基于Gordon-Loeb模型的信息安全投資博弈研究

王秦，朱建明

?

基于Gordon-Loeb模型的信息安全投資博弈研究

王秦，朱建明

（中央財經大學信息學院，北京 100081）

為了研究信息安全投資外部性的影響，將Gordon-Loeb模型擴展到多組織博弈環(huán)境下，分別得出在正負外部性下，面對不同類型的攻擊時，最優(yōu)信息安全投資與脆弱性、潛在損失和投資效率的關系，并且比較了與社會最優(yōu)條件下最優(yōu)信息安全投資的差別。結果表明，正外部性條件下的信息安全投資變化規(guī)律與單一組織的情況相比存在一定相似之處，但負外部性下的信息安全投資改變較大，總體更加謹慎，并且攻擊類型對于信息安全投資有著重要影響。

信息安全投資；Gordon-Loeb模型；外部性；攻擊類型

1 引言

網絡時代計算機系統(tǒng)的互聯方便了信息的傳播，但也使信息安全漏洞更加難以防范。業(yè)務上相互有來往的組織，特別是關系密切的組織往往會建立便捷的溝通渠道，甚至在這些渠道上沒有進行信息加密等防護手段。攻擊者可以通過被劫持的主機向與其相連的主機發(fā)起攻擊，也能輕易地從安全性較高的攻擊目標轉移到安全性較低的個體上。信息安全投資決定了組織的安全水平，在網絡互連的情況下，組織的安全水平會互相影響，因此，信息安全投資具有顯著的外部性，進行投資時必須考慮主體間相互聯系的特點。另一方面，不同類型的攻擊，如拒絕服務攻擊、病毒、木馬等發(fā)生概率和產生的損失差別很大，進行信息安全投資必須考慮攻擊的特點。

然而，以上研究或是針對單一組織的研究，或雖然研究的是多個組織互相影響的情況，但沒有使用博弈論方法，無法分析組織間復雜的策略互動。在現有的基于Gordon-Loeb模型的博弈研究中，Gordon等[8]基于Gordon-Loeb模型分析了信息共享的效應，假設其他組織的信息安全投資可以對本組織的投資起到一定的補充作用，主要從社會福利的角度進行分析，并沒有深入探討外部性的影響。鞏國權等[9]研究了雙寡頭壟斷競爭條件下信息安全投資如何影響市場需求和企業(yè)利潤，但并沒有考慮最優(yōu)信息安全投資與脆弱性、潛在損失等關鍵變量的關系。Lelarge[10]基于Gordon-Loeb模型分析網絡用戶的動機協(xié)調問題，研究重點在于如何獲得信息安全投資的單調性條件以及如何確保各主體達到更高的安全水平。Wu等[11]基于Gordon-Loeb模型分析了在考慮攻擊類型和網絡脆弱性時的信息安全投資博弈模型，然而并沒有考慮到信息安全投資的負外部性，也沒有考慮損失的可疊加程度以及最優(yōu)投資與投資效率的關系。

對于信息安全投資的研究除了主流的與Gordon-Loeb模型相關的文獻外，還包括少數單獨基于博弈論[12]、效用理論[13]和財務分析[14]等方法的研究。然而，以上文獻的共同缺點是缺乏在外部性環(huán)境中對于最優(yōu)信息安全投資與安全屬性關系的研究。本文將Gordon-Loeb模型移植到相互影響的組織間的信息安全投資問題上，使用博弈論刻畫投資的外部性，考慮不同的攻擊類型。本文重點回答了在組織相互依賴的條件下最優(yōu)信息安全投資額如何隨潛在損失、脆弱性和投資效率等參數變化，旨在得出不同的外部性對信息安全投資規(guī)律的影響，并加深關于攻擊類型對信息安全投資影響的理解。

2 Gordon-Loeb模型及信息安全投資的外部性

2.1 Gordon-Loeb模型及其假設

Gordon-Loeb模型研究了風險中立組織如何得出用于保護某一信息集的最優(yōu)信息安全投資額，以及脆弱性、潛在損失與最優(yōu)信息安全投資額的關系[2]。Gordon-Loeb模型指出，最優(yōu)信息安全投資隨潛在損失的增大而提高，并且在潛在損失給定的情況下，組織不一定必須將投資集中于高脆弱性的信息集上，因為此時保護該信息集的代價過大，組織應該重點保護中等脆弱性的信息集，并且，根據文中給出的2種漏洞概率函數，最優(yōu)信息安全投資額遠遠小于沒有信息安全投資時的預期損失。

