信息安全事件影響因素及觸發路徑

鄭亞莉，刁良瑞

（鄭州航空工業管理學院 信息管理學院，河南 鄭州 450046）

信息安全是國家安全體系的重要組成部分。黨的十九屆四中全會將國家安全體系納入國家治理體系，把國家安全工作納入法治化軌道，依法維護國家安全。隨后黨的二十大報告指出，推進國家安全體系和能力現代化，堅決維護國家安全與社會穩定。信息安全不僅是一種狀態，更是一個技術問題、一個管理問題。信息安全的核心在于信息安全能力，即面對信息安全風險時，防范化解重大風險的能力。信息安全是關系國家利益、整體利益與個人利益的大事，必須做好防范化解信息安全風險工作，提高化解風險能力，完善自身風險治理體系，為全面建設社會主義現代化國家提供安全保障。

從信息科學的角度來看，信息安全是指保護信息和信息系統不因偶然或惡意的原因而遭受未經授權的訪問、披露、破壞、修改及銷毀，保證國家的社會信息化狀態和信息技術不受外來的威脅與侵害。信息安全風險是指信息安全管理中存在的薄弱環節所造成的信息資產丟失與損失[1]。目前信息安全領域面臨著巨大的風險與威脅，主要包括有組織的金融網絡犯罪、系統自身安全漏洞、網絡釣魚、病毒木馬、信息泄露、移動威脅與內控風險等，這些風險與威脅給我國社會治理帶來了嚴峻的挑戰。

有關信息安全，國內外專家已做出諸多探索，并取得了豐富的研究成果，主要集中在以下方面：（1）信息安全風險認知研究。Zhao指出公眾的信息安全風險認知有助于提高信息安全水平，讓公眾意識到風險認知是促進風險防范與治理的推動力，從而提高公眾的風險防范能力[2]。錢曉華認為不斷提高員工信息安全意識，健全公司內部信息安全管理制度，持續完善公司內部信息安全體系，是有效避免公司信息安全事件發生的有效途徑[3]。（2）信息管理建設研究。張紅旗等從理論角度入手，認為信息安全管理保障體系建設的核心在于制度建設、組織建設和員工意識的培養[4]。Mona 從信息與通信技術行業開展信息安全管理優化研究，從風險預防的視角闡述了優化信息安全管理的動因及影響[5]。（3）信息安全技術研究。Naud 在信息安全風險預警階段對話語傾向性進行分析，通過聚類算法對信息安全風險預警進行分類[6]。隨著數據時代深入發展，基于“區塊鏈、人工智能、5G”等信息技術引起的信息安全問題研究呈現繁榮態勢。如艾瓊從大數據技術的視角出發，對我國科研工作者獲取國外學術資源時面臨的知識產權保護與隱私數據保護問題的可行性路徑進行了探討[7]。（4）信息安全治理體系建設。陸健健提出要從信息安全立法規范、信息安全風險預警和國家安全戰略層面同時抓起，同時完善信息安全技術，實現對信息安全的治理[8]。張慧認為要引入嵌入式治理辦法，構建國家網絡安全等級保護制度，有效防范網絡安全事件的發生[9]。

可見，國內外學者在信息安全領域的研究圍繞著風險預防、風險預警與技術以及公眾的風險認知、信息安全立法規范與信息安全風險評估等方面開展。在此基礎上，本文通過對扎根理論的探索和模糊集定性比較的分析，構建出信息安全事件影響因素理論模型，提煉出觸發信息安全事件的路徑模式，從而為防范化解風險進一步提供治理依據。

1 研究設計

1.1 研究方法

扎根理論是從經驗資料中提煉研究理論，倡導觀察者從實際觀察出發，對原始資料進行經驗概括，自下而上地建立系統理論。目前學術界采用最多的是程序化扎根理論，該理論能夠填平實證分析研究與理論框架之間的鴻溝，讓理論的產生更具科學性和檢驗性[10]。因此本文采用程序化扎根理論進行三級編碼，提煉出信息安全事件的影響因素，從而形成具有邏輯關系的框架模型。

定性比較分析是將定性與定量相結合的一種方法，該方法從組態思維的視角出發，考慮多個條件變量形成的組態而不是單個條件變量對結果的影響，揭示了各個組態路徑與結果之間的關系。在案例選取方面，案例樣本數量通常以10～60 個中小樣本為主。其中，模糊集定性比較分析能更好地解決復雜組態問題，因此本文通過模糊集定性比較分析提煉相關組態路徑，從而為防范化解風險提供一定治理依據。

