1、信息安全與經(jīng)濟學從經(jīng)濟學的視角認識信息安全問題,曹鴻強,報告提綱,1. 前言 2. 信息安全問題與經(jīng)濟學 3. 信息安全的一個經(jīng)濟學模型 4. 信息安全經(jīng)濟學的科學學 5. 結束語,1. 前言,1. 基本概念 信息安全 信息的機密性、完整性和可用性 經(jīng)濟學 稀缺條件下的理性選擇 2. 研究信息安全經(jīng)濟學的意義所在 試圖解決或者說是調和信息安全需求不斷增長與信息安全投入有限之間的矛盾,1. 前言,3.第一屆信息安全與經(jīng)濟學研討會的基本情況 2002年5月在美國加州大學伯克利分校舉行。 研討會的主席之一是著名的學者HAL R. VARIAN（哈爾范里安），他著有微觀經(jīng)濟學的經(jīng)典教材：微觀經(jīng)濟學：現(xiàn)

2、代觀點和微觀經(jīng)濟分析。,1. 前言,3.第一屆信息安全與經(jīng)濟學研討會的基本情況 研討會主題 安全經(jīng)濟學的歷史 信息安全的測度和市場 信息安全的優(yōu)化投資 經(jīng)濟學理論在信息安全中的應用 技術機制的激勵 隱私和自由 其它問題 下一屆年會：2003年5月，馬里蘭大學,2. 信息安全問題與經(jīng)濟學,1. 信息安全問題的特點 可以避免的信息安全事故及其危害是有限的 在信息系統(tǒng)的系統(tǒng)生命周期中，信息安全事故雖然可以避免，但是難于完全或者絕對避免。 對于各種信息安全事故的負面后果及影響，雖然可以避免，但是難于完全或者絕對避免。 對于信息安全的需求總是具有相對性 某種信息安全水平在某種特定的情況下被認為是安全的，

3、但在另外的情況下就不一定仍舊被認為是安全。 某種信息安全水平對于某個特定的組織機構認為是安全的，但對另外的組織機構就可能被認為是不安全的，甚至是危險的。,2. 信息安全問題與經(jīng)濟學,1. 信息安全問題的特點 信息安全現(xiàn)象具有極向性的特點 信息安全事故及其危害是一種“零無窮大”的稀少事件，即：或者單個事故發(fā)生的可能性很小，而后果十分嚴重，例如通過計算機網(wǎng)絡泄露國家機密；或者危害的作用強度很小，但危害涉及的范圍卻很廣，例如計算機文檔的宏病毒。 描述信息安全水平的兩個參量安全性和危險性具有互補性，即安全性1危險性：當安全性趨于最大值時，危險性就趨于最小值，反之亦然。 人類從事信息安全活動，總是希望以

4、最小的經(jīng)濟力量（人、財、物）投入取得最大的信息安全效益。,2. 信息安全問題與經(jīng)濟學,2. 信息安全的成本效益分析 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運行成本 從安全防護手段看信息安全的成本：技術成本和管理成本 信息安全的價值效益：減少信息安全事故的經(jīng)濟損失 信息安全的非價值效益：增加聲譽、提升品牌價值,2. 信息安全問題與經(jīng)濟學,信息系統(tǒng)安全防護模型,2. 信息安全問題與經(jīng)濟學,2. 信息安全問題與經(jīng)濟學,2. 信息安全的成本效益分析 信息安全的成本函數(shù) C(S)=C*expc/(1-S)+C0 其中C0,c0,C00,L0,L00,I0,2. 信息安全問題與經(jīng)濟學,2. 信息安全的

5、成本效益分析,C(S),可以使用最優(yōu)化技 術求解信息安全的 最佳效益。,數(shù)學模型的意義不 在于定量的精確與 否，而在于描述了 信息安全的規(guī)律。,2. 信息安全問題與經(jīng)濟學,問題1（個體福利最大化）：隱私信息和匿名信息 隱私信息需要保護，以保證信息安全 匿名信息需要傳播，以獲取定制服務（CRM） 兩者存在一定程度的沖突，即有制約關系 理性選擇：一定約束下的最大效用 信息安全是一種商品。,2. 信息安全問題與經(jīng)濟學,問題2（市場均衡）：垃圾郵件 郵件服務提供者向消費者收取服務費 消費者要求郵件服務提供者保證服務質量 服務質量包括單位時間的垃圾郵件數(shù) 服務的價格由市場競爭決定 信息安全的價格應當由市

