信息安全工程經濟模型研究的論文
一、引言
現今信息安全的理論研究范疇主要集中在技術和制度建設方面,如加密理論和技術、帶寬資源分配、入侵檢測與取證、網絡監控以及法律制度的制定和完善等,從經濟學角度開展的信息安全理論研究甚為少見。事實上,作為一種需要詳盡評估成本和收益的工程體系,一個組織信息安全系統的決策和實施并不僅僅取決于其技術的先進性和有效性,更大程度上是決策者和實施者在收益和代價間進行權衡的過程。經濟學理論研究的主要內容是社會如何有效管理和分配稀缺資源現代經濟學理論更多的是研究人們如何決定自己的行為,使得在給定約束條件下最大化自己的偏好。
為此,經濟學家們建立發一整套完整而深入的工具和理論體系對各種資源配置和行為策略模式進行研究,從而在各種復雜而變化多端的社會形態下尋求具有最優或比較優勢的解決方案。一般來說,組織機構在實施信息安全時主要側重于以下幾方面的考慮:
(1)保護信息免受非授權用問訪問;
(2)使得授權用戶在給定權限范圍內訪問信息;
(3)保護信息免受系統內部疏漏的損害;
(4)對外來入侵進行偵測以及在必要時恢復受損信息。進行安全研究時一般都假定沒有任何信息系統能夠完全避免外來侵害,也沒有一種措施能夠完全保護系統安全。
二、最優模型
(一)收益最大化決策
假定一個組織機構的信息安全的強度可以通過安全級別加以度量,顯然若安全級別為零,即完全不設置安全措施,組織付出的安全成本為最低,同時得到的收益(即企業由于采取安全措施減少的損失量)亦為零,隨著機構采取的安全強度增加,抵御信息侵害的能力增強,由于減少了信息侵害導致的損失,從而對應的收益增長,但同時為此支付費用也會不斷增加,亦即成本增加。[3]這一變化可以用圖1所示的曲線表示。圖1表示了機構選擇不同安全級別的成本收益變化,橫軸表示從0開始增強的安全級別,縱軸表示成本或收益的貨幣數量刻度。從圖中可以看出,隨著安全級別的增加,機構付出的成本會不斷增長,但由此減少的損失亦即收益并不會無限制地增長,而是會趨近于一個常數,因此收益曲線會由向上增長而逐漸變為水平。假定機構采納不同信息安全級別S的總收益為變量B,總成本為C,兩條曲線相交的部分為凈收益G=B-C(G0),機構最優安全級別的選擇方案是使得B-C的差達到最大的一點,亦即圖1中的S′處,其形式化描述為:為使得G(S)=B(S)-C(S)最大,則dGdS=dBdS-dCdS=0(1)也可記為:dBdS=dCdS亦即:邊際收益=邊際成本。
(二)成本最小化決策
以上最優模型考慮的是機構從信息安全中獲取的收益最大化。另外一種研究方式是考察機構為信息安全所付出的代價。這一方式下的最優模型是使得實施信息安全項目的成本加上與之對應安全級別措施缺失時導致的損失數為最小。[4](P15-43)圖2顯示了這一研究形式的曲線表達。隨著機構信息安全措施級別的增強,機構由于信息安全問題導致的損失L不斷減少,直至趨近于零,相應地用于信息安全建設的開支E也不斷增長,因此,機構的總成本C=L+E會經歷一個由下降到上升的過程,機構采納信息安全級別的最優方案是使得C最小化,亦即圖中曲線C到達最低點S′處。
三、凈現值NPV模型
以上的經濟學最優越模型的討論為計劃進行信息安全項目的決策者提供了一種清晰的分析方法,即如何在付出與回報之間找到最佳平衡點。但只是一種理想狀態下的分析工具,它建立在決策者對未來所有數據、包括安全問題發生的幾率、實施各種安全級別的成本收益等都能夠明確獲取和估算的基礎之上。但這種情況在現實生活中是很少存在的,決策者并不都能準確計算未來會發生什么情況,相應情況下的損益數據也很難準確得出,大多數情況只能是采取“摸著石頭過河”的方法,即先投資建立一些基本的安全措施,然后在此基礎上評估進一步投資的可行性,即通過計算項目投資實施的時間段內,在給定貼現率下機構的凈現值能否實現預期水平來判斷。