式(1)說明當=0時，信息集將處于絕對安全的狀態(tài)，此時無論外在威脅和信息安全投資為何值，攻擊都必將失敗。式(2)說明當信息安全投資=0時，漏洞風險應當等于外在威脅與脆弱性的乘積。式(3)和式(4)說明漏洞風險隨信息安全投資以遞減的速度下降，即信息安全投資必須符合邊際報酬遞減規(guī)律。式(5)說明不斷增長的信息安全投資最終能夠將安全風險降至接近于0。

不同的漏洞概率函數代表不同的攻擊類型。Gordon-Loeb模型中使用的漏洞概率函數主要包含2種類型，分別為目標攻擊和機會攻擊。

圖1 漏洞風險與脆弱性的關系

圖2 漏洞風險與信息安全投資額的關系

從圖1可以看出，對于目標攻擊，漏洞風險隨脆弱性線性增長；對于機會攻擊，當脆弱性較小時，漏洞風險隨脆弱性增長較慢，而高脆弱性對漏洞概率函數的影響很大，這也反映出高脆弱性信息集很難抵御機會攻擊的事實。從圖2可以看出，在外在威脅以及脆弱性相等的情況下，等量的信息安全投資對于機會攻擊的抵御效果更好，顯示目標攻擊相較機會攻擊更難防范。

2.2 信息安全投資的外部性

在網絡環(huán)境下，組織的信息安全投資會不可避免地相互影響，產生溢出效應。信息安全投資的外部性可以分為正外部性和負外部性。

在多數現實情況中，信息安全投資外部性的表現以正外部性為主。然而，有時信息安全投資會呈現負外部性，此時，攻擊者無法通過組織間的聯系實現間接入侵，并且當某一組織的信息安全投資增加時，其安全程度的提高會促使攻擊者將目標轉移到安全程度更低的組織上，因此，更多的信息安全投資反而對其他組織有害。假設在包含2個組織的情況下，當信息安全投資出現負外部性時，組織1的信息集被攻破的概率為

3 基于Gordon-Loeb模型的博弈模型構建

假設博弈在2個同質的參與方之間展開，即組織1和組織2面臨的外在威脅、脆弱性、預期損失和投資效率相等。博弈同時在進行。組織1和組織2在考慮對方信息安全投資的情況下，選擇信息安全投資額以最大化其凈收益。2個組織之間的博弈關系如圖3所示。

圖3 組織信息安全投資博弈關系

組織1的凈收益為信息安全投資的預期收益減去成本，即

組織1的最優(yōu)信息安全投資的一階條件為

由式(11)可知，對于正外部性的情況，一階條件為

對于負外部性的情況，一階條件為

該一階條件也是組織1對組織2的反應曲線。同理可得組織2對組織1的反應曲線。為了保證納什均衡的存在，必須有

在納什均衡下，由于2個組織是同質的，根據對稱性，必有

信息安全投資規(guī)律要受外部性和攻擊類型的制約。接著，分別討論在正外部性和負外部性下對不同類型的攻擊時，最優(yōu)信息安全投資隨潛在損失、脆弱性和投資效率的變化情況。

4 正外部性下的最優(yōu)信息安全投資

因此，可得

因此，對于目標攻擊和機會攻擊分別必須滿足

4.1 正外部性下的最優(yōu)信息安全投資與潛在損失

分別對式(21)和式(22)應用隱函數的求導法則，可得

根據式(18)和式(19)，有

因此，可得到以下定理。

定理1 在相互博弈的2個組織之間呈現正外部性的情況下，面對目標攻擊和機會攻擊時最優(yōu)信息安全投資與潛在損失呈正相關關系。

4.2 正外部性下的最優(yōu)信息安全投資與脆弱性

同理，應用隱函數的求導法則可得

因此，可得到以下定理。

定理2 在相互博弈的2個組織之間呈現正外部性的情況下，當面對機會攻擊時，最優(yōu)信息安全投資隨脆弱性的提高先增大后減小；當面對目標攻擊時，若入侵的可疊加程度、感染概率以及外在威脅較小，則最優(yōu)信息安全投資始終隨脆弱性的提高而增大，反之，若入侵的可疊加程度、感染概率以及外在威脅較大，則最優(yōu)信息安全投資隨脆弱性的提高先增大后減小。