6、場機制確定。,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 你越安全，你的客戶和合作伙伴就越安全，因為網(wǎng)絡 你越不安全，你的客戶和合作伙伴就越不安全，還是因為網(wǎng)絡 消除外部性的途徑： 信息安全標準：由法規(guī)確定信息安全的最低程度 科斯定理：在關聯(lián)組織之間明晰信息安全的產權 有權不安全，則由別人花錢購買自己的安全 沒權不安全，則花錢向別人購買自己的不安全 庇古稅（補貼）：政府引導的經(jīng)濟機制對信息不安全收費 信息不安全是一種污染。（外部不經(jīng)濟理論）,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 作為公共物品的信息安全：公用地悲劇 多個企業(yè)共同擁有一個計算機網(wǎng)絡。 某個企業(yè)

7、上網(wǎng)的計算機越多，該企業(yè)信息系統(tǒng)的價值就越大。 網(wǎng)上的計算機的總數(shù)越多，網(wǎng)絡就越不安全，這會導致各個企業(yè)的信息系統(tǒng)都減值。 個體優(yōu)化和整體優(yōu)化不一致，結果是過度上網(wǎng)。 原因在于：個體優(yōu)化只考慮網(wǎng)絡更加不安全對自身信息系統(tǒng)的減值效應，而并沒有考慮網(wǎng)絡更加不安全對其他個體信息系統(tǒng)的減值效應。,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 網(wǎng)絡安全建設的私人自愿供給：搭便車現(xiàn)象 多個企業(yè)共同擁有一個計算機網(wǎng)絡，這些企業(yè)共同投資建設該網(wǎng)絡的安全防護系統(tǒng)，總投資越多網(wǎng)絡就越安全。 每個企業(yè)在其他企業(yè)投入特定投資的情況下，選擇自己的最優(yōu)投資。 每個企業(yè)的信息系統(tǒng)建設預算一定，安全防護投資從中

8、列支。 個體優(yōu)化和整體優(yōu)化不一致，結果是投資不足。 隨著企業(yè)之間信息系統(tǒng)建設預算差距的擴大，安全防護投資不足會減弱。 原因在于：每個企業(yè)都希望搭便車（光腳的不怕穿鞋的，穿鞋的不怕坐轎的）。,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 最為環(huán)境污染的信息不安全：外部性的數(shù)學分析 外部性的概念：B的行為影響了A的福利 A的福利函數(shù)包含參量X 參量X由B選擇 B選擇參量X時不會考慮A的福利 最優(yōu)外部效應： 多信息不安全污染源： 邊際控制成本相等，換言之即實現(xiàn) 信息系統(tǒng)內部安全特性的經(jīng)濟平衡 邊際控制成本=單位信息安全的價格,社會最優(yōu),個體最優(yōu),邊際個體凈效益,邊際外部成本,2. 信息

9、安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 消除外部性的途徑1：信息安全標準 信息安全標準：由管制部門制定并依法強制實施的特定信息系統(tǒng)應當達到的信息安全水平。 主要的信息安全標準 外國：TCSEC（桔皮書）、ITSEC、CC（通用評估準則） 我國 GB計算機信息系統(tǒng)安全保護等級劃分準則 GA/T 計算機信息系統(tǒng)安全等級保護通用技術要求、管理要求等,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 消除外部性的途徑1：信息安全標準 不足：標準不準，即由于缺乏足夠的信息以及信息獲取的成本過高，使得標準很難達到社會最優(yōu)的信息安全水平。,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）

10、：網(wǎng)絡安全 消除外部性的途徑2：信息安全的產權交易 信息安全的產權：安全的權利或者不安全的權利 科斯定理：只要信息安全的產權明晰，通過信息安全相關各方的談判，市場將自然達到社會最優(yōu)。 不足： 信息安全的產權不明晰 信息安全的效果具有滯后性 交易成本高 只適用于特定情況（牽扯利益主體少的網(wǎng)絡系統(tǒng)）。,2. 信息安全問題與經(jīng)濟學,問題3（經(jīng)濟外部性）：網(wǎng)絡安全 消除外部性的途徑3：信息安全稅 根據(jù)信息不安全的危害對信息系統(tǒng)的使用者征稅，使用稅收彌補個體成本和社會成本之間的差距，使得兩者相等。 在征稅背景下，個體會調整自身的行為，從而產生達成社會最優(yōu)的激勵。 不足： 政府的信息不完備，獲取信息成本過

