信息安全工程經(jīng)濟(jì)模型研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全工程經(jīng)濟(jì)模型研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

一、引言

現(xiàn)今信息安全的理論研究范疇主要集中在技術(shù)和制度建設(shè)方面,如加密理論和技術(shù)、帶寬資源分配、入侵檢測(cè)與取證、網(wǎng)絡(luò)監(jiān)控以及法律制度的制定和完善等,從經(jīng)濟(jì)學(xué)角度開展的信息安全理論研究甚為少見(jiàn)。事實(shí)上,作為一種需要詳盡評(píng)估成本和收益的工程體系,一個(gè)組織信息安全系統(tǒng)的決策和實(shí)施并不僅僅取決于其技術(shù)的先進(jìn)性和有效性,更大程度上是決策者和實(shí)施者在收益和代價(jià)間進(jìn)行權(quán)衡的過(guò)程。經(jīng)濟(jì)學(xué)理論研究的主要內(nèi)容是社會(huì)如何有效管理和分配稀缺資源[1](P112-135)現(xiàn)代經(jīng)濟(jì)學(xué)理論更多的是研究人們?nèi)绾螞Q定自己的行為,使得在給定約束條件下最大化自己的偏好。[2](P1-12)為此,經(jīng)濟(jì)學(xué)家們建立發(fā)一整套完整而深入的工具和理論體系對(duì)各種資源配置和行為策略模式進(jìn)行研究,從而在各種復(fù)雜而變化多端的社會(huì)形態(tài)下尋求具有最優(yōu)或比較優(yōu)勢(shì)的解決方案。一般來(lái)說(shuō),組織機(jī)構(gòu)在實(shí)施信息安全時(shí)主要側(cè)重于以下幾方面的考慮:(1)保護(hù)信息免受非授權(quán)用問(wèn)訪問(wèn);(2)使得授權(quán)用戶在給定權(quán)限范圍內(nèi)訪問(wèn)信息;(3)保護(hù)信息免受系統(tǒng)內(nèi)部疏漏的損害;(4)對(duì)外來(lái)入侵進(jìn)行偵測(cè)以及在必要時(shí)恢復(fù)受損信息。進(jìn)行安全研究時(shí)一般都假定沒(méi)有任何信息系統(tǒng)能夠完全避免外來(lái)侵害,也沒(méi)有一種措施能夠完全保護(hù)系統(tǒng)安全。

二、最優(yōu)模型

(一)收益最大化決策

假定一個(gè)組織機(jī)構(gòu)的信息安全的強(qiáng)度可以通過(guò)安全級(jí)別加以度量,顯然若安全級(jí)別為零,即完全不設(shè)置安全措施,組織付出的安全成本為最低,同時(shí)得到的收益(即企業(yè)由于采取安全措施減少的損失量)亦為零,隨著機(jī)構(gòu)采取的安全強(qiáng)度增加,抵御信息侵害的能力增強(qiáng),由于減少了信息侵害導(dǎo)致的損失,從而對(duì)應(yīng)的收益增長(zhǎng),但同時(shí)為此支付費(fèi)用也會(huì)不斷增加,亦即成本增加。[3]這一變化可以用圖1所示的曲線表示。圖1表示了機(jī)構(gòu)選擇不同安全級(jí)別的成本收益變化,橫軸表示從0開始增強(qiáng)的安全級(jí)別,縱軸表示成本或收益的貨幣數(shù)量刻度。從圖中可以看出,隨著安全級(jí)別的增加,機(jī)構(gòu)付出的成本會(huì)不斷增長(zhǎng),但由此減少的損失亦即收益并不會(huì)無(wú)限制地增長(zhǎng),而是會(huì)趨近于一個(gè)常數(shù),因此收益曲線會(huì)由向上增長(zhǎng)而逐漸變?yōu)樗?。假定機(jī)構(gòu)采納不同信息安全級(jí)別S的總收益為變量B,總成本為C,兩條曲線相交的部分為凈收益G=B-C(G0),機(jī)構(gòu)最優(yōu)安全級(jí)別的選擇方案是使得B-C的差達(dá)到最大的一點(diǎn),亦即圖1中的S′處,其形式化描述為:為使得G(S)=B(S)-C(S)最大,則dGdS=dBdS-dCdS=0(1)也可記為:dBdS=dCdS亦即:邊際收益=邊際成本

