影响员工社会工程意识的关键因素：系统性文献综述

首页今日动态人才市场新技术专栏中国科学人云展台
BioHot
云讲堂直播会展中心特价专栏技术快讯免费试用

生物通官微
陪你抓住生命科技
跳动的脉搏

生物通首页 > 今日动态 > 正文

【字体：大中小】 时间：2025年11月01日 来源：Heliyon 3.6

编辑推荐：

　　本刊特约编辑推荐：为解决组织面临的社会工程安全威胁及员工安全意识不足的问题，研究人员开展了关于影响员工社会工程意识关键因素的系统性文献综述（SLR）。研究基于PRISMA协议，分析了2008至2023年间68项相关研究，识别出知觉、组织、社会、心理、行为、文化、安全意识和内容相关等八大关键影响因素，并揭示定量调查法为最常用的研究方法。该研究为组织制定有效的安全意识策略以降低社会工程攻击风险提供了重要理论依据和实践指导。

在当今数字化时代，各类组织高度依赖互联网服务和社交媒体开展业务，这使得员工面临着日益复杂的安全威胁，其中社会工程（Social Engineering）攻击尤为突出。社会工程并非利用技术漏洞，而是通过心理操纵和人际互动，诱导员工泄露敏感信息或执行危险操作。尽管市场上存在多种自动化网络安全解决方案，但这些技术手段难以完全防范精心设计的社会工程骗局。近年来，网络钓鱼（Phishing）等攻击手段的成功率显著上升，甚至像丰田这样的大型企业也曾在2019年因社会工程攻击遭受超过3700万美元的损失。联邦调查局（FBI）2023年的报告也显示，技术支持欺诈等人工智能驱动的社会工程攻击造成了巨额经济损失。这些触目惊心的案例表明，提升员工对社会工程攻击的警惕性和识别能力已成为组织网络安全建设的核心环节。

尽管谷歌、亚马逊等科技巨头已为员工提供安全培训，但社会工程攻击者仍能不断找到新的突破口。以往的系统性文献综述多从技术角度探讨社会工程，而从社会、心理和组织等多维度综合研究员工意识影响因素的成果尚显不足。为了填补这一研究空白，来自科廷大学（Curtin University）的研究团队Marwah Alomair、Tomayess Issa、S. Zaung Nau和Bilal Abu Salih在《Heliyon》期刊上发表了题为“影响员工社会工程意识的关键因素”的系统性文献综述（Systematic Literature Review, SLR）。该研究旨在全面识别影响员工社会工程意识的关键因素，并分析用于识别这些因素的常用研究方法，为组织制定更具针对性的安全意识提升策略提供理论支持和实践指导。

为达成研究目标，研究人员严格遵循系统综述和荟萃分析优先报告条目（Preferred Reporting Items for Systematic Reviews and Meta-Analyses, PRISMA）协议，确立了明确的研究目标、检索策略、文献筛选标准和数据合成方法。研究团队检索了ACM Digital Library、IEEE Xplore、ProQuest、Scopus和ScienceDirect五个权威电子数据库中2005年至2023年发表的文献，检索词围绕“因素”、“社会工程”、“员工”和“意识”等关键词构建。经过五轮严格的筛选流程，包括初检、去重、标题摘要筛选、全文 eligibility（合格性）评估以及质量评估（Quality Assessment, QA），最终从1241篇初始文献中纳入了68篇高质量研究进行深入分析。质量评估采用包含五个问题的清单（如研究目标是否明确、方法论是否恰当等），采用计分制，仅纳入得分≥2的研究，确保分析结果的可靠性。数据提取后，采用叙述性综合方法对影响因子进行分类和统计分析。

研究结果

影响因素识别

通过对68项初级研究的分析，该综述确定了八个显著影响员工社会工程意识的主要因素，按支持研究数量排序依次为：知觉因素（30项研究）、安全意识因素（25项研究）、社会因素（19项研究）、心理因素（18项研究）、行为因素（17项研究）、文化因素（15项研究）、内容相关因素（8项研究）和组织因素（8项研究）。

