信息安全威脅的應(yīng)對(duì)行為
——基于云計(jì)算情境的實(shí)證研究

王念新，施 慧，王志英，葛世倫

（江蘇科技大學(xué) 經(jīng)濟(jì)管理學(xué)院，江蘇 鎮(zhèn)江 212003）

信息技術(shù)和網(wǎng)絡(luò)已經(jīng)擴(kuò)散和滲透到現(xiàn)代社會(huì)的每一個(gè)角落，2015年全球范圍內(nèi)有超過(guò)31億網(wǎng)絡(luò)用戶，約占全球73億人口的43.4%，中國(guó)擁有大約7.2億網(wǎng)絡(luò)用戶，成為全球網(wǎng)絡(luò)用戶最多的國(guó)家[1-2]。信息技術(shù)和網(wǎng)絡(luò)為社會(huì)創(chuàng)造了前所未有的機(jī)會(huì)和價(jià)值，人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)方便和效益的同時(shí)，必須同時(shí)面對(duì)各種信息安全威脅問(wèn)題。如果不能有效處理這些威脅，就有可能造成嚴(yán)重后果。據(jù)統(tǒng)計(jì)，2015年全球消費(fèi)者由于網(wǎng)絡(luò)犯罪損失的金額高達(dá)1 580億美元[3]。2012年中國(guó)信息網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告發(fā)現(xiàn)，網(wǎng)上銀行、網(wǎng)絡(luò)支付等是病毒的主攻目標(biāo)，87.87%的中國(guó)用戶使用網(wǎng)絡(luò)支付，其中，34.41%遇到安全問(wèn)題，71.14%遭受到不同程度的經(jīng)濟(jì)損失[4]。

鑒于信息安全威脅的嚴(yán)重后果，一個(gè)合理的推測(cè)是用戶應(yīng)該采取有效的保護(hù)措施來(lái)消除信息安全威脅。然而，許多用戶在面對(duì)信息安全威脅時(shí)并不積極地采取安全措施。根據(jù)我國(guó)《公眾網(wǎng)絡(luò)安全意識(shí)調(diào)查報(bào)告（2015）》，80.21%網(wǎng)民隨意連接公共免費(fèi)Wi-Fi，其中，45.29%的網(wǎng)民連接公共免費(fèi)Wi-Fi瀏覽網(wǎng)頁(yè)并使用即時(shí)通信工具，38.96%的網(wǎng)民使用無(wú)密碼Wi-Fi進(jìn)行網(wǎng)絡(luò)支付[5]。另一項(xiàng)調(diào)查顯示，約3/4美國(guó)消費(fèi)者擔(dān)心其智能手機(jī)的安全問(wèn)題，但并不總是采取保護(hù)措施[6]。更有甚者，23%的Email用戶在發(fā)現(xiàn)賬號(hào)被入侵后沒(méi)有采取任何措施。這種奇怪的“不作為”現(xiàn)象對(duì)信息安全實(shí)踐產(chǎn)生重大影響。目前使用加強(qiáng)信息安全的主要干預(yù)手段是對(duì)用戶進(jìn)行培訓(xùn)和教育，但這些手段發(fā)揮效果的前提是用戶會(huì)積極地采取安全措施來(lái)消除威脅。如果用戶在對(duì)信息安全威脅知情的情況下仍然不作為，這些措施將無(wú)法充分發(fā)揮作用。因此，研究用戶面對(duì)信息安全威脅時(shí)的應(yīng)對(duì)行為，具有較強(qiáng)的理論意義和現(xiàn)實(shí)價(jià)值。

本文認(rèn)為，用戶面對(duì)信息安全威脅的“不作為”現(xiàn)象與情緒導(dǎo)向應(yīng)對(duì)有著密切聯(lián)系。技術(shù)威脅規(guī)避（Technology Threat Avoidance Theory，TTAT）[7]認(rèn)為，個(gè)體在面對(duì)信息安全威脅時(shí)采取的應(yīng)對(duì)方式分為問(wèn)題導(dǎo)向應(yīng)對(duì)（Problem-Focused Coping，PFC）和情緒導(dǎo)向應(yīng)對(duì)（Emotion-Focused Coping，EFC）兩種。在信息安全領(lǐng)域，大多數(shù)用戶信息安全行為方面的研究主要集中在PFC[8]，除了TTAT對(duì)EFC在理論上的闡述外，EFC在信息系統(tǒng)領(lǐng)域的實(shí)證研究較少。信息系統(tǒng)學(xué)者從多方面研究了個(gè)人信息技術(shù)安全行為，包括安全政策依從[9-13]、安全政策違規(guī)[14-16]、安全培訓(xùn)和風(fēng)險(xiǎn)管理[17]以及安全措施采納[18-19]等。但是，這些研究多數(shù)以保護(hù)動(dòng)機(jī)為基礎(chǔ)，并認(rèn)為安全威脅的可能性、嚴(yán)重性和應(yīng)對(duì)效能可以提高采取信息安全措施的動(dòng)機(jī)，并最終影響用戶信息安全行為。然而，這些研究均假設(shè)用戶在信息安全方面會(huì)理性地綜合分析各方面的因素，權(quán)衡利弊來(lái)確定自身的動(dòng)機(jī)和行為，即PFC。雖然基于理性行為的理論有助于理解用戶安全行為，但用戶情感要素往往被忽視。研究表明，EFC可以調(diào)整因威脅產(chǎn)生的負(fù)面情緒并影響個(gè)體的行為和決策[20]。因此，在研究用戶信息安全行為時(shí)不僅要考慮PFC，也要考慮EFC。PFC無(wú)法解釋用戶“不作為”現(xiàn)象，而EFC可以提供一個(gè)新的理論視角對(duì)用戶“不作為”現(xiàn)象進(jìn)行合理解釋。