(二)成本最小化決策

以上最優(yōu)模型考慮的是機(jī)構(gòu)從信息安全中獲取的收益最大化。另外一種研究方式是考察機(jī)構(gòu)為信息安全所付出的代價(jià)。這一方式下的最優(yōu)模型是使得實(shí)施信息安全項(xiàng)目的成本加上與之對(duì)應(yīng)安全級(jí)別措施缺失時(shí)導(dǎo)致的損失數(shù)為最小。[4](P15-43)圖2顯示了這一研究形式的曲線表達(dá)。隨著機(jī)構(gòu)信息安全措施級(jí)別的增強(qiáng),機(jī)構(gòu)由于信息安全問(wèn)題導(dǎo)致的損失L不斷減少,直至趨近于零,相應(yīng)地用于信息安全建設(shè)的開支E也不斷增長(zhǎng),因此,機(jī)構(gòu)的總成本C=L+E會(huì)經(jīng)歷一個(gè)由下降到上升的過(guò)程,機(jī)構(gòu)采納信息安全級(jí)別的最優(yōu)方案是使得C最小化,亦即圖中曲線C到達(dá)最低點(diǎn)S′處。

三、凈現(xiàn)值NPV模型

以上的經(jīng)濟(jì)學(xué)最優(yōu)越模型的討論為計(jì)劃進(jìn)行信息安全項(xiàng)目的決策者提供了一種清晰的分析方法,即如何在付出與回報(bào)之間找到最佳平衡點(diǎn)。但只是一種理想狀態(tài)下的分析工具,它建立在決策者對(duì)未來(lái)所有數(shù)據(jù)、包括安全問(wèn)題發(fā)生的幾率、實(shí)施各種安全級(jí)別的成本收益等都能夠明確獲取和估算的基礎(chǔ)之上。但這種情況在現(xiàn)實(shí)生活中是很少存在的,決策者并不都能準(zhǔn)確計(jì)算未來(lái)會(huì)發(fā)生什么情況,相應(yīng)情況下的損益數(shù)據(jù)也很難準(zhǔn)確得出,大多數(shù)情況只能是采取“摸著石頭過(guò)河”的方法,即先投資建立一些基本的安全措施,然后在此基礎(chǔ)上評(píng)估進(jìn)一步投資的可行性,即通過(guò)計(jì)算項(xiàng)目投資實(shí)施的時(shí)間段內(nèi),在給定貼現(xiàn)率下機(jī)構(gòu)的凈現(xiàn)值能否實(shí)現(xiàn)預(yù)期水平來(lái)判斷。凈現(xiàn)值模型就是這一情形下的投資決策的分析工具。該模型也經(jīng)常被用于各種工程項(xiàng)目的可行性分析報(bào)告中。設(shè)變量B和C分別為機(jī)構(gòu)信息安全的收益和成本,K為貼現(xiàn)率,i為未來(lái)年份,則未來(lái)n年后的凈現(xiàn)值為:NPV=∑ni=1(Bi-Ci)/(1+k)i(2)公式(2)給出的凈現(xiàn)值計(jì)算模型可以將未來(lái)若干一段時(shí)間收益和成本的不確定性因素加以計(jì)算,從而判斷是否值得進(jìn)一步,若NPV>0,說(shuō)明方案的投資收益率不僅可以達(dá)到預(yù)期貼現(xiàn)率下的效益水平,而且還有盈余;若NPV<0,則說(shuō)明方案投資收益達(dá)不到預(yù)計(jì)的效益水平;若NPV=0,表明投資收益剛好能達(dá)到預(yù)計(jì)的效益水準(zhǔn),包括償還預(yù)期貸款、員工報(bào)酬和風(fēng)險(xiǎn)報(bào)酬等。因此,NPV≥0,則項(xiàng)目方案可行;NPV<0則項(xiàng)目方案不可行。凈現(xiàn)值模型的關(guān)鍵是通過(guò)引入貼現(xiàn)率k這一變量對(duì)未來(lái)的不確定因素(亦即風(fēng)險(xiǎn)因素)對(duì)的影響加以調(diào)整,它不單純是計(jì)算計(jì)算收益與成本之差,而是考慮了貨幣的時(shí)間價(jià)值,通過(guò)將未來(lái)若干年的收益狀況,用貼現(xiàn)的方式轉(zhuǎn)化為現(xiàn)值,以便全面評(píng)價(jià)項(xiàng)目的經(jīng)濟(jì)效益。因此,通過(guò)選定恰當(dāng)?shù)馁N現(xiàn)率,凈現(xiàn)值模型可以對(duì)未來(lái)一段時(shí)間因素進(jìn)行量化計(jì)算,從而判斷項(xiàng)目可行性。