凈現值模型就是這一情形下的投資決策的分析工具。該模型也經常被用于各種工程項目的可行性分析報告中。設變量B和C分別為機構信息安全的收益和成本,K為貼現率,i為未來年份,則未來n年后的凈現值為:NPV=∑ni=1(Bi-Ci)/(1+k)i(2)公式(2)給出的凈現值計算模型可以將未來若干一段時間收益和成本的不確定性因素加以計算,從而判斷是否值得進一步,若NPV>0,說明方案的投資收益率不僅可以達到預期貼現率下的效益水平,而且還有盈余;若NPV<0,則說明方案投資收益達不到預計的效益水平;若NPV=0,表明投資收益剛好能達到預計的效益水準,包括償還預期貸款、員工報酬和風險報酬等。因此,NPV≥0,則項目方案可行;NPV<0則項目方案不可行。凈現值模型的關鍵是通過引入貼現率k這一變量對未來的不確定因素(亦即風險因素)對的影響加以調整,它不單純是計算計算收益與成本之差,而是考慮了貨幣的時間價值,通過將未來若干年的收益狀況,用貼現的方式轉化為現值,以便全面評價項目的經濟效益。因此,通過選定恰當的貼現率,凈現值模型可以對未來一段時間因素進行量化計算,從而判斷項目可行性。
四、信息安全經濟模型中的變量數據的獲取
以上經濟學模型應用于信息安全分析時的一個主要問題是如何獲取相關變量的量化數值,包括安全措施等級的確定、安全項目成本與收益的計算方法,這些數據目前沒有一個統一的標準當量計算方法,只能通過經驗方式獲取。為此,決策者應當采集以下數據作為分析依據:
(一)各種信息安全問題發生的頻度
隨著網絡的普及和各種形式計算機病毒、木馬程序、間諜程序的層出不窮,企業信息系統的安全問題發生的頻度越來越高,因此決策者應當根據企業業務特征,收集信息系統在一個時間段內發生針對不同內容的安全問題的頻度,如病毒爆發、數據損害、硬件故障率、隱私機密泄漏等,以作為未來安全事件發生幾率的經驗推導參考值。
(二)信息安全事故的損失
現在還沒有一個標準計算由于信息安全事故造成的損失,決策者只能以各自標準來統計在實施不同級別安全措施的相應時間段內由于信息安全信息事故造成企業的各種顯性和隱性損失數額。由于現代企事業單位的業務流程對信息系統的高度依賴,安全事故損失的計量方法已成為信息安全研究的一個重要領域。
(三)實施信息安全項目的投資
這是比較容易獲取的數據源,針對不同種類和不同強度的安全應對方案,可以計算出各種費用開支的數據,包括設備、人員、貸款利息等。
五、結語
以及進一步的研究方向信息現已成為一個國家、地區或組織最有價值的財富之一。而網絡的普及和廣泛使用既提高了信息本身的價值,同時也帶來了危險,信息系統安全的不確定性變得無時不在。技術層面的各種防護研究已得到廣泛重視,但基于經濟學研究角度的研究,國內還鮮有相應成果發表。筆者認為,所謂經濟學方法,實際上是在各種制約因素中計算和尋找均衡點的過程。經濟學中存在兩個均衡概念,一個是市場供求平衡,指當邊際收益等于邊際時,達到的市場出清狀態。另一個是經濟個體不再改變自己行為的博弈均衡。本文僅就市場均衡狀態進行了初步探討,其中相關變量的度量、影響均衡的其他新變量的引入,還需要作進一步的研究。同時,將博弈分析引入信息安全,也存在廣泛的研究空間。
【信息安全工程經濟模型研究的論文】相關文章:
工商管理與經濟發展研究論文09-24
關于物聯網的信息安全技術研究論文09-29
經濟論文06-07
【熱門】有關安全工程信息的簡報10-04
財政金融支持低碳經濟發展研究的論文08-11
經濟法論文[經典]05-19
經濟法學論文10-19
經濟學論文06-08
經濟法論文05-16
[優秀]經濟法論文05-17