信息安全与经济学

信息安全与经济学

—从经济学的视角认识信息安全问题曹鸿强

报告提纲1.前言2.信息安全问题与经济学3.信息安全的一个经济学模型4.信息安全经济学的科学学5.结束语1.前言1.基本概念信息安全 信息的机密性、完整性和可用性经济学 稀缺条件下的理性选择2.研究信息安全经济学的意义所在试图解决或者说是调和信息安全需求不断增长与信息安全投入有限之间的矛盾1.前言3.第一届信息安全与经济学研讨会的基本情况2002年5月在美国加州大学伯克利分校举行。研讨会的主席之一是著名的学者HALR.VARIAN（哈尔范里安），他著有微观经济学的经典教材：《微观经济学：现代观点》和《微观经济分析》。1.前言3.第一届信息安全与经济学研讨会的基本情况研讨会主题安全经济学的历史信息安全的测度和市场信息安全的优化投资经济学理论在信息安全中的应用技术机制的激励隐私和自由其它问题下一届年会：2003年5月，马里兰大学2.信息安全问题与经济学1.信息安全问题的特点可以避免的信息安全事故及其危害是有限的

在信息系统的系统生命周期中，信息安全事故虽然可以避免，但是难于完全或者绝对避免。对于各种信息安全事故的负面后果及影响，虽然可以避免，但是难于完全或者绝对避免。

对于信息安全的需求总是具有相对性某种信息安全水平在某种特定的情况下被认为是安全的，但在另外的情况下就不一定仍旧被认为是安全。某种信息安全水平对于某个特定的组织机构认为是安全的，但对另外的组织机构就可能被认为是不安全的，甚至是危险的。2.信息安全问题与经济学1.信息安全问题的特点信息安全现象具有极向性的特点信息安全事故及其危害是一种“零－无穷大”的稀少事件，即：或者单个事故发生的可能性很小，而后果十分严重，例如通过计算机网络泄露国家机密；或者危害的作用强度很小，但危害涉及的范围却很广，例如计算机文档的宏病毒。描述信息安全水平的两个参量－安全性和危险性具有互补性，即安全性＝1－危险性：当安全性趋于最大值时，危险性就趋于最小值，反之亦然。人类从事信息安全活动，总是希望以最小的经济力量（人、财、物）投入取得最大的信息安全效益。2.信息安全问题与经济学2.信息安全的成本效益分析从系统生命周期看信息安全的成本：获取成本和运行成本从安全防护手段看信息安全的成本：技术成本和管理成本信息安全的价值效益：减少信息安全事故的经济损失信息安全的非价值效益：增加声誉、提升品牌价值2.信息安全问题与经济学信息系统安全防护模型2.信息安全问题与经济学安全防护层次

安全防护技术能力安全防护管理过程组织和人员安全

目标和范围管理、风险管理、生命周期管理、人员安全管理、变更控制管理、安全意识教育和培训、第三方访问安全管理运行安全 安全检测、、安全监控、安全审计、病毒防护、备份和故障恢复资源保护管理、病毒防护安全管理、应急和灾难恢复计划管理信息安全

自主访问控制、强制访问控制、标记、用户身份鉴别、数据传输保密性保护、数据存储保密性保护、数据完整性保护、剩余信息保护、隐蔽信道分析、可信路径、抗抵赖操作系统安全管理、网络系统安全管理、应用系统安全管理物理安全