鑒于信息安全領(lǐng)域重點(diǎn)關(guān)注用戶PFC，缺乏對(duì)EFC的系統(tǒng)研究。本文將TTAT集成到研究模型中，同時(shí)考慮PFC和EFC兩類信息安全行為，從個(gè)體用戶角度探究用戶面對(duì)的信息安全風(fēng)險(xiǎn)及其對(duì)安全行為的影響。以云計(jì)算為實(shí)證情境，應(yīng)用結(jié)構(gòu)方程模型分析了489位企業(yè)員工的調(diào)查數(shù)據(jù)。研究結(jié)果表明，面對(duì)信息安全風(fēng)險(xiǎn)威脅時(shí)，用戶往往采取EFC，而非PFC。研究結(jié)論一方面對(duì)用戶面對(duì)信息安全威脅時(shí)的“不作為”現(xiàn)象提供了理論解釋；另一方面也為正確引導(dǎo)員工面對(duì)信息安全威脅時(shí)的情緒應(yīng)對(duì)行為提供了實(shí)踐指導(dǎo)。

1 研究模型與假設(shè)

為了探索用戶面對(duì)信息安全威脅時(shí)的“不作為”現(xiàn)象，本文基于TTAT將信息安全行為分為PFC和EFC兩類，構(gòu)建了信息安全風(fēng)險(xiǎn)通過(guò)感知威脅影響用戶應(yīng)對(duì)行為的研究模型，如圖1所示。同時(shí)，本文將感知可避免度作為調(diào)節(jié)變量，研究不同感知可避免度水平下用戶信息安全感知威脅對(duì)其采用信息安全應(yīng)對(duì)行為影響的差異。

圖1 研究模型

1.1 信息安全應(yīng)對(duì)行為

TTAT是用于解釋信息技術(shù)用戶威脅規(guī)避行為的理論，該理論認(rèn)為用戶的信息安全行為是一個(gè)動(dòng)態(tài)正反饋環(huán)，包括威脅評(píng)價(jià)和應(yīng)對(duì)評(píng)價(jià)[7]兩個(gè)過(guò)程。其中，用戶的威脅評(píng)價(jià)取決于風(fēng)險(xiǎn)的感知易感度和感知嚴(yán)重度，感知易感度是指?jìng)€(gè)體主觀認(rèn)為的經(jīng)歷安全違反事件的可能性[21]；而感知嚴(yán)重度是指?jìng)€(gè)體對(duì)于既定事件帶來(lái)不利后果的主觀評(píng)估。威脅評(píng)價(jià)不僅基于技術(shù)后果，也包括心理、社會(huì)以及經(jīng)濟(jì)后果[9]。而應(yīng)對(duì)評(píng)價(jià)包含PFC和EFC兩種主要類型。PFC是指用戶以理智的方式解決問(wèn)題來(lái)改變客觀現(xiàn)狀，從而減輕或消除威脅。用戶通過(guò)采取安全措施來(lái)直接處理威脅的來(lái)源，例如定期更新密碼、重裝安全防護(hù)軟件。如果這些安全措施起到規(guī)避安全威脅的作用，用戶則會(huì)感知到自身遠(yuǎn)離不利后果，從而認(rèn)為信息安全威脅降低。同時(shí)，用戶為降低信息安全威脅造成的情感失衡，也會(huì)采取EFC來(lái)應(yīng)對(duì)威脅。EFC是指用戶通過(guò)改變主觀認(rèn)知制造虛假認(rèn)識(shí)，在不改變客觀現(xiàn)狀的情況下減輕或消除威脅對(duì)自己造成的情感上的負(fù)面影響。這種應(yīng)對(duì)是在不改變客觀現(xiàn)狀的情況下減少威脅或降低規(guī)避威脅的動(dòng)機(jī)。EFC有許多表現(xiàn)形式，如宗教信仰（相信上帝將會(huì)解除危機(jī)）、宿命論（接受威脅）、否定（否認(rèn)威脅的存在）以及無(wú)助（由于沒(méi)有能力規(guī)避威脅而自責(zé)或放棄）[22-23]。

用戶的信息安全應(yīng)對(duì)行為有多種表現(xiàn)形式，包括僅采取PFC、僅采取EFC以及同時(shí)采取PFC和EFC。Rippetoe等[22]研究發(fā)現(xiàn)，當(dāng)個(gè)體面對(duì)的健康威脅程度高時(shí)，個(gè)體會(huì)同時(shí)采取PFC和EFC。同樣，對(duì)于理性的信息安全用戶而言，他們首先會(huì)通過(guò)感知易感度與感知嚴(yán)重度評(píng)估信息安全威脅程度，并選擇合適的安全保護(hù)措施（PFC）。如果沒(méi)有合適的安全保護(hù)措施，用戶就會(huì)實(shí)行情感集中應(yīng)對(duì)，以保持心情愉悅。由于信息安全威脅種類繁多且不斷演變，用戶很難通過(guò)采取安全措施完全消除信息安全威脅，故當(dāng)PFC無(wú)法完全消除信息安全威脅時(shí)，用戶可能會(huì)采取EFC或同時(shí)采取PFC和EFC。

1.2 信息安全威脅

信息安全風(fēng)險(xiǎn)與疾病類似，兩者都入侵系統(tǒng)，帶來(lái)惡劣影響。因此，人們對(duì)信息安全威脅與人類對(duì)健康威脅的反應(yīng)類似。健康保護(hù)行為的相關(guān)研究發(fā)現(xiàn)，感知易感度與感知嚴(yán)重度是決定個(gè)體意識(shí)行為最重要的條件。隨著感知威脅的增強(qiáng)，個(gè)體更有動(dòng)力遠(yuǎn)離危險(xiǎn)[24]。Wynn等[21]研究發(fā)現(xiàn)，個(gè)體覺(jué)得他越容易受到負(fù)面結(jié)果的影響（感知易感度），他越傾向于采取措施阻止負(fù)面事件的發(fā)生。信息安全的相關(guān)學(xué)者也都認(rèn)為感知嚴(yán)重度影響個(gè)人的規(guī)避意圖和動(dòng)機(jī)[2，25]；Liang等[26]的實(shí)證分析結(jié)果表明，感知易感度和感知嚴(yán)重度通過(guò)感知威脅影響家庭電腦用戶的規(guī)避動(dòng)機(jī)；Herath等[9]結(jié)合一般保護(hù)理論和威懾理論，發(fā)現(xiàn)感知易感度和感知嚴(yán)重度都可以提高用戶的安全意識(shí)。因此，提出假設(shè)：

