信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：隨著當(dāng)今社會(huì)信息化水平的不斷發(fā)展，網(wǎng)絡(luò)攻擊帶來(lái)的危害和損失逐年增長(zhǎng)。各種組織和個(gè)人的信息安全意識(shí)不斷提高，投入不斷加大，產(chǎn)業(yè)規(guī)?？焖僭鲩L(zhǎng)。在這樣的背景下，關(guān)注信息安全投資的質(zhì)量，能更有效提升組織的網(wǎng)絡(luò)安全水平，降低信息安全風(fēng)險(xiǎn)。本文提出了信息安全投資項(xiàng)目質(zhì)量評(píng)價(jià)模型，并應(yīng)用該模型得出了一家企業(yè)在不同投資期望情況下的最優(yōu)信息安全投資組合。

關(guān)鍵詞：信息安全；質(zhì)量評(píng)價(jià)模型；投資決策

全投資的主觀臆斷，降低信息安全投資的盲目性，提高信息安全投資的有效性。因此，企業(yè)在開展信息安全投資之前，應(yīng)對(duì)公司信息安全現(xiàn)狀進(jìn)行充分調(diào)研，充分考慮信息安全投資的質(zhì)量，制定出符合公司安全需求和投資預(yù)算的信息安全投資規(guī)劃項(xiàng)目，為下一步的信息安全投資打下基礎(chǔ)。

1信息安全項(xiàng)目質(zhì)量評(píng)價(jià)模型

1.1信息安全項(xiàng)目的評(píng)價(jià)模型

2002年，Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探討了公司信息安全威脅、單位損失、脆弱性和信息安全投資收益問(wèn)題。通過(guò)投資收益比，分析了最優(yōu)信息安全投資金額及其特點(diǎn)，推測(cè)最優(yōu)信息安全投資量應(yīng)少于潛在損失的1/e（即36.79%）[3]。進(jìn)一步，通過(guò)比較兩種不同類型的攻擊，給出了最優(yōu)投資和脆弱性的關(guān)系。但是，Gordon-Loeb模型僅考慮了企業(yè)整體的信息安全風(fēng)險(xiǎn)和投資。在實(shí)際應(yīng)用中，企業(yè)面臨的整體風(fēng)險(xiǎn)不僅難以估算，而且得出的最優(yōu)信息安全投資額并不能指導(dǎo)公司實(shí)際信息安全投資行為。參考Gordon-Loeb的經(jīng)典模型，進(jìn)一步考慮特定的信息安全威脅、損失和脆弱性場(chǎng)景。公司的特定信息安全損失由三個(gè)因素組成，分別是單位損失λ；威脅t和脆弱性v。單位損失λ表示由特定威脅和特定脆弱性引起的單次信息安全事件所帶來(lái)的損失金額，用貨幣單位度量；威脅t表示某項(xiàng)特定威脅的發(fā)生概率；脆弱性v表示特定威脅成功造成損失的概率（其中，0≤t≤1，0≤v≤1）。特定信息安全風(fēng)險(xiǎn)的期望損失L，可以表示為：通常來(lái)說(shuō)，一項(xiàng)脆弱性v可能會(huì)被多個(gè)威脅利用，因此一項(xiàng)特定脆弱性對(duì)應(yīng)的期望損失Lv應(yīng)該是所有可能利用到脆弱性v的風(fēng)險(xiǎn)的期望損失的和，可表示為：假定，組織總共有m項(xiàng)不相關(guān)的脆弱性v，則組織面臨的總體信息安全期望損失Ltotal可表示為：組織的各項(xiàng)不相關(guān)的脆弱性的組合可以用數(shù)組V表示：假設(shè)某項(xiàng)信息安全項(xiàng)目能夠通過(guò)降低某些脆弱性集合，來(lái)降低組織面臨的信息安全風(fēng)險(xiǎn)。為了計(jì)算方便，假定信息安全項(xiàng)目I的投資收益等于通過(guò)實(shí)施項(xiàng)目減少的信息安全期望損失。項(xiàng)目I通過(guò)減少脆弱性集合V來(lái)降低信息安全風(fēng)險(xiǎn)。項(xiàng)目對(duì)特定脆弱性vx的減少效果用vx′表示。信息安全項(xiàng)目I帶來(lái)的投資收益（即，減少的信息安全期望損失）S，可以表示為：在進(jìn)行風(fēng)險(xiǎn)評(píng)估計(jì)算期望損失時(shí)，通常會(huì)估算組織一年內(nèi)的信息安全期望損失，也需要估算信息安全項(xiàng)目在同樣單位時(shí)間內(nèi)的成本。一般來(lái)說(shuō)信息安全項(xiàng)目在第一年投入成本較大，之后每年維護(hù)的費(fèi)用大致相等，同時(shí)項(xiàng)目也有使用年限，假設(shè)信息安全項(xiàng)目I的初始投入為X，項(xiàng)目每年維護(hù)費(fèi)用為Q，使用年限為W，貼現(xiàn)率為r，可計(jì)算出每年的項(xiàng)目成本C為：

