虛擬企業成員信息安全勝任評價模型

史一鳴， 吳木林， 鄭 欣

(安徽商貿職業技術學院 經濟貿易系， 安徽 蕪湖 241002)

虛擬企業成員信息安全勝任評價模型

史一鳴， 吳木林， 鄭 欣

(安徽商貿職業技術學院 經濟貿易系， 安徽 蕪湖 241002)

在分析成員間內部信息攻擊行為的特點及勝任特征的基礎上，構建了虛擬企業成員信息安全勝任特征評價指標體系和勝任特征評價模型。模型基于安全風險防范思想，將評價分為兩個環節，綜合考慮了決策者制定決策偏好和候選成員的個性優勢，更實際地反映了候選成員間的差別。案例分析驗證了該評價模型的有效性和實用性。

虛擬企業成員； 評價; 模型; 信息安全

0 引 言

虛擬企業是一種新興的組織形式，在世界經濟一體化與信息技術革命的大背景下已成為企業的現實選擇。虛擬企業具有對市場需求高度敏感性、企業邊界模糊、能力專門化、高度的流動性和靈活性、利潤共享風險共擔、以發達的信息網絡為基礎等一系列新的特點，但同時也給企業帶來了一些新的風險，如核心技術泄露、成員信任危機等。虛擬企業是一種網絡式的聯盟，其中信息可以在聯盟成員之間充分地共享，但隨著信息技術應用在廣度和深度上的快速推進，信息安全問題日益凸顯。信息系統的安全問題涉及到國家和信息用戶的根本利益[1-3]。與此同時，信息泄露事件頻發，信息系統所面臨的安全風險日趨嚴重。近年來，越來越多的實證表明虛擬企業內部聯盟信息系統與信息管理的安全問題是信息系統所面臨的主要安全風險[4]，美國FBI(Federal Bueau Investigation)的相關評估報告顯示80%的攻擊和入侵行為來自組織內部，與此同時,一些研究顯示內部信息安全防范并未得到足夠的重視[5]。內部攻擊可分為主觀故意攻擊行為和無意識攻擊行為，其中主觀故意攻擊行為源于內部成員基于特定目的利用其對組織和信息系統熟悉及工作之便，對信息系統的數據進行破壞、欺詐和竊取；無意識行為則是組織成員信息安全防范的知識和技能缺乏，或是主觀上感知偏差、判斷失誤等造成的信息安全破壞行為[6-8]。因此,需對虛擬企業內部信息系統與信息管理成員加以科學的甄別和評價，找到能夠勝任信息安全職責的成員，消除成員的內部攻擊行為，從而實現從源頭上確保信息系統安全態勢評估技術，通過信息系統安全態勢評估，發現信息系統的脆弱性和所面臨的威脅，并分析安全事故發生的可能性和后果，從而掌握系統安全態勢，評估的方法包括模糊數學、神經網絡、貝葉斯網絡、粗糙集等方法[9-10]。借助這些方法建立了信息系統安全風險評估模型，但很少有文獻涉及到成員信息安全方法方面。針對上述研究中存在的不足，將虛擬企業成員信息安全勝任特征加入內部成員甄別和綜合評價分析中，建立虛擬企業內部成員信息安全勝任特征評價模型，為虛擬企業成員的合理選擇，防范內部攻擊提供科學參考依據。

1 虛擬企業內部成員信息安全勝任特征分析

最早在1973年發表的“Testing competence rather than intelligence”一文將勝任特征界定為：與工作或生活中的重要職能直接相聯系的知識、能力、特質或動機[11]。目前，勝任特征的研究主要集中在管理職能的勝任特征，比如Spencer[12]等建立的勝任特征洋蔥模型，此模型對勝任特征的研究深入到了更加系統與全面的層次，此外管理者勝任特征模型的建立者Boyatzis提出了可以延伸至各個部門的6個方面的勝任力及19個子勝任特征，對今后的勝任力研究奠定了基礎[13]。上述兩個模型主要涵蓋了人格/動機、特質/自我形象、態度、知識/技能等4個方面，文中以此為分析框架，通過內部攻擊行為特點分析進行勝任特征構建。由于內部攻擊源于主觀故意攻擊行為和無意識攻擊行為兩類差異較大的行為，因此對虛擬企業成員勝任特征的構建也需要從上述兩個視角進行，其中,具有潛在主觀故意攻擊行為的成員很大程度上源于其動機，可以從負面人格特質進行甄別，一些研究表明,負面人格特質引發的破壞性行為導致個體失敗，且負面人格特質與任務績效、關聯績效、整體績效有關聯關系，可以辨識產生偏差行為和主觀故意攻擊行為[14]；而無意識攻擊行為主要表現為信息安全知識、技能和工作態度的缺乏，判斷依據為知識/技能和態度兩方面的勝任特征，因此相關的勝任特征確立如下：從虛擬企業內部確保信息的真實性，同時靈活、有效地應對各類軟件硬件故障的需求來看，需要內部成員同時具備較高的知識水平，知識水平包括專業知識的掌握情況、學習能力、開發經驗總結能力、對相關信息收集整理能力等；從組織內部信息保密性、完整性等要求來看，內部成員需要具備較好的工作態度，即判別依據為態度這一方面的勝任特征，具體包括主動性、誠信、嚴格自律、任務導向等。另外，信息安全崗位需及時、靈活應對各類威脅信息安全的行為，工作壓力較大、強度高，需要后選成員具有較好的專業素質，判別依據為特質/團隊意識這一方面的勝任特征，包括團隊精神、體制、氣質等。綜上所述，結合已有文獻對崗位勝任特征進行較全面的總結，組織內部員工信息安全勝任特征可歸為5個方面：負面人格特質、知識水平、團隊意識、工作態度和專業素質。