四、信息安全經(jīng)濟(jì)模型中的變量數(shù)據(jù)的獲取

以上經(jīng)濟(jì)學(xué)模型應(yīng)用于信息安全分析時(shí)的一個(gè)主要問(wèn)題是如何獲取相關(guān)變量的量化數(shù)值,包括安全措施等級(jí)的確定、安全項(xiàng)目成本與收益的計(jì)算方法,這些數(shù)據(jù)目前沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)當(dāng)量計(jì)算方法,只能通過(guò)經(jīng)驗(yàn)方式獲取。為此,決策者應(yīng)當(dāng)采集以下數(shù)據(jù)作為分析依據(jù):

(一)各種信息安全問(wèn)題發(fā)生的頻度

隨著網(wǎng)絡(luò)的普及和各種形式計(jì)算機(jī)病毒、木馬程序、間諜程序的層出不窮,企業(yè)信息系統(tǒng)的安全問(wèn)題發(fā)生的頻度越來(lái)越高,因此決策者應(yīng)當(dāng)根據(jù)企業(yè)業(yè)務(wù)特征,收集信息系統(tǒng)在一個(gè)時(shí)間段內(nèi)發(fā)生針對(duì)不同內(nèi)容的安全問(wèn)題的頻度,如病毒爆發(fā)、數(shù)據(jù)損害、硬件故障率、隱私機(jī)密泄漏等,以作為未來(lái)安全事件發(fā)生幾率的經(jīng)驗(yàn)推導(dǎo)參考值。

(二)信息安全事故的損失

現(xiàn)在還沒(méi)有一個(gè)標(biāo)準(zhǔn)計(jì)算由于信息安全事故造成的損失,決策者只能以各自標(biāo)準(zhǔn)來(lái)統(tǒng)計(jì)在實(shí)施不同級(jí)別安全措施的相應(yīng)時(shí)間段內(nèi)由于信息安全信息事故造成企業(yè)的各種顯性和隱性損失數(shù)額。由于現(xiàn)代企事業(yè)單位的業(yè)務(wù)流程對(duì)信息系統(tǒng)的高度依賴,安全事故損失的計(jì)量方法已成為信息安全研究的一個(gè)重要領(lǐng)域。

(三)實(shí)施信息安全項(xiàng)目的投資

這是比較容易獲取的數(shù)據(jù)源,針對(duì)不同種類和不同強(qiáng)度的安全應(yīng)對(duì)方案,可以計(jì)算出各種費(fèi)用開支的數(shù)據(jù),包括設(shè)備、人員、貸款利息等。

五、結(jié)語(yǔ)

以及進(jìn)一步的研究方向信息現(xiàn)已成為一個(gè)國(guó)家、地區(qū)或組織最有價(jià)值的財(cái)富之一。而網(wǎng)絡(luò)的普及和廣泛使用既提高了信息本身的價(jià)值,同時(shí)也帶來(lái)了危險(xiǎn),信息系統(tǒng)安全的不確定性變得無(wú)時(shí)不在。技術(shù)層面的各種防護(hù)研究已得到廣泛重視,但基于經(jīng)濟(jì)學(xué)研究角度的研究,國(guó)內(nèi)還鮮有相應(yīng)成果發(fā)表。筆者認(rèn)為,所謂經(jīng)濟(jì)學(xué)方法,實(shí)際上是在各種制約因素中計(jì)算和尋找均衡點(diǎn)的過(guò)程。經(jīng)濟(jì)學(xué)中存在兩個(gè)均衡概念,一個(gè)是市場(chǎng)供求平衡,指當(dāng)邊際收益等于邊際時(shí),達(dá)到的市場(chǎng)出清狀態(tài)。另一個(gè)是經(jīng)濟(jì)個(gè)體不再改變自己行為的博弈均衡。本文僅就市場(chǎng)均衡狀態(tài)進(jìn)行了初步探討,其中相關(guān)變量的度量、影響均衡的其他新變量的引入,還需要作進(jìn)一步的研究。同時(shí),將博弈分析引入信息安全,也存在廣泛的研究空間。