1.2 案例選取

本文共進行兩次案例的選取，第一次案例選取主要用于扎根理論編碼分析與模型構建，共選取25個案例，剩余5個案例用作飽和度檢驗；第二次案例選取主要用于定性比較分析的模型檢驗，共選取20個案例。文中所選擇的案例樣本基于以下幾點考慮：第一，選取傳播范圍廣泛、影響較大、受關注程度高的事件，可以凸顯案例樣本的典型性與代表性。第二，在選取的案例樣本中，篩選出新聞媒體報道較多、信息公開的典型案例，以此來保證信息的獲取以及研究的順利開展。第三，為進一步加強案例樣本的代表性與普適性，分別選取國內外具有代表性的信息安全事件作為案例樣本。

2 扎根理論分析與模型構建

為保證編碼的科學性與合理性，在實際的編碼過程需要嚴格遵守程序化扎根理論研究方法，通過三級編碼對所選取的原始文件進行解讀分析、歸納比較，不斷提煉出相關概念并給予范疇化，根據核心范疇與主范疇之間的關系構建信息安全事件影響因素理論模型。

2.1 開放性編碼

本文在20個案例中隨機抽取蔚來用戶數據泄露事件、智聯招聘簡歷泄露事件、滴滴被處罰款事件、阿里云泄露用戶信息事件、學習通數據庫泄露事件、華住酒店5億條開房記錄泄露事件、京東前員工涉案50億條公民信息泄露案、雅虎大規模信息泄露事件、某科研集團釣魚郵件攻擊事件等20個國內外信息安全事件（分別用A、B、C、D、E、F、G、H、I 等字母表示），對它們進行解讀與編碼分析，剩余5個案例樣本用于飽和度檢驗。

開放性編碼是分析定性數據的初始過程，即對無序的原始資料進行分析，從文本資料中提煉出核心觀點，并對其進行聚類與整合，形成初始范疇。在編碼過程中，盡量使用可以反映信息安全事件應對行動的詞語來編碼，以期來呈現事件發生的情境以及事件主體的因果相繼性行動。經過不斷地比較分析、總結提煉，最終整理得到40個初始概念，每一個概念都列舉原始語句作為示例。具體如表1所示。

表1 開放性編碼節選

2.2 主軸編碼

主軸編碼是在開放式編碼基礎上，根據屬性、類別將各個獨立的初始范疇進行分析、聯結，明確各個概念之間的相互關系，深入挖掘范疇之間的內在邏輯聯系，進而提取凝練出更高層次的主范疇。本文在主軸編碼過程中，對上一階段所形成的40個初始概念進行系統分析與組合，共歸納出風險意識薄弱、監測能力不足、安全配置不當等10個范疇，在此基礎上又提煉出5個主范疇。如表2所示。

表2 主軸式編碼過程

2.3 選擇性編碼與模型構建

選擇性編碼是根據各個主范疇與其聯結的副范疇之間的邏輯關系，概括出核心范疇，并以一定的線索分析核心范疇與其他范疇之間的內在聯系。本文通過對主軸式編碼形成的10 個范疇進行反復推敲調試，最終提煉整合出風險認知、監測評估、應急處置、系統配置與外部威脅5 個核心范疇。并基于此，構建出信息安全事件影響因素理論模型。具體見圖1。

圖1 影響因素理論模型

2.4 理論飽和度檢驗

理論飽和度是指對新的抽樣數據進行比較分析后，未發現新概念、新范疇，類別屬性已達到飽和時，即視為理論飽和。本文將用于飽和度檢驗的印度核酸檢測信息泄露事件、江蘇高校信息泄露事件、日本優衣庫信息泄露事件等5個事件，進行標記、編碼、概念化，并沒有發現新的重要范疇與關系。這表明，該模型具有良好的理論飽和度。