1.2信息安全投資組合評(píng)價(jià)模型

由于組織存在多個(gè)信息安全脆弱性，面臨著多種安全風(fēng)險(xiǎn)，難以通過(guò)實(shí)施一個(gè)信息安全項(xiàng)目來(lái)滿足組織所有的信息安全需求。組織往往通過(guò)實(shí)施信息安全項(xiàng)目組合的方式，來(lái)進(jìn)行信息安全投資。在實(shí)際的工作中，可以將組織進(jìn)行信息安全投資的過(guò)程抽象為，在有限的信息安全項(xiàng)目集合Y中，選擇合適的信息安全項(xiàng)目投資組合Z，來(lái)實(shí)現(xiàn)自己的信息安全投資目標(biāo)。假設(shè)組織存在m個(gè)不相關(guān)的脆弱性V，為了降低信息安全風(fēng)險(xiǎn)，組織計(jì)劃從k個(gè)可供選擇的信息安全項(xiàng)目中選擇一組投資組合來(lái)實(shí)現(xiàn)信息安全投資目標(biāo)。每個(gè)項(xiàng)目的投資成本分別為Ci（i=1，2，…，k）。組織的信息安全項(xiàng)目投資組合Z，可以表示為：Z=（z1,z2,…,zk）,zn=1or0,n=1,2…..,k當(dāng)zn=1時(shí)，表示組織選擇投資第n個(gè)投資項(xiàng)目；zn=0時(shí)，表示組織選擇不投資第n個(gè)項(xiàng)目。在實(shí)施單個(gè)項(xiàng)目zn后對(duì)組織的一系列脆弱性Vm（v1，v2，…，vm）的投資成效可以用數(shù)組Vn′來(lái)表示：項(xiàng)目zn投資后的特定脆弱性vm，將會(huì)調(diào)整為。信息安全項(xiàng)目集合Z對(duì)組織的一系列脆弱性Vm（v1，v2，…，vm）的投資成效系數(shù)，可以用矩陣Vkm′來(lái)表示：在選擇一組信息安全投資組合時(shí)，會(huì)有多個(gè)不同類型的信息安全投資項(xiàng)目作用于組織的某個(gè)特定脆弱性。信息安全投資組合Z對(duì)組織特定脆弱性vm的影響將取決于組織選擇的信息安全項(xiàng)目組合Z及其投資成效Vkm′。假定所有的信息安全項(xiàng)目不會(huì)帶來(lái)新的脆弱性，即。依據(jù)信息安全脆弱性的特性以及Gordon-Loeb模型的假設(shè)。項(xiàng)目組合Z投資后的殘余風(fēng)險(xiǎn)S′，可以通過(guò)計(jì)算所有特定脆弱性對(duì)應(yīng)的殘余風(fēng)險(xiǎn)的和求得，用公式表示為：

