信息安全与经济学

信息安全与经济学

信息安全与经济学—从经济学的视角认识信息安全问题曹鸿强\n报告提纲1.前言2.信息安全问题与经济学3.信息安全的一个经济学模型4.信息安全经济学的科学学5.结束语\n1.前言1.基本概念信息安全信息的机密性、完整性和可用性经济学稀缺条件下的理性选择2.研究信息安全经济学的意义所在试图解决或者说是调和信息安全需求不断增长与信息安全投入有限之间的矛盾\n1.前言3.第一届信息安全与经济学研讨会的基本情况2002年5月在美国加州大学伯克利分校举行。研讨会的主席之一是著名的学者HALR.VARIAN（哈尔范里安），他著有微观经济学的经典教材：《微观经济学：现代观点》和《微观经济分析》。\n1.前言3.第一届信息安全与经济学研讨会的基本情况研讨会主题安全经济学的历史信息安全的测度和市场信息安全的优化投资经济学理论在信息安全中的应用技术机制的激励隐私和自由其它问题下一届年会：2003年5月，马里兰大学\n2.信息安全问题与经济学1.信息安全问题的特点可以避免的信息安全事故及其危害是有限的在信息系统的系统生命周期中，信息安全事故虽然可以避免，但是难于完全或者绝对避免。对于各种信息安全事故的负面后果及影响，虽然可以避免，但是难于完全或者绝对避免。对于信息安全的需求总是具有相对性某种信息安全水平在某种特定的情况下被认为是安全的，但在另外的情况下就不一定仍旧被认为是安全。某种信息安全水平对于某个特定的组织机构认为是安全的，但对另外的组织机构就可能被认为是不安全的，甚至是危险的。\n2.信息安全问题与经济学1.信息安全问题的特点信息安全现象具有极向性的特点信息安全事故及其危害是一种“零－无穷大”的稀少事件，即：或者单个事故发生的可能性很小，而后果十分严重，例如通过计算机网络泄露国家机密；或者危害的作用强度很小，但危害涉及的范围却很广，例如计算机文档的宏病毒。描述信息安全水平的两个参量－安全性和危险性具有互补性，即安全性＝1－危险性：当安全性趋于最大值时，危险性就趋于最小值，反之亦然。人类从事信息安全活动，总是希望以最小的经济力量（人、财、物）投入取得最大的信息安全效益。\n2.信息安全问题与经济学2.信息安全的成本效益分析从系统生命周期看信息安全的成本：获取成本和运行成本从安全防护手段看信息安全的成本：技术成本和管理成本信息安全的价值效益：减少信息安全事故的经济损失信息安全的非价值效益：增加声誉、提升品牌价值\n2.信息安全问题与经济学信息系统安全防护模型\n2.信息安全问题与经济学安全防护层次安全防护技术能力安全防护管理过程组织和人员安全目标和范围管理、风险管理、生命周期管理、人员安全管理、变更控制管理、安全意识教育和培训、第三方访问安全管理运行安全安全检测、、安全监控、安全审计、病毒防护、备份和故障恢复资源保护管理、病毒防护安全管理、应急和灾难恢复计划管理信息安全自主访问控制、强制访问控制、标记、用户身份鉴别、数据传输保密性保护、数据存储保密性保护、数据完整性保护、剩余信息保护、隐蔽信道分析、可信路径、抗抵赖操作系统安全管理、网络系统安全管理、应用系统安全管理物理安全环境安全、设备安全、介质安全物理安全管理\n2.信息安全问题与经济学2.信息安全的成本效益分析信息安全的成本函数C(S)=C*exp[c/(1-S)]+C0其中C>0,c>0,C0<0信息安全的效益函数减损效益函数：L(S)=L*exp(S0/S)+L0其中S0>0,L>0,L0<0增值效益函数：I(S)=I*exp(-S1/S)其中S1>0,I>0\n2.信息安全问题与经济学2.信息安全的成本效益分析C(S)可以使用最优化技术求解信息安全的最佳效益。数学模型的意义不在于定量的精确与否，而在于描述了信息安全的规律。\n2.信息安全问题与经济学问题1（个体福利最大化）：隐私信息和匿名信息隐私信息需要保护，以保证信息安全匿名信息需要传播，以获取定制服务（CRM）两者存在一定程度的冲突，即有制约关系理性选择：一定约束下的最大效用信息安全是一种商品。\n2.