2.5 模型闡釋

影響因素理論模型系統地勾勒出影響因素間的邏輯關系，為剖析和把握問題提供了直觀形象的參考。下面將具體闡釋模型背后的邏輯關系。

2.5.1 風險認知

信息安全風險防范與治理的首要之處在于相關主體能否做好風險來臨前的預防準備工作，風險、信息安全事件、危機是一個連續統一的過程。因為風險與危機之間存在著潛在的因果關系，信息安全事件是促進風險走向危機的關鍵，因此風險預防是信息安全風險防范的前提與基礎。在信息安全預防系統中，風險意識是影響風險防范治理全過程的宏觀環境與心理前提，良好的風險意識有利于信息安全風險防范與治理工作的開展，風險防范意識的形成又與相關主體的信息披露、宣傳教育息息相關[11]。對于事關信息安全風險的事項，相關治理主體需及時公開信息，做好信息安全知識普及、宣傳教育等工作，從意識源頭強化社會公眾對信息風險的認知，提高公眾對風險的敏感度，減少公眾因不知情而造成的傷害[12]。

2.5.2 監測評估

監測評估的本質是分析確定風險的過程，它既是防范和遏制風險危機的有效手段，又是加強事故預防和源頭治本的重要保障[13]。一方面風險監測可以使企業了解自身存在的威脅與矛盾，確定風險危機的分布和來源，掌握企業信息安全發展狀況，及時發現信息安全隱患。另一方面綜合評估事件發生的概率以及可能造成的影響和損失，能夠最大程度地減少信息安全事件的發生，實現“用最小成本獲得最大安全保障”的效果。在風險監測與風險評估的雙重作用下，相關治理主體會采取一定的管控措施對風險進行管控。在這一階段會產生兩種結果，當信息安全事件被迅速管控時，就會進入常態化工作階段；當信息安全事件無法被控制時，就會進入到非常態化階段，在應急處置這一工作環節循環進行，直至信息安全風險或危害得到控制或消除。

2.5.3 應急處置

風險預防固然能夠減少危機發生頻率、減輕危機帶來的損失，但并不能避免危機的發生[14]。因此，及時高效的應急響應是風險防范與治理過程的關鍵環節與過程性因素。已有的案例表明，信息安全事件的爆發通常會引發一連串的衍生事件，使得風險危機本身的破壞力遠高于單一危機的破壞力。因此信息安全風險防范與治理需要考慮危機帶來的連鎖反應，合理地調配人、財、物等資源，將事態控制在可控范圍內，避免次生危機的發生[15]。同時，協調配合也是風險防范與治理過程中的重要支持資源，特別是不受組織層級結構限制的合作與資源共享對于風險治理至關重要。但在實際情況中，仍存在部門各自為政、協作不足等情況，影響決策的科學性與合理性。

2.5.4 系統配置

目前大部分操作系統的配置都不是最理想的安全狀態，即在不同種類、不同版本的硬件軟件設備中，不同設備所構成的不同系統中，以及同一系統下的不同設置條件中，都會存在一定的安全漏洞。安全漏洞是指應用軟件和操作系統在設計或編寫過程中出現的缺陷和錯誤，如防護設計錯誤、網絡協議不完備等[16]。若某個程序在設計時沒有考慮周全，那么非法分子將會利用這些缺陷或錯誤，通過植入木馬病毒等方式對服務器或計算機發起攻擊。如果系統的防護能力較差，這些不良代碼就會不斷繁殖，從而破壞計算機信息系統，盜取其中的關鍵數據和資料。

2.5.5 外部威脅

信息安全外部威脅主要是指自然因素與人為因素。其中自然因素是指自然災害，如火災、水災、地震以及其他意外事故等，這些災害都可能導致計算機外部設備出現問題[17]。如果沒有及時進行數據備份，就會導致極大安全隱患。與自然因素所帶來的危害相比，人為因素給信息安全帶來的隱患更大，其中最典型的就是黑客攻擊與病毒入侵。不法人員通過系統漏洞或病毒植入對信息數據進行竊取、篡改和惡意刪除，這種入侵方式具有一定的隱蔽性和潛伏性，爆發速度快，用戶在短期內難以察覺和準備定位。一旦爆發病毒，會迅速導致設備癱瘓，機密的信息數據也會被隨意竊取、篡改，嚴重威脅信息安全。