H1a感知易感度與規(guī)避行為正相關(guān)。

H1b感知嚴(yán)重度與規(guī)避行為正相關(guān)。

EFC旨在平緩壓力造成的情緒波動(dòng)和心理失衡，它通過(guò)主觀改變與壓力事件相關(guān)的感受和看法來(lái)實(shí)現(xiàn)，而不是去解決手頭的問(wèn)題。當(dāng)個(gè)體感知到安全威脅，會(huì)采取情緒應(yīng)對(duì)來(lái)減少負(fù)面結(jié)果的影響。Folkman等[43]研究發(fā)現(xiàn)，當(dāng)用戶感知到安全威脅，并認(rèn)為其對(duì)該狀況有控制力時(shí)，他們會(huì)采取干擾處理策略（PFC），并且保持情緒穩(wěn)定；當(dāng)用戶對(duì)該情況控制力有限時(shí)，他們會(huì)重新整理情緒，保持情緒穩(wěn)定，從而達(dá)到自我保護(hù)的狀態(tài)（EFC）。情緒有很多種，如成就情緒（快樂(lè)、滿足、愉悅）、挑戰(zhàn)情緒（激動(dòng)、興奮、專注）、虧損情緒（憤怒、失望、沮喪）和威懾情緒（焦慮、恐懼、痛苦）[27]?？謶謱儆谇榫w應(yīng)對(duì)的表現(xiàn)形式之一。已有少量學(xué)者研究了感知威脅對(duì)情緒的影響。Boss等[28]的實(shí)證研究表明，感知易感度與感知嚴(yán)重度對(duì)恐懼均具有正向影響作用。因此，本文認(rèn)為，無(wú)論用戶對(duì)安全威脅是否有控制力，都會(huì)采取一定的情緒應(yīng)對(duì)方式，以最大限度地減少安全威脅的負(fù)面影響，達(dá)到一個(gè)更加積極和平衡的狀態(tài)[29]。因此，提出假設(shè)：

H2a感知易感度與情緒應(yīng)對(duì)正相關(guān)。

H2b感知嚴(yán)重度與情緒應(yīng)對(duì)正相關(guān)。

感知可避免度是用戶認(rèn)為他們面對(duì)的安全風(fēng)險(xiǎn)可以成功避免的程度，表示用戶對(duì)于潛在安全風(fēng)險(xiǎn)的控制力[7]。根據(jù)一般保護(hù)理論，用戶通過(guò)感知可避免度進(jìn)行應(yīng)對(duì)評(píng)估，采取相應(yīng)的應(yīng)對(duì)措施。信息技術(shù)用戶有可能因?yàn)槎喾N原因認(rèn)為信息安全威脅可以避免，例如盲目樂(lè)觀，認(rèn)為“不會(huì)發(fā)生在我身上”[24]，蘋果用戶經(jīng)常不安裝殺毒軟件，即使惡意軟件是已知的，并且具有潛在的嚴(yán)重威脅。

盲目樂(lè)觀代表一種“防衛(wèi)否定”[30]，由于安全威脅會(huì)導(dǎo)致用戶產(chǎn)生緊張和焦慮，為了保持心情愉悅，人們會(huì)主觀認(rèn)為該安全威脅可以避免，故安全威脅越嚴(yán)重、越會(huì)導(dǎo)致重大損失，用戶越傾向于主觀降低風(fēng)險(xiǎn)級(jí)別。因此，當(dāng)安全風(fēng)險(xiǎn)可避免度高時(shí)，用戶主觀上認(rèn)為該安全風(fēng)險(xiǎn)可以避免的概率很高，用戶會(huì)降低安全風(fēng)險(xiǎn)威脅程度的評(píng)估，將安全威脅最小化，即使安全威脅程度高（感知嚴(yán)重度和感知易感度都高），用戶往往傾向于采用EFC，而不是采取安全應(yīng)對(duì)措施；當(dāng)安全風(fēng)險(xiǎn)可避免度低時(shí)，用戶主觀上認(rèn)為該安全風(fēng)險(xiǎn)可以避免的概率很低，用戶會(huì)增加安全風(fēng)險(xiǎn)威脅程度的評(píng)估，將安全威脅最大化，即使安全風(fēng)險(xiǎn)的嚴(yán)重威脅低（感知嚴(yán)重度和感知易感度都低），用戶也會(huì)傾向于積極采取安全應(yīng)對(duì)措施。因此，提出假設(shè)：

H3a感知可避免度負(fù)向調(diào)節(jié)感知易感度與規(guī)避行為之間的關(guān)系。

H3b感知可避免度正向調(diào)節(jié)感知易感度與情緒應(yīng)對(duì)之間的關(guān)系。

H3c感知可避免度負(fù)向調(diào)節(jié)感知嚴(yán)重度與規(guī)避行為之間的關(guān)系。

H3d感知可避免度正向調(diào)節(jié)感知嚴(yán)重度與情緒應(yīng)對(duì)之間的關(guān)系。

1.3 信息安全風(fēng)險(xiǎn)