表1 虛擬企業成員勝任特征評價模型

2 虛擬企業內部成員信息安全特征評價模型

根據虛擬企業內部成員信息安全特征評價的內容，評價涉及多項評價指標和綜合評價，其中集成加總一般包括賦權和加總模型兩個部分：賦權一般包括客觀賦權法、主觀賦權法和主客觀相結合賦權法三類[15]，基于勝任特征評價具有競爭、選拔的功能，采取了基于個性優勢的賦權法，該方法屬于客觀賦權法，一方面能夠避免主觀因素介入導致的隨意性，另一方面還給予了被評價對象體現自身競爭優勢和成績的優勢，體現公平競爭的原則[16]；加總模型采用了Lp-metric的聚合函數的VIKOR法，該方法與常用的TOPSIS方法相比，避免了TOSIS方法排序過程中存在的缺點，最大化了群體效用且提供了多種加總方式，更易為決策者介紹[17]。

虛擬企業內部成員信息安全勝任特征評價模型建模過程如下：

步驟1：初步篩選。依據剛性評價指標，即必須滿足的評價指標，對候選成員進行初步篩選，從而得到可行的m(m

步驟2：確定勝任特征的權重。在評價問題中，權重系數是一個十分關鍵的因素，在實際應用中具有重要的指導意義，代表了人們對綜合評價的價值取向。在內部信息安全成員組成和建設過程中，需對候選成員進行評比、選拔，這都屬于綜合評價問題。在綜合評價過程中的權重設置環節給予候選成員發出自己的聲音，表達自身優勢和成績的機會，并在其中予以體現，能夠更好挖掘候選成員的相關信息，體現公平競爭的原則，建立最能體現自身競爭優勢的價值來表達優勢和成績。由此，文中從被評價對象“最大化自身利益”的角度出發，借助候選員工的個人勝任評價信息構建個性識別模型進行評價對象ri的個性優勢識別，進而得到代表候選員工的權重向量Wi。具體過程如下：

對于m個候選成員，n個勝任特征評價指標得到的評價結論(評價值)用矩陣R表示，即：

(1)

(2)

當評價指標Lj為最小化指標時，其計算方法為：

(3)

把所有評價指標的理想值集中到一起，就得到一個最優解，反之，將所有評價指標的負理想值集中到一起，得到一個最差解。

2)確定代表候選成員的權重向量Wi。候選成員表達自身的利益訴求，通過建立自身的價值取向，影響最終的評價結果，其表現形式為選取對其有利的權重設置方案，由于VIKOR同樣為基于距理想點法思想的加總方法，因此當某個評價對象的評價指標值距理想點的距離有明顯優勢時，應相應地增大評價指標權重，這對該評價對象而言能夠顯著提高綜合評價結論，對其最為有利，因此基于這一思想，對ri而言將其權重向量的個體識別模型設定為：

(4)

步驟3:計算最終價值Di。Ii=(I1,I2,…,Il)表示第i候選成員在m組權重向量下的評價值。Di代表了在所有權重取值下的評價值，其計算公式如下：

(5)

式中:I=(I1，I2，…,Ii)表示第i個候選成員的最終評價值;S=(S1，S2，…,Sl),R=(R1，R2，…,Rl)分別為候選成員的各項勝任評價指標的評價值與相應的正負理想值的相對接近度，v一般取0.5。v大于0.5時，表示根據大多數決議的方式制定決策；v接近0.5時，表示據贊同情況制定決策；v小于0.5時，表示根據拒絕的情況制定決策。S+為群體最大效用，R+為最小個別遺憾。

