零信任给澳门赌场官方下载文化带来的非预 期结果

10 年前，John Kindervag 和后来的福雷斯特研究公 司 (Forrester Research) 首次提出了信息系统安全概 念——“零信任模型”。在此后的十年里，很少有 组织敢于声称其信息技术环境是安全的，不受内部 和外部风险的威胁。组织的核心业务流程与信息系 统的集成度越来越紧密。各种 IT 外包业务和云计算 应用程序的采用似乎也逐渐增加。网络安全漏洞的 复杂性和破坏程度越来越高。零信任信息安全方法 似乎提供了对所有系统的严格控制，因为它对访问 任何信息资源的任何请求都采取不信任态度。

信息系统领导者是如何转向零信任模型的？经常被 提及的 2010 Forrester Research 白皮书——《澳门赌场官方下载》(No More Chewy Centers: Introducing the Zero Trust Model of Information Security) 给出了组织向零信任模型转变 可立即采取的几个步骤。首先是：

改变您对信任的看法。这需要您改变对信 任模型的看法，并意识到“信任”一词在 网络和安全方面的误用。一旦了解了信任 在信息安全领域的不当状况，您就可以在 整个组织中将零信任概念付诸实践。¹

此白皮书还讨论了网络分析和可视化产品，并阐述 了它们的用途：

…[发送]一条消息给潜在的恶意内部人员。 一旦部署了 [网络分析和可视化] (NAV)，告 诉员工您将监视他们的所作所为，这将改 变他们的行为。如果员工知道安全部门正 在监视自己的行为，就不太可能采取一些 可疑的行动。 ²

这将对行为起到改善作用。零信任环境会造成哪 些意想不到的后果，对这一点提出质疑也十分有必 要。它有可能对员工的态度产生负面影响，并造成 澳门赌场官方下载文化的改变吗？各种组织内部的信任框架表 明，如果不加以约束，零信任原则有可能在员工之 间、员工与管理层之间播下不信任的种子。 基于组织文化和信任研究的概念，零信任方法背后 的态度如何在信息系统环境之外传播并影响组织文 化，这是一个值得探讨的问题。

各种组织内部的信任框架表明，如果不加以约 束，零信任原则有可能在员工之间、员工与管理层 之间播下不信任的种子。

零信任架构

零信任架构是在 2008-2009 年全球经济衰退之后发 展起来的，它是一种策略，旨在“通过从组织的网 络架构中消除信任的概念来防止数据泄露得逞”。³ 早在十多年前，美国联邦政府机构就将零信任作为 一种安全网络策略并对其进行了检验，其概念原型 “去外围化”在 1994 年首次得以推广。⁴ 零信任的 基本前提是“假设您的网络的每一部分都可能存在 恶意，就好像它们直接存在于互联网上并处理相应 的访问请求”。⁵ 对用户（请求者）缺乏信任——无 论他们是谁、在哪里或请求访问哪些内容——是建 立零信任模型的基础。这一怀疑论在《澳门赌场官方软件》(Zero Trust Networks: Building Secure Systems in Untrusted Networks) 一书中得以强化：

在此模型下，没有什么是理所当然的，每 一个访问请求——无论由咖啡店中的客户端 提出还是由数据中心的服务器发出——都会 接受严格检查并证明其已经过授权。⁶

零信任环境面临的威胁

各类信息技术专家都承认，外围方式下的网络安全有 效性依然受到请求访问网络资源的用户数量和设备类 型的挑战。^{7, 8, 9, 10} 为了缩小这些风险领域，零信任方 法扭转了过去对用户盲目信任或默许信任的倾向。零 信任要求“对安全性持悲观的态度，即每台机器、每 位用户和每个服务器都不应该受到信任，直至证明其 可以受到信任为止”。¹¹

从表面上看，这仿佛是一个美好的梦想：一个运转 良好、拥有外科手术式精准和效率的系统。不过， 零信任环境并非没有危险。它存在以下几个弱点：¹²

• 外部人员窃取用户凭证
• 内部人员引起的风险
• 访问存储的网络流量和元数据
• 在权限管理方面缺乏人为干预（例如，过度依赖人 工智能 (AI) 或机器人流程自动化 (RPA) 来处理网络 安全问题）