信息安全问题与经济学问题2（市场均衡）：垃圾邮件邮件服务提供者向消费者收取服务费消费者要求邮件服务提供者保证服务质量服务质量包括单位时间的垃圾邮件数服务的价格由市场竞争决定信息安全的价格应当由市场机制确定。\n2.信息安全问题与经济学问题3（经济外部性）：网络安全你越安全，你的客户和合作伙伴就越安全，因为网络你越不安全，你的客户和合作伙伴就越不安全，还是因为网络消除外部性的途径：信息安全标准：由法规确定信息安全的最低程度科斯定理：在关联组织之间明晰信息安全的产权有权不安全，则由别人花钱购买自己的安全没权不安全，则花钱向别人购买自己的不安全庇古税（补贴）：政府引导的经济机制—对信息不安全收费信息不安全是一种污染。（外部不经济理论）\n2.信息安全问题与经济学问题3（经济外部性）：网络安全作为公共物品的信息安全：公用地悲剧多个企业共同拥有一个计算机网络。某个企业上网的计算机越多，该企业信息系统的价值就越大。网上的计算机的总数越多，网络就越不安全，这会导致各个企业的信息系统都减值。个体优化和整体优化不一致，结果是过度上网。原因在于：个体优化只考虑网络更加不安全对自身信息系统的减值效应，而并没有考虑网络更加不安全对其他个体信息系统的减值效应。\n2.信息安全问题与经济学问题3（经济外部性）：网络安全网络安全建设的私人自愿供给：搭便车现象多个企业共同拥有一个计算机网络，这些企业共同投资建设该网络的安全防护系统，总投资越多网络就越安全。每个企业在其他企业投入特定投资的情况下，选择自己的最优投资。每个企业的信息系统建设预算一定，安全防护投资从中列支。个体优化和整体优化不一致，结果是投资不足。随着企业之间信息系统建设预算差距的扩大，安全防护投资不足会减弱。原因在于：每个企业都希望搭便车（光脚的不怕穿鞋的，穿鞋的不怕坐轿的）。\n2.信息安全问题与经济学问题3（经济外部性）：网络安全最为环境污染的信息不安全：外部性的数学分析外部性的概念：B的行为影响了A的福利A的福利函数包含参量X参量X由B选择B选择参量X时不会考虑A的福利最优外部效应：多信息不安全污染源：边际控制成本相等，换言之即实现信息系统内部安全特性的经济平衡边际控制成本=单位信息安全的价格社会最优个体最优边际个体净效益边际外部成本\n2.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径1：信息安全标准信息安全标准：由管制部门制定并依法强制实施的特定信息系统应当达到的信息安全水平。主要的信息安全标准外国：TCSEC（桔皮书）、ITSEC、CC（通用评估准则）我国GB《计算机信息系统安全保护等级划分准则》GA/T《计算机信息系统安全等级保护通用技术要求》、《管理要求》等\n2.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径1：信息安全标准不足：标准不准，即由于缺乏足够的信息以及信息获取的成本过高，使得标准很难达到社会最优的信息安全水平。\n2.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径2：信息安全的产权交易信息安全的产权：安全的权利或者不安全的权利科斯定理：只要信息安全的产权明晰，通过信息安全相关各方的谈判，市场将自然达到社会最优。不足：信息安全的产权不明晰信息安全的效果具有滞后性交易成本高只适用于特定情况（牵扯利益主体少的网络系统）。\n2.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径3：信息安全税根据信息不安全的危害对信息系统的使用者征税，使用税收弥补个体成本和社会成本之间的差距，使得两者相等。在征税背景下，个体会调整自身的行为，从而产生达成社会最优的激励。不足：政府的信息不完备，获取信息成本过高税收的转嫁有可能导致不公平，这时穷人使用支出的较大部分用于支付增加的税收。优点：信息安全税比信息安全标准的社会成本低。\n2.