于物质和能量的重要特征。信息不仅可以进行存 储，还可以进行处理，即对获得的大量纷繁复杂的信息，根据目的进行筛选分 析、分类、整理、控制和使用。处理是为了更好地开发和利用，同时也有利于传 递和存储。 ( 3 ) 时效性和可共享性 信息具有较强的时效性。一个信息生成、获取的越早，传递的越快，其价值 就越大。随着时间的推延，其价值就会逐渐衰减以致消失。信息的共享性就是指 信息可以为多个主体所使用。 ( 4 ) 增值性和可开发性 信息资源的增值性主要表现在两个方面：一是对具体形式的物质资源和能量 资源进行最佳配置，以使有限的资源发挥最大的作用；二是可以利用急剧增长的 信息，去发掘新的材料和能源。而信息本身在不断地使用中也得到了增值。同时。 信息还具有可开发性，只有不断地去探索和挖掘，才能充分开发利用信息资源。 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 ( 5 ) 可控性和多效用性 信息的可控性反映在三个方面：一是可扩充，二是可压缩，三是可处理。信 息的可控性，使信息技术具有可操作性，同时也增加了信息技术利用的复杂性； 而信息的多效用性则是由信息所具有的知识性决定的。无论是认识世界还是改造 世界，信息都是基础。它是知识的源泉、决策的依据、控制的灵魂和管理的保证。 此外，信息还具有转换性、可传递性、独立性和可继承性等特征。信息也具 有很强的社会功能，主要表现在资源功能：启迪功能、教育功能、方法论功能、 娱乐功能和舆论功能等( 周学广，刘艺，2 0 0 3 ，p 卜2 ) 。 2 1 2 信息安全 2 1 2 。l 信息安全的概念 “安全”一词的基本含义是：“远离危险的状态或特性”，“客观上不存在威 胁，主观上不存在恐惧”。安全是一个普遍存在的问题，随着计算机网络的迅速 发展，人们对信息的存储、处理和传递过程中涉及的安全问题越来越关注，信息 领域的安全问题变褥非常突出( 牛少彰，2 0 0 4 ，p 7 ) 。 信息安全就是关注信息本身的安全，而不管是否应用了计算机作为信息处理 的手段。信息安全的任务就是保护信息财产，以防止偶然的或未授权者对信息的 恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。这样可以使我们 在最大限度地利用信息的同时不招致损失或者使损失最小。 2 1 2 2 信息安全的属性 信息安全的基本属性主要表现在五个方面： ( 1 ) 完整性 完整性是指信息在存储或传输过程中保持未经授权不能改变的特性，即对抗 主动攻击，保证数据的一致性，防止数据被非法用户修改和破坏。对信息安全发 动攻击的最终目的是破坏信息的完整性 ( 2 ) 保密性 保密性是指信息不被泄露给未经授权者的特性，即对抗被动攻击，以保证机 密信息不会泄露给非法用户。 ( 3 ) 可用性 可用性是指可被授权者访问并按需求使用的特性，即保证合法用户对信息和 资源的使用不会被不合理地拒绝。对可用性的攻击就是阻断信息的合理使用，例 如，破坏系统正常运行就属于这种类型的攻击 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 ( 4 ) 不可否认性 不可否认性也称为不可抵赖性，即所有参与者都不可能否认或抵赖曾经完成 的操作和承诺。发送方不能否认已发送的信息，接收方也不能否认己收到的信息。 ( 5 ) 可控性 可控性是指对信息的传播及内容具有控制能力的特性。授权机构可以随时控 制信息的机密性，能够对信息实施安全监控。 2 1 2 3 信息安全的实现 为了实现信息安全，需要三个方面的措施来保障：信息安全技术、信息安全 管理以及信息安全法律。 ( 1 ) 信息安全技术 信息安全技术涉及到信息传输的安全、信息处理的安全以及对网络传输信息 内容的审计三个方面，当然也包括对用户的鉴别和授权。为保障数据传输的安全， 需要采用数据传输加密技术、数据完整性鉴别技术；为保证信息处理的安全，需 要保障数据库安全和终端安全；信息内容审计则是实时地对进出内部网络的信息 进行内容审计，以防止或追查可能的泄密行为。 ( 2 ) 信息安全管理 安全管理是信息安全中具有能动性的部分，大多数安全事件和安全隐患的发 生，并不完全是技术问题，往往是由管理不善而造成的。