•
知觉因素（Perceptual Factor）：这是最具影响力的因素，涉及员工对威胁的认知评估。它包括六个子因素：1）自我效能感（Self-efficacy），即员工对自己应对威胁能力的信心；2）反应成本（Response Cost），即员工对采取应对措施所需付出的感知；3）感知脆弱性（Perceived Vulnerability），即员工对自己易受攻击程度的判断；4）感知严重性（Perceived Severity），即员工对攻击后果严重性的认识；5）反应效能（Response Efficacy），即员工对防护措施有效性的信念；6）信息处理（Information Processing），即员工处理和理解安全信息的方式。这些因素共同影响员工识别威胁线索的倾向和能力。
•
安全意识因素（Security Awareness Factor）：该因素关注员工对信息安全概念和重要性的理解。其子因素包括：1）信息安全意识（Information Security Awareness），即员工对安全最佳实践的一般知识；2）安全实践（Security Practices），即员工实际遵守安全协议的行为；3）政策安全意识（Policy Security Awareness），即员工对组织安全政策的熟悉程度。这是提升意识的基础，为其他因素的有效性提供知识支撑。
•
社会因素（Social Factor）：指人际互动和外部社会力量对员工态度和行为的影响。涵盖主观规范（Subjective Norms，即员工感知到的社会期望）、情感承诺（Affective Commitment，对组织的情感依附）、持续承诺（Continuance Commitment，留在组织的利弊权衡）、媒体影响（Media Influence）和规范承诺（Normative Commitment，源于社会规范的义务感）。同事和领导的行为对员工的安全意识有显著的示范和规范作用。
•
心理因素（Psychological Factor）：涉及个体的性格特质和情感反应。主要包括大五人格特质（Big Five Personality Traits，即开放性、尽责性、外向性、宜人性和神经质）、信任（Trust）和心理抗拒（Reactance，对自由受威胁的抵抗）。例如，高宜人性或高信任度的员工可能更容易被利用。
•
行为因素（Behavioral Factor）：关注员工的行动和选择，核心是态度（Attitude，对安全措施的整体评价）和行为意向（Intention，采取安全行为的动机）。积极的安全态度和强烈的行为意向直接促进安全意识的实践。
•
文化因素（Cultural Factor）：反映了文化价值观和假设对员工安全观念的影响。不同文化背景下对权威、信任、集体主义/个人主义的看法差异，会塑造员工对社交工程尝试的敏感度和应对方式。
•
组织因素（Organizational Factor）：指组织可控的管理和措施。包括领导力（Leadership）、预防性对策（Preventive Countermeasures，如访问控制）、检测性对策（Detective Countermeasures，如入侵检测）、程序性对策（Procedural Countermeasures，如报告协议）以及安全教育、培训和意识计划（SETA Program）。强有力的组织支持和清晰的政策是培养员工意识的关键环境。
•
内容相关因素（Content-related Factor）：聚焦攻击者使用的说服技巧。包括权威（Authority，利用权威形象）、互惠（Reciprocity，给予好处以期回报）、社会认同（Social Proof，制造从众效应）和稀缺性（Scarcity，制造紧迫感）。识别这些内容操纵手法是抵御攻击的重要一环。

研究方法学分析

在研究方法的分布上，定量方法（Quantitative Methods）占主导地位（63%），其中基于调查问卷（Surveys）的方法最为普遍。定性方法（Qualitative Methods，如访谈、观察）占22%，而混合方法（Mixed Methods）占15%。定量方法利于大样本数据收集和广义化，但可能简化复杂的人际心理动态；定性方法能提供深入的情境化见解，但样本量小；混合方法则结合二者优势，提供更全面的视角，但对资源要求较高。分析发现，知觉因素的研究主要依赖定量方法（76%），尤其是问卷调查和实验法。

研究结论与意义

本综述系统性地整合了影响员工社会工程意识的八大关键因素，揭示了这一问题的多维度性和复杂性。研究表明，提升员工意识不仅需要传统的安全知识培训（安全意识因素），还必须综合考虑员工的认知心理（知觉、心理因素）、行为习惯（行为因素）、所处的社会和组织环境（社会、组织、文化因素），并使其能够识别攻击者的内容操纵策略（内容相关因素）。研究指出，定量调查法是该领域最常用的研究方法，但未来研究可加强定性或混合方法的应用，以更深入地理解各因素间的相互作用机制。

该研究的理论意义在于，它将分散的研究成果整合到一个综合框架中，丰富了关于社会工程中人为因素的知识体系，并与保护动机理论（Protection Motivation Theory, PMT）、社会认知理论（Social Cognitive Theory, SCT）和文化维度理论（Cultural Dimensions Theory）等经典理论相呼应，为后续研究提供了坚实的理论基础。在实践层面，研究结论为组织设计多层次、个性化的社会工程意识提升计划提供了明确的方向。例如，组织应开展结合真实案例的互动式培训以增强知觉因素，通过领导示范和同伴影响强化社会因素，并将文化敏感性融入培训内容以应对文化因素的影响。

尽管本研究聚焦企业员工，未来研究可拓展至非雇员群体（如儿童、老年人）以及物理社会工程攻击领域。此外，开展纵向研究（Longitudinal Studies）追踪意识变化，进行跨文化、跨行业的比较研究，以及评估意识培训项目对实际安全成效的影响，都是富有前景的研究方向。总之，这项系统综述强调了人的因素在网络安全中的核心地位，为构建更具韧性的组织安全文化提供了科学依据。

热点排行

新闻专题

联系信箱：

粤ICP备09063491号