环境安全、设备安全、介质安全物理安全管理

2.信息息安全问题题与经济学学2.信息息安全的成成本效益分分析信息安全的的成本函数数C(S)=C*exp[c/(1-S)]+C0其中C>0,c>0,C0<0信息安全的的效益函数数减损效益函函数：L(S)=L*exp(S0/S)+L0其中S0>0,L>0,L0<0增值效益函函数：I(S)=I*exp(-S1/S)其中S1>0,I>02.信息息安全问题题与经济学学2.信息息安全的成成本效益分分析C(S)可以使用最最优化技术求解信息息安全的最佳效益。。数学模型的的意义不在于定量的的精确与否，而在于于描述了信息安全的的规律。2.信息息安全问题题与经济学学问题1（个个体福利最最大化）：：隐私信息息和匿名信信息隐私信息需需要保护，，以保证信信息安全匿名信息需需要传播，，以获取定定制服务（（CRM）两者存在一一定程度的的冲突，即即有制约关关系理性选择：：一定约束束下的最大大效用信息安全是是一种商品品。2.信息息安全问题题与经济学学问题2（市市场均衡））：垃圾邮邮件邮件服务提提供者向消消费者收取取服务费消费者要求求邮件服务务提供者保保证服务质质量服务质量包包括单位时时间的垃圾圾邮件数服务的价格格由市场竞竞争决定信息安全的的价格应当当由市场机机制确定。。2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全你越安全，，你的客户户和合作伙伙伴就越安安全，因为为网络你越不安全全，你的客客户和合作作伙伴就越越不安全，，还是因为为网络消除外部性性的途径：：信息安全标标准：由法法规确定信信息安全的的最低程度度科斯定理：：在关联组组织之间明明晰信息安安全的产权权有权不安全全，则由别别人花钱购购买自己的的安全没权不安全全，则花钱钱向别人购购买自己的的不安全庇古税（补补贴）：政政府引导的的经济机制制—对信息息不安全收收费信息不安全全是一种污污染。（外外部不经济济理论）2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全作为公共物物品的信息息安全：公公用地悲剧剧多个企业共共同拥有一一个计算机机网络。某个企业上上网的计算算机越多，，该企业信信息系统的的价值就越越大。网上的计算算机的总数数越多，网网络就越不不安全，这这会导致各各个企业的的信息系统统都减值。。个体优化和和整体优化化不一致，，结果是过过度上网。。原因在于：：个体优化化只考虑网网络更加不不安全对自自身信息系系统的减值值效应，而而并没有考考虑网络更更加不安全全对其他个个体信息系系统的减值值效应。2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全网络安全建建设的私人人自愿供给给：搭便车车现象多个企业共共同拥有一一个计算机机网络，这这些企业共共同投资建建设该网络络的安全防防护系统，，总投资越越多网络就就越安全。。每个企业在在其他企业业投入特定定投资的情情况下，选选择自己的的最优投资资。每个企业的的信息系统统建设预算算一定，安安全防护投投资从中列列支。个体优化和和整体优化化不一致，，结果是投投资不足。。随着企业之之间信息系系统建设预预算差距的的扩大，安安全防护投投资不足会会减弱。原因在于：：每个企业业都希望搭搭便车（光光脚的不怕怕穿鞋的，，穿鞋的不不怕坐轿的的）。2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全最为环境污污染的信息息不安全：：外部性的的数学分析析外部性的概概念：B的行为影响响了A的福利A的福利函数数包含参量量X参量X由B选择B选择参量X时不会考虑虑A的福利最优外部效效应：多信息不安安全污染源源：边际控制成成本相等，，换言之即即实现信息系统内内部安全特特性的经济济平衡边际控制成成本=单位位信息安全全的价格社会最优个体最优边际个体净净效益边际外部成成本2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全消除外部性性的途径1：信息安安全标准信息安全标标准：由管管制部门制制定并依法法强制实施施的特定信信息系统应应当达到的的信息安全全水平。