企業(yè)信息系統(tǒng)安全防御的投入策略①

王惜凡 丁 勝 尤欣曄

（南京林業(yè)大學(xué)經(jīng)濟(jì)管理學(xué)院 江蘇南京210037）

近年來，隨著各類信息泄露、信息丟失事件的發(fā)生，信息安全問題不斷出現(xiàn)在大眾視野中。自2017 年6 月《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》的正式施行，信息系統(tǒng)安全受到我國(guó)法律體系的有力保護(hù)。但信息安全不止是國(guó)家層面的問題，信息系統(tǒng)的安全防御關(guān)乎企業(yè)個(gè)體的生存［1］。因此，科學(xué)制定企業(yè)信息系統(tǒng)安全防御的投入策略，是企業(yè)維護(hù)核心資產(chǎn)的重要途徑，對(duì)于營(yíng)造良好的企業(yè)發(fā)展大環(huán)境具有現(xiàn)實(shí)意義。

一般地，企業(yè)采取自主防御或信息安全外包兩種信息系統(tǒng)安全防御策略［2］。企業(yè)可以自主搭建信息系統(tǒng)安全防御體系，依靠自身來選擇并合理配置安全技術(shù)，稱為自主防御［3］。目前，相關(guān)的自主防御投入研究多集中于防御效果以及資金投入回報(bào)角度。Grossklags等［4］綜合考慮系統(tǒng)安全影響因素與資金投入差異，構(gòu)建了安全投資策略的博弈模型。Bohme［5］通過“安全成本‐安全級(jí)別‐收益”的映射方法，討論了安全投資模型與安全指標(biāo)間的關(guān)系。Chai 等［6］實(shí)證研究了投資公司的信息安全投資數(shù)據(jù)，發(fā)現(xiàn)信息安全投資可為企業(yè)帶來正的超額收益。Fielder等［7］提出基于博弈論、組合優(yōu)化及兩者混合三種方法的信息系統(tǒng)安全決策工具，比較不同信息安全策略的優(yōu)劣與安全投資的決策效果。隨著信息系統(tǒng)安全防御的專業(yè)化分工不斷加劇，企業(yè)可以將相關(guān)安全技術(shù)及服務(wù)外包給安全管理服務(wù)提供商（Μanaged Security Service Provider，以下簡(jiǎn)稱ΜSSP），稱為信息安全外包。Ding 等［8］認(rèn)為企業(yè)支付給ΜSSP 的外包費(fèi)用是合同主要內(nèi)容，企業(yè)應(yīng)當(dāng)盯緊防御績(jī)效才能與ΜSSP 制定最佳的外包合同。Cezar 等［9］認(rèn)為相較于企業(yè)將防御與檢測(cè)工作外包給多個(gè)ΜSSP，外包給單個(gè)ΜSSP 并引入獎(jiǎng)懲契約的做法效果更優(yōu)。顧建強(qiáng)等［10］在此基礎(chǔ)上提出一般懲罰、部分外包和獎(jiǎng)勵(lì)‐懲罰3種外包契約，作為企業(yè)管理ΜSSP努力水平的激勵(lì)措施。從上述研究來看，自主防御與信息安全外包均有優(yōu)劣，企業(yè)的策略選擇因此被納入研究范圍，如方玲等［11］對(duì)比企業(yè)自主防御與外包的期望收益，發(fā)現(xiàn)企業(yè)選擇信息安全外包的技術(shù)成本一般高于自主防御時(shí)的技術(shù)成本，根據(jù)兩者差值設(shè)定了策略選擇的邊界條件；趙柳榕等［12］構(gòu)建了競(jìng)爭(zhēng)企業(yè)信息安全策略選擇的博弈模型，分析不同策略組合下脆弱性水平、系統(tǒng)相似性與外部性等因素對(duì)企業(yè)安全決策的影響。