信息安全问题与经济学问题4（激励机制）：安全信息共享组织在1998年，业界的信息共享和分析中心（ISAC）出现，其目标是共享安全脆弱性信息和解决方案2002年9月18日美国政府在《NationalStrategyToSecureCyberspace（Draft）》中对ISAC进一步加以强调ISAC类似贸易联盟需要加入ISAC的激励机制需要加入ISAC后如实全面提供自身信息的激励机制\n2.信息安全问题与经济学问题4（激励机制）：安全信息共享组织作为团队(Team)的ISAC团队的概念：共同创造一个产出每个成员的收益依赖于其他成员的贡献每个成员的贡献不能独立观测团队的缺陷：由于存在替代关系，产生偷懒问题/搭便车问题。解决方案：设法引入互补关系，产生正反馈，即某人对团队做出的贡献能够激励他人对团队做出更大的贡献。\n3.信息安全的一个经济学模型1.模型构成：企业、政府和黑客的三方博弈N个组织机构（以企业为原型）：决定防护程度M个威胁源（以黑客为原型）：决定威胁频度1个公共管理机构（以政府为原型）：决定处罚力度边际效用递减规律福利商品\n3.信息安全的一个经济学模型2.威胁源分析成本函数：威胁源的成本包括两类：一类是固定成本，即学习知识技能、购买相关设备的成本；另一类是可变成本，即实施一次威胁活动的边际成本。收益函数：威胁源的收益包括两类：一类是正收益，即由于威胁活动成功造成了信息安全事故而使威胁源获得的利益；另一类是负收益，即由于威胁活动没有成功造成信息安全事故而使威胁源遭受的处罚。\n3.信息安全的一个经济学模型2.威胁源分析优化行为：当处罚力度加大后，活动频度降低；当处罚力度减小后，活动频度升高当可变成本加大后，活动频度降低；当可变成本减小后，活动频度升高当防范程度加大后，活动频度降低；当防范程度减小后，活动频度升高\n3.信息安全的一个经济学模型3.组织机构分析成本函数：达到的信息安全防范程度越高，需要投入的经济成本越大；当防范程度趋近于1时，需要投入的经济成本趋近于无穷大；当防范程度趋近于0时，需要投入的经济成本趋近于0。达到的信息安全防范程度越高，进一步提高信息安全防范程度的难度越大，投入的经济成本也就越多。收益函数：组织机构在信息安全上的收益函数刻划了在一定信息安全防范程度下组织机构的经济收益。这里简单地认为经济收益等同于信息安全事故所造成的经济损失的负值。\n3.信息安全的一个经济学模型3.组织机构分析优化行为：当信息安全事故的损失小到忽略不计时，组织机构可以不采取任何信息安全防护措施随着信息安全事故损失的上升，防范程度应当上升，但防范程度上升的速度在减慢随着信息安全措施成本的下降，防范程度应当上升，但防范程度上升的速度在减慢随着威胁源收益的上升，防范程度应当上升，但防范程度上升的速度在减慢随着威胁源威胁成本的下降，防范程度应当上升，但防范程度上升的速度在减慢\n3.信息安全的一个经济学模型4.公共管理机构分析处罚成本函数：优化目标：社会财富损失+信息安全事故的损失+组织机构的信息安全防范成本—威胁源收益+威胁源成本+公共管理机构的处罚成本\n3.信息安全的一个经济学模型4.公共管理机构分析优化行为：F随着威胁源收益的上升，处罚力度应当上升随着威胁源威胁可变成本的下降，处罚力度应当上升随着信息安全事故损失的上升，处罚力度应当上升随着信息安全措施成本的下降，处罚力度应当下降随着处罚成本比例系数的下降，处罚力度应当上升\n3.信息安全的一个经济学模型5.模型的进一步讨论问题1：在现实世界中，在政府、企业和黑客三者之间并不存在单向因果关系，而是交叉互动。问题2：信息不完备，例如威胁源只能猜测组织机构的信息安全防护力度黔之驴：庞然大物(偷看)叫（逃走）踢（吃）优化信息安全活动的响应周期（不是你不明白，只因为我变化快，刚好比你快)病毒特征库和入侵检测特征库更新安全策略的定期审查\n3.信息安全的一个经济学模型5.模型的进一步讨论问题3：考虑到内部人威胁（失职或者恶意）问题，必须刻画内部人的经济学特征成本函数小，因为固有的内部环境知识和特权等信息收益函数也小，因为不仅受到外部处罚，还要受内部处罚问题4：由于缺乏激励机制，公共管理机构优化的目标函数不是社会财富损失，而是自身的福利出现信息安全事故是管理者的责任信息安全防护投入是社会的财富责权利纠缠不清，导致损失效率和公平\n4.