主要的信息息安全标准准外国：TCSEC（桔皮书）、、ITSEC、CC（（通用评估准准则）我国GB《计算机信息息系统安全全保护等级级划分准则则》GA/T《《计算机信息息系统安全全等级保护护通用技术术要求》、、《管理要要求》等2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全消除外部性性的途径1：信息安安全标准不足：标准准不准，即即由于缺乏乏足够的信信息以及信信息获取的的成本过高高，使得标标准很难达达到社会最最优的信息息安全水平平。2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全消除外部性性的途径2：信息安安全的产权权交易信息安全的的产权：安安全的权利利或者不安安全的权利利科斯定理：：只要信息息安全的产产权明晰，，通过信息息安全相关关各方的谈谈判，市场场将自然达达到社会最最优。不足：信息安全的的产权不明明晰信息安全的的效果具有有滞后性交易成本高高只适用于特特定情况（（牵扯利益益主体少的的网络系统统）。2.信息息安全问题题与经济学学问题3（经经济外部性性）：网络安全消除外部性性的途径3：信息安安全税根据信息不不安全的危危害对信息息系统的使使用者征税税，使用税税收弥补个个体成本和和社会成本本之间的差差距，使得得两者相等等。在征税背景景下，个体体会调整自自身的行为为，从而产产生达成社社会最优的的激励。不足：政府的信息息不完备，，获取信息息成本过高高税收的转嫁嫁有可能导导致不公平平，这时穷穷人使用支支出的较大大部分用于于支付增加加的税收。。优点：信息息安全税比比信息安全全标准的社社会成本低低。2.信息息安全问题题与经济学学问题4（激激励机制））：安全信信息共享组组织在1998年，业界界的信息共共享和分析析中心（ISAC））出现，其目目标是共享享安全脆弱弱性信息和和解决方案案2002年年9月18日美国政政府在《NationalStrategyToSecureCyberspace（Draft））》中对ISAC进一步加以以强调ISAC类似贸易联联盟需要加入ISAC的激励机制制需要加入ISAC后如实全面面提供自身身信息的激激励机制2.信息息安全问题题与经济学学问题4（激激励机制））：安全信信息共享组组织作为团队(Team)的ISAC团队的概念念：共同创造一一个产出每个成员的的收益依赖赖于其他成成员的贡献献每个成员的的贡献不能能独立观测测团队的缺陷陷：由于存存在替代关关系，产生生偷懒问题题/搭便车车问题。解决方案：：设法引入入互补关系系，产生正正反馈，即即某人对团团队做出的的贡献能够够激励他人人对团队做做出更大的的贡献。3.信息息安全的一一个经济学学模型1.模型构成：：企业、政政府和黑客客的三方博博弈N个组织机构构（以企业业为原型））：决定防防护程度M个威胁源（（以黑客为为原型）：：决定威胁胁频度1个公共管管理机构（（以政府为为原型）：：决定处罚罚力度边际效用递递减规律福利商品3.信息息安全的一一个经济学学模型2.威胁胁源分析成本函数：：威胁源的成成本包括两两类：一类类是固定成成本，即学学习知识技技能、购买买相关设备备的成本；；另一类是是可变成本本，即实施施一次威胁胁活动的边边际成本。。收益函数：：威胁源的收收益包括两两类：一类类是正收益益，即由于于威胁活动动成功造成成了信息安安全事故而而使威胁源源获得的利利益；另一一类是负收收益，即由由于威胁活活动没有成成功造成信信息安全事事故而使威威胁源遭受受的处罚。。3.信息息安全的一一个经济学学模型2.威胁胁源分析优化行为：：当处罚力度度加大后，，活动频度度降低；当当处罚力度度减小后，，活动频度度升高当可变成本本加大后，，活动频度度降低；当当可变成本本减小后，，活动频度度升高当防范程度度加大后，，活动频度度降低；当当防范程度度减小后，，活动频度度升高3.信息息安全的一一个经济学学模型3.