11、高 稅收的轉嫁有可能導致不公平，這時窮人使用支出的較大部分用于支付增加的稅收。 優(yōu)點：信息安全稅比信息安全標準的社會成本低。,2. 信息安全問題與經(jīng)濟學,問題4（激勵機制）：安全信息共享組織 在1998年，業(yè)界的信息共享和分析中心（ISAC）出現(xiàn)，其目標是共享安全脆弱性信息和解決方案 2002年9月18日美國政府在National Strategy To Secure Cyberspace（Draft）中對ISAC進一步加以強調 ISAC類似貿易聯(lián)盟 需要加入ISAC的激勵機制 需要加入ISAC后如實全面提供自身信息的激勵機制,2. 信息安全問題與經(jīng)濟學,問題4（激勵機制）：安全信息共享組織

12、作為團隊(Team)的ISAC 團隊的概念： 共同創(chuàng)造一個產出 每個成員的收益依賴于其他成員的貢獻 每個成員的貢獻不能獨立觀測 團隊的缺陷：由于存在替代關系，產生偷懶問題/搭便車問題。 解決方案：設法引入互補關系，產生正反饋，即某人對團隊做出的貢獻能夠激勵他人對團隊做出更大的貢獻。,3. 信息安全的一個經(jīng)濟學模型,1. 模型構成：企業(yè)、政府和黑客的三方博弈 N個組織機構（以企業(yè)為原型）：決定防護程度 M個威脅源（以黑客為原型）：決定威脅頻度 1個公共管理機構（以政府為原型）：決定處罰力度 邊際效用遞減規(guī)律,福利,商品,3. 信息安全的一個經(jīng)濟學模型,2. 威脅源分析 成本函數(shù)： 威脅源的成本包

13、括兩類：一類是固定成本，即學習知識技能、購買相關設備的成本；另一類是可變成本，即實施一次威脅活動的邊際成本。 收益函數(shù)： 威脅源的收益包括兩類：一類是正收益，即由于威脅活動成功造成了信息安全事故而使威脅源獲得的利益；另一類是負收益，即由于威脅活動沒有成功造成信息安全事故而使威脅源遭受的處罰。,3. 信息安全的一個經(jīng)濟學模型,2. 威脅源分析 優(yōu)化行為： 當處罰力度加大后，活動頻度降低；當處罰力度減小后，活動頻度升高 當可變成本加大后，活動頻度降低；當可變成本減小后，活動頻度升高 當防范程度加大后，活動頻度降低；當防范程度減小后，活動頻度升高,3. 信息安全的一個經(jīng)濟學模型,3. 組織機構分析

14、成本函數(shù)： 達到的信息安全防范程度越高，需要投入的經(jīng)濟成本越大；當防范程度趨近于1時，需要投入的經(jīng)濟成本趨近于無窮大；當防范程度趨近于0時，需要投入的經(jīng)濟成本趨近于0。 達到的信息安全防范程度越高，進一步提高信息安全防范程度的難度越大，投入的經(jīng)濟成本也就越多。 收益函數(shù)： 組織機構在信息安全上的收益函數(shù)刻劃了在一定信息安全防范程度下組織機構的經(jīng)濟收益。這里簡單地認為經(jīng)濟收益等同于信息安全事故所造成的經(jīng)濟損失的負值。,3. 信息安全的一個經(jīng)濟學模型,3. 組織機構分析 優(yōu)化行為： 當信息安全事故的損失小到忽略不計時，組織機構可以不采取任何信息安全防護措施 隨著信息安全事故損失的上升，防范程度應當

15、上升，但防范程度上升的速度在減慢 隨著信息安全措施成本的下降，防范程度應當上升，但防范程度上升的速度在減慢 隨著威脅源收益的上升，防范程度應當上升，但防范程度上升的速度在減慢 隨著威脅源威脅成本的下降，防范程度應當上升，但防范程度上升的速度在減慢,3. 信息安全的一個經(jīng)濟學模型,4. 公共管理機構分析 處罰成本函數(shù)： 優(yōu)化目標：社會財富損失 +信息安全事故的損失 +組織機構的信息安全防范成本 威脅源收益 +威脅源成本 +公共管理機構的處罰成本,3. 信息安全的一個經(jīng)濟學模型,4. 公共管理機構分析 優(yōu)化行為：F 隨著威脅源收益的上升，處罰力度應當上升 隨著威脅源威脅可變成本的下降，處罰力度應當