信息安全经济学的科学学1.信息安全经济学的引入信息安全经济学是一门交叉科学。\n4.信息安全经济学的科学学2.学科性质信息安全经济学是研究信息安全活动的经济规律，通过对信息安全活动的合理组织、控制和调整，实现信息安全活动的最佳信息安全效益的科学。其中信息安全活动是指和信息安全相关的各种社会活动，包括：信息安全法规、标准、政策、方针的制定、信息安全教育与管理的进行、信息安全工程与技术的实施，等等。\n4.信息安全经济学的科学学3.研究对象：信息安全经济学的研究对象包括但不限于信息安全事故的损失规律信息安全活动的效果规律信息安全活动的效益规律信息安全活动的管理规律信息安全经济学包括宏观信息安全经济学与微观信息安全经济学\n4.信息安全经济学的科学学4.分层结构体系信息安全经济学的工程技术信息安全经济学的技术科学信息安全经济学的基础科学信息安全经济学的哲学\n4.信息安全经济学的科学学信息安全经济学的工程技术信息安全的经济管理信息安全的成本核算信息安全的优化投资信息安全的事故损失计算信息安全的效益评估信息安全的风险管理信息安全经济学的技术科学信息安全的价值工程及非价值量的价值化技术信息安全的经济评价信息安全的经济分析信息安全的经济原理信息安全经济学的基础科学信息科学安全科学经济科学数学科学信息安全经济学的哲学信息安全经济的认识论和方法论信息安全的经济观\n4.信息安全经济学的科学学5.研究方法调查研究方法世界是物质的物质是运动的运动是有规律的规律是可以认识的认识规律的途径是实践调查研究是最基本的科学实践活动定量分析与定性分析相结合的方法分析对比的方法\n4.信息安全经济学的科学学6.学科特点系统性信息安全经济问题往往是多目标、多变量的复杂问题。在解决信息安全经济问题时，既要考虑信息安全因素，又要考虑经济因素；既要分析研究对象自身的因素，又要研究其他与之相关联的因素。这样，就构成了研究过程和范围的系统性。预见性信息安全活动的经济产出．往往具有延时性和滞后性．而信息安全活动的本质又具有超前性和预防性，所以信息安全活动应具备预见性。\n4.信息安全经济学的科学学6.学科特点优选性信息安全活动的经济决策应建立在优选的基础上。信息安全经济学应提供信息安全活动的经济优化技术和方法。交叉性信息安全经济问题同其他社会经济问题一样，既受自然规律(信息安全科学、技术和工程的客观规律)的制约，又受经济规律的支配。因此，既要研究信息安全的自然规律，又要研究信息安全的经济规律。应用性由于信息技术的广泛使用，信息安全本身已成为社会生产和经济发展必不可少的需求，信息安全经济学为满足这种需求提供了相应的技术和手段。\n5.结束语1.研究信息安全问题的多种视角从技术和管理的视角研究信息安全问题：强调效果即依靠技术和管理的手段达到特定的信息安全水平从经济学的视角研究信息安全问题：强调效率即以一定的经济投入为代价达到合理的信息安全水平从道德和伦理的视角研究信息安全问题：强调公平从社会生产信息化中受益最大的国家、企业和组织应当为提高信息安全水平付出更多的努力。在社会转型期，尤其应当强调企业的社会责任感与个人的社会责任感。\n5.结束语1.研究信息安全问题的多种视角从法规和政策的视角研究信息安全问题：强调调整社会关系在公平和效率、短期利益和长远利益、本国利益和他国利益、中央利益和地方利益、国家利益、企业利益和个人利益之间实现妥协。和为贵：妥协是可贵的和而不同：妥协不是放弃利益诉求和而不流：妥协不能丧失基本原则和而中节：妥协必须适度\n5.结束语2.结束语信息安全经济学为信息安全的研究提供了又一个视角。信息安全经济学还处于学科发展的初级阶段，很多概念、术语还有待于去定义和明确；很多规律还有待于去研究和探讨；很多理论还有待于去创立和发展；很多技术方法还有待于去探索和实验。\n5.结束语路慢慢其修远兮，吾将上下而求索。\nThankYou…Any??