组织织机构分析析成本函数：：达到的信息息安全防范范程度越高高，需要投投入的经济济成本越大大；当防范范程度趋近近于1时，，需要投入入的经济成成本趋近于于无穷大；；当防范程程度趋近于于0时，需需要投入的的经济成本本趋近于0。达到的信息息安全防范范程度越高高，进一步步提高信息息安全防范范程度的难难度越大，，投入的经经济成本也也就越多。。收益函数：：组织机构在在信息安全全上的收益益函数刻划划了在一定定信息安全全防范程度度下组织机机构的经济济收益。这这里简单地地认为经济济收益等同同于信息安安全事故所所造成的经经济损失的的负值。3.信息息安全的一一个经济学学模型3.组织织机构分析析优化行为：：当信息安全全事故的损损失小到忽忽略不计时时，组织机机构可以不不采取任何何信息安全全防护措施施随着信息安安全事故损损失的上升升，防范程程度应当上上升，但防防范程度上上升的速度度在减慢随着信息安安全措施成成本的下降降，防范程程度应当上上升，但防防范程度上上升的速度度在减慢随着威胁源源收益的上上升，防范范程度应当当上升，但但防范程度度上升的速速度在减慢慢随着威胁源源威胁成本本的下降，，防范程度度应当上升升，但防范范程度上升升的速度在在减慢3.信息息安全的一一个经济学学模型4.公共共管理机构构分析处罚成本函函数：优化目标：：社会财富富损失+信息安全全事故的损损失+组织机构构的信息安安全防范成成本—威胁源收收益+威胁源成成本+公共管理理机构的处处罚成本3.信息息安全的一一个经济学学模型4.公共共管理机构构分析优化行为：：F随着威胁源源收益的上上升，处罚罚力度应当当上升随着威胁源源威胁可变变成本的下下降，处罚罚力度应当当上升随着信息安安全事故损损失的上升升，处罚力力度应当上上升随着信息安安全措施成成本的下降降，处罚力力度应当下下降随着处罚成成本比例系系数的下降降，处罚力力度应当上上升3.信息息安全的一一个经济学学模型5.模型型的进一步步讨论问题1：在在现实世界界中，在政政府、企业业和黑客三三者之间并并不存在单单向因果关关系，而是是交叉互动动。问题2：信信息不完备备，例如威威胁源只能能猜测组织织机构的信信息安全防防护力度黔之驴：庞庞然大物(偷看)叫（逃走））踢（吃）优化信息安安全活动的的响应周期期（不是你你不明白，，只因为我我变化快，，刚好比你你快)病毒特征库库和入侵检检测特征库库更新安全策略的的定期审查查3.信息息安全的一一个经济学学模型5.模型型的进一步步讨论问题3：考考虑到内部部人威胁（（失职或者者恶意）问问题，必须须刻画内部部人的经济济学特征成本函数小小，因为固固有的内部部环境知识识和特权等等信息收益函数也也小，因为为不仅受到到外部处罚罚，还要受受内部处罚罚问题4：由由于缺乏激激励机制，，公共管理理机构优化化的目标函函数不是社社会财富损损失，而是是自身的福福利出现信息安安全事故是是管理者的的责任信息安全防防护投入是是社会的财财富责权利纠缠缠不清，导导致损失效效率和公平平4.信息息安全经济济学的科学学学1.信息安安全经济学学的引入信息安全经经济学是一一门交叉科科学。4.信息息安全经济济学的科学学学2.学科科性质信息安全经经济学是研研究信息安安全活动的的经济规律律，通过对对信息安全全活动的合合理组织、、控制和调调整，实现现信息安全全活动的最最佳信息安安全效益的的科学。其中信息安安全活动是是指和信息息安全相关关的各种社社会活动，，包括：信息安全法法规、标准准、政策、、方针的制制定、信息息安全教育育与管理的的进行、信信息安全工工程与技术术的实施，，等等。4.信息息安全经济济学的科学学学3.研究究对象：信息安全经经济学的研研究对象包包括但不限限于信息安全事事故的损失失规律信息安全活活动的效果果规律信息安全活活动的效益益规律信息安全活活动的管理理规律信息安全经经济学包括括宏观信息息安全经济济学与微观观信息安全全经济学4.信息息安全经济济学的科学学学4.分层层结构体系系信息安全经经济学的工工程技术信息安全经经济学的技技术科学信息安全经经济学的基基础科学信息安全经经济学的哲哲学4.信息息安全经济济学的科学学学信息安全经济学的工程技术