信息安全風(fēng)險(xiǎn)是指由于信息系統(tǒng)存在的脆弱性，而導(dǎo)致信息安全事件發(fā)生的可能性及其造成的影響[31]。由于信息系統(tǒng)在軟件、硬件、安全協(xié)議與安全策略上存在一定的缺陷，導(dǎo)致信息系統(tǒng)存在安全漏洞，非法用戶有可能利用信息系統(tǒng)的脆弱性，非法獲取訪問(wèn)權(quán)限，從而破壞系統(tǒng)，危害信息安全，給用戶安全使用信息技術(shù)帶來(lái)風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)包括保密性、完整性和可用性[32]3個(gè)維度，即CIA[19]。下面將分別從保密性、完整性和可用性角度論述對(duì)感知威脅的影響。

保密性風(fēng)險(xiǎn)是指數(shù)據(jù)被非授權(quán)用戶讀取的可能性。保密性風(fēng)險(xiǎn)是用戶最關(guān)注的信息安全風(fēng)險(xiǎn)之一[33]。由于信息系統(tǒng)自身存在一定脆弱性，加上企業(yè)內(nèi)部人員不依照安全政策或條例進(jìn)行操作，以及黑客或間諜非法入侵等原因，數(shù)據(jù)有可能遭到非法披露。當(dāng)數(shù)據(jù)有可能遭到非法披露并帶來(lái)一定不利后果時(shí)，用戶就會(huì)感知到信息安全威脅，從而采取安全措施以規(guī)避機(jī)密性風(fēng)險(xiǎn)。用戶通常通過(guò)不定時(shí)更新密碼或者獲取即時(shí)驗(yàn)證碼登錄信息系統(tǒng)等安全措施保持?jǐn)?shù)據(jù)的機(jī)密性。Browne[34]認(rèn)為，機(jī)密性風(fēng)險(xiǎn)對(duì)用戶感知易感度與感知嚴(yán)重度有正向影響作用。Hartono等[35]的實(shí)證分析結(jié)果表明，信息安全管理者對(duì)保密性風(fēng)險(xiǎn)的感知可以提高對(duì)電子商務(wù)網(wǎng)站的安全威脅感知。因此，提出假設(shè)：

H4a保密性風(fēng)險(xiǎn)與感知易感度正相關(guān)。

H4b保密性風(fēng)險(xiǎn)與感知嚴(yán)重度正相關(guān)。

完整性風(fēng)險(xiǎn)是指數(shù)據(jù)被未授權(quán)用戶修改的可能性。數(shù)據(jù)完整是數(shù)據(jù)保持真實(shí)、一致和可靠的前提[36]。由于信息已成為用戶最為重要的資產(chǎn)之一，故信息是否完整對(duì)用戶而言十分重要[37]。信息系統(tǒng)內(nèi)部人員的操作不當(dāng)（意外修改或）是導(dǎo)致完整性風(fēng)險(xiǎn)最主要的原因，除此之外，黑客也會(huì)進(jìn)行惡意攻擊修改數(shù)據(jù)[38]。當(dāng)數(shù)據(jù)有可能意外修改并帶來(lái)一定不利后果時(shí)，用戶就會(huì)感知到信息安全威脅，從而采取安全措施以規(guī)避完整性風(fēng)險(xiǎn)。用戶針對(duì)完整性風(fēng)險(xiǎn)采取的措施包括安裝反間諜軟件、安裝防毒程序等。Loske等[39]研究發(fā)現(xiàn)，完整性風(fēng)險(xiǎn)對(duì)用戶信息安全威脅感知有正向影響作用。因此，提出假設(shè)：

H5a完整性風(fēng)險(xiǎn)與感知易感度正相關(guān)。

H5b完整性風(fēng)險(xiǎn)與感知嚴(yán)重度正相關(guān)。

可用性風(fēng)險(xiǎn)是指授權(quán)用戶在需要時(shí)無(wú)法及時(shí)獲取數(shù)據(jù)的可能性。信息是否可用對(duì)用戶而言至關(guān)重要[40]。信息系統(tǒng)硬件的非正常運(yùn)作以及電腦系統(tǒng)無(wú)法及時(shí)傳送數(shù)據(jù)都有可能導(dǎo)致數(shù)據(jù)不可用。此外，分布式拒絕服務(wù)攻擊造成的大規(guī)模網(wǎng)絡(luò)癱瘓也會(huì)帶來(lái)可用性風(fēng)險(xiǎn)[40]。當(dāng)數(shù)據(jù)在需要時(shí)無(wú)法及時(shí)獲得并有可能帶來(lái)一定不利后果時(shí)，用戶就會(huì)感知到信息安全威脅，從而采取安全措施以規(guī)避可用性風(fēng)險(xiǎn)。用戶針對(duì)可用性風(fēng)險(xiǎn)采取的安全應(yīng)對(duì)措施包括備份數(shù)據(jù)、嚴(yán)格維護(hù)硬件設(shè)施以及提供通暢的網(wǎng)絡(luò)配置等。研究發(fā)現(xiàn)[35]，可用性風(fēng)險(xiǎn)對(duì)用戶安全威脅感知有正向影響作用。因此，提出假設(shè)：

H6a可用性風(fēng)險(xiǎn)與感知易感度正相關(guān)。

H6b可用性風(fēng)險(xiǎn)與感知嚴(yán)重度正相關(guān)。

2 研究方法

2.1 研究情境的選擇

本文選擇云計(jì)算為實(shí)證情境，研究云計(jì)算安全風(fēng)險(xiǎn)影響用戶安全行為的機(jī)理。因?yàn)樵朴?jì)算作為一種新興的計(jì)算模式，具有按需自助服務(wù)、普遍網(wǎng)絡(luò)訪問(wèn)、共享資源池、快速?gòu)椥阅芰涂啥攘糠?wù)等特征，已經(jīng)成為最熱門和最具發(fā)展前景的新興信息技術(shù)之一[41]。信息安全問(wèn)題是影響企業(yè)和個(gè)人采納云計(jì)算的首要因素[42]，近年來(lái)，頻發(fā)的云計(jì)算安全事故更為用戶使用云計(jì)算服務(wù)產(chǎn)生了負(fù)面影響。如2011年4月，亞馬遜云計(jì)算服務(wù)中斷超過(guò)12 h，造成大規(guī)模網(wǎng)絡(luò)癱瘓。2014年黑客借助蘋果手機(jī)iCloud系統(tǒng)來(lái)破譯密碼，造成100余名好萊塢隱私照片泄露。由于信息安全問(wèn)題對(duì)云計(jì)算使用的重要性，本文認(rèn)為，云計(jì)算為研究信息安全威脅對(duì)用戶信息安全行為的影響提供了合適的研究情境。