步驟4:候選成員排序。按Di的值從小到大進行排序，得到候選成員優先排列序列，序列中排在前面的候選成員優先于排在后面的候選成員。

3 案例分析

某制造企業加大了信息化投入，但由于自身技術資源的不足，需選擇虛擬企業合作伙伴的加盟合作。為了確保信息安全，需對涉及信息安全的12個成員進行篩選。文中借助此案例進行模型有效性的驗證，第一步是對負面人格特質進行初步篩選，評判結果見表2。

表2 負面人格特質評價結果

由表2可以看出，候選成員3和候選成員7均值表現為重度負面人格特質而被篩掉，候選成員1和候選成員4由于單項指標表現為重度負面人格特質而被篩掉，經過初步篩選最后剩余的候選人為8人。

經過篩選后，分別針對每個勝任特征所涉及的內容從不同的角度設計測量條目，采用10點式利克特量表，讓被測試者給出對每個條目的同意程度，打分時選的數字越大表示越贊同，1分為最低分，表示非常不贊同該勝任特征，10分為最高分，表示非常贊同該勝任特征，從而得到了8名成員在4項勝任特征上的得分，打分結果見表3。

表3 勝任特征評價結果

步驟1：確定正理想解和負理想解。在4項勝任特征指標中，全部為最大化指標，越大越好，即收益型準則。根據式(2)分別計算勝任特征指標的正理想解和負理想解，結果見表4。

表4 勝任特征評價指標的正理想解和負理想解

步驟2：確定權重設置方案。根據候選成員各項評價指標取值情況，根據式(3)得到集成候選成員意見的權重向量，見表5。

表5 權重設置方案

由表5可知，以候選員工2為例，其權重設置方案(及權重系數)中第一項(知識水平)取值為0.641，說明其最大的個性優勢特征體現該勝任特征指標上，在這個指標上，其他的7個候選成員都與其有較大的差距，具有絕對優勢。從中不難看出，權重設置方案揭示了候選成員的個性優勢特征，決策者可以根據個性優勢的差別，結合對候選成員的個性偏好，輔助步驟3得到的最終評價價值進行相關的決策。

步驟3：候選成員最終評價值。決策偏好根據贊同情況制定決策，因此將決策機制系數設為0.5，由式(4)得到最終評價值為：

P1={ 0.569,0.587,0.269，0.378，

0.901,0.644,0.410,0.496}

為了對文中方法(P1)結果進行對比分析，利用TOSIS方法對候選成員進行了綜合評價，評價過程中權重采用了基于信息熵的權重設置方案(P2)。引入信息熵的權重設置方案主要是考慮到文中的權重設置方案與基于信息熵的權重設置方案兩種方案均為客觀賦值法，便于比較方法的特點。最終結論見表6。

表6 勝任評價結果

由表6可知，文中方法與作為對比的方法有較大差別，盡管在最佳候選成員識別上二者相同，但其后成員認定均不相同，且從文中評價結果上看,排序第一的候選成員2與其后的候選成員7和候選成員9差距明顯，而作為對比的方法則三者差別很小，幾乎可以忽略不計，差別主要來自兩個方面:一方面權重設置方案的差異，方法P1的權重設置方案較多地考慮了個性優勢差異，方法P2則更多地考慮評價指標所承載的信息量；另一方面，文中方法結合決策者制定方式多樣性的實際特點，借助Lp-metric聚合函數，更加科學全面地對指標進行加總。從前述的分析可以得知，文中方法綜合考慮了決策者制定決策偏好和候選成員的個性優勢，更實際地反應了候選成員間的差別。最后依據最終評價結論排序，結合候選成員的優勢勝任特征，本實例中候選成員7,8,11為優先考慮對象。

