企業(yè)信息系統(tǒng)安全資源優(yōu)化配置研究.pdf

1、信息技術(shù)的廣泛和深入運(yùn)用使得企業(yè)的效率和效益快速提升，競(jìng)爭(zhēng)力顯著增強(qiáng)，但也帶來了黑客的網(wǎng)絡(luò)攻擊等信息系統(tǒng)安全問題。面對(duì)越來越嚴(yán)峻的信息系統(tǒng)安全形勢(shì)，企業(yè)常規(guī)的做法是大量購(gòu)買和運(yùn)用防火墻、入侵檢測(cè)系統(tǒng)和虛擬專用網(wǎng)絡(luò)等安全技術(shù)，以提升安全水平。然而，大量事實(shí)表明，信息系統(tǒng)安全不是一個(gè)簡(jiǎn)單的技術(shù)問題，而是一個(gè)需要綜合考慮技術(shù)、管理和經(jīng)濟(jì)的復(fù)雜管理問題，當(dāng)前國(guó)際上信息管理與信息系統(tǒng)學(xué)科出現(xiàn)了一個(gè)新的前沿性研究領(lǐng)域——信息安全經(jīng)濟(jì)學(xué)。作為信息安全

2、經(jīng)濟(jì)學(xué)的熱點(diǎn)問題之一，信息系統(tǒng)安全資源優(yōu)化配置策略研究備受關(guān)注。本文以企業(yè)為背景，在定義信息系統(tǒng)安全管理等相關(guān)概念基礎(chǔ)上，引入信息系統(tǒng)安全資源優(yōu)化配置涵蓋的內(nèi)容，構(gòu)建安全資源優(yōu)化配置決策過程，并綜合運(yùn)用信息系統(tǒng)管理、博弈論等理論，對(duì)信息系統(tǒng)安全資源優(yōu)化配置問題進(jìn)行了多方面的研究:
　　(1)針對(duì)企業(yè)內(nèi)部信息系統(tǒng)安全資源優(yōu)化配置問題。首先，構(gòu)建了IT總投入中信息系統(tǒng)安全投入優(yōu)化模型，分析得出:信息系統(tǒng)安全投入與信息系統(tǒng)原始脆弱性無關(guān)

3、，企業(yè)IT投入在信息資產(chǎn)和信息系統(tǒng)安全兩者間的分配取決于信息資產(chǎn)投入經(jīng)濟(jì)效率和信息系統(tǒng)安全威脅指數(shù)之比，而信息系統(tǒng)安全收益隨信息系統(tǒng)安全投入呈凸形關(guān)系。其次，研究了企業(yè)內(nèi)信息系統(tǒng)安全投入在多防御節(jié)點(diǎn)中的配置問題，得出:無論信息系統(tǒng)安全資源是否存在約束，在多節(jié)點(diǎn)安全資源配置時(shí)，各節(jié)點(diǎn)均存在判斷該節(jié)點(diǎn)是否需要配置安全資源的閾值，低于閾值時(shí)，不再配置安全資源，反之則進(jìn)一步配置安全資源。
　　(2)針對(duì)縱向跨組織信息系統(tǒng)中的安全資源優(yōu)化配

4、置問題。在信息系統(tǒng)安全知識(shí)共享情況下，分別構(gòu)建Stackberg和Cournot博弈模型研究安全投入和安全知識(shí)共享，分析表明:安全投入方面，核心企業(yè)隨網(wǎng)絡(luò)脆弱性的增強(qiáng)而增加，伙伴企業(yè)則是減少。進(jìn)一步對(duì)比Stackelberg和Cournot博弈決策結(jié)果發(fā)現(xiàn):核心企業(yè)在Stackelberg博弈決策中的安全投入和安全知識(shí)共享水平均要低于在Cournot博弈中的額度，伙伴企業(yè)在兩種博弈決策中安全投入的比較則取決于信息系統(tǒng)原始脆弱性水平。在信