16、上升 隨著信息安全事故損失的上升，處罰力度應當上升 隨著信息安全措施成本的下降，處罰力度應當下降 隨著處罰成本比例系數(shù)的下降，處罰力度應當上升,3. 信息安全的一個經(jīng)濟學模型,5. 模型的進一步討論 問題1：在現(xiàn)實世界中，在政府、企業(yè)和黑客三者之間并不存在單向因果關系，而是交叉互動。 問題2：信息不完備，例如威脅源只能猜測組織機構的信息安全防護力度 黔之驢：龐然大物(偷看)叫（逃走）踢（吃） 優(yōu)化信息安全活動的響應周期（不是你不明白，只因為我變化快，剛好比你快) 病毒特征庫和入侵檢測特征庫更新 安全策略的定期審查,3. 信息安全的一個經(jīng)濟學模型,5. 模型的進一步討論 問題3：考慮到內部人威脅

17、（失職或者惡意）問題，必須刻畫內部人的經(jīng)濟學特征 成本函數(shù)小，因為固有的內部環(huán)境知識和特權等信息 收益函數(shù)也小，因為不僅受到外部處罰，還要受內部處罰 問題4：由于缺乏激勵機制，公共管理機構優(yōu)化的目標函數(shù)不是社會財富損失，而是自身的福利 出現(xiàn)信息安全事故是管理者的責任 信息安全防護投入是社會的財富 責權利糾纏不清，導致?lián)p失效率和公平,4. 信息安全經(jīng)濟學的科學學,1.信息安全經(jīng)濟學的引入 信息安全經(jīng)濟學是一門交叉科學。,4. 信息安全經(jīng)濟學的科學學,2. 學科性質 信息安全經(jīng)濟學是研究信息安全活動的經(jīng)濟規(guī)律，通過對信息安全活動的合理組織、控制和調整，實現(xiàn)信息安全活動的最佳信息安全效益的科學。 其

18、中信息安全活動是指和信息安全相關的各種社會活動，包括：信息安全法規(guī)、標準、政策、方針的制定、信息安全教育與管理的進行、信息安全工程與技術的實施，等等。,4. 信息安全經(jīng)濟學的科學學,3. 研究對象： 信息安全經(jīng)濟學的研究對象包括但不限于 信息安全事故的損失規(guī)律 信息安全活動的效果規(guī)律 信息安全活動的效益規(guī)律 信息安全活動的管理規(guī)律 信息安全經(jīng)濟學包括宏觀信息安全經(jīng)濟學與微觀信息安全經(jīng)濟學,4. 信息安全經(jīng)濟學的科學學,4. 分層結構體系 信息安全經(jīng)濟學的工程技術 信息安全經(jīng)濟學的技術科學 信息安全經(jīng)濟學的基礎科學 信息安全經(jīng)濟學的哲學,4. 信息安全經(jīng)濟學的科學學,4. 信息安全經(jīng)濟學的科學學

19、,5. 研究方法 調查研究方法 世界是物質的 物質是運動的 運動是有規(guī)律的 規(guī)律是可以認識的 認識規(guī)律的途徑是實踐 調查研究是最基本的科學實踐活動 定量分析與定性分析相結合的方法 分析對比的方法,4. 信息安全經(jīng)濟學的科學學,6. 學科特點 系統(tǒng)性 信息安全經(jīng)濟問題往往是多目標、多變量的復雜問題。在解決信息安全經(jīng)濟問題時，既要考慮信息安全因素，又要考慮經(jīng)濟因素；既要分析研究對象自身的因素，又要研究其他與之相關聯(lián)的因素。這樣，就構成了研究過程和范圍的系統(tǒng)性。 預見性 信息安全活動的經(jīng)濟產出往往具有延時性和滯后性而信息安全活動的本質又具有超前性和預防性，所以信息安全活動應具備預見性。,4. 信息安全經(jīng)濟學的科學學,6. 學科特點 優(yōu)選性 信息安全活動的經(jīng)濟決策應建立在優(yōu)選的基礎上。信息安全經(jīng)濟學應提供信息安全活動的經(jīng)濟優(yōu)化技術和方法。 交叉性 信息安全經(jīng)濟問題同其他社會經(jīng)濟問題一樣，既受自然規(guī)律(信息安全科學、技術和工程的客