信息安全工程經(jīng)濟模型研究的論文

　　一、引言

　　現今信息安全的理論研究范疇主要集中在技術(shù)和制度建設方面,如加密理論和技術(shù)、帶寬資源分配、入侵檢測與取證、網(wǎng)絡(luò )監控以及法律制度的制定和完善等,從經(jīng)濟學(xué)角度開(kāi)展的信息安全理論研究甚為少見(jiàn)。事實(shí)上,作為一種需要詳盡評估成本和收益的工程體系,一個(gè)組織信息安全系統的決策和實(shí)施并不僅僅取決于其技術(shù)的先進(jìn)性和有效性,更大程度上是決策者和實(shí)施者在收益和代價(jià)間進(jìn)行權衡的過(guò)程。經(jīng)濟學(xué)理論研究的主要內容是社會(huì )如何有效管理和分配稀缺資源現代經(jīng)濟學(xué)理論更多的是研究人們如何決定自己的行為,使得在給定約束條件下最大化自己的偏好。

　　為此,經(jīng)濟學(xué)家們建立發(fā)一整套完整而深入的工具和理論體系對各種資源配置和行為策略模式進(jìn)行研究,從而在各種復雜而變化多端的社會(huì )形態(tài)下尋求具有最優(yōu)或比較優(yōu)勢的解決方案。一般來(lái)說(shuō),組織機構在實(shí)施信息安全時(shí)主要側重于以下幾方面的考慮:

　　(1)保護信息免受非授權用問(wèn)訪(fǎng)問(wèn);

　　(2)使得授權用戶(hù)在給定權限范圍內訪(fǎng)問(wèn)信息;

　　(3)保護信息免受系統內部疏漏的損害;

　　(4)對外來(lái)入侵進(jìn)行偵測以及在必要時(shí)恢復受損信息。進(jìn)行安全研究時(shí)一般都假定沒(méi)有任何信息系統能夠完全避免外來(lái)侵害,也沒(méi)有一種措施能夠完全保護系統安全。

　　二、最優(yōu)模型

　　(一)收益最大化決策

　　假定一個(gè)組織機構的信息安全的強度可以通過(guò)安全級別加以度量,顯然若安全級別為零,即完全不設置安全措施,組織付出的安全成本為最低,同時(shí)得到的收益(即企業(yè)由于采取安全措施減少的損失量)亦為零,隨著(zhù)機構采取的安全強度增加,抵御信息侵害的能力增強,由于減少了信息侵害導致的損失,從而對應的收益增長(cháng),但同時(shí)為此支付費用也會(huì )不斷增加,亦即成本增加。[3]這一變化可以用圖1所示的曲線(xiàn)表示。圖1表示了機構選擇不同安全級別的成本收益變化,橫軸表示從0開(kāi)始增強的安全級別,縱軸表示成本或收益的貨幣數量刻度。從圖中可以看出,隨著(zhù)安全級別的增加,機構付出的成本會(huì )不斷增長(cháng),但由此減少的損失亦即收益并不會(huì )無(wú)限制地增長(cháng),而是會(huì )趨近于一個(gè)常數,因此收益曲線(xiàn)會(huì )由向上增長(cháng)而逐漸變?yōu)樗�平。假定機構采納不同信息安全級別S的總收益為變量B,總成本為C,兩條曲線(xiàn)相交的部分為凈收益G=B-C(G0),機構最優(yōu)安全級別的選擇方案是使得B-C的差達到最大的一點(diǎn),亦即圖1中的S′處,其形式化描述為:為使得G(S)=B(S)-C(S)最大,則dGdS=dBdS-dCdS=0(1)也可記為:dBdS=dCdS亦即:邊際收益=邊際成本。

　　(二)成本最小化決策

　　以上最優(yōu)模型考慮的是機構從信息安全中獲取的收益最大化。另外一種研究方式是考察機構為信息安全所付出的代價(jià)。這一方式下的最優(yōu)模型是使得實(shí)施信息安全項目的成本加上與之對應安全級別措施缺失時(shí)導致的損失數為最小。[4](P15-43)圖2顯示了這一研究形式的曲線(xiàn)表達。隨著(zhù)機構信息安全措施級別的增強,機構由于信息安全問(wèn)題導致的損失L不斷減少,直至趨近于零,相應地用于信息安全建設的開(kāi)支E也不斷增長(cháng),因此,機構的總成本C=L+E會(huì )經(jīng)歷一個(gè)由下降到上升的過(guò)程,機構采納信息安全級別的最優(yōu)方案是使得C最小化,亦即圖中曲線(xiàn)C到達最低點(diǎn)S′處。

