信息安全的經濟學分析及管理策略研究.pdf

1、隨著信息技術和互聯網的不斷發(fā)展，信息安全已經擴展到了國家的政治、經濟、社會等各個領域。網絡襲擊和信息安全問題使人們遭受越來越嚴重的損失。尤為嚴重的是，我國廣泛使用的計算機硬件產品和主流操作系統(tǒng)等IT（信息技術）產品都是從國外引進的。這些IT產品具有大量的漏洞和安全隱患。而單一的密碼和安全技術機制不能根本解決這些信息安全問題，還需要管理和技術運營策略等系統(tǒng)對策和方案。如果要制定出正確的管理對策和技術投資方案，必須對信息安全問題進行經濟分析

2、。根據信息安全問題的經濟分析結果進行管理策略的設計和選擇，是實現信息安全的重要前提。本文的主要內容如下：
　　1.分別從IT產品、在線組織及國家公共管理的角度，對信息安全問題進行經濟學理論分析。網絡環(huán)境下的信息安全問題，主要是由于IT產品（硬件、軟件和網絡等產品）和信息系統(tǒng)存有大量的漏洞引起。如果沒有漏洞，則信息系統(tǒng)就會具有應對內、外部攻擊的免疫性。本文以軟件產品的漏洞為例，分析發(fā)現信息不對稱和安全需求不足是IT產品存在大量漏洞的

3、關鍵動因，即漏洞的產生是IT產品安全性雙向逆向選擇和信息安全需求不足的結果。在信息技術一定的條件下，在線企業(yè)和人的安全行為努力程度決定信息安全結果。由于組織和人員的安全投資和努力行為的不可觀察性而形成了雙邊道德風險問題，組織內部人為的行為和安全投資管理正是組織的信息安全管理重點。目前信息安全已經成為國家安全的重要部分，是我國未來政治、軍事、經濟發(fā)展的重要保障。為提高國家對信息安全管理的效率和水平，需要從宏觀層面上證明信息安全的公共物品性

4、質。
　　2.為規(guī)避IT產品安全性的雙向逆向選擇問題，以漏洞報告為信號，根據信號顯示原理推理出漏洞市場模型，目的是實現IT產品漏洞的可測試性、可交易性和可管理性。因此，提出漏洞信息交易市場的特點假設，推導出漏洞信息交易的貝耶斯納什均衡并提出漏洞信息的拍賣定價模型和IT產品的補丁優(yōu)化管理策略模型，以清除和彌補IT產品的漏洞。
　　3.為定量研究信息安全投資對在線企業(yè)的市場競爭行為的影響和解決信息安全道德風險行為的對策，構建了一

5、個雙寡頭壟斷競爭兩階段博弈的信息安全投資收益模型，第一階段廠商決定最優(yōu)的信息安全投資及其收益，第二階段廠商決定競爭價格和市場地位。利用最優(yōu)化信息投資的決策方法分析了具有較高安全性的廠商具有較高的期望收益，證明了信息安全投資可以擴大市場需求和增加利潤，并得出在寡占市場條件下的企業(yè)最優(yōu)信息安全投資和均衡的市場價格，證明了率先進行信息安全投資的廠商可以成為市場的領導者的結論。這一結論對在線企業(yè)的信息安全投資決策的制定和克服信息安全行為的道德風

6、險具有積極的指導作用。在分析漏洞類型和信息安全措施的基礎上，為企業(yè)組織提供一個簡單適用的改進的二進制粒子群（particle swarm optimization,PSO）智能化信息安全投資決策方法。
　　4.為定量研究信息安全社會化投資措施的最優(yōu)化部署和威脅的關系問題。構建了網絡中組織的信息安全投資的決策模型。發(fā)現信息安全措施的投資與組織信息化規(guī)模正相關。在網絡中的大多數中小企業(yè)因為沒有安全投資動力而較少投資安全措施，對整個網絡

7、構成巨大的威脅。確定了當企業(yè)面對獨立性網絡攻擊時，企業(yè)可以自行最優(yōu)化決策其信息安全措施。當網絡攻擊為傳染性的，大型企業(yè)即使部署了信息安全措施，仍會因為網絡傳染而遭受巨大的損失，這時需要從網絡整體分析信息安全的社會投資及優(yōu)化問題。
　　5.研究國家的信息安全公共管理和技術產業(yè)化策略。因為信息安全具有準公共物品的性質，需要國家從戰(zhàn)略性高度發(fā)展信息安全核心技術并與產業(yè)化聯系起來，因此，構建了實物期權博弈模型以研究產業(yè)化的投資收益和投資時