信息系统安全中的行为和政策问题

merrillwarkentin和robertwillison

欧洲信息系统杂志（2009）18，101-105.doi：

10.1057/ejis.2009.12现代全球经济﹑政治格局﹑技术基础设施与社会文化的发展都导致了组织中的日益增加的动态与混乱的环境，这支持了信息系统在商业﹑政府和其他领域的应用。因为我们的协会（经济﹑政策﹑军事﹑合法﹑社会）是日益全球化和内部链接的，由于我们更多的依赖于自动化的控制系统来为我们提供能源和服务，也因为我们建立了基于网络的机制来协调全球化互动，所以我们需要向我们的系统和进程介绍易损性弱点。越来越多的对网络空间的依赖扩大了我们的易损性—隔离不再是一个选项了。对于我们所依赖的信息系统，我们需要对它的各种各样的威胁进行理解和分析，与这种理解和分析的需要相比，之前所讲的现象在任何方面都不是那么要紧和富有挑战性了。

安全威胁有多种来源和成因。在loch等人的分类学中，信息系统的安全威胁被分类为四种因素—外部原因（人为因素和非人为因素）和内部原因（人为因素和非人为因素）。那些以工程和计算机科学为中心的研究主要是关于外部威胁的，现在已经有很多的人工制品被开发出来保护组织的边界（例如：入侵检测系统﹑防火墙﹑防恶意破坏软件等等）。在管理信息系统的研究传统中，一直都采取很大的努力来调查信息系统安全威胁中的人为犯罪，特别是针对那些在企业组织中的人（在防火墙后，就类似这样）。在loch等人的框架中，威胁的来源是以人的意图为特征的（目的性的vs偶然性的）。行为研究协会的许多关注是在信息系统安全政策上的，这些政策不被员工所服从。有些行为是基于目的的﹑有意的﹑恶意违规的（就像破坏活动﹑数据窃取﹑数据破坏等等），还有的行为是无意的和偶然的，包括忘记修改密码，在离开工作地之前没有下线，粗心地丢弃了一些敏感信息而不是将它粉碎。warkentin在1995年扩展了分类学来包括了低级的和高级的威胁，后者是一个有目的性的个体或者是一个寻找模糊弱点和造成巨大经济损失的组织，组织是通过坚持入侵来获得最大化长远效益，从而给经济带来严重损失。

那些来自于人们目的性行为的风险是相当危险的，尤其是在现在这样充满黑客﹑间谍﹑恐怖分子和犯罪团伙的世界，犯罪团伙是为了达到他们的目标，会合作起来全球袭击我们的信息资产。许多恶意的个体希望造成破坏和损失，为了政治原因或是军事目的，有的恶意个体会窃取贸易秘密和法人所有权信息，有的会窃取财政信息来实施诈骗，有的会是身份盗用者，除了这些还有一些其他的犯罪行为。另一种风险是由恶意软件的新级别引起的，这种新级别使得软件更隐蔽和更有效，能够使软件穿透最新的边界防护。这些风险包括病毒﹑蠕虫﹑木马程序﹑隐匿技术和分散的僵尸网络袭击。