信息安全的经济管理信息安全的成本核算信息安全的优化投资信息安全的事故损失计算信息安全的效益评估信息安全的风险管理

信息安全经济学的技术科学

信息安全的价值工程及非价值量的价值化技术信息安全的经济评价信息安全的经济分析信息安全的经济原理信息安全经济学的基础科学

信息科学安全科学经济科学数学科学信息安全经济学的哲学

信息安全经济的认识论和方法论信息安全的经济观4.信息息安全经济济学的科学学学5.研究究方法调查研究方方法世界是物质质的物质是运动动的运动是有规规律的规律是可以以认识的认识规律的的途径是实实践调查研究是是最基本的的科学实践践活动定量分析与与定性分析析相结合的的方法分析对比的的方法4.信息息安全经济济学的科学学学6.学科科特点系统性信息安全经经济问题往往往是多目目标、多变变量的复杂杂问题。在在解决信息息安全经济济问题时，，既要考虑虑信息安全全因素，又又要考虑经经济因素；；既要分析析研究对象象自身的因因素，又要要研究其他他与之相关关联的因素素。这样，，就构成了了研究过程程和范围的的系统性。。预见性性信息安安全活活动的的经济济产出出．往往往具具有延延时性性和滞滞后性性．而而信息息安全全活动动的本本质又又具有有超前前性和和预防防性，，所以以信息息安全全活动动应具具备预预见性性。4.信信息息安全全经济济学的的科学学学6.学学科科特点点优选性性信息安安全活活动的的经济济决策策应建建立在在优选选的基基础上上。信信息安安全经经济学学应提提供信信息安安全活活动的的经济济优化化技术术和方方法。。交叉性性信息安安全经经济问问题同同其他他社会会经济济问题题一样样，既既受自自然规规律(信息安全全科学、、技术和和工程的的客观规规律)的制约，，又受经经济规律律的支配配。因此此，既要要研究信信息安全全的自然然规律，，又要研研究信息息安全的的经济规规律。应用性由于信息息技术的的广泛使使用，信信息安全全本身已已成为社社会生产产和经济济发展必必不可少少的需求求，信息息安全经经济学为为满足这这种需求求提供了了相应的的技术和和手段。。5.结结束语1.研研究信息息安全问问题的多多种视角角从技术和和管理的的视角研研究信息息安全问问题：强强调效果果即依靠技技术和管管理的手手段达到到特定的的信息安安全水平平从经济学学的视角角研究信信息安全全问题：：强调效效率即以一定定的经济济投入为为代价达达到合理理的信息息安全水水平从道德和和伦理的的视角研研究信息息安全问问题：强强调公平平从社会生生产信息息化中受受益最大大的国家家、企业业和组织织应当为为提高信信息安全全水平付付出更多多的努力力。在社会转转型期，，尤其应应当强调调企业的的社会责责任感与与个人的的社会责责任感。。5.结结束语1.研研究信息息安全问问题的多多种视角角从法规和和政策的的视角研研究信息息安全问问题：强强调调整整社会关关系在公平和和效率、、短期利利益和长长远利益益、本国国利益和和他国利利益、中中央利益益和地方方利益、、国家利利益、企企业利益益和个人人利益之之间实现现妥协。。和为贵：：妥协是是可贵的的和而不同同：妥协协不是放放弃利益益诉求和而不流流：妥协协不能丧丧失基本本原则和而中节节：妥协协必须适适度5.结结束语2.结结束语信息安全全经济学学为信息息安全的的研究提提供了又又一个视视角。信息安全全经济学学还处于于学科发发展的初初级阶段段，很多多概念、、术语还还有待于于去定义义和明确确；很多多规律还还有待于于去研究究和探讨讨；很多多理论还还有待于于去创立立和发展展；很多多技术方方法还有有待于去去探索和和实验。。5.结结束语路慢慢其其修远兮兮，吾将上下下而求索索。ThankYou…Any??9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。03:47:2003:47:2003:4712/29/20223:47:20AM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2203:47:2003:47Dec-2229-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。03:47:2003:47:2003:47Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2203:47:2003:47:20December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20223:47:20上午午03:47:2012月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月223:47上上午午12月月-2203:47December29,202216、行动出成成果，工作作出财富。。。2022/12/293:47:2003:47:2029December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。3:47:20上上午午3:47上上午午03:47:2012月月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Thursday,December29,202210、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。03:47:2003:47:2003:4712/29/20223:47:20AM11、成功功就是是日复复一日日那一一点点点小小小努力力的积积累。。。12月月-2203:47:2003:47Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。03:47:2003:47:2003:47Thursday,December29,202213、不知香积积寺，数里里入云峰。。。12月-2212月-2203:47:2003:47:20December29,202214、意志志坚强强的人人能把把世界界放在在手中中像泥