2.2 量表開(kāi)發(fā)和問(wèn)卷設(shè)計(jì)

為了提高研究的信度和效度，本文所涉及的研究變量盡可能采用已有的量表。本文研究模型中各變量的測(cè)量項(xiàng)及來(lái)源如表1所示。經(jīng)過(guò)與3位管理信息系統(tǒng)教授與8位信息安全專家組成的專家小組進(jìn)行多次討論研究構(gòu)念的初始測(cè)量項(xiàng)目，開(kāi)發(fā)了用于小規(guī)模前測(cè)的調(diào)查問(wèn)卷。除了有關(guān)企業(yè)的基本情況和填表人的資料問(wèn)題外，其他問(wèn)題均采用Likert 7點(diǎn)式量表。根據(jù)方便抽樣原理，將問(wèn)卷對(duì)某企業(yè)50位員工進(jìn)行了小規(guī)模前測(cè)，將表達(dá)不準(zhǔn)確的問(wèn)題進(jìn)行重新設(shè)計(jì)和修正，形成最終調(diào)查問(wèn)卷。

表1 各變量最終測(cè)量項(xiàng)

2.3 數(shù)據(jù)收集

2015年12月17日，通過(guò)問(wèn)卷星樣本服務(wù)進(jìn)行問(wèn)卷調(diào)查，以企業(yè)員工為調(diào)查對(duì)象。經(jīng)過(guò)3周，共回收問(wèn)卷616份。對(duì)回收問(wèn)卷進(jìn)行初步篩選，刪除了答題時(shí)間太短、回答問(wèn)題前后矛盾和所有答案一樣的問(wèn)卷48份。為了保證研究結(jié)果的有效性，將79個(gè)未使用云計(jì)算服務(wù)的樣本剔除。最后，共有489份問(wèn)卷進(jìn)入數(shù)據(jù)分析和模型擬合階段，有效問(wèn)卷率為79.38%。

考慮到云計(jì)算服務(wù)在我國(guó)尚處于推廣階段，為了保證數(shù)據(jù)回收的效果，本次調(diào)研我國(guó)經(jīng)濟(jì)較發(fā)達(dá)的地區(qū)——浙江和上海；從調(diào)研對(duì)象所處企業(yè)的行業(yè)可以看出，制造企業(yè)165家，占33.8%，服務(wù)企業(yè)253家，占51.8%，其他類型企業(yè)71家，占14.4%；從企業(yè)規(guī)?？梢钥闯觯瑔T工數(shù)量300人以下219家，300～3 000人212家，超 過(guò)3 000人58家。具體樣本及問(wèn)卷填寫者基本特征如表2所示。

表2 問(wèn)卷填寫者基本特征

考慮到問(wèn)卷中有些內(nèi)容涉及答題者一些敏感信息，從而導(dǎo)致無(wú)響應(yīng)偏差。根據(jù)Armstrong等[46]的建議，后面回收的樣本可能和無(wú)響應(yīng)者相似，使用最先回收的1/4問(wèn)卷和最后回收的1/4問(wèn)卷在主要研究變量上進(jìn)行了組間均值比較。組間均值比較結(jié)果顯示，兩組樣本在性別、年齡、學(xué)歷和職位等關(guān)鍵研究變量上不存在響應(yīng)偏差（n=0.05），從而保證樣本中不存在拒答誤差的問(wèn)題，整體樣本具有無(wú)偏性。

3 數(shù)據(jù)分析與結(jié)果

3.1 共同方法偏差估計(jì)

由于調(diào)查問(wèn)卷中的所有數(shù)據(jù)均來(lái)自于統(tǒng)一填寫者，可能會(huì)存在同源誤差（Common Method Variance，CMV）。本文分別利用程序控制方法和統(tǒng)計(jì)控制方法降低CMV的程度。在程序控制上，采用填寫者匿名、設(shè)置反向問(wèn)題和問(wèn)題項(xiàng)重測(cè)等方法；在統(tǒng)計(jì)控制上，應(yīng)用單因素檢驗(yàn)，評(píng)估CMV的程度，將所有測(cè)量項(xiàng)綜合進(jìn)行因子分析，求未旋轉(zhuǎn)時(shí)第1個(gè)主成分的方差解釋量，為24.3%，并未占到大多數(shù)。因此，CMV并不嚴(yán)重，不會(huì)對(duì)變量之間的路徑系數(shù)產(chǎn)生嚴(yán)重影響。

3.2 測(cè)量模型評(píng)價(jià)

變量的信度分析如表3所示，9個(gè)變量的Cronbach’sα值均大于0.7，組合信度（CR）均大于0.7，說(shuō)明各變量的信度較好。效度包括收斂效度和辨別效度。收斂效度通過(guò)平均方差提取（AVE）檢驗(yàn)。變量的AVE值均大于0.5，表明量表有很高的收斂效度。辨別效度通過(guò)比較變量的AVE平方根與對(duì)應(yīng)變量間相關(guān)系數(shù)絕對(duì)值進(jìn)行檢驗(yàn)。本文計(jì)算了規(guī)避行為、情緒應(yīng)對(duì)等8個(gè)變量之間的相關(guān)系數(shù)，然后將AVE平方根值置于相關(guān)系數(shù)矩陣表的對(duì)角線上進(jìn)行比較，結(jié)果如表3所示。由表3可見(jiàn)，所有變量的AVE平方根均大于其所在行與列相關(guān)系數(shù)的絕對(duì)值，說(shuō)明每個(gè)量表均通過(guò)了判別效度檢驗(yàn)。