面對機會攻擊和目標攻擊時，最優(yōu)信息安全投資與脆弱性關系的表現并不相同。機會攻擊相比目標攻擊，其攻擊以大規(guī)模、隨機化為特點，當信息集的脆弱性較低時，攻擊較易被抵御，少量的信息安全投資即能起到很好的效果。然而，當脆弱性大于一定值時，機會攻擊將變得很難被抵御。組織進行信息安全投資需要平衡考慮收益與成本。過大的脆弱性使新增的安全投資難以將安全漏洞概率降低到一定程度，反而會帶來成本的提高，因此，組織將選擇不再增加安全投資。目標攻擊只針對某些對象，并且造成的傷害較大，若入侵的可疊加程度、感染概率以及外在威脅較小，組織必須隨著脆弱性的升高持續(xù)增加信息安全投資。若入侵的可疊加程度、感染概率以及外在威脅較大，在高脆弱性下新增信息安全投資同樣將變得不劃算。

由此可見，在博弈環(huán)境下，組織在面對機會攻擊和目標攻擊時同樣都會出現信息安全投資隨脆弱性下降的情況。組織有必要對所處環(huán)境進行詳細分析，準確判斷攻擊類型以及信息安全投資隨脆弱性變化的臨界點。當脆弱性較大時，組織應考慮將重點轉移到如何降低被攻破后的損失上，并在后續(xù)工作中努力降低信息集的脆弱性。

4.3 正外部性下的最優(yōu)信息安全投資與投資效率

之前的研究均假設信息安全投資能夠順利展開，有效降低安全風險。然而由于客觀因素的限制，現實中信息安全投資往往呈現出不同的投資效率。本節(jié)將研究投資效率對最優(yōu)信息安全投資的影響。

分別對式(21)和式(22)應用隱函數的求導法則，可得

根據式(18)和式(19)，有

因此，可得到以下定理。

定理3 在相互博弈的2個組織之間呈現正外部性的情況下，當面對目標攻擊時，最優(yōu)信息安全投資隨投資效率的提高而增大；當面對機會攻擊時，最優(yōu)信息安全投資隨投資效率的提高先增大后減小。

當投資效率較小時，為了更好地抵御攻擊，伴隨著不斷增長的投資效率，組織需要持續(xù)追加信息安全投資。當投資效率超過一定臨界點，對于目標攻擊，由于其更難被抵御的特點，組織仍需繼續(xù)增加投資，而對于機會攻擊，由于信息安全投資對其的防御效果更好，并且投資對安全風險的降低作用一直處于不斷下降的趨勢，因此，在高投資效率下組織將選擇不再追加信息安全投資。

5 負外部性下的最優(yōu)信息安全投資

根據式(6)、式(7)、式(13)和式(14)，在2個組織之間呈現負外部性的情況下，為保證納什均衡的存在，面對目標攻擊和機會攻擊時分別必須滿足

因此，可得

因此，對于目標攻擊和機會攻擊分別必須滿足

5.1 負外部性下的最優(yōu)信息安全投資與潛在損失

分別對式(37)和式(38)應用隱函數的求導法則，可得

根據式(34)和式(35)，有

因此，可得到以下定理。

定理4 在相互博弈的2個組織之間呈現負外部性的情況下，面對目標攻擊和機會攻擊時最優(yōu)信息安全投資與潛在損失呈負相關關系。

5.2 負外部性下的最優(yōu)信息安全投資與脆弱性

同理，應用隱函數的求導法則可得

根據式(34)和式(35)，有

因此，可得到以下定理。

定理5 在相互博弈的2個組織之間呈現負外部性的情況下，當面對目標攻擊時，最優(yōu)信息安全投資隨脆弱性的提高而減??；當面對機會攻擊時，若信息安全投資效率較小，則最優(yōu)信息安全投資隨脆弱性的提高而增大，反之，若信息安全投資效率較大，則最優(yōu)信息安全投資隨脆弱性的提高先減小后增大。

在面對目標攻擊時，由于其受高脆弱性的影響相比機會攻擊更小，在信息安全投資已經較高并且存在約束的條件下，最優(yōu)信息安全投資將隨脆弱性的提高而減小。在面對機會攻擊時，若信息安全投資效率較小，由于高脆弱性帶來的嚴重影響，組織必須隨脆弱性的提高而追加信息安全投資。從式(35)可以看出，若信息安全投資效率較大，則信息安全投資面臨的約束也更緊，在低脆弱性的情況下，組織將隨脆弱性的提高而降低信息安全投資，而在高脆弱性時仍需要不斷追加信息安全投資以彌補損失。由此可見，在負外部性條件下組織比較重視對高脆弱性下機會攻擊的抵御，并且必須做好對投資效率的衡量。