關(guān)于企業(yè)自主防御、信息安全外包及兩者的策略投入對(duì)比已有較多的研究。筆者從企業(yè)信息系統(tǒng)安全防御策略的投入與收益出發(fā)，分析并比較企業(yè)選擇自主防御與安全外包的收益函數(shù)，解釋不同策略下收益相關(guān)因素的作用路徑，以期對(duì)提高企業(yè)信息系統(tǒng)安全的決策效率提供有效建議。

1 自主防御的建模與分析

1.1 模型基本假設(shè)

假設(shè)一：企業(yè)為有限理性經(jīng)濟(jì)人，不借助外界機(jī)構(gòu)來運(yùn)營(yíng)企業(yè)的信息安全，即自主搭建信息安全防御體系，以減少黑客入侵對(duì)信息的非授權(quán)泄露、惡意破壞、非法辨別與更改造成的損失。企業(yè)信息系統(tǒng)被侵入所造成的單次損失為ω1，企業(yè)成功防御并檢測(cè)入侵方后獲得的單次收益為ω2。

假設(shè)二：參考Gordon等［13］模型中對(duì)入侵成功概率的第一類描述，在此基礎(chǔ)上進(jìn)行簡(jiǎn)化，令黑客入侵成功的概率PS表示為其中，v為企業(yè)初始信息安全系統(tǒng)的脆弱性，z為企業(yè)信息的基本安全投入，且v∈[0，1]，z∈[1，+ ∞)，z= 1 表示企業(yè)默認(rèn)的安全投入。v= 0 表示企業(yè)原有的信息系統(tǒng)牢不可破，v= 1 表示企業(yè)原有的信息系統(tǒng)沒有任何防御風(fēng)險(xiǎn)的能力。每當(dāng)系統(tǒng)被成功侵入后，企業(yè)需要在安全投入z的基礎(chǔ)上以κ的資金比例來彌補(bǔ)系統(tǒng)漏洞、加固系統(tǒng)防護(hù)。

1.2 安全投入模型構(gòu)建與分析

根據(jù)上述假設(shè)中對(duì)模型參數(shù)與變量的設(shè)置，該投入博弈模型中企業(yè)的收益∏1可表示為式1。

其中，NPA表示黑客的意愿攻擊次數(shù)。若企業(yè)要最大化其防御收益，此時(shí)對(duì)式（1）求關(guān)于基本安全投入z的一階導(dǎo)數(shù)（式2）。

由式（2）可以看出，企業(yè)初始信息安全系統(tǒng)的脆弱性v、黑客的意愿攻擊次數(shù)NPA、企業(yè)信息系統(tǒng)被侵入的單次損失ω1和企業(yè)成功防御并檢測(cè)入侵方的單次收益ω2的增加均能夠提高基本安全投入的邊際效益，與事實(shí)情形相符?？山忉尀椋浩髽I(yè)的初始信息安全系統(tǒng)越牢固，基本安全投入的邊際效益就越低，若當(dāng)企業(yè)初始安全系統(tǒng)就已達(dá)到牢不可破的水平(v= 0)），則無須投入任何安全資金，即可實(shí)現(xiàn)防御侵入的目標(biāo)；黑客對(duì)企業(yè)系統(tǒng)的入侵意愿越低，企業(yè)信息系統(tǒng)的潛在風(fēng)險(xiǎn)就較小，此時(shí)基本安全投入的邊際效益也會(huì)降低，因?yàn)閱挝毁Y金效用能夠抵御的風(fēng)險(xiǎn)值降低；企業(yè)信息系統(tǒng)單次防御成功與防御失敗的收益差值越大，在單位資金抵御風(fēng)險(xiǎn)效用不變的情況下，基本安全投入的邊際效益自然越大。

式（3）表明，當(dāng)zz*時(shí)，基本安全投入z的邊際效益小于0。對(duì)式（2）進(jìn)一步求導(dǎo)，觀察影響投入邊際效益的因素（式4）。