表3 測(cè)量模型的信度和效度分析

3.3 假設(shè)檢驗(yàn)

本文以Smart PLS 2.0為數(shù)據(jù)分析工具，該工具廣泛應(yīng)用于管理類的實(shí)證研究[47-48]。應(yīng)用489個(gè)樣本對(duì)研究模型進(jìn)行了擬合，并采用Bootstrap（n=500）對(duì)結(jié)構(gòu)模型的路徑系數(shù)進(jìn)行了顯著性檢驗(yàn)。如圖2所示，研究模型解釋了24.1%的規(guī)避行為方差，30.4%的情緒應(yīng)對(duì)方差，72.9%的感知易感度方差以及62.5%的感知嚴(yán)重度方差?？梢?jiàn)，各研究變量均被解釋且比較充分。

圖2 研究模型的路徑系數(shù)和R 2值

由圖2可知，本文選取企業(yè)員工的性別、年齡和學(xué)歷作為控制變量。性別與規(guī)避行為之間的路徑系數(shù)β=0.079，T=1.301，性別對(duì)情緒應(yīng)對(duì)之間的路徑系數(shù)β=-0.072，T=1.168。因此，性別作為控制變量不成立。年齡與規(guī)避行為之間β=0.027，T=0.548，年齡與情緒應(yīng)對(duì)之間β=-0.029，T=0.548。因此，年齡作為控制變量不成立。學(xué)歷與規(guī)避行為之間β=0.058，T=0.984，學(xué)歷與情緒應(yīng)對(duì)之間β=-0.024，T=0.616。因此，學(xué)歷作為控制變量不成立。感知易感度與規(guī)避行為之間β=-0.114，T=1.461。因此，感知易感度對(duì)規(guī)避行為的影響不顯著，即H1a不成立。感知易感度與情緒應(yīng)對(duì)之間β=0.336，T=4.659。因此，感知易感度對(duì)情緒應(yīng)對(duì)的影響顯著，H1b成立。感知嚴(yán)重度與規(guī)避行為之間β=0.208，T=2.643。因此，感知嚴(yán)重度對(duì)規(guī)避行為的影響顯著，H2a成立。感知嚴(yán)重度與情緒應(yīng)對(duì)之間β=0.253，T=3.411。因此，感知嚴(yán)重度對(duì)情緒應(yīng)對(duì)的影響顯著，H2b成立。保密性風(fēng)險(xiǎn)與感知易感度以及感知嚴(yán)重度之間β分別為0.257（T=4.310）和0.158（T=2.042），即保密性風(fēng)險(xiǎn)顯著正向影響感知易感度和感知嚴(yán)重度。因此，H4a和H4b成立。完整性風(fēng)險(xiǎn)與感知易感度以及感知嚴(yán)重度之間β分別為0.274（T=4.493）和0.259（T=3.901），即機(jī)密性風(fēng)險(xiǎn)顯著正向影響感知易感度和感知嚴(yán)重度。因此，H5a和H5b成立?？捎眯燥L(fēng)險(xiǎn)與感知易感度以及感知嚴(yán)重度之間β分別為0.405（T=6.823）和0.444（T=7.003），即可用性風(fēng)險(xiǎn)顯著正向影響感知易感度和感知嚴(yán)重度。因此，H6a和H6b成立。

3.4 調(diào)節(jié)效應(yīng)分析

為了研究感知可避免度在感知威脅影響應(yīng)對(duì)行為過(guò)程中的調(diào)節(jié)效應(yīng)，本文中心化后的自變量和調(diào)節(jié)變量的各測(cè)量項(xiàng)兩兩相乘，將標(biāo)準(zhǔn)化后的自變量和調(diào)節(jié)變量的各測(cè)量項(xiàng)兩兩相乘，生成的新測(cè)量項(xiàng)作為乘積變量的測(cè)量項(xiàng)，并將乘積變量加入到研究模型中，進(jìn)行模型擬合和顯著性檢驗(yàn)。根據(jù)乘積變量與因變量路徑系數(shù)的P值或T值，判斷調(diào)節(jié)變量是否顯著調(diào)節(jié)自變量與因變量之間關(guān)系。分析結(jié)果如圖3所示，感知可避免度均負(fù)向調(diào)節(jié)感知易感度（β=-0.250，T=3.629）、感知嚴(yán)重度（β=-0.217，T=3.377）與規(guī)避行為之間的關(guān)系，感知可避免度正向調(diào)節(jié)感知易感度（β=0.207，T=4.189）、感知嚴(yán)重度（β=0.181，T=3.726）與情緒應(yīng)對(duì)之間的關(guān)系。因此，H3a、H3b、H3c與H3d均成立。

為了進(jìn)一步分析感知可避免度的調(diào)節(jié)效應(yīng)，本文利用Aiken的圖形程序?qū)⒏兄杀苊舛葘?duì)感知易感度、感知嚴(yán)重度與規(guī)避行為關(guān)系的調(diào)節(jié)作用結(jié)果如圖3所示。圖3（a）表明，當(dāng)感知可避免度低時(shí)，感知易感度（β=0.102，p＜0.001）顯著正向影響規(guī)避行為；當(dāng)感知可避免度高時(shí)，感知易感度（β=-0.072，p=0.189）對(duì)規(guī)避行為的影響不顯著。圖3（b）表明，當(dāng)感知可避免度低時(shí)，感知嚴(yán)重度（β=0.19，p＜0.001）顯著正向影響規(guī)避行為；當(dāng)感知可避免度高時(shí)，感知嚴(yán)重度（β=0.020，p=0.715）對(duì)規(guī)避行為的影響不顯著。

