投稿方式可戳文章底部“阅读原文”了解详情。

 从社会工程学到信息安全文化模型的创建

文 | 顾伟

顾伟

安进生物技术亚太区信息安全官

丰富和广泛的信息安全领域工作经验。制药行业信息安全和隐私专家。具有超过15年的安全管理，安全战略，业务整合和安全团队运营经验。国内外论坛演讲嘉宾和圆桌特邀嘉宾，英国金融杂志Financier worldwide编辑委员，ISC2 亚太信息安全领袖获奖者，IAPP亚太咨询董事会成员。

社会工程学（Social Engineering）在上世纪60年代左右作为正式的学科出现。广义上的社会工程学定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。而这个理论明显证明社会工程学是用来构建社会福祉，造福人民的良心好学科。但是经历黑客大神凯文·米特尼克的个人高光表演，社会工程学已经逐步转变成了通过人为因素实施攻击手段，无需依托任何黑客软件，更注重研究人性弱点的黑客技术代名词。So it is about human being！

再回过头来看看社会工程有关于人的因素的核心，其实围绕着这个核心还有复杂而繁杂的其他社会科学的身影，比如，心理学，社会学，人类学，经济学，法学无所不能，无所不通。这边作者就不一一赘述社会工程学的缘来和场景，而是另辟蹊径来谈一谈防御社会工程的方法，如何创建信息安全文化的模型。

所谓安全链条中最薄弱的那一环，人。因此抵御或者说减少社会工程学的有效之道还是以人为中心的信息安全文化模型的创建。文化的各个维度通常都是抽象概念的具体化，因此需要综合多个理论的各个方面作为信息安全文化模型的基础，为了设计这个模型，需要考虑安全文化观点以及通过对比得出的安全文化的共同要求。而我也就是从这两个角度出发，设计出一个新的信息安全文化模型来关注人的因素。

首先，我先决定从Google Scholar搜索 “信息安全文化”，“信息安全文化模式”和“信息安全文化框架“等关键字。将其中一些论文放入更深入的评估中，根据他们是否提出任何模型或扩展模型来确定可以借鉴的信息安全文化的系统文献综述。信息安全文化是由社会文化活动支持的技术安全措施形成的，它将信息安全纳入组织的日常活动中。它也是一个组织文化中的亚文化，由Schein开发的模型[1]可以用来推断信息安全文化是什么。这个模型有三个基本要素：无意识的假设和信念；有意识的知识，规范和集体价值观；解释创作和人工制品。解释创作和人工制品是前两个因素的可见表达。这项工作确定了文化是非静态的，通过持续的评估循环发展而来改变或维护。因此，需要一种信息安全文化不断向一个组织的员工宣传，但它必须作为一个符合目标组织和企业目标的文化宣传。如果要有效地在安全政策中明确目标，必须为每个受政策影响的目标受众制定战略。要创造一种文化，仅靠政策是不够的。文化必须用于指导沟通，培训和教育，并促进管理领导。比如：建议只有通过做某些事情，组织才能获益；员工对信息安全的承诺，从而形成信息安全文化等。

在另一项研究中，Schlienger和Teufel [2]断言人的因素经常在信息安全的讨论中被大打折扣，而将重点放在相反的技术控制上。然而，这已经被证实是失效的，并且人的因素是社会文化的一部分。基于伙伴关系，信任和适当使用的技术这些条件，应该考虑将人视为安全资产的一部分。而员工应该被视为一种保障措施。与技术保障一样，人的因素是残余风险的一个要素。

组织安全政策应该决定什么水平是可以接受的。更重要的是，组织结构中各级员工之间的互惠信任信，是培养有效信息安全文化所必需的。这种文化是一种亚文化，包罗万象，可以最好地定义结合每个组织都是文化和每个组织都有一种文化的观点。这项研究表明，信息安全文化的模型可能是从安全文化发展而来，所以鼓励了许多想要达到的质量。不正常行为，定义为技术和人为的错误以及导致安全性的错误，这些违规和事故，都必须报告和坦白。这样的报告应该是除恶意意图外，绝对不受纪律处分的。这样做可以实现更好地了解风险。员工需要参与这个过程实施，从而反馈系统。因此，信息安全文化必须解决所有这些社会文化方面的问题，并将围绕业务目标和员工行为作为最重要的设计目标。

AlHogail [3]提出了信息安全文化的其他框架。它旨在影响员工在实现所需安全性的一致性方面的行为实践。它基于各种人为因素之间的关系，战略，技术，组织，人与环境（STOPE）模型和改变管理原则，这些原则相结合，逐步灌输提供了信息资产保护的良好信息安全行为。这个模型与人为因素有关的部分是准备，责任，管理和社会和法规。框架的主要构建块基于围绕STOPE模型，这是战略，技术，组织，人员和环境因素的首字母缩写。这些中的每一个都涉及一个或多个变革管理原则。员工缺乏安全知识或不愿意合作被Van Niekerk和Von Solms [4]认为是一个重大威胁。信息安全文化必须解决这些问题同时帮助最大限度地提高生产力并降低成本。对信息安全文化的研究主要集中在由Schein 定义的组织文化模型中，员工中的信息安全知识和行为不能被假设，因此成为了一个考虑组织文化如何与信息安全文化相关的第四个因素。关于信息安全意识培训的建议也属于这一类。研究人员假设随着时间的推移，教育会影响其他三个因素，每个因素都会响应一个或多个其他变化的变化，从而产生累积效应。

信息安全文化有非常多的各种定义。最全面的（通过非正式共识）已经建议如下描述：“员工/利益相关者在任意时间点用于与组织的系统进行交互的态度，假设，信仰，价值观和知识。相互作用导致可接受或明显的不可接受的行为（即事件），创造成为组织内部事情的一部分来保护其信息资产。”