由式（4）可以看出，基本安全投入z的邊際效益呈遞減趨勢(shì)，這表明隨著企業(yè)對(duì)自主防御的投入規(guī)模增大，資金運(yùn)用效率也在不斷降低。同時(shí)，企業(yè)初始信息安全系統(tǒng)的脆弱性v、黑客的意愿攻擊次數(shù)、NPA企業(yè)信息系統(tǒng)被侵入ω1的單次損失和企業(yè)成功防御并檢測(cè)入侵方的單次收益ω2的降低均能減緩基本安全投入邊際效益的遞減幅度，結(jié)合式（2）和式（3），令可繪制圖1。

如圖1 所示，曲線I與曲線II表示基本安全投入z的邊際效益，即式（2）。不同的是，曲線I的Μ 值大于曲線II，可以從圖中看出曲線I始終在曲線II上方，同時(shí)下降幅度相比曲線II也更為劇烈。曲線與坐標(biāo)系橫軸交點(diǎn)的截距即為最優(yōu)基本安全投入z*，曲線I的最優(yōu)基本安全投入大于曲線II。

2 信息安全外包的建模與分析

2.1 模型基本假設(shè)

假設(shè)一：企業(yè)為有限理性經(jīng)濟(jì)人，通過制定安全外包合同，由ΜSSP來運(yùn)營(yíng)企業(yè)的信息系統(tǒng)安全技術(shù)及服務(wù)。參考Cezar等［6］的研究，這里令企業(yè)實(shí)施外包的ΜSSP 數(shù)量為1。與上述模型相同，令企業(yè)信息系統(tǒng)被侵入所造成的單次損失為ω1，企業(yè)成功防御并檢測(cè)入侵方后獲得的單次收益為ω2。

假設(shè)二：企業(yè)與ΜSSP的安全外包合同中的固定費(fèi)用為c，制定的信息安全外包激勵(lì)機(jī)制為：當(dāng)ΜSSP 提供的信息安全體系出現(xiàn)漏洞并使得黑客成功入侵對(duì)企業(yè)造成損失時(shí)，企業(yè)按照固定費(fèi)用的比例α對(duì)ΜSSP 進(jìn)行罰款；同時(shí)，若ΜSSP 提供的信息安全技術(shù)與服務(wù)成功防御并檢測(cè)黑客的入侵，企業(yè)則按照固定費(fèi)用的比例β對(duì)ΜSSP進(jìn)行獎(jiǎng)勵(lì)。

假設(shè)三：同樣參考Gordon 模型，并考慮激勵(lì)機(jī)制對(duì)ΜSSP 防御工作努力程度的影響，令ΜSSP提供給企業(yè)的信息安全體系被黑客成功侵入的概率P'S為其中，v仍表示企業(yè)初始信息安全系統(tǒng)的脆弱性，且c(1+α+β) ≥1。

2.2 外包協(xié)議定價(jià)模型構(gòu)建與分析

根據(jù)上述假設(shè)中對(duì)模型參數(shù)與變量的設(shè)置，該定價(jià)博弈模型中企業(yè)的收益∏2可表示為（式5）。

其中，NPA仍表示黑客的意愿攻擊次數(shù)。若企業(yè)要衡量安全外包的固定費(fèi)用以最大化合同外包的防御收益，對(duì)式（5）求關(guān)于合同固定費(fèi)用c的一階偏導(dǎo)（式6）。

