信息安全的經(jīng)濟(jì)學(xué)分析及管理策略研究.pdf

1、隨著信息技術(shù)和互聯(lián)網(wǎng)的不斷發(fā)展，信息安全已經(jīng)擴(kuò)展到了國(guó)家的政治、經(jīng)濟(jì)、社會(huì)等各個(gè)領(lǐng)域。網(wǎng)絡(luò)襲擊和信息安全問題使人們?cè)馐茉絹?lái)越嚴(yán)重的損失。尤為嚴(yán)重的是，我國(guó)廣泛使用的計(jì)算機(jī)硬件產(chǎn)品和主流操作系統(tǒng)等IT（信息技術(shù)）產(chǎn)品都是從國(guó)外引進(jìn)的。這些IT產(chǎn)品具有大量的漏洞和安全隱患。而單一的密碼和安全技術(shù)機(jī)制不能根本解決這些信息安全問題，還需要管理和技術(shù)運(yùn)營(yíng)策略等系統(tǒng)對(duì)策和方案。如果要制定出正確的管理對(duì)策和技術(shù)投資方案，必須對(duì)信息安全問題進(jìn)行經(jīng)濟(jì)分析

2、。根據(jù)信息安全問題的經(jīng)濟(jì)分析結(jié)果進(jìn)行管理策略的設(shè)計(jì)和選擇，是實(shí)現(xiàn)信息安全的重要前提。本文的主要內(nèi)容如下：
　　1.分別從IT產(chǎn)品、在線組織及國(guó)家公共管理的角度，對(duì)信息安全問題進(jìn)行經(jīng)濟(jì)學(xué)理論分析。網(wǎng)絡(luò)環(huán)境下的信息安全問題，主要是由于IT產(chǎn)品（硬件、軟件和網(wǎng)絡(luò)等產(chǎn)品）和信息系統(tǒng)存有大量的漏洞引起。如果沒有漏洞，則信息系統(tǒng)就會(huì)具有應(yīng)對(duì)內(nèi)、外部攻擊的免疫性。本文以軟件產(chǎn)品的漏洞為例，分析發(fā)現(xiàn)信息不對(duì)稱和安全需求不足是IT產(chǎn)品存在大量漏洞的

3、關(guān)鍵動(dòng)因，即漏洞的產(chǎn)生是IT產(chǎn)品安全性雙向逆向選擇和信息安全需求不足的結(jié)果。在信息技術(shù)一定的條件下，在線企業(yè)和人的安全行為努力程度決定信息安全結(jié)果。由于組織和人員的安全投資和努力行為的不可觀察性而形成了雙邊道德風(fēng)險(xiǎn)問題，組織內(nèi)部人為的行為和安全投資管理正是組織的信息安全管理重點(diǎn)。目前信息安全已經(jīng)成為國(guó)家安全的重要部分，是我國(guó)未來(lái)政治、軍事、經(jīng)濟(jì)發(fā)展的重要保障。為提高國(guó)家對(duì)信息安全管理的效率和水平，需要從宏觀層面上證明信息安全的公共物品性

4、質(zhì)。
　　2.為規(guī)避IT產(chǎn)品安全性的雙向逆向選擇問題，以漏洞報(bào)告為信號(hào)，根據(jù)信號(hào)顯示原理推理出漏洞市場(chǎng)模型，目的是實(shí)現(xiàn)IT產(chǎn)品漏洞的可測(cè)試性、可交易性和可管理性。因此，提出漏洞信息交易市場(chǎng)的特點(diǎn)假設(shè)，推導(dǎo)出漏洞信息交易的貝耶斯納什均衡并提出漏洞信息的拍賣定價(jià)模型和IT產(chǎn)品的補(bǔ)丁優(yōu)化管理策略模型，以清除和彌補(bǔ)IT產(chǎn)品的漏洞。
　　3.為定量研究信息安全投資對(duì)在線企業(yè)的市場(chǎng)競(jìng)爭(zhēng)行為的影響和解決信息安全道德風(fēng)險(xiǎn)行為的對(duì)策，構(gòu)建了一

5、個(gè)雙寡頭壟斷競(jìng)爭(zhēng)兩階段博弈的信息安全投資收益模型，第一階段廠商決定最優(yōu)的信息安全投資及其收益，第二階段廠商決定競(jìng)爭(zhēng)價(jià)格和市場(chǎng)地位。利用最優(yōu)化信息投資的決策方法分析了具有較高安全性的廠商具有較高的期望收益，證明了信息安全投資可以擴(kuò)大市場(chǎng)需求和增加利潤(rùn)，并得出在寡占市場(chǎng)條件下的企業(yè)最優(yōu)信息安全投資和均衡的市場(chǎng)價(jià)格，證明了率先進(jìn)行信息安全投資的廠商可以成為市場(chǎng)的領(lǐng)導(dǎo)者的結(jié)論。這一結(jié)論對(duì)在線企業(yè)的信息安全投資決策的制定和克服信息安全行為的道德風(fēng)

6、險(xiǎn)具有積極的指導(dǎo)作用。在分析漏洞類型和信息安全措施的基礎(chǔ)上，為企業(yè)組織提供一個(gè)簡(jiǎn)單適用的改進(jìn)的二進(jìn)制粒子群（particle swarm optimization,PSO）智能化信息安全投資決策方法。
　　4.為定量研究信息安全社會(huì)化投資措施的最優(yōu)化部署和威脅的關(guān)系問題。構(gòu)建了網(wǎng)絡(luò)中組織的信息安全投資的決策模型。發(fā)現(xiàn)信息安全措施的投資與組織信息化規(guī)模正相關(guān)。在網(wǎng)絡(luò)中的大多數(shù)中小企業(yè)因?yàn)闆]有安全投資動(dòng)力而較少投資安全措施，對(duì)整個(gè)網(wǎng)絡(luò)

7、構(gòu)成巨大的威脅。確定了當(dāng)企業(yè)面對(duì)獨(dú)立性網(wǎng)絡(luò)攻擊時(shí)，企業(yè)可以自行最優(yōu)化決策其信息安全措施。當(dāng)網(wǎng)絡(luò)攻擊為傳染性的，大型企業(yè)即使部署了信息安全措施，仍會(huì)因?yàn)榫W(wǎng)絡(luò)傳染而遭受巨大的損失，這時(shí)需要從網(wǎng)絡(luò)整體分析信息安全的社會(huì)投資及優(yōu)化問題。
　　5.研究國(guó)家的信息安全公共管理和技術(shù)產(chǎn)業(yè)化策略。因?yàn)樾畔踩哂袦?zhǔn)公共物品的性質(zhì)，需要國(guó)家從戰(zhàn)略性高度發(fā)展信息安全核心技術(shù)并與產(chǎn)業(yè)化聯(lián)系起來(lái)，因此，構(gòu)建了實(shí)物期權(quán)博弈模型以研究產(chǎn)業(yè)化的投資收益和投資時(shí)