为实现安全管理，应该 有专门的安全管理机构，设有专门的安全管理人员，并逐步建立起完善的安全管 理制度。信息安全管理主要涉及到以下几个方面：人事管理、设备管理、场地管 理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。 ( 3 ) 信息安全法律 为了保证信息安全，除了运用技术手段和管理手段之外，还要运用法律手段。 对于已经发生的违法行为，只能依靠法律进行惩处。同时，通过法律的威慑力， 还可以使攻击者产生畏惧心理，达到惩一警百、遏制犯罪的效果。 2 1 3 信息安全策略 2 1 3 1 信息安全策略的概念 策略是指以正式形式出现的、经管理层同意和批准的、规定了组织行动方向 和行动自由程度的途径，或者说策略是管理层对某个主题有关意见的一种陈述形 式( 赵洪彪，2 0 0 4 ，p 2 2 ) 。 从管理角度看，信息安全策略是组织关于信息安全的文件，是一个组织关于 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 信息安全的基本指导规则。它通常由组织最高管理层批准，在整个组织内发布， 其目标在于减少信息安全事故的发生，将信息安全事故的影响与损失降到最小。 从信息系统方面来说，信息安全的实质就是控制和管理主体( 用户和进程) 对客体( 数据和程序等) 的访问。这种控制可以通过一系列的控制规则和目标来 描述，这些控制规则和目标就叫信息安全策略。信息安全策略描述了组织的信息 安全需求以及实现信息安全的步骤。 信息安全策略中包括目标、任务和限制等成分。目标描述了未来的信息安全 状态；任务定义了与安全有关的活动，比如分配和收回权限；限制定义了在执行 任务所规定的活动时为保证信息安全所必须遵守的规则 2 l3 2 信息安全策略的特征 ( 1 ) 指导性 信息安全策略是一个描述如何保证组织信息安全的指导性文件，对整个组织 的信息安全工作提供全局性指导，并不涉及具体做什么和如何做。 ( 2 ) 非技术性 i 信息安全策略不是技术解决方案，尽管它对制定信息安全技术解决方案有指 导作用。在信息安全策略中不需要规定使用的具体技术，多数情况下也不需要描 述技术参数。信息安全策略的描述语言也是非技术性的。 ( 3 ) 可审核性 信息安全策略是可以被审核的，即能够对组织内各部门的信息安全策略的遵 守情况进行审核和评价。 ( 4 ) 现实可行性 信息安全策略与现实业务状态的关系是：信息安全策略既要符合现实业务状 态，又要包容未来一段时间内的业务发展需求。- ( 5 ) 动态性 信息安全是动态变化的，信息安全技术也在不断发展，所以信息安全策略也 要不断更新。信息安全策略具有明确的时效性，必须注明有效期限，避免由于时 间理解错误而造成混乱。 ( 6 ) 文档化 信息安全策略应该有清晰完整的文档描述。 2 i 3 3 信息安全策略的种类 信息安全策略的种类根据不同组织的实际情况而有所不同，普遍存在的信息 安全策略种类如图2 1 所示，各个组织可以根据具体情况对这些策略进行调整、 细分或者合并。 l 浙江大学硕士学位论文企业信息安全策略成功实施的影响因素研究 表2 1 信息安全策略的种类 策略名称 含义 加密策略。阐述组织对内部使用的加密算法的要求 阐述组织内部计算机设备使用、计算机服务使用和对雇员的信息 使用策略 安全要求 电子邮件使用策略阐述组织关于电子邮件接收、转发、存放和使用等要求 采购与评价策略阐述组织设备采购规程和采购设备评价的要求 口令防护策略阐述组织关于建立、保护和改变口令的要求 信息分类和保密策略阐述组织的信息分类和各类信息的信息安全要求 服务器安全策略阐述组织内部服务器的最低安全配置要求 数据库安全策略 阐述数据库数据存储、检索、更新等安全要求 阐述应用服务器提供商必须执行的最低信息安全标准，达到这个 应用服务提供策略 标准后该服务提供商的服务才能考虑在该组织的项目中被使用 阐述组织内所有计算机的病毒检测和预防要求，明确在哪些环节 防病毒策略 必须进行计算机病毒检测 阐述组织信息安全审计要求，比如审计小组的组成、权限、事故 审计策略调查、信息安全风险分析、信息安全策略符合程度评价、对用户 和系统活动进行监控等活动的要求 i n t e r n e t 接入策略阐述