从财务角度来看，支持零信任架构的系统的投资回 报率 (ROI) 可能是一个需要攻克的较大障碍。¹³

关于零信任对组织信任文化的潜在负面影响的讨论很 少。不过，必须解决对员工缺乏信任所带来的“滴漏 效应”，这一点十分重要。

信任

“信任”的含义是什么？信任可以解释为：

一方基于对另一方将执行对施信方而言重 要的特定行动的期望而接受另一方行为的 意愿，而不论其是否有能力监督或控制该 另一方。¹⁴

信任的早期定义为“个体或群体对可以依赖的另一个 体或群体的话语、承诺、口头或书面陈述的预期”。¹⁵一些研究信任的学者承认，关于信任没有普遍的定 义，但他们指出了信任的四个基本组成部分：不确 定性、脆弱性、期望和意愿¹⁶重要的是，注意每 个关于信任的定义包含哪些重叠的要素。

三大信任框架

在《澳门赌场官方软件》(Trust and Betrayal in the Workplace) 一书中，信任框架建立在三个要素之上： 契约、沟通和能力。.¹⁷ 契约信任是指“双方达成一致 意见，即处于这段关系中的人员会履行各自的承 诺”。当各方“分享信息、说出真相、承认错误、保 密、给予和接受建设性的反馈，以及怀着良好的目的 进行交谈”时，就能获得沟通信任。当各方认可他人 的“技能和能力，允许他人做出决策，促进他人参与 并寻求其意见，帮助他人学习技能”时，能力信任便 产生了。¹⁸《澳门赌场官方下载》(Becoming a Trustworthy Leader: Psychology and Practice) 一书中根据可靠性、开放性、能力和同理心 四个因素来评估信任关系的质量。¹⁹ 当施信人认为受 信人表现出可信任、诚意、能力和熟练性以及人情味 时，人与人之间的信任就会增强。

另一个被广泛讨论的信任框架指出，信任是通过受 信人表现出的三个特性获得的：能力、仁爱和诚实 (ABI)。²⁰ 受信人能促成事情发生吗（能力）？受信 人的善良是真诚的吗（仁爱）？施信人是否意识到 受信人遵循了“一套原则”，而双方已就这套原则 达成共识？所有三个特性 (ABI) 都有助于对他人（例 如同事、经理或组织）产生信任：“如果意识到缺 乏三个因素中的任何一个，都有可能破坏信任。”

零信任与澳门赌场官方下载信任文化

澳门赌场官方下载文化不仅仅是员工个人文化信念的总和。它拥 有自己的存在，并与每位员工关于正确的分析、选 择和行为方式的总体想法相关联（但有时是独立 的）。在这种澳门赌场官方下载文化中，共同的信念和价值观影 响着员工如何看待、执行和理解组织的正常行为规 范，为“澳门赌场官方下载所做的每一件事设定了背景”。²¹

“这里的关键是信任现象。其中包含的观点是，您 可以首先找到无法信任的人，然后就能够知道存在 哪些显著风险。”²²当零信任方法传达的隐含信息是 所有人都存在风险，没有人值得信任时，员工就会 感觉到与雇主的心理契约被打破了。心理契约可以 描述为一种非正式的澳门赌场官方下载文化机制，“当员工相信 雇主会回报并履行他们的诺言时，它可以激励员工 履行对雇主的承诺”。²³

虽然监督和审计工作场所的 不良行为或滥用信任的行为， 其有效性存在一定的局限，但 彻底放弃信任也不是解决问题 的办法。

组织建立了确保员工值得信赖的制度。“防止滥用 信任需要付出巨大、持续且昂贵的努力，而结果却 总是无可避免地不够完美。”²⁴虽然监督和审计工作 场所的不良行为或滥用信任的行为，其有效性存在 一定的局限，但彻底放弃信任也不是解决问题的 办法。

当组织采用零信任环境时，必须考虑员工对此决策 的看法，以及它将如何改变员工与组织之间的信任 关系，这一点很重要。组织应该考虑在信任的三个 特性 (ABI) 中，哪一个是受信人从施信人那里获得信 任的核心因素。“很明显，如果这三个因素的值都 很高，员工就会给予信任，但是三个因素中某些因 素的值要低到多少，员工才不再信任经理呢？”²⁵可 以思考一下，过去有哪些受信人失去施信人信任的 经历，在这些经历中，ABI 中的哪个因素的值最低或 根本不存在。