5.3 負外部性下的最優(yōu)信息安全投資與投資效率

分別對式(37)和式(38)應用隱函數的求導法則，可得

根據式(34)和式(35)，有

因此，可得到以下定理。

定理6 在相互博弈的2個組織之間呈現負外部性的情況下，面對目標攻擊和機會攻擊時最優(yōu)信息安全投資與投資效率呈負相關關系。

通過式(6)和式(7)可以看出漏洞概率函數對投資效率的導數為負，投資效率的增長本來對漏洞風險有降低的作用，并且高投資效率會帶來更嚴格的投資約束。在負外部性條件下，由于較高的投資水平以及投資約束的存在，伴隨投資效率的增長，組織不需再追加信息安全投資，而主要利用較高的投資效率達到一定的安全水平。

總體而言，相較正外部性的情況，組織在負外部性條件下雖然存在更大的激勵，但信息安全投資伴隨潛在損失、脆弱性和投資效率的增長變得更加謹慎。所以組織對于自己與其他組織關系的判斷至關重要。從此再次看出信息安全投資是兼顧“科學”與“藝術”的問題，需要充分的經濟學考量，難以通過純粹的技術手段解決。

6 社會最優(yōu)下的最優(yōu)信息安全投資

之前的內容主要研究的是博弈條件下基于個體理性得出的最優(yōu)信息安全投資額。在社會最優(yōu)情況下，全體福利達到最高，此時，個體的支付與博弈條件下往往不同。將社會最優(yōu)下的最優(yōu)信息安全投資與博弈條件下的情況做對比，有助于進一步認清外部性對信息安全投資和總體收益的影響特點。

在正外部性條件下，總體收益為

通過分析其最優(yōu)解可得

同理，在負外部性條件下，總體收益為

通過分析其最優(yōu)解可得

綜上，可得以下定理。

定理7 相比獨立博弈的情況，社會最優(yōu)時的總體收益更大，并且在正外部性下的信息安全投資更大，在負外部性下的信息安全投資更小。

根據分析，正外部性與負外部性分別對信息安全投資有抑制和促進的作用，這種作用在獨立博弈的情況下表現更明顯，社會最優(yōu)對這種偏低或偏高的投資額有一定的調節(jié)作用。

7 結束語

本文通過分析信息安全投資存在的外部性，基于Gordon-Loeb模型建立了組織信息安全投資博弈模型，分別研究了正外部性和負外部性條件下對目標攻擊和機會攻擊時最優(yōu)信息安全投資的變化情況。主要結論可以歸納如下。

1) 在正外部性條件下，最優(yōu)信息安全隨潛在損失和脆弱性的變化情況與Gordon-Loeb模型存在相似之處，說明正外部性對組織信息安全投資的影響并不深入。組織在進行信息安全投資時，面對潛在損失、脆弱性和投資效率的增大，都至少在這些參數較小時出現信息安全投資的增長期。因此，組織在正外部性下的信息安全投資總體較為積極。

2) 負外部性條件下最優(yōu)信息安全投資的變化規(guī)律與正外部性時反差較大。除了在面對機會攻擊并且脆弱性較高時，組織的信息安全投資表現較為消極。因此組織必須善于控制信息安全投資。

3) 面對目標攻擊和機會攻擊時最優(yōu)信息安全投資的變化情況與這2種攻擊的特點相關程度很高，例如，由于高脆弱性下機會攻擊更難被抵御，當脆弱性增大時，組織必須在外部性環(huán)境下根據攻擊類型做出是否追加投資的選擇。

4) 社會最優(yōu)的要求增大了總體收益，其對最優(yōu)信息安全投資額的影響與外部性所具有的特點有關。

總之，客觀條件對組織的信息安全投資提出了較高的要求。組織必須善于分析內外部環(huán)境，合理估計各種參數，才能正確地進行投資，否則可能產生適得其反的效果。另外，本文研究也有很多不足，例如，對攻擊類型可以有更加細致的劃分，攻擊者可以被作為博弈參與方，并考慮多階段的博弈交互，這些可以作為未來研究的改進方向。

[1] ANDERSON R. Why information security is hard: an economic perspective[C]//The Seventeenth Annual Computer Security Applications Conference. 2001: 358-365.