感知可避免度對(duì)感知易感度、感知嚴(yán)重度與情緒應(yīng)對(duì)之間關(guān)系的調(diào)節(jié)作用結(jié)果如圖4所示。圖4（a）表明，當(dāng)感知可避免度低時(shí)，感知易感度（β=0.479，p＜0.001）顯著正向影響情緒應(yīng)對(duì)；當(dāng)感知可避免度高時(shí)，感知易感度（β=0.648，p＜0.001）顯著正向影響情緒應(yīng)對(duì)。圖4（b）表明，當(dāng)感知可避免度低時(shí)，感知嚴(yán)重度（β=0.438，p＜0.001）顯著正向影響情緒應(yīng)對(duì)；當(dāng)感知可避免度高時(shí)，感知嚴(yán)重度（β=0.583，p＜0.001）顯著正向影響情緒應(yīng)對(duì)。

圖3 感知可避免度對(duì)感知易感度、感知嚴(yán)重度與規(guī)避行為之間關(guān)系的調(diào)節(jié)作用

圖4 感知可避免度對(duì)感知易感度、感知嚴(yán)重度與情緒應(yīng)對(duì)之間關(guān)系的調(diào)節(jié)作用

4 討論

為了研究用戶的信息安全應(yīng)對(duì)行為，本文基于TTAT，構(gòu)建了信息安全風(fēng)險(xiǎn)（機(jī)密性、完整性和可用性）通過(guò)感知威脅（感知易感度、感知嚴(yán)重度和感知可避免度）影響用戶信息安全應(yīng)對(duì)行為（問(wèn)題導(dǎo)向應(yīng)對(duì)和情緒導(dǎo)向應(yīng)對(duì)）的研究模型。以云計(jì)算為實(shí)證情境，應(yīng)用結(jié)構(gòu)方程模型對(duì)489位企業(yè)員工的調(diào)查問(wèn)卷進(jìn)行數(shù)據(jù)分析和模型擬合。研究結(jié)果表明，面對(duì)信息安全威脅時(shí)，用戶往往更傾向于采取EFC，而非單純地采取PFC。同時(shí)，本文將感知可避免度作為調(diào)節(jié)變量，研究發(fā)現(xiàn)，不同感知可避免度水平下用戶信息安全感知威脅對(duì)其采用信息安全應(yīng)對(duì)策略有差異。

4.1 理論意義

（1）本文為用戶面對(duì)信息安全威脅時(shí)的“不作為”現(xiàn)象提供了理論解釋。在信息安全領(lǐng)域，大多數(shù)用戶信息安全行為方面的研究主要集中在PFC，這些研究均假設(shè)用戶在信息安全方面會(huì)理性地綜合分析各方面的因素，權(quán)衡利弊來(lái)確定自身的動(dòng)機(jī)和行為。雖然基于理性行為理論有助于理解用戶安全行為，但忽視了用戶情感在用戶信息安全行為中的重要作用。Liang等[26]從理論上闡述了EFC，但沒(méi)有對(duì)EFC進(jìn)行具體的實(shí)證研究。本文同時(shí)考慮了EFC和PFC兩類信息技術(shù)用戶安全行為，研究了不同信息安全威脅情形下用戶信息安全行為的選擇，研究結(jié)論有助于全面認(rèn)識(shí)用戶面對(duì)信息安全威脅時(shí)的應(yīng)對(duì)行為。

（2）本文探索了感知可避免度對(duì)感知威脅與信息安全行為之間的調(diào)節(jié)關(guān)系。已有關(guān)于信息安全行為的相關(guān)理論（計(jì)劃行為理論、保護(hù)動(dòng)機(jī)理論和技術(shù)接受模型等）很少關(guān)注感知可避免度對(duì)信息安全威脅與安全行為關(guān)系的調(diào)節(jié)作用。研究發(fā)現(xiàn)，當(dāng)感知可避免度高時(shí)，感知易感度和感知嚴(yán)重度越高，用戶越會(huì)采取EFC；當(dāng)感知可避免度低時(shí)，感知易感度和感知嚴(yán)重度越高，用戶越會(huì)傾向于同時(shí)采取PFC和EFC。

（3）以云計(jì)算為實(shí)證研究情境，從個(gè)體層面探討了信息安全風(fēng)險(xiǎn)對(duì)信息安全威脅的影響。在信息安全領(lǐng)域，從個(gè)人用戶角度，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行基于理論的實(shí)證研究較少。大部分研究都是關(guān)注國(guó)家層面或企業(yè)層面，同時(shí)也缺乏有關(guān)CIA模型的實(shí)證研究。本文以云計(jì)算為實(shí)證情景，研究發(fā)現(xiàn)，機(jī)密性風(fēng)險(xiǎn)、完整性風(fēng)險(xiǎn)與可用性風(fēng)險(xiǎn)對(duì)個(gè)體用戶感知易感度與感知嚴(yán)重度有非常顯著的影響。可用性風(fēng)險(xiǎn)較其他兩種風(fēng)險(xiǎn)對(duì)用戶的感知威脅影響更加顯著，說(shuō)明個(gè)體用戶更加關(guān)注信息系統(tǒng)是否可用。

