定向攻击下企业信息安全投资策略研究——基于演化博弈模型

信息安全投资是保证信息平台和信息系统稳定运行的基础。本文通过构建企业与攻击者的演化博弈模型,对攻击者定向攻击下的企业信息安全投资策略进行研究,分六种情形分析企业投资成本、安全投资效率、攻击者攻击成本和网络对外联接度等因素对信息安全投资策略的影响。研究表明:当攻击者成本较低时,无论企业投资意愿是否强烈和采取何种投资策略,攻击者都会选择攻击策略,面对这种情形,企业需要采取积极的防御措施;在企业与攻击者都没有成本优势的情况下,当企业投资意愿强烈时,攻击者往往选择不攻击策略,面对这种情形,企业可以适当降低投资成本,采取相对保守的安全投资策略;当攻击者定向攻击目标非常明确时,会导致企业采取不投资策略,在这种情形下企业应随时做好数据备份和系统备份。

效用理论在信息安全投资优化中的应用

为了解决组织预算过程中信息安全投资最优的问题,建立了安全投资与风险控制的关系模型,对安全投资的有效性进行了研究,提出了降低事件发生概率有效性及缓解损失有效性的新概念。采用效用理论作为组织财富、风险损失和安全投资的描述模型,指数效用函数作为组织投资收益的描述模型。分析了安全投资的边界,使用求偏导数取极值的方法对投资效用函数进行了研究,并求得最小投资的解。应用实例表明,基于效用的风险度量方法是科学的,损失效应越大的安全事件需要更大的安全投资。

信息安全投资的演化博弈分析

针对现实世界中信息安全投资主体只具有有限理性的实际情况,本文尝试利用演化博弈论分析企业组织的信息安全投资问题。根据得益矩阵建立信息安全投资的演化博弈模型,利用复制动态分析了三种情况下的进化稳定策略。分析结果显示出投资成本是组织策略选择的关键,预测了信息安全投资的长期稳定趋势,为组织的信息安全投资提供了有益的指导。

企业信息安全投资的博弈分析

随着信息技术的快速发展,人们对信息和网络的依赖程度越来越大,信息安全对企业的发展起着重要的作用。由于信息共享和网络互连特点,企业的信息安全投资决策存在策略依赖性。用博弈论的方法,建立两企业和多企业的博弈模型并进行均衡分析,通过对多企业博弈的仿真模拟,可以发现企业信息安全投资策略与网络安全环境之间的关系,即企业投资的阀值与外部风险成正相关关系,与未投资的企业数量成正相关关系,而且最终企业投资信息安全的比例会趋于一个平衡。

基于Gordon-Loeb模型的信息安全投资博弈研究

为了研究信息安全投资外部性的影响,将Gordon-Loeb模型扩展到多组织博弈环境下,分别得出在正负外部性下,面对不同类型的攻击时,最优信息安全投资与脆弱性、潜在损失和投资效率的关系,并且比较了与社会最优条件下最优信息安全投资的差别。结果表明,正外部性条件下的信息安全投资变化规律与单一组织的情况相比存在一定相似之处,但负外部性下的信息安全投资改变较大,总体更加谨慎,并且攻击类型对于信息安全投资有着重要影响。

不同攻击类型下风险厌恶型企业信息安全投资策略

基于期望效用理论,通过建立两企业的投资博弈模型,并考虑随机攻击和定向攻击两种情形,对风险厌恶型企业的信息安全投资决策进行了研究,给出了信息共享情况下企业的最优信息安全投资策略,并分析了风险厌恶水平,黑客攻击概率与网络暴露程度等相关因素对最优安全投资策略的影响.研究结果表明,随机攻击情形下,当企业极度厌恶风险时,企业最优信息安全投资随着风险厌恶水平的增加而增加;当企业轻微厌恶风险时,若潜在损失较小或者黑客攻击概率较小或者网络暴露程度太高或者太低时,企业的最优信息安全投资随着风险厌恶水平的增加而减小,若潜在损失较大或者黑客攻击概率较大或者网络暴露程度中等时,最优信息安全投资随着风险厌恶水平的增加而增加.而定向攻击情形下,当企业极度厌恶风险时,企业最优信息安全投资随着风险厌恶水平的增加而减小.