由式（6）可以看出，企業(yè)初始信息安全系統(tǒng)的脆弱性v、黑客的意愿攻擊次數(shù)NPA、企業(yè)信息系統(tǒng)被侵入的單次損失ω1和企業(yè)成功防御并檢測(cè)入侵方的單次收益ω2的增大與固定費(fèi)用c的邊際效益呈正相關(guān)，這與前一個(gè)模型相似；而罰款比例α和獎(jiǎng)勵(lì)比例β的增大與固定費(fèi)用c的邊際效益呈負(fù)相關(guān)，與事實(shí)情形相符，原因在于：若企業(yè)與ΜSSP達(dá)成雙方認(rèn)可的合同固定費(fèi)用，并在此基礎(chǔ)上設(shè)定一個(gè)較高的罰款比例與獎(jiǎng)勵(lì)比例時(shí)，ΜS‐SP 將會(huì)因過高的防御成敗收益差而努力運(yùn)營(yíng)企業(yè)的信息安全，合同固定費(fèi)用的重要性降低，激勵(lì)機(jī)制下的可變費(fèi)用成為作用ΜSSP努力程度的主導(dǎo)因素，因此固定費(fèi)用的邊際效益也隨之下降（式7）。

式（7）表明，當(dāng)cc*時(shí)，固定費(fèi)用c的邊際效益小于0。對(duì)式（6）進(jìn)一步求導(dǎo)，觀察影響固定費(fèi)用邊際效益的因素（式8）。

由式（8）可以看出，合同固定費(fèi)用c的邊際效益呈遞減趨勢(shì)，這表明隨著企業(yè)與ΜSSP外包合同固定費(fèi)用的規(guī)模增大，資金作用效率也在不斷降低。同時(shí)，企業(yè)初始信息安全系統(tǒng)的脆弱性v、黑客的意愿攻擊次數(shù)NPA、企業(yè)信息系統(tǒng)被侵入的單次損失ω1和企業(yè)成功防御并檢測(cè)入侵方的單次收益ω2的降低均能減緩合同固定費(fèi)用的邊際效益遞減幅度，而罰款比例α與獎(jiǎng)勵(lì)比例β的增大則起加速作用。結(jié)合式（6）與式（7），令Τ= 1+α+β，可繪制圖2。

如圖2 所示，曲線III與曲線IV 表示合同固定費(fèi)用c的邊際效益，即式（6）。不同的是，曲線III的Τ值大于曲線IV?？梢詮膱D中看出，曲線III始終在曲線IV 下方，且下降幅度相比曲線IV 也更為平緩。曲線與坐標(biāo)系橫軸交點(diǎn)的截距即為最優(yōu)固定費(fèi)用c*，曲線III的最優(yōu)固定費(fèi)用小于曲線IV。

3 信息系統(tǒng)安全防御策略對(duì)比

3.1 策略選擇的邊界條件

企業(yè)是有限理性經(jīng)濟(jì)人，在進(jìn)行信息系統(tǒng)安全防御策略的選擇時(shí)，會(huì)傾向于最符合自身利益的策略，即實(shí)現(xiàn)收益的最大化。因此，企業(yè)對(duì)自主防御與信息安全外包的選擇將取決于各自情況下的收益大小，令Δ∏表示企業(yè)自主防御與信息安全外包的收益之差（式9）。

當(dāng)Δ∏> 0 時(shí)，企業(yè)選擇自主防御；當(dāng)Δ∏< 0時(shí)，企業(yè)選擇信息安全外包。其中，關(guān)于激勵(lì)機(jī)制中罰款比例α與獎(jiǎng)勵(lì)比例β的估計(jì)可參考市場(chǎng)一般情況，實(shí)際操作中則是企業(yè)與ΜSSP根據(jù)自身情況進(jìn)行雙方協(xié)商的結(jié)果。首先，企業(yè)將從初始信息系統(tǒng)的脆弱性出發(fā)，根據(jù)自身?xiàng)l件來判斷有利的防御策略。因此，先求當(dāng)式（9）等于零時(shí)，企業(yè)初始信息安全系統(tǒng)脆弱性程度的邊界值v0（式10）。

由式（10）可以看出，當(dāng)vv0時(shí)，企業(yè)傾向于選擇自主防御。這說明，若初始信息系統(tǒng)越牢固，企業(yè)將信息系統(tǒng)安全外包則越有利。原因在于：企業(yè)良好的信息系統(tǒng)安全基礎(chǔ)使得黑客成功入侵變得困難，但同時(shí)也降低了企業(yè)資金投入的邊際效益，這種抑制作用在企業(yè)自主防御時(shí)更為顯著。