2基于信息安全項(xiàng)目質(zhì)量評(píng)價(jià)模型的最優(yōu)投資規(guī)劃組合

2.1A公司風(fēng)險(xiǎn)評(píng)估

充分理解公司業(yè)務(wù)和安全現(xiàn)狀是選擇信息安全投資組合的前提。通過(guò)分析不相關(guān)的脆弱性對(duì)應(yīng)的信息安全事件發(fā)生頻率和單位損失，評(píng)估出不同脆弱性的年度期望損失，可以大致描述出公司的信息安全現(xiàn)狀，幫助公司做出正確的決策。經(jīng)過(guò)風(fēng)險(xiǎn)分析，估算A公司每項(xiàng)不相關(guān)脆弱性對(duì)應(yīng)的年度期望損失。結(jié)果如表1所示：

2.2可選信息安全投資項(xiàng)目

A公司面對(duì)以上信息安全風(fēng)險(xiǎn)，需采用一定的安全技術(shù)措施和管理手段來(lái)處置及預(yù)防這些風(fēng)險(xiǎn)。A公司了解到市場(chǎng)上有一系列信息安全投資項(xiàng)目，計(jì)劃從這些項(xiàng)目中選擇合適的投資項(xiàng)目來(lái)降低公司的信息安全風(fēng)險(xiǎn)。表2列舉了這些信息安全投資項(xiàng)目，并估算出A公司實(shí)施這些項(xiàng)目每年的投資成本。A公司在實(shí)施了上述信息安全投資項(xiàng)目后將會(huì)降低某些特定的脆弱性，通過(guò)降低這些特定的脆弱性，A公司的信息安全風(fēng)險(xiǎn)和期望損失將會(huì)減少。設(shè)信息安全投資項(xiàng)目實(shí)施后對(duì)每一項(xiàng)脆弱性的有效性系數(shù)為向量。其中，P是項(xiàng)目總數(shù)；V是脆弱性的總數(shù)；表示項(xiàng)目Pi能夠?qū)⒋嗳跣訴j的風(fēng)險(xiǎn)完全緩解；表示項(xiàng)目Pi對(duì)脆弱性Vj沒(méi)有效果；表示項(xiàng)目Pi對(duì)脆弱性Vj的有效性系數(shù)是0.5。通過(guò)安全人員對(duì)可選信息安全投資項(xiàng)目進(jìn)行評(píng)估，信息安全項(xiàng)目Pi針對(duì)特定脆弱性Vj的有效性系數(shù)在0-1之間。