5、息資產(chǎn)共享情況下，基于獨(dú)立決策和聯(lián)合決策兩種方式建模分析發(fā)現(xiàn):信息資產(chǎn)共享比例較高時(shí)，若獨(dú)立決策，核心企業(yè)安全資源投入相對(duì)較多，伙伴企業(yè)則相反;信息資產(chǎn)共享比例較低時(shí)，若獨(dú)立決策，核心企業(yè)安全資源投入相對(duì)較少，伙伴企業(yè)則相反。
　　(3)針對(duì)網(wǎng)絡(luò)跨組織信息系統(tǒng)中的信息系統(tǒng)安全資源優(yōu)化配置問題。首先，基于從眾行為理論構(gòu)建了網(wǎng)絡(luò)跨組織信息系統(tǒng)中的安全投入決策模型，分析表明:受網(wǎng)絡(luò)跨組織信息系統(tǒng)中企業(yè)信息系統(tǒng)安全初始水平、安全損失、企業(yè)

6、群體規(guī)模、從眾效應(yīng)等因素影響，企業(yè)可能采用積極安全策略、保守安全策略或消極安全策略，但隨著群體規(guī)模的增加，企業(yè)采用積極安全策略的概率下降。其次，針對(duì)企業(yè)群體中的信息系統(tǒng)安全知識(shí)共享問題，運(yùn)用演化博弈模型分析得:除了信息系統(tǒng)安全知識(shí)共享成本、安全網(wǎng)絡(luò)效應(yīng)等因素外，信息資產(chǎn)價(jià)值關(guān)系影響著企業(yè)群體間信息系統(tǒng)安全知識(shí)共享的演化博弈的均衡，信息資產(chǎn)價(jià)值互補(bǔ)的企業(yè)間實(shí)施共享策略的意愿較高，信息資產(chǎn)價(jià)值競(jìng)爭(zhēng)或獨(dú)立的企業(yè)間實(shí)施共享策略的意愿較低，共享的

7、意愿隨著互補(bǔ)關(guān)系的緊密程度及初始選擇共享策略企業(yè)的比例增加而增加。最后，為了抑制信息系統(tǒng)安全知識(shí)共享過程中的“搭便車”行為，運(yùn)用重復(fù)博弈理論構(gòu)建共享激勵(lì)機(jī)制，分析發(fā)現(xiàn):孤立期越長(zhǎng)、理性企業(yè)的比例和共享的效率越高，激勵(lì)機(jī)制效果越顯著。
　　(4)針對(duì)信息系統(tǒng)安全外包中委托代理問題，設(shè)計(jì)由固定報(bào)酬和補(bǔ)償系數(shù)兩部分組成激勵(lì)機(jī)制，分析表明:固定報(bào)酬隨外包信息資產(chǎn)價(jià)值的增加和黑客入侵概率的增加而增加;補(bǔ)償系數(shù)與企業(yè)信息系統(tǒng)安全環(huán)境的不確定性

8、、信息系統(tǒng)安全服務(wù)商的努力成本系數(shù)以及其風(fēng)險(xiǎn)規(guī)避系數(shù)呈反比。其次，針對(duì)信息系統(tǒng)安全保險(xiǎn)投入和安全投入優(yōu)化配置決策問題，分別基于完全競(jìng)爭(zhēng)市場(chǎng)和不完全競(jìng)爭(zhēng)市場(chǎng)進(jìn)行分析，研究發(fā)現(xiàn):在投保企業(yè)間安全依賴性較強(qiáng)環(huán)境下，信息系統(tǒng)安全投入和保單保額均隨保險(xiǎn)市場(chǎng)的加載因子增加而減少;在安全依賴較弱環(huán)境下，信息系統(tǒng)安全投入隨加載因子增加而增加。對(duì)于信息系統(tǒng)安全保額則存在加載因子的閾值，高于閾值保額則隨加載因子的增長(zhǎng)而增長(zhǎng)，低于閾值保額則隨加載因子的增長(zhǎng)而