再觀察式（9），發(fā)現(xiàn)企業(yè)自身能夠把控的因素還有自主防御時(shí)系統(tǒng)被侵入后的修補(bǔ)、加固比例κ。同樣，求當(dāng)式（9）等于零時(shí)，自主防御下系統(tǒng)修補(bǔ)與加固費(fèi)用比例的邊界值κ0（式11）.

由式（11）可以看出，當(dāng)κ<κ0時(shí)，企業(yè)傾向于選擇自主防御；當(dāng)κ>κ0時(shí)，企業(yè)傾向于選擇信息系統(tǒng)安全外包。這說明，若系統(tǒng)被侵入時(shí)企業(yè)的修補(bǔ)與加固成本越高，防御失敗的代價(jià)也就越大，這對(duì)于系統(tǒng)安全防御能力有著更高的要求。因此，通過與ΜSSP達(dá)成外包協(xié)議使得企業(yè)信息安全系統(tǒng)受到專業(yè)化運(yùn)營(yíng)的保護(hù)，更有助于企業(yè)追求收益最大化的目標(biāo)。

3.2 算例模擬

假設(shè)企業(yè)在自主防御與信息安全外包兩種策略間選擇時(shí)，相關(guān)參數(shù)的設(shè)置見表1。

在表1 的參數(shù)設(shè)置下，結(jié)合邊界條件的分析，繪制企業(yè)自主防御與信息安全外包的收益之差Δ∏、企業(yè)初始信息安全系統(tǒng)脆弱性程度v及自主防御下系統(tǒng)修補(bǔ)與加固費(fèi)用比例κ三者之間的關(guān)系見圖3。從圖3 可以看出，在遞增范圍內(nèi)，策略收益差與自主防御下系統(tǒng)修補(bǔ)與加固費(fèi)用比例κ呈負(fù)相關(guān)v∈[0，1]，κ∈[0，1]，與企業(yè)初始信息安全系統(tǒng)脆弱性程度v呈由正相關(guān)轉(zhuǎn)為負(fù)相關(guān)。圖3 中的灰色面為Δ∏= 0 的水平面，在該水平面之上的彩色面表示Δ∏> 0 的部分，此時(shí)自主防御的收益大于信息安全外包的收益，企業(yè)適宜選擇自主防御；相反地，在灰色水平面之上的彩色面表示Δ∏< 0 的部分，此時(shí)自主防御的收益小于信息安全外包的收益，企業(yè)適宜選擇安全外包；灰色平面與彩色面的相交線即為企業(yè)初始信息安全系統(tǒng)脆弱性程度v及自主防御下系統(tǒng)修補(bǔ)與加固費(fèi)用比例κ可變時(shí)，企業(yè)信息安全策略選擇的邊界條件。

表1 某企業(yè)信息系統(tǒng)安全防御策略的相關(guān)參數(shù)設(shè)置

4 結(jié)論與建議

4.1 結(jié)論

從企業(yè)單邊利益的視角出發(fā)，假設(shè)企業(yè)為追求收益最大化的理性經(jīng)濟(jì)人，構(gòu)建了企業(yè)信息系統(tǒng)安全防御策略的投入模型，分析并比較了企業(yè)選擇自主防御與安全外包的收益函數(shù)，解釋不同策略下收益相關(guān)因素的作用路徑，對(duì)企業(yè)提高信息安全決策投入效益具有實(shí)踐意義。研究結(jié)果表明：