2.3不同投資期望下的最優(yōu)信息安全投資組合

為了確定組織的最優(yōu)信息安全投資組合，不僅需要有評(píng)價(jià)信息安全投資效果的工具，還需要分析企業(yè)期望達(dá)到的投資效果。不同的企業(yè)基于不同的投資目的，有著不同的信息安全風(fēng)險(xiǎn)偏好水平和投資策略?？梢砸罁?jù)企業(yè)對(duì)信息安全投資的風(fēng)險(xiǎn)偏好水平和投資策略，制定最優(yōu)的信息安全投資組合。2.3.1明確信息安全需求下的最優(yōu)投資組合。假設(shè)A公司明確了投資策略，確定了信息安全需求，希望將公司的整體信息安全風(fēng)險(xiǎn)水平降低70%以上。那么A公司的最優(yōu)投資組合，就是以最小的代價(jià)滿足以上的風(fēng)險(xiǎn)水平。王軍提出了信息安全投資的智能化決策方法[4]，對(duì)其方法加以改進(jìn)，結(jié)合離散二進(jìn)制PSO算法[5]來(lái)幫助進(jìn)行投資決策。選擇粒子群個(gè)數(shù)為1000個(gè)，迭代次數(shù)200次，慣性權(quán)重w=1，自我學(xué)習(xí)因子c1=0.5，群體學(xué)習(xí)因子c2=0.5，適應(yīng)值是信息安全投資成本，判斷標(biāo)準(zhǔn)是使投資效果E大于等于投資需求Eneed。運(yùn)用MATLAB計(jì)算出上述投資決策的結(jié)果（圖1）。通過(guò)運(yùn)行上述程序，可以得到最優(yōu)的投資組合及其對(duì)應(yīng)的投資金額。圖1（左）中的藍(lán)點(diǎn)代表最優(yōu)投資組合，紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合，在迭代過(guò)程中，粒子不斷向圖中的藍(lán)色圓點(diǎn)（即投資效果為70.27%，使公司的整體信息安全風(fēng)險(xiǎn)水平降低70%以上，且投資金額為650萬(wàn)的點(diǎn)）附近收斂。圖1（右）顯示了最優(yōu)投資組合的收斂過(guò)程，在本例中經(jīng)過(guò)69次迭代達(dá)到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一組0-1二元向量，公司選擇投資信息安全意識(shí)培訓(xùn)、信息安全管管理體系項(xiàng)目、應(yīng)用層防火墻、終端安全管理軟件、安全掃描和評(píng)估項(xiàng)目、系統(tǒng)備份容災(zāi)項(xiàng)目、堡壘機(jī)項(xiàng)目、雙因素認(rèn)證項(xiàng)目、郵件安全項(xiàng)目，投資組合的金額為650萬(wàn)。使得公司的信息安全期望損失減少70%以上，且投資的成本最小。2.3.2給定預(yù)算金額情況下的最優(yōu)投資組合。假設(shè)A公司進(jìn)行信息安全投資的預(yù)算為500萬(wàn)，公司希望在有限的投資金額內(nèi)，將信息安全風(fēng)險(xiǎn)水平降低到盡可能低的程度。同樣，公司應(yīng)用離散二進(jìn)制PSO算法來(lái)幫助進(jìn)行投資決策，將適應(yīng)值調(diào)整為投資效果E，判斷標(biāo)準(zhǔn)是在預(yù)算范圍內(nèi)使E最大。利用MATLAB運(yùn)算求解上述投資決策，可以得到此條件下最優(yōu)的投資組合及其對(duì)應(yīng)的投資金額。圖2-2（左）中的藍(lán)點(diǎn)代表最優(yōu)投資組合，紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合，在迭代過(guò)程中，粒子不斷向圖中的藍(lán)色圓點(diǎn)（即投資效果為63.91%，且投資金額為500萬(wàn)的點(diǎn)）附近收斂。圖2-2（右）顯示了最優(yōu)投資組合的收斂過(guò)程，在本例中經(jīng)過(guò)62次迭代達(dá)到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一個(gè)二元向量公司選擇投資信息安全意識(shí)培訓(xùn)、信息安全管管理體系項(xiàng)目、應(yīng)用層防火墻、蜜罐系統(tǒng)、安全掃描和評(píng)估項(xiàng)目、運(yùn)維監(jiān)控平臺(tái)、堡壘機(jī)項(xiàng)目、雙因素認(rèn)證項(xiàng)目、郵件安全項(xiàng)目，投資組合的金額為500萬(wàn)，且獲得了對(duì)應(yīng)金額投資情況下最大的投資收益。2.3.3風(fēng)險(xiǎn)厭惡型企業(yè)的最優(yōu)投資組合。假設(shè)A公司希望盡可能地降低信息安全風(fēng)險(xiǎn)，使投資組合能夠產(chǎn)生最大的投資效果。