4 結 語

針對虛擬企業內部成員信息安全勝任評價問題，在分析內部信息攻擊行為的特點以及全面總結勝任特征相關研究成果的基礎上，構建了內部成員信息安全勝任特征評價指標體系，這為設計信息安全的內部成員的科學規范選拔、配置奠定了基礎，在此基礎上構建了內部成員信息安全勝任特征評價模型。模型將勝任評價環節分為兩個階段，首先排除了具有顯著負面人格特質的成員，其次對余下的勝任特質進行綜合評價，評價過程中一方面通過引入優勢識別思想強化了對原始指標數據深層信息的挖掘，實現對候選成員個體優勢識別，據此形成權證設置方案，與常用的AHP方法、熵權法等賦權方法相比，尊重了每位被評價者的意見，形成的結論更易為被評價者接受，避免了評價排名作為最終結果未能揭示勝任評價的內在規律的弊端，提高了評價模型的實用性，另一方面VIKOR方法提供了3種新的指標加總方法供決策者選擇，克服TOPSIS,PROMETHEE等方法加總方式單一，未考慮決策者制定方式多樣性的不足，更實際地反應了候選人的差別。最后利用某企業的挑選虛擬企業合作伙伴的內部成員信息安全勝任遴選為例，對提出的勝任評價模型進行了案例分析，結果表明，文中模型具有可操作性和實用性，可以為用戶合理遴選、評價涉及信息安全的虛擬企業合作伙伴提供有效的借鑒。

[1] Jouko Karjalainen. Tero haahtela, pekka malinen and vesa salminen, profit an risk sharing in a virtual enterprise[J]. International Journal of Innovation an Technology Management,2004,1(1):75-92.

[2] Huang M, Ip W H, Yang H M, et al. A fuzzy synthetic evaluation enbedded taby search for risk programming of virtual enterprises[J]. Int. J. Production Economics,2008,116(1):104-114.

[3] 盧福強，黃敏，王興偉.基于PSO的虛擬企業風險管理的隨機規劃模型[J].系統仿真學報，2009,21(20)：6621-6625.

[4] OuYang Y P, Shieh H M, Tzeng G H. A VIKOR technique based on DEMATEL and ANP for information security risk control assessment[C]//Information Sciences,Article in Press.2011.

[5] 應凌云，楊軼.軟件動態分析與信息系統安全[J].中國科學院院刊，2011,26(3)：310-315.

[6] 付鈺，吳曉平，葉清.基于改進FAHP-BN的信息系統安全態勢評估方法[J].通訊學報，2009,30(9)：135-140.

[7] 闕喜戒，孫銳，龔向陽.信息安全原理及應用[M].北京：清華大學出版社，2003:1-50.

[8] Ebru Yeniman Yildirima, GizemAytacb, Nuran Bayramb. Factors influencing infrmation security management in small-an medium-sized enterprises: Acase study from turkey[J]. International Journal of Information Management,2011,31(4):360-365.

[9] 林夢全，王強民，陳秀真，等.基于粗糙集的網絡信息安全評估模型研究[J].控制與決策，2007,22(8)：951-955.

[10] Lo C C, Chen W J. A hybrd information security risk assessment procedure considering interdependences between controls[J]. Expert Systems with Applicationsm,2013,39(1):247-237.

[11] Mc Clelland, David C. Testing for competence rather than for intelligence[J]. American Psychologist,1973,28(1):1-14.

[12] Boyatzis T E. The competent management:a model for effective performance[M]. New York: John Wliey,1982:1-20.

[13] Spencer L M, Spencer S M. Competence at work: models for superior performance[M]. [S.l.]: John Wliey & Sons, Inc.,1993:1-50.

[14] Keng Siau, Xin Tan, Hong Sheng. Important characteristics of software development team members:an empirical investigation using repertory grid[J]. Information System Journal,2010,20(6):563-580.

[15] 姜昱汐，遲國泰，嚴麗俊.基于最大熵原理的線性組合賦權方法[J].運籌與管理，2011,20(1)：53-59.

[16] 賈建鋒，趙希男，孫世敏.基于比較優勢的組織績效評價方法及實證研究[J].KEYAN GUANL,2011,32(2):151-159.

[17] Opricovic S, Tzeng G H. Extended VIKOR method in comparison with outranking methods[J]. European Journal of Operational Research,2007,17(2):514-529.

Information security competency evaluation model for virtual enterprise

SHI Yi-ming, WU Mu-lin, ZHENG Xin

(School of Economic and Trade, Anhui Business College, Wuhu 241002， China)

By analyzing the characteristics and competency of information aggressive behavior among the virtual enterprise members, we establish both the index system and mathematical model of competency feature evaluation t for the virtual enterprise members. Based on security risk protection, the model is divided into two sections which take into account the personality of the decision makers and individuality of the team members. The example shows that the model is effective and practical.

virtual enterprise members; evaluation; model; information security.

2014-05-25

安徽省高等學校省級重點質量工程項目(2012ZY108); 安徽商貿職業技術學院資助項目(ZL201101,ZL201212)

史一鳴(1986-)，女，漢族，吉林長春人，安徽商貿職業技術學院助教,碩士，主要從事虛擬企業組織管理、營銷與策劃方向研究,E-mail:sym727@126.com.

F 224

A

1674-1374(2014)06-0616-06