（1）無論是自主防御還是信息安全外包，企業(yè)的信息安全投入均呈現(xiàn)規(guī)模效益遞減趨勢(shì)。同時(shí)，該邊際效益與企業(yè)初始信息安全系統(tǒng)的脆弱性、黑客對(duì)企業(yè)的入侵意愿、企業(yè)系統(tǒng)被侵入的損失及企業(yè)成功防御時(shí)對(duì)黑客的懲罰的增長(zhǎng)呈正相關(guān)。

（2）當(dāng)企業(yè)與ΜSSP的安全外包協(xié)議中引入激勵(lì)機(jī)制時(shí)，在合同固定費(fèi)用基礎(chǔ)上設(shè)置了防御失敗的罰款比例與防御成功的獎(jiǎng)勵(lì)比例，這兩個(gè)比例的提高均會(huì)對(duì)固定費(fèi)用的邊際效益起負(fù)向作用。主要是因?yàn)槿綦p方設(shè)置過高的獎(jiǎng)懲比例，激勵(lì)機(jī)制下的可變費(fèi)用會(huì)成為作用ΜSSP努力程度的主導(dǎo)因素，因此固定費(fèi)用的邊際效益也隨之下降。

（3）企業(yè)在面臨信息系統(tǒng)自主防御與安全外包的策略選擇時(shí)，除策略中的固定安全投入外，能夠自主把握的因素有：初始信息安全系統(tǒng)的脆弱性以及自主防御時(shí)系統(tǒng)被侵入后的修補(bǔ)與加固費(fèi)用。當(dāng)初始系統(tǒng)的脆弱性超過邊界條件時(shí)，企業(yè)選擇自主防御更有利；當(dāng)自主防御下系統(tǒng)被侵入時(shí)的修補(bǔ)與加固成本超過邊界條件時(shí)，企業(yè)選擇安全外包更有利。

4.2 建議

結(jié)合上述研究結(jié)果，對(duì)于企業(yè)如何高效地制定信息系統(tǒng)安全防御的投入策略、遏制信息安全威脅，提出以下建議：

（1）企業(yè)信息系統(tǒng)的初始安全性較好，有助于其在較低水平的支出下確定安全防御策略中的固定成本。因此，除了要考慮功能性外，企業(yè)在開發(fā)信息系統(tǒng)時(shí)還應(yīng)注重安全與可靠的保障層面。例如，設(shè)置完善的信息資產(chǎn)管控策略以進(jìn)行用戶管理與權(quán)限分配，通過對(duì)關(guān)鍵技術(shù)人員的競(jìng)業(yè)限制、系統(tǒng)內(nèi)企業(yè)數(shù)據(jù)的分級(jí)授權(quán)以及使用規(guī)范，來實(shí)現(xiàn)系統(tǒng)的科學(xué)管理。

（2）企業(yè)選擇自主防御策略時(shí)，防御失敗的風(fēng)險(xiǎn)與代價(jià)全由自己承擔(dān)。因此，在基本安全投入達(dá)到最優(yōu)值后，可從黑客的角度考慮降低入侵意愿。黑客通常先探測(cè)系統(tǒng)安全弱點(diǎn)，傾向于將具有安全漏點(diǎn)的企業(yè)系統(tǒng)作為攻擊目標(biāo)。企業(yè)可針對(duì)這一點(diǎn)，控制重要數(shù)據(jù)信息的接口規(guī)模，合理分配主系統(tǒng)的安全管理能力，以限制黑客的入侵口徑與入侵機(jī)會(huì)。

（3）企業(yè)選擇信息安全外包策略時(shí)，僅靠增加合同固定費(fèi)用以期提高外包的防御能力并非最優(yōu)策略，應(yīng)將系統(tǒng)防御失敗的風(fēng)險(xiǎn)與代價(jià)通過激勵(lì)機(jī)制與ΜSSP共同承擔(dān)。例如，在雙方都接受的范圍內(nèi)，降低合同固定費(fèi)用并磋商一個(gè)較高水平的防御獎(jiǎng)懲比例，從而提高企業(yè)投入的資金效率與ΜSSP的工作積極性。