3 模糊集定性比較分析

3.1 變量設置與賦值

本文將風險認知、監測評估、應急處置、系統配置以及外部威脅作為條件變量，將信息安全事件等級視為結果變量。通過對案例的分析與整理，決定采用四值模糊集賦值法。本文根據《公共互聯網網絡安全突發事件應急預案》的規定，把事件劃分為4個等級，將4個等級與四值模糊集賦值原則相結合進行賦值。其中特別重大事件賦值為1，重大事件賦值為0.67，較大事件賦值為0.33，一般事件賦值為0。具體見表3。

表3 變量的界定與賦值

3.2 必要條件分析

在對條件變量進行組態分析之前，需要通過fsQCA 軟件對5 個條件變量的一致性與覆蓋率進行測量，分析出5個條件變量是否為必要條件。在fsQ-CA方法中，當條件變量的一致性大于0.9時，就把這個條件變量視為結果產生的必要條件。從表4中可以看出，各條件變量的一致性均小于0.9，這表明單一條件變量無法構成影響信息安全事件的必要條件，也就是說，信息安全事件的發生受多個條件變量的影響。因此，需要綜合考慮多個前因條件的協同聯動效應。

表4 必要條件分析結果

3.3 條件組態分析

條件組態分析是分析條件因素不同組合方式對結果的影響，它試圖解釋充分性，而組態充分性需要通過一致性來衡量。一致性閾值與頻數閾值的設置需要考慮案例樣本等方面的因素，結合本文研究，筆者將一致性閾值與頻數閾值設置為系統默認值0.8和1。根據fsQCA 軟件最終可以得到三種解：復雜解、中間解與簡約解，其中中間解更能反映案例的結果，解釋力較強，具有一定的比較優勢。因此，本文選擇中間解分析條件變量中的必要條件，結合簡約解分析核心條件與邊緣條件，具體見表5。

表5 變量的條件組態分析結果

由表5 可知，觸發信息安全事件的路徑是多元的，共存在5種條件組態且所有條件組態的一致性均大于0.8，說明這5 種組態是信息安全突發事件的充分條件。條件組態的總覆蓋度為0.714，表明這5 種條件組合可以解釋71.4%的信息安全事件案例。

通過橫向分析，發現組態1和組態4具有相同核心條件，即外部威脅；組態3 和組態5 具有相同核心條件，即系統配置與外部威脅，在其他條件有所差異；組態2中，應急處置為核心條件，風險認知與監測評估為輔導條件。根據5個條件組態的核心條件與邏輯，發現觸發信息安全事件的3條路徑。

（1）外部威脅主導型。該路徑包括組態1和組態4 共2 條組態，其中外部威脅發揮核心作用，監測評估起輔助作用，該組合表明信息安全事件主要受到外部威脅與監測評估的聯動影響。這在“德國硅晶圓廠商造黑客攻擊”“阿根廷網絡電信公司遭病毒感染”“厄瓜多爾電信公司遭勒索軟件攻擊”等案例中都有所體現。以厄瓜多爾電信公司遭勒索軟件攻擊為例，厄瓜多爾網絡電信公司CNT遭到勒索軟件攻擊，隨后業務運營、支付門戶在短時間內全部陷入癱瘓。非法分子宣稱已經拿到了CNT 內部的核心數據，并在數據泄露頁面上分享部分文檔截圖，包括合同、支持日志等信息。非法分子通過對選定目標相關信息的收集，利用一切渠道、弱點進行入侵。入侵完成后加密重要信息數據，用勒索的方式索要錢財，如果企業拒絕支付勒索贖金，勒索團伙將會威脅并公開其核心數據來進行雙重勒索。因此，在這種情況下治理此類信息安全事件路徑的關鍵是做好各類信息的存儲加密以及備份工作，做好數據尤其是關鍵數據的備份，促進信息加密技術的應用，優化數據加密技術；加強系統軟件的維護與升級，減少信息安全隱患的發生。同時加強對信息技術的投入，定期進行風險監測與評估，對易出風險或潛在風險的部分著重檢查，強化病毒管理工作，充分發揮殺毒軟件的作用，提高企業風險防范能力[18]。