强制性约束下企业信息安全投资与网络保险的最优决策分析

研究了强制性约束下企业信息安全投资和网络保险的最优决策问题,对比了可观测企业损失和不可观测企业损失两种情形下基于破产概率约束的最优安全投资和网络保险保费厘定。研究结果表明:在可观测损失和公平保费情况下,当最大化单个企业的期望效用时,存在最优安全投资额,并且政府补贴和强制性约束都可以激励企业增加安全投资;但是当最大化所有企业效用时,只有强制性约束才能增加企业安全投资使得总效用最大化,并且企业的最优安全投资与损失的可观测程度无关。在不可观测损失情况下,当最大化单个企业期望效用时,企业的安全投资增大,而最大化所有企业效用时,存在正网络外部性,即任何企业均不敢轻易的减少安全投资,即使同在一个网络中的其他企业减少了安全投资。此外,在破产概率约束下,随着保费的增加,当损失可观测时,企业的安全投资也增加,但期望效用减少了;而当损失不可观测时,企业的安全投资和期望效用均减少。本文所得结论对政府设定强制性标准,以及企业利用安全投资和网络保险进行信息安全风险控制具有较好的参考价值。

考虑相互依赖性的信息系统安全投资及协调机制

考虑信息系统安全相互依赖情形下最优化信息系统连续时间安全投资水平是一个值得研究的问题。首先讨论了非合作博弈下信息系统安全投资的最优策略选择,在此基础上讨论了安全投资效率参数、黑客学习能力、传染风险对信息系统脆弱性及信息系统安全投资率的影响。其次,在推导出两企业在合作博弈情形下最优策略选择的基础上,对比两种情形下的博弈均衡结果,得出合作博弈下的投资水平高于非合作博弈下的投资水平。原因是两个企业的相互依赖关系隐含着企业投资的负外部性,从而导致企业投资不足。最后,构建一种双边支付激励机制消除企业投资不足问题,从而使企业达到合作博弈下的最优投资水平,提高两个企业的收益。

黑客随机攻击下的企业信息系统安全投资策略

在企业信息系统安全投资策略研究中,黑客攻击方式是企业投资决策需要考虑的重要因素。本文采用演化博弈理论,通过构建企业群体与黑客群体的动态博弈模型,对黑客随机攻击情形下企业与黑客的演化稳定策略进行了求解,并分析了黑客攻击概率、企业网络对外联接度和安全投资效率等因素对演化稳定策略的影响。研究表明:在黑客随机攻击情形下,为改变对企业不利的稳定策略,企业成本过高时,可以在估计黑客攻击概率的基础上,通过调整网络对外联接度、潜在损失和安全投资效率的关系来达到降低投资成本和提高企业信息系统安全水平的目的。

信息安全中的政治经济学问题

在我国大力推进国民经济和社会发展信息化的背景下,信息安全与国民经济和社会发展的各个方面都前所未有的紧密相关,信息安全问题也因此超越了狭隘的技术层面,发展成为一个关系重大的社会问题.

网络安全保险研究现状及展望

随着网络黑客、电脑病毒、计算机犯罪严重地威胁着网络信息的安全,网络信息安全问题给用户带来损失的可能性就越大。网络安全保险作为一种新的网络安全风险管理方式得到了学术界和产业界越来越多的关注,成为网络经济时代的一个新亮点。网络安全保险是指投保人因使用互联网络而遭遇网络安全问题,由此造成的损失由保险人负责赔偿的一类保险。由于通常的网络安全防护措施不能完全消除风险,因此网络安全保险是一种转移信息系统安全剩余风险的有效工具。该文对网络安全保险的产生背景进行了介绍,总结自我安全防御投资激励、安全依赖性与风险相关性、信息不对称性和网络安全保险市场重要研究内容,并最后指出网络安全保险的未来发展趋势和挑战。

Security investment and information sharing for complementary firms with heterogeneous monetary loss

Two complementary firms＇ information sharing and security investment are investigated. When two complementary firms with heterogeneous assets are both breached, it is assumed that they suffer different losses which are associated with their information assets. Some insights about optimal strategies for the firms and the attacker are obtained by the game theory, which forms a comparison with those derived from substitutable firms, and those derived from complementary firms with homogenous loss. In addition, both the unit transform cost of investment and the extent of firms＇loss affect the optimal strategies.Assuming that firms can control information sharing, security investments and both of them, respectively, the effect of the social planner is further analyzed on the information sharing, firms＇ aggregate defence, the aggregate attack and social total cost. Finally, some policy advice is provided through numerical simulation. Results show that firms are willing to choose security investment centrally rather than individually, but an intervention in information sharing by the social planner may not necessarily be preferable.