易知，如果A公司對(duì)全部項(xiàng)目進(jìn)行投資，則信息安全投資效果最大。但是在現(xiàn)實(shí)的案例中，很少有公司會(huì)選擇對(duì)全部項(xiàng)目進(jìn)行投資。在本例中將投資效果精確到小數(shù)點(diǎn)后兩位，并計(jì)算一系列投資效果最大的投資組合中投資成本最小的投資組合。公司應(yīng)用離散二進(jìn)制PSO算法來(lái)幫助進(jìn)行投資決策，適應(yīng)值為投資效果E，判斷標(biāo)準(zhǔn)是使E最大，同時(shí)記錄下滿足E最大情況下的，最小投資成本對(duì)應(yīng)的投資組合。隨著信息安全投資金額的增加，安全項(xiàng)目增多，信息安全投資收益趨于平穩(wěn)，變化不大，因此為了使算法可以有效收斂，將縱坐標(biāo)投資效果的精度降低。因?yàn)樵谶@一區(qū)間，信息安全額外的投入帶來(lái)的收益將越來(lái)越小，將投資效果的精度降低，也符合企業(yè)在做投資決策時(shí)通常會(huì)采用的策略。利用MATLAB運(yùn)算求解上述投資決策，可以得到此條件下最優(yōu)的投資組合及其對(duì)應(yīng)的投資金額。圖3中的藍(lán)點(diǎn)代表最優(yōu)投資組合，紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合，在迭代過(guò)程中，粒子不斷向圖中的藍(lán)色圓點(diǎn)（即投資效果為89%，且投資金額為1890萬(wàn)的點(diǎn)）附近收斂。2.3.4利潤(rùn)偏好型企業(yè)的最優(yōu)投資組合。假設(shè)公司A是利潤(rùn)偏好型企業(yè)，希望通過(guò)信息安全投資實(shí)現(xiàn)信息安全項(xiàng)目收益與成本之差（即，利潤(rùn)）的最大化，并愿意為獲得這些收益承擔(dān)一定的信息安全風(fēng)險(xiǎn)。同樣，公司應(yīng)用離散二進(jìn)制PSO算法來(lái)幫助進(jìn)行投資決策，適應(yīng)值為投資利潤(rùn)profit，判斷標(biāo)準(zhǔn)是使投資利潤(rùn)profit值最大，同時(shí)記錄下投資利潤(rùn)profit最大情況下對(duì)應(yīng)的投資組合。根據(jù)上述適應(yīng)值和判斷標(biāo)準(zhǔn)修改程序，利用MATLAB運(yùn)算求解利潤(rùn)偏好型企業(yè)的投資決策，可以得到此條件下最優(yōu)投資組合及其對(duì)應(yīng)的投資金額。圖4（左）中的藍(lán)點(diǎn)代表最優(yōu)投資組合，紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合，在迭代過(guò)程中，粒子不斷向圖中的藍(lán)色圓點(diǎn)（即投資收益為388.6萬(wàn)，且投資成本為160萬(wàn)，投資利潤(rùn)為228.6萬(wàn)的點(diǎn)）附近收斂。圖4（右）顯示了最優(yōu)投資組合的收斂過(guò)程，在本例中經(jīng)過(guò)44次迭代達(dá)到了最優(yōu)投資組合。2.3.5最優(yōu)信息安全投資組合集。以A公司為例，利用MATLAB分別計(jì)算不同信息安全需求情況下的最優(yōu)投資組合及其對(duì)應(yīng)的成本收益。圖5中的藍(lán)點(diǎn)分別代表不同信息安全需求下的最優(yōu)投資組合對(duì)應(yīng)的成本收益，紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的所有投資組合的成本收益，藍(lán)色曲線附近的點(diǎn)就是最優(yōu)信息安全投資組合的成本收益，組成了最優(yōu)投資組合集Q。通過(guò)上述實(shí)例，可以觀察到由最優(yōu)信息安全投資組合模型求解的最優(yōu)投資組合集Q，隨著投資金額的增大，投資效果也增大，但是投資效果的增長(zhǎng)幅度越來(lái)越小，符合效用理論[6]。

3結(jié)束語(yǔ)

本文主要研究了組織的信息安全投資決策問(wèn)題。參考Gordon-Loeb模型，提出了信息安全投資評(píng)價(jià)模型。使組織可以借助該模型選擇最優(yōu)信息安全投資組合。但是，本文提出的模型中的信息安全投資收益，只考慮了實(shí)施信息安全投資項(xiàng)目所降低的期望損失所獲得投資收益，并未考慮信息安全投資項(xiàng)目可能帶來(lái)的業(yè)務(wù)擴(kuò)展、商譽(yù)等正收益。在今后的研究中可以把信息安全投資的正收益納入投資收益的計(jì)算中。

作者:張智銘 單位:上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院