（2）系統缺陷—外部威脅型。該路徑包括組態3和組態5共2條組態，組態3表明信息安全事件主要受風險認知、系統配置以及外部威脅等因素的聯動影響。而組態5中表明，信息安全事件主要受系統配置、外部威脅這兩大因素的影響，即使其他條件并不存在。從該路徑可看出，信息安全事件的產生是軟件內部脆弱性和外部威脅共同作用的結果，這在“臺灣煉油廠遭受勒索軟件攻擊”“萬豪5億客戶的用戶信息泄露”“網絡非法團伙利用漏洞盜取平臺優惠”等案例中都得到了體現。如在萬豪信息泄露事件中，喜達屋網絡在2014年就存在被第三方非法授權訪問的行為，但直至2018年萬豪才發現非法授權的第三方已復制并加密了部分信息。一方面萬豪國際對信息安全方面不夠重視，存在重視發展、輕視安全的思想，安全防護系統建立不完善，防病毒保護不足，造成企業自身信息安全防護能力低下。另一方面，網絡攻擊者在對企業系統進行入侵后，會在服務器里植入“后門”，從而不斷獲取最新數據的攻擊效果。而漏洞何時會被發現，取決于企業的風險防御能力。如果信息管理人員防護水平不高，沒有及時對系統進行監測排查，那么就很難發現問題。因此，在此要素組合下的相關治理主體首先需要在思想上提高員工的信息安全意識，加強對員工的安全教育和培訓。如果員工可以對潛在威脅時刻保持高度警惕，那么也會極大降低安全風險[19]。其次在技術上做好對漏洞的管理、補丁的及時更新；加強系統的安全性，如部署防火墻、防毒墻、防御系統等。最后是加強信息安全的監測預警能力，及時發現惡意網絡流量，對信息安全事件的發生提供可靠的追溯依據。

（3）應急響應主導型。在這一組態中，應急處置發揮核心作用，風險認知與監測評估發揮輔助作用，這表明信息安全事件主要受應急處置、風險認知、監測評估等因素影響，即使其他條件并不完備。這在“鋁制巨頭造商挪威海德魯被攻擊事件”“香格里拉酒店客戶信息泄露事件”“某科研集團釣魚郵件攻擊事件”等案例中都有所體現。以某科研集團僵尸網絡事件為例，該企業多臺終端疑似出現黑客活動跡象，系統網站無法正常運行。但由于該企業內部管理結構混亂，權責分配不合理，應急預案編制簡單套用或照搬同類企業，導致企業在應急過程中出現職能交叉、推諉扯皮，響應效率低下等問題，最終錯過了最佳應急處置時機，企業正常運轉受到了嚴重影響。因此，在要素組合下的相關治理主體首先需要擁有敏銳的風險防范意識、做好事前準備工作，包括風險排查、風險評估等；其次是建立科學的應急管理體系，確保信息安全運作的順利進行[20]；最后是利用信息風險預防技術，強化對信息安全風險的監管與防范，有效遏制病毒入侵，從而確保網絡信息安全。

3.4 穩健性檢驗

為避免fsQCA 研究結果的隨機性，在進行條件組態分析后，還需通過穩健性檢驗來檢測研究結果的穩定性。目前，學界應用較成熟的方法有增減案例數、調整條件變量、調整一致性門檻值等。本文選擇改變一致性門檻值的方法進行檢驗，將一致性閾值從0.80 提升至0.85，得到新一致性條件下的結果。與原有結果相比，沒有發生顯著的變化。由此可判斷數據分析結果是較為穩健的。具體見表6。

表6 穩健性檢驗

4 結論

針對信息安全問題，以信息突發事件為對象，運用扎根理論和定性比較分析法分析信息安全事件的影響因素以及組態路徑，試圖發現信息安全事件的發生機制，從而阻斷信息安全事件的發生路徑，為信息安全的風險防范治理提供一定借鑒。主要結論如下：

（1）通過對20 個信息安全案例樣本進行編碼分析，提煉出觸發信息安全事件的關鍵因素，并構建信息安全事件影響因素理論模型。在此基礎上運用定性比較分析法分析20 起信息安全事件，得到5 種條件組態，歸納為外部威脅主導型、系統缺陷—威脅型、應急響應主導型3條事故路徑。

（2）建議重視外部威脅對信息安全事件的影響。外部威脅作為核心因素出現在信息安全事件的兩條路徑中，在搜集的案例中主要體現在網絡攻擊。因此，相關治理主體需要建立風險監測預警機制，時刻關注企業具體發展趨勢；建立健全信息安全防護體系，提升信息安全防護技術；強化設備管理體系，做好日常維護與管理工作；加強病毒管理與軟件升級，為減少信息安全事件的發生創造良好環境。