[2] GORDON L A, LOEB M P. The economics of information security investment[J]. ACM Transactions on Information & System Security, 2002, 5(4):438-457.

[3] 陳天平, 張串絨, 郭威武, 等. 效用理論在信息安全投資優(yōu)化中的應用[J]. 計算機科學, 2009, 36(12):70-72.

CHEN T P, ZHANG C R, GUO W W, et al. Application of utility theory in investment optimizing of information security[J]. Computer Science, 2009, 36(12):70-72.

[4] GORDON L A, LOEB M P, LUCYSHYN W, et al. Externalities and the magnitude of cyber security underinvestment by private sector firms: a modification of the Gordon-Loeb model[J]. Journal of Information Security, 2015, 6(1):24-30.

[5] HUANG C D, HU Q, BEHARA R S. Economics of information security investment in the case of simultaneous attacks[C]//The Fifth Workshop on the Economics of Information Security. 2006.

[6] HUANG C D, HU Q, BEHARA R S. An economic analysis of the optimal information security investment in the case of a risk-averse firm[J]. International Journal of Production Economics, 2008, 114(2): 793-804.

[7] HUANG C D, BEHARA R S, GOO J. Optimal information security investment in a Healthcare Information Exchange: an economic analysis[J]. Decision Support Systems, 2013, 61(1):1-11.

[8] GORDON L A, LOEB M P, LUCYSHYN W. Sharing information on computer systems security: an economic analysis[J]. Journal of Accounting & Public Policy, 2003, 22(6):461-485.

[9] 鞏國權, 王軍, 強爽. 雙寡頭壟斷市場的信息安全投資模型研究[J]. 中國管理科學, 2007, 15(z1):444-448.

GONG G Q, WANG J, QIANG S. Information security investment model in dual-oligopoly market[J]. Chinese Journal of Management Science, 2007, 15(z1):444-448.

[10] LELARGE M. Coordination in network security games: a monotone comparative statics approach[J]. IEEE Journal on Selected Areas in Communications, 2012, 30(11): 2210-2219.

[11] WU Y, FENG G, WANG N, et al. Game of information security investment: impact of attack types and network vulnerability[J]. Expert Systems with Applications, 2015, 42(15-16):6132-6146.

[12] QIAN X, LIU X, PEI J, et al. A game-theoretic analysis of information security investment for multiple firms in a network[J]. Journal of the Operational Research Society, 2017, 68(10):1-16.

[13] IOANNIDIS C, PYM D, WILLIAMS J. Fixed costs, investment rigidities, and risk aversion in information security: a utility-theoretic approach[M]//Economics of Information Security and Privacy III. 2013: 171-191.

[14] ?APKO Z, AKSENTIJEVI? S, TIJAN E. Economic and financial analysis of investments in information security[C]//The 37th International Convention on Information and Communication Technology, Electronics and Microelectronics. 2014:1550-1556.

Research on the game of information security investmentbased on the Gordon-Loeb model

WANG Qin, ZHU Jianming

School of Information, Central University of Finance and Economics, Beijing 100081, China

In order to study the impacts of externalities of information security investment, the Gordon-Loeb model was extended to a multi-organization game environment. The relationships of the optimal information security investment with vulnerability, potential loss and investment effectiveness when confronted with different attack types under the positive and negative externalities were obtained respectively, and the difference with the optimal information security investment under the social optimum condition was compared. The results show that there were some similarities in the varying pattern of information security investment between the condition of the positive externality and a single organization, but information security investment under the negative externality changes greatly and was generally more cautious, and attack types also have important impacts on information security investment.

information security investment, Gordon-Loeb model, externality, attack type

TP309

A

10.11959/j.issn.1000-436x.2018027

2017-09-13；

2018-01-02

國家重點研發(fā)計劃基金資助項目（No.2017YFB1400700）；國家自然科學基金資助項目（No.U1509214, No.61272398）

The National Key R&D Program of China (No.2017YFB1400700), The National Natural Science Foundation of China (No.U1509214, No.61272398)

王秦（1990-），男，甘肅天水人，中央財經大博士生，主要研究方向為信息安全的經濟學分析。

朱建明（1965-），男，山西太原人，博士，中央財經大學教授、博士生導師，主要研究方向為信息安全和電子商務安全。