针对社交工程学的泛滥和人的因素的无限放大，信息安全文化更可以引导，灌输个人的行为，成为保护信息资产的“肌肉反应”。

通过总结各种文献的想法并参考不同的模型，我归纳了以下信息安全文化模型通用要点，并尝试定义一个出信息安全文化框架。具体要点归纳如下：

1.人的因素是与物理，程序和技术控制同等重要。

2.安全文化是更广泛的组织和国家文化的亚文化，并为之影响。

3.通过行动和流程而可见的安全文化是由知识，动机，承诺和行为决定的，反过来又受到潜在信念和假设的影响。

4.安全文化有助于在组织内部提供长期的安全策略，组织应根据风险管理，反馈和不断变化的组织要求进行持续变更。

5.领导应该以身作则，表现出承诺并且兼顾定义的责任和向上管理问责制。

6.信任和沟通必须是双向的。

7.培训，教育和知识分享对于安全实践的改进至关重要。

模型见下图所示：

 图1-1

具体模型设计分为两大部分，基础组件，价值和行为组件。其中基础组件包括了我上文所归纳的所有通用信息安全文化模型的要点，其中有领导承诺，开放的沟通和有效的决策流程。领导承诺提供企业信息安全文化的底层基础，沟通和决策是应对突发人为因素引起的安全事件的有效保证。向上走到信息安全文化这个顶层设计，也就是模型的屋顶。下面有五大支柱支撑着信息安全文化并扎根于基础的三大组件。其中，我归纳为，公平文化，报告文化，学习文化，灵活文化和质疑文化。恰恰这些都是人的因素主导的通用文化现象。

公平文化虽然可能无法实现，但却是员工相信在组织内公平是可以实现的。无论错误其来源自何处，都是不可接受的，因此必须加以处罚，来维护公平性。最大的公平错误是组织的失败而不是鲁莽或疏忽造成的。公平的文化必须区分真正的不良行为，在这种情况下，惩罚必须是有道理的。而公平文化的建立也造就了以人为元素的组织如何有效约束个人行为的实践。报告文化，是鼓励员工去提出相应安全事件原因或现象的文化。公开诚实地报告利益相关者的安全问题可以了解和管理未来事故发生的潜在原因。报告文化对公平文化的理解和利用也至关重要。因此，报告文化是一种鼓励员工提供可用于深入了解信息的文化。学习文化是建立在观察，反思，创造和行动的基础之上，其中，前三个基础是非常直截了当。但是，行动可能相当困难，但事实并非如此，实施安全系统显著的改革，组织的生命周期可以大幅缩短。因此学习文化是用来辨识改革并有能力进行实施的文化。灵活文化，是一个能够有效地适应不断变化需求的文化。为了满足各种组织需要，一般实现过程中，都尽可能采用无差错标准。组织经常需要管理复杂和苛刻的技术，保持高生产能力，同时防止组织破坏性故障。因此这里导入了标准操作程序（SOP）的概念， 实现一个目标所需的决定可以归结为选择哪个SOP要遵循。但是，SOP无法预见每种可能的情况或可能性。因此，人为的错误，或者说社交工程会引起错误的决定，而导致有害的结果。通过建立灵活文化，将控制权交给本地技术专家，并与团队的其他成员一起支持由最有经验的人做出决定，这就是灵活文化的体现。当然在社交工程中，灵活性会被信任感，权威或等级左右，我们需要做的是在有限范围内适当应用权威，也要控制权威的滥用，尤其是骗取权威的身份和相应的授权。最后是质疑文化，质疑文化将公平，报告，学习和灵活文化都联系在一起。质疑文化的目的是促进思考而不是简单的程序和清单的盲从。它促进了对假设和思想测试的挑战。它据成功的历史来判断是否适用而不是假设安全。当然，质疑文化是“安全文化的基石”。人和组织都需要被鼓励去提问，诸如“为什么？”，“假使…将会怎么样？”以及“你能给我看吗？”这样的问题，而不是制定和接受假设。

在社会工程学中，我们可以看到以人为因素为出发点的攻击。而最有效或者说最持久的防御，绝对不是技术和流程的唯二选择。作者认为，采用一种参与信息的模型，信息安全文化最有可能连接系统与安全关键应用的融合。当然需要某些行业进行证明这一模型的可行性，作者已经看到航空和制药领域的信息安全文化模型的成熟和演变。综上所述，社交工程推导到信息安全文化模型的构建，才是以人对人，因人而异的长胜之道。

参考书目：

[1] Edgar H Schein. 1985. Organizational culture and Leadership. Jossey-Bass Publishers, San Francisco, CA.

[2] Thomas Schlienger and Stephanie Teufel. 2002. Information Security Culture. In Security in the Information Society. Springer US, New York, NY, 191–201. DOI:https://doi.org/10.1007/978-0-387-35586-3_15.

[3] Areej AlHogail. 2015. Design and validation of information security culture framework. Computers in Human Behavior 49, (Aug. 2015), 567–575. DOI:https://doi.org/10.1016/j.chb.2015.03.054.

[4] Johan van Niekerk and Rossouw von Solms. 2010. Information security culture: A management perspective. Computers & Security 29, 4 (Jun. 2010), 476–486. DOI:https://doi.org/10.1016/j.cose.2009.10.005.

本文完成于2019年7月26日凌晨

往期征文

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

如何加入诸子云

诸子云已然来了，

目前已在上海、北京、武汉、深圳等地设立本地机构，可有心动？

心动不如行动，赶快联系我们，诸子云欢迎您！

申请加入诸子云

长按二维码识别联系安在君