　　三、凈現值NPV模型

　　以上的經(jīng)濟學(xué)最優(yōu)越模型的討論為計劃進(jìn)行信息安全項目的決策者提供了一種清晰的分析方法,即如何在付出與回報之間找到最佳平衡點(diǎn)。但只是一種理想狀態(tài)下的分析工具,它建立在決策者對未來(lái)所有數據、包括安全問(wèn)題發(fā)生的幾率、實(shí)施各種安全級別的成本收益等都能夠明確獲取和估算的基礎之上。但這種情況在現實(shí)生活中是很少存在的,決策者并不都能準確計算未來(lái)會(huì )發(fā)生什么情況,相應情況下的損益數據也很難準確得出,大多數情況只能是采取“摸著(zhù)石頭過(guò)河”的方法,即先投資建立一些基本的安全措施,然后在此基礎上評估進(jìn)一步投資的可行性,即通過(guò)計算項目投資實(shí)施的時(shí)間段內,在給定貼現率下機構的凈現值能否實(shí)現預期水平來(lái)判斷。凈現值模型就是這一情形下的投資決策的分析工具。該模型也經(jīng)常被用于各種工程項目的可行性分析報告中。設變量B和C分別為機構信息安全的收益和成本,K為貼現率,i為未來(lái)年份,則未來(lái)n年后的凈現值為:NPV=∑ni=1(Bi-Ci)/(1+k)i(2)公式(2)給出的凈現值計算模型可以將未來(lái)若干一段時(shí)間收益和成本的不確定性因素加以計算,從而判斷是否值得進(jìn)一步,若NPV>0,說(shuō)明方案的投資收益率不僅可以達到預期貼現率下的效益水平,而且還有盈余;若NPV<0,則說(shuō)明方案投資收益達不到預計的效益水平;若NPV=0,表明投資收益剛好能達到預計的效益水準,包括償還預期貸款、員工報酬和風(fēng)險報酬等。因此,NPV≥0,則項目方案可行;NPV<0則項目方案不可行。凈現值模型的關(guān)鍵是通過(guò)引入貼現率k這一變量對未來(lái)的不確定因素(亦即風(fēng)險因素)對的影響加以調整,它不單純是計算計算收益與成本之差,而是考慮了貨幣的時(shí)間價(jià)值,通過(guò)將未來(lái)若干年的收益狀況,用貼現的方式轉化為現值,以便全面評價(jià)項目的經(jīng)濟效益。因此,通過(guò)選定恰當的貼現率,凈現值模型可以對未來(lái)一段時(shí)間因素進(jìn)行量化計算,從而判斷項目可行性。

　　四、信息安全經(jīng)濟模型中的變量數據的獲取

　　以上經(jīng)濟學(xué)模型應用于信息安全分析時(shí)的一個(gè)主要問(wèn)題是如何獲取相關(guān)變量的量化數值,包括安全措施等級的確定、安全項目成本與收益的計算方法,這些數據目前沒(méi)有一個(gè)統一的標準當量計算方法,只能通過(guò)經(jīng)驗方式獲取。為此,決策者應當采集以下數據作為分析依據:

　　(一)各種信息安全問(wèn)題發(fā)生的頻度

　　隨著(zhù)網(wǎng)絡(luò )的普及和各種形式計算機病毒、木馬程序、間諜程序的層出不窮,企業(yè)信息系統的安全問(wèn)題發(fā)生的頻度越來(lái)越高,因此決策者應當根據企業(yè)業(yè)務(wù)特征,收集信息系統在一個(gè)時(shí)間段內發(fā)生針對不同內容的安全問(wèn)題的頻度,如病毒爆發(fā)、數據損害、硬件故障率、隱私機密泄漏等,以作為未來(lái)安全事件發(fā)生幾率的經(jīng)驗推導參考值。

　　(二)信息安全事故的損失

　　現在還沒(méi)有一個(gè)標準計算由于信息安全事故造成的損失,決策者只能以各自標準來(lái)統計在實(shí)施不同級別安全措施的相應時(shí)間段內由于信息安全信息事故造成企業(yè)的各種顯性和隱性損失數額。由于現代企事業(yè)單位的業(yè)務(wù)流程對信息系統的高度依賴(lài),安全事故損失的計量方法已成為信息安全研究的一個(gè)重要領(lǐng)域。

　　(三)實(shí)施信息安全項目的投資

　　這是比較容易獲取的數據源,針對不同種類(lèi)和不同強度的安全應對方案,可以計算出各種費用開(kāi)支的數據,包括設備、人員、貸款利息等。

　　五、結語(yǔ)

　　以及進(jìn)一步的研究方向信息現已成為一個(gè)國家、地區或組織最有價(jià)值的財富之一。而網(wǎng)絡(luò )的普及和廣泛使用既提高了信息本身的價(jià)值,同時(shí)也帶來(lái)了危險,信息系統安全的不確定性變得無(wú)時(shí)不在。技術(shù)層面的各種防護研究已得到廣泛重視,但基于經(jīng)濟學(xué)研究角度的研究,國內還鮮有相應成果發(fā)表。筆者認為,所謂經(jīng)濟學(xué)方法,實(shí)際上是在各種制約因素中計算和尋找均衡點(diǎn)的過(guò)程。經(jīng)濟學(xué)中存在兩個(gè)均衡概念,一個(gè)是市場(chǎng)供求平衡,指當邊際收益等于邊際時(shí),達到的市場(chǎng)出清狀態(tài)。另一個(gè)是經(jīng)濟個(gè)體不再改變自己行為的博弈均衡。本文僅就市場(chǎng)均衡狀態(tài)進(jìn)行了初步探討,其中相關(guān)變量的度量、影響均衡的其他新變量的引入,還需要作進(jìn)一步的研究。同時(shí),將博弈分析引入信息安全,也存在廣泛的研究空間。

【信息安全工程經(jīng)濟模型研究的論文】相關(guān)文章：

工商管理與經(jīng)濟發(fā)展研究論文09-24

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

經(jīng)濟論文06-07

【熱門(mén)】有關(guān)安全工程信息的簡(jiǎn)報10-04

財政金融支持低碳經(jīng)濟發(fā)展研究的論文08-11

經(jīng)濟法論文[經(jīng)典]05-19

經(jīng)濟法學(xué)論文10-19

經(jīng)濟學(xué)論文06-08

經(jīng)濟法論文05-16

[優(yōu)秀]經(jīng)濟法論文05-17