【正文】 信息孤島”上，絕對(duì)不與外界的信息進(jìn)行交流和溝通，而現(xiàn)在社會(huì)中幾乎不存在這樣的“信息孤島”。因此，信息安全的技術(shù)層面 (如加密技術(shù)、帶寬、沖突檢測系統(tǒng) )已經(jīng)成為研究的主題，而信息安全的經(jīng)濟(jì)學(xué)層面卻很少有研究涉及，從而導(dǎo)致企業(yè)管理人員在進(jìn)行信息安全投資決策時(shí)很少使用經(jīng)濟(jì)學(xué)方法。人們多會(huì)考慮到在信息安 全方面投資過多、花費(fèi)太大會(huì)導(dǎo)致資金和資源的浪費(fèi)，至于信息安全破壞對(duì)企業(yè)聲譽(yù)造成負(fù)面影響所帶來的間接成本則更很少涉及。這種現(xiàn)象是非常令人遺憾的，因?yàn)榻?jīng)濟(jì)學(xué)是使信息安全的技術(shù)層面在運(yùn)行良好的經(jīng)濟(jì)中發(fā)揮作用的驅(qū)動(dòng) 力。信息安全的非價(jià)值效益 :增加聲譽(yù)、提升品牌價(jià)值。對(duì)于信息安全的成 本和效益，則是安全性要求越高，成本也會(huì)越高。但不管怎么樣，信息單位對(duì)信息安全的投資都是必要的 [5]。安全標(biāo)準(zhǔn)越高，整個(gè)信息安全系統(tǒng)的安全成本也就越高，使用效率也就越低，因此企業(yè)在對(duì)信息安全活動(dòng)進(jìn)行資源分配時(shí)必須對(duì)成本和收益進(jìn)行分析比較。這不僅僅是對(duì)信息安全活動(dòng)而言，企業(yè)其 它的活動(dòng)也是這樣。決策規(guī)則如下 :如果 NPVO，接受附加的信息安全措施 。更為重要的是，上述公式中折現(xiàn)率 K 是考慮到風(fēng)險(xiǎn)并做了調(diào)整的，這個(gè)風(fēng)險(xiǎn)是與信息安全收益和成本有關(guān)的。事實(shí)上，需要對(duì)模型的建立投入更多的研究使得模型在概念上合理，在假設(shè)條件方面更現(xiàn)實(shí)。在建立 合適的信息安全投資決策模型過程中，一定要認(rèn)識(shí)到模型要根據(jù)具體條件和具體行業(yè)而有所變化。最后 ,根據(jù)網(wǎng)絡(luò)的外部特性引入政府或權(quán)力組織 ,對(duì)網(wǎng)絡(luò)中的企業(yè)進(jìn)行適當(dāng)?shù)募?lì)和懲罰 ,以最少的社會(huì)成本產(chǎn) 生最優(yōu)社會(huì)效用。 （二） 網(wǎng)絡(luò)安全投資模型 早期的信息安全風(fēng)險(xiǎn)模型在分析網(wǎng)絡(luò)安全投資外部性時(shí)，只考慮了單個(gè)企業(yè)和其他企業(yè)之間的因素，而沒有考慮所有企業(yè)共同負(fù)擔(dān)的問題。當(dāng)網(wǎng)絡(luò)中的企業(yè)數(shù)量 