信息安全工程经济模型研究的论文.doc

信息安全工程经济模型研究的论文 一、引言 现今信息安全的理论研究范畴主要集中在技术和制度建设方面,如加密理论和技术、带宽资源分配、入侵检测与取证、网络监控以及法律制度的制定和完善等,从经济学角度开展的信息安全理论研究甚为少见事实上,作为一种需要详尽评估成本和收益的工程体系,一个组织信息安全系统的决策和实施并不仅仅取决于其技术的先进性和有效性,更大程度上是决策者和实施者在收益和代价间进行权衡的过程经济学理论研究的主要内容是社会如何有效管理和分配稀缺资源现代经济学理论更多的是研究人们如何决定自己的行为,使得在给定约束条件下最大化自己的偏好 为此,经济学家们建立发一整套完整而深入的工具和理论体系对各种资源配置和行为策略模式进行研究,从而在各种复杂而变化多端的社会形态下寻求具有最优或比较优势的解决方案一般来说,组织机构在实施信息安全时主要侧重于以下几方面的考虑: (1)保护信息免受非授权用问访问; (2)使得授权用户在给定权限范围内访问信息; (3)保护信息免受系统内部疏漏的损害; (4)对外来入侵进行侦测以及在必要时恢复受损信息进行安全研究时一般都假定没有任何信息系统能够完全避免外来侵害,也没有一种措施能够完全保护系统安全 二、最优模型 (一)收益最大化决策 假定一个组织机构的信息安全的强度可以通过安全级别加以度量,显然若安全级别为零,即完全不设置安全措施,组织付出的安全成本为最低,同时得到的收益(即企业由于采取安全措施减少的损失量)亦为零,随着机构采取的安全强度增加,抵御信息侵害的能力增强,由于减少了信息侵害导致的损失,从而对应的收益增长,但同时为此支付费用也会不断增加,亦即成本增加3这一变化可以用图1所示的曲线表示图1表示了机构选择不同安全级别的成本收益变化,横轴表示从0开始增强的安全级别,纵轴表示成本或收益的货币数量刻度从图中可以看出,随着安全级别的增加,机构付出的成本会不断增长,但由此减少的损失亦即收益并不会无限制地增长,而是会趋近于一个常数,因此收益曲线会由向上增长而逐渐变为水平假定机构采纳不同信息安全级别S的总收益为变量B,总成本为C,两条曲线相交的部分为净收益G=BC(G0),机构最优安全级别的选择方案是使得BC的差达到最大的一点,亦即图1中的S处,其形式化描述为:为使得G(S)=B(S)C(S)最大,则dGdS=dBdSdCdS=0(1)也可记为:dBdS=dCdS亦即:边际收益=边际成本 (二)成本最小化决策 以上最优模型考虑的是机构从信息安全中获取的收益最大化另外一种研究方式是考察机构为信息安全所付出的代价这一方式下的最优模型是使得实施信息安全项目的成本加上与之对应安全级别措施缺失时导致的损失数为最小4(P1543)图2显示了这一研究形式的曲线表达随着机构信息安全措施级别的增强,机构由于信息安全问题导致的损失L不断减少,直至趋近于零,相应地用于信息安全建设的开支E也不断增长,因此,机构的总成本C=L+E会经历一个由下降到上升的过程,机构采纳信息安全级别的最优方案是使得C最小化,亦即图中曲线C到达最低点S处 三、净现值NPV模型 以上的经济学最优越模型的讨论为计划进行信息安全项目的决策者提供了一种清晰的分析方法,即如何在付出与回报之间找到最佳平衡点但只是一种理想状态下的分析工具,它建立在决策者对未来所有数据、包括安全问题发生的几率、实施各种安全级别的成本收益等都能够明确获取和估算的基础之上但这种情况在现实生活中是很少存在的,决策者并不都能准确计算未来会发生什么情况,相应情况下的损益数据也很难准确得出,大多数情况只能是采取“摸着石头过河”的方法,即先投资建立一些基本的安全措施,然后在此基础上评估进一步投资的可行性,即通过计算项目投资实施的时间段内,在给定贴现率下机构的净现值能否实现预期水平来判断净现值模型就是这一情形下的投资决策的分析工具该模型也经常被用于各种工程项目的可行性分析报告中设变量B和C分别为机构信息安全的收益和成本,K为贴现率,i为未来年份,则未来n年后的净现值为:NPV=ni=1(BiCi)/(1+k)i(2)公式(2)给出的净现值计算模型可以将未来若干一段时间收益和成本的不确定性因素加以计算,从而判断是否值得进一步,若NPV0,说明方案的投资收益率不仅可以达到预期贴现率下的效益水平,而且还有盈余;若NPV0,则说明方案投资收益达不到预计的效益水平;若NPV=0,表明投资收益刚好能达到预计的效益水准,包括偿还预期贷款、员工报酬和风险报酬等因此,NPV0,则项目方案可行;NPV0则项目方案不可行净现值模型的关键是通过引入贴现率k这一变量对未来的不确定因素(亦即风险因素)对的影响加以调整,它不单纯是计算计算收益与成本之差,而是考虑了货币的时间价值,通过将未来若干年的收益状况,用贴现的方式转化为现值,以便全面评价项目的经济效益因此,通过选定恰当的贴现率,净现值模型可以对未来一段时间因素进行量化计算,从而判断项目可行性 四、信息安全经济模型中的变量数据的获取 以上经济学模型应用于信息安全分析时的一个主要问题是如何获取相关变量的量化数值,包括安全措施等级的确定、安全项目成本与收益的计算方法,这些数据目前没有一个统一的标准当量计算方法,只能通过经验方式获取为此,决策者应当采集以下数据作为分析依据: (一)各种信息安全问题发生的频度 随着网络的普及和各种形式计算机病毒、木马程序、间谍程序的层出不穷,企业信息系统的安全问题发生的频度越来越高,因此决策者应当根据企业业务特征,收集信息系统在一个时间段内发生针对不同内容的安全问题的频度,如病毒爆发、数据损害、硬件故障率、隐私机密泄漏等,以作为未来安全事件发生几率的经验推导参考值 (二)信息安全事故的损失 现在还没有一个标准计算由于信息安全事故造成的损失,决策者只能以各自标准来统计在实施不同级别安全措施的相应时间段内由于信息安全信息事故造成企业的各种显性和隐性损失数额由于现代企事业单位的业务流程对信息系统的高度依赖,安全事故损失的计量方法已成为信息安全研究的一个重要领域 (三)实施信息安全项目的投资 这是比较容易获取的数据源,针对不同种类和不同强度的安全应对方案,可以计算出各种费用开支的数据,包括设备、人员、贷款利息等 五、结语 以及进一步的研究方向信息现已成为一个国家、地区或组织最有价值的财富之一而网络的普及和广泛使用既提高了信息本身的价值,同时也带来了危险,信息系统安全的不确定性变得无时不在技术层面的各种防护研究已得到广泛重视,但基于经济学研究角度的研究,国内还鲜有相应成果发表笔者认为,所谓经济学方法,实际上是在各种制约因素中计算和寻找均衡点的过