零信任方法所提倡的信任缺失可能渗透到信息 系统文化中，并传播不受约束的消极行为。

“依赖他人的风险通常被认为是信任的首要条件” 并且“信任是施信人对受信人可信度的期望”。²⁶然 而，在零信任环境下，管理层明确而含蓄地采取了 这样一种立场，即受信人（员工）既不可靠，也不 值得信任。对澳大利亚中小型澳门赌场官方下载 IT 安全文化的一 项研究指出，“本地组织文化将会影响信息安全文 化。”²⁷想想信息安全文化会对组织文化产生怎样的 影响。

《澳门赌场官方软件》(Harvard Business Review) 的一篇 文章描述了一种正在污染职场的病毒的出现：监督 系统。“如果说缺乏信任会使员工变得不可靠这一 说法存在一定的合理性，那么虚拟技术在组织中的 未来发展不容乐观。”²⁸

信任包含七个基本价值标准：²⁹

1. 信任不是盲目的。
2. 信任需要边界。
3. 信任需要学习。
4. 4 信任是坚定的。
5. 信任需要团结。
6. 信任需要接触。
7. 信任需要领导者。

在员工天真、不受约束、刻板、软弱、缺乏人情 味、孤立和缺乏有力领导的工作环境中，零信任方 法所提倡的信任缺失可能渗透到信息系统文化中， 并将不受约束的消极行为传播到组织文化中。

总结

当组织内部存在适当程度的信任时，员工相信组织 的决策过程和决策是公正的，他们在工作中受到了 公平的对待，人际交往活动也是公正的。³⁰ 更高水平 的组织信任是由强大的澳门赌场官方下载文化支撑的。³¹ 在不同的 工作环境中，组织内部的信任尤为重要，“员工之 间的相互信任可以建立起一种机制，使员工能够更 有效地合作。”³²

在观察不确定时期的信任获取情况时，研究人员注 意到，不同员工群体对信任的感知有所不同。在员 工对雇主的信任程度方面，该员工在组织工作的时 间长短和资历高低发挥了一定的作用。在不稳定时 期，新员工和资历更高的员工往往更信任组织的决 策和行动。此外，“本地亚文化群体”（拥有共同 互动、独特特征和观点的小规模员工群体）对快速 变化所做出的反应也有所不同。这使得澳门赌场官方下载的信任 文化变得错综复杂。³³

在 1995 年《澳门赌场官方软件》(Harvard Business Review) 的一篇文章中，一位作者写道：“虚拟世界需 要信任才能取得成功，光靠技术本身是不够的。” （Virtuality requires trust to make it work: Technology on its own is not enough）³⁴ 如今，新型冠状病 毒迫使许多员工开始居家办公，工作场所也变成了 虚拟组织，而早在 25 年前，这位作者就意识到了缺 乏信任对澳门赌场官方下载文化构成的威胁，提出了这一颇具先 见之明的观点。

作者后记

作者谨此对马里埃塔学院（美国俄亥俄州）出版集 团的 Beverly Hogue 博士和 Nicole Livengood 博士 表示衷心的感谢，两位人士对这篇文章的草稿提出 了宝贵的意见。