4.2 實(shí)踐意義

（1）有助于指導(dǎo)信息安全培訓(xùn)教育的設(shè)計(jì)和實(shí)施。隨著信息技術(shù)的不斷發(fā)展，尤其是智能手機(jī)、電子商務(wù)和云計(jì)算的擴(kuò)散，用戶的信息安全面臨更多的安全威脅，如何保護(hù)用戶的信息安全也受到更加廣泛的關(guān)注。信息安全培訓(xùn)和教育是提高個(gè)體用戶安全行為的重要手段。本文研究發(fā)現(xiàn)，用戶面對(duì)信息安全威脅會(huì)采取EFC的應(yīng)對(duì)方式，依靠情緒來(lái)維護(hù)信息安全威脅情形下的心理平衡。在實(shí)踐中，情緒應(yīng)對(duì)需要被干預(yù)、被影響甚至訓(xùn)練，以配合用戶專注于問(wèn)題應(yīng)對(duì)，降低安全威脅帶來(lái)的負(fù)面影響。因此，企業(yè)在對(duì)員工進(jìn)行培訓(xùn)教育時(shí)可以加入關(guān)于EFC的相關(guān)內(nèi)容，使員工了解自己是如何被情感支配并使用EFC制造錯(cuò)覺(jué)來(lái)減輕威脅。同時(shí)，企業(yè)可以設(shè)計(jì)有效方法，以避免員工過(guò)度依賴EFC，從而增加員工采取恰當(dāng)?shù)陌踩胧┑目赡苄?，以便更好地?guī)避信息安全威脅。

（2）有助于指導(dǎo)用戶提高安全意識(shí)。企業(yè)應(yīng)該認(rèn)識(shí)到提高員工感知易感度與感知嚴(yán)重度的重要性，員工不僅要了解遭受信息安全風(fēng)險(xiǎn)威脅的可能性，也要了解一旦成為受害者，后果的嚴(yán)重性。用戶需要將信息安全風(fēng)險(xiǎn)與感知威脅相連接，否則他們?nèi)詴?huì)忽視信息安全威脅，甚至即使處于安全威脅之中，仍然不采取行動(dòng)。因此，企業(yè)和用戶都需要加強(qiáng)安全意識(shí)的樹(shù)立。

（3）有助于提高對(duì)云計(jì)算信息安全可用性風(fēng)險(xiǎn)的關(guān)注。根據(jù)研究結(jié)果，云計(jì)算環(huán)境下，信息安全機(jī)密性風(fēng)險(xiǎn)、完整性風(fēng)險(xiǎn)與可用性風(fēng)險(xiǎn)對(duì)用戶安全感知威脅影響顯著。其中，可用性風(fēng)險(xiǎn)對(duì)感知易感度與感知嚴(yán)重度的影響較其他兩種風(fēng)險(xiǎn)更加明顯。由于云計(jì)算的核心功能是為用戶提供不同層次的按需服務(wù)，如果某項(xiàng)服務(wù)不可用或服務(wù)質(zhì)量無(wú)法滿足服務(wù)水平協(xié)議，用戶則無(wú)法使用云計(jì)算服務(wù)[39]，故無(wú)論是云服務(wù)供應(yīng)商、云計(jì)算用戶還是云服務(wù)第三方，都應(yīng)重點(diǎn)關(guān)注可用性風(fēng)險(xiǎn)。云服務(wù)供應(yīng)商、云計(jì)算用戶與云服務(wù)第三方均應(yīng)做好軟硬件等基礎(chǔ)設(shè)施的完善與維護(hù)，同時(shí)滿足云計(jì)算服務(wù)水平協(xié)議，以保證云計(jì)算服務(wù)可用。云計(jì)算用戶需要積極備份數(shù)據(jù)信息，以規(guī)避可用性風(fēng)險(xiǎn)。

4.3 研究局限和進(jìn)一步研究方向

（1）本文對(duì)EFC進(jìn)行了初步研究。信息安全風(fēng)險(xiǎn)可以觸發(fā)不用類型的情緒，如虧損情緒（憤怒、失望和沮喪）或威懾情緒（焦慮、恐懼和痛苦）。強(qiáng)烈的情感，尤其是負(fù)面的，往往破壞理性的決策過(guò)程。已有心理學(xué)方面的文獻(xiàn)確定了一些情緒應(yīng)對(duì)變量，并研究了這些變量的分類。除了TTAT理論對(duì)情緒應(yīng)對(duì)在理論上的闡述外，情緒應(yīng)對(duì)在信息系統(tǒng)領(lǐng)域的研究較少。因此，未來(lái)的研究可以重點(diǎn)關(guān)注EFC，研究各種情境如何引發(fā)不同的情緒應(yīng)對(duì)。

（2）本文的研究模型沒(méi)有考慮風(fēng)險(xiǎn)承受力和社會(huì)影響。根據(jù)TTAT理論，考慮到用戶總是存在于一個(gè)環(huán)境或組織中，用戶的感知和行為不可避免地受到外部環(huán)境的影響。因此，未來(lái)的研究可以將風(fēng)險(xiǎn)承受力和社會(huì)影響這兩個(gè)外部變量納入到關(guān)于用戶信息安全行為的研究中。

5 結(jié)語(yǔ)

為了探索用戶面對(duì)信息安全威脅時(shí)的“不作為”現(xiàn)象，基于技術(shù)威脅規(guī)避理論（TTAT），構(gòu)建了信息安全風(fēng)險(xiǎn)通過(guò)感知威脅影響用戶應(yīng)對(duì)行為的研究模型。以云計(jì)算為實(shí)證情境，應(yīng)用結(jié)構(gòu)方程模型對(duì)489位企業(yè)員工的調(diào)查問(wèn)卷進(jìn)行數(shù)據(jù)分析和模型擬合。研究結(jié)果表明，面對(duì)信息安全威脅時(shí)，用戶往往更傾向于采取情緒導(dǎo)向應(yīng)對(duì)（EFC），而非單純地采取問(wèn)題導(dǎo)向應(yīng)對(duì)（PFC）。研究還發(fā)現(xiàn)，在不同感知可避免度的情況下，用戶面對(duì)信息安全威脅采取的安全行為是不同的，當(dāng)感知可避免度高時(shí)，感知易感度和感知嚴(yán)重度越高，用戶越會(huì)采取EFC；當(dāng)感知可避免度低時(shí)，感知易感度和感知嚴(yán)重度越高，用戶越會(huì)傾向于同時(shí)采取PFC和EFC。