尾注

¹ Kindervag, J.; No More Chewy Centers: Introducing The Zero Trust Model of Information Security, Forrester Research, USA, 14 September 2010, http://media.paloaltonetworks.com/documents/Forrester-No-More-Chewy-Centers.pdf
²同上。
³ Palo Alto Networks, “What Is Zero Trust?” http://www.paloaltonetworks.com/cyberpedia/what-is-a-zero-trust-architecture
⁴ Rose, S.; O. Borchert; S. Mitchell; S. Connelly; Zero Trust Architecture Draft, National Institute of Standards and Technology (NIST) Special Publication (SP) 800-207, USA, February 2020, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
⁵ Goerlich, J.; W. Nather; T. Pham; Zero Trust: Going Beyond the Perimeter, Cisco DUO, 2019, http://duo.com/resources/ebooks/zero-trust-going-beyond-the-perimeter
⁶ Gilman, E.; D. Barth; Zero Trust Networks: Building Secure Systems in Untrusted Networks, O’Reilly Media, Inc., USA, July 2017, http://www.oreilly.com/library/view/zero-trust-networks/9781491962183/
⁷同上。
⁸ DelBene, K.; M. Medin; R. Murray; The Road to Zero Trust (Security), Defense Innovation Board, USA, 9 July 2019, http://media.defense.gov/2019/Jul/09/2002155219/-1/-1/0/DIB_THE_ROAD_TO_ZERO_TRUST_(SECURITY)_07.08.2019.PDF
⁹ Gero, C.; Moving Beyond Perimeter Security: A Comprehensive and Achievable Guide to Less Risk, Akamai, March 2018
¹⁰ Op cit Kindervag
¹¹ Op cit Gero
¹² Op cit Rose
¹³ Horowitz, B. T.; “Zero Trust Model Gains Steam With Security Experts,” PC Magazine, 9 November 2018, http://www.pcmag.com/news/zero-trust-model-gains-steam-with-security-experts
¹⁴ Mayer, R.; J. Davis; F. Schoorman; “An Integrative Model of Organizational Trust,” The Academy of Management Review, 1995, vol. 20, iss. 3, p. 709–734
¹⁵ Rotter, J. B.; “A New Scale for the Measurement of Interpersonal Trust,” Journal of Personality, 1967, vol. 35, iss. 4, pp. 651–665.
¹⁶ Li, P.; “Towards an Interdisciplinary Conceptualization of Trust: A Typological Approach,” Management and Organization Review, 2007, vol. 3, iss. 3, p. 421–445
¹⁷ Reina, D.; M. Reina; Trust and Betrayal in the Workplace, 2^nd Edition, Berrett-Koehler Publishers, USA, January 2006, http://learning.oreilly.com/library/view/trust-and-betrayal/9781576759493/
¹⁸同上
¹⁹ Mishra, A.; K. Mishra; Becoming a Trustworthy Leader: Psychology and Practice, Routledge, USA, 2012
²⁰ Op cit Mayer et al.
²¹ Society for Human Resource Management, “Understanding and Developing Organizational Culture,” http://www.shrm.org/resourcesandtools/tools-and-samples/toolkits/pages/understandinganddevelopingorganizationalculture.aspx
²² Lash, S.; “Risk Culture,” The Risk Society and Beyond: Critical Issues for Social Theory, SAGE Publications Ltd., USA, 2000, p. 47–63
²³ Rousseau, D.; “Research Edge: Psychological Contracts in the Workplace: Understanding the Ties That Motivate,” The Academy of Management Executive, February 2004, vol. 18, iss. 1, p. 120–127
²⁴ O’Neill, O.; A Question of Trust—L ecture One: Spreading Suspicion, BBC, 2002, www.bbc.co.uk/radio4/reith2002/lecture1.shtml
²⁵ Op cit Mayer et al.
²⁶ Op cit Li
²⁷ Dojkovski, S.; S. Lichtenstein; M. Warren; Fostering Information Security Culture in Small and Medium Size Enterprises: An Interpretive Study in Australia, ECIS 2007 Proceedings, 120, p. 1560–1571, http://aisel.aisnet.org/ecis2007/120
²⁸ Handy, C.; “Trust and the Virtual Organization,” Harvard Business Review, May–June 1995, p. 1–8
²⁹同上。
³⁰ Starnes, B. J.; S. A. Truhon; V. McCarthy; Organizational Trust: Employee-Employer Relationships, American Society for Quality, USA, 2010, http://asq.org/hdl/2010/06/a-primer-on-organizational-trust.pdf
³¹ Op cit, Society for Human Resource Management
³² Op cit, Mayer et al.
³³ Hope-Hailey, V.; E. Farndale; C. Kelliher; “Trust in Turbulent Times: Organizational Change and the Consequences for Intra-Organizational Trust,” Organizational Trust: A Cultural Perspective, Cambridge University Press, USA, 2010, p. 336–357
³⁴ Op cit Handy

Grace F. Johnson，注册会计师 (CPA)

马里埃塔学院（美国俄亥俄州）会计和公共会计专业首席讲师。她负责财务 会计、会计信息系统、会计研究、商业道德和国际商务等课程。纵观其职业 生涯，Johnson 曾在巴西、中国和韩国任教。她目前的研究项目包括商业伦 理教育学、内部控制以及公司财务报表中的新冠肺炎 (COVID-19) 报告等。 Johnson 是第一国际信任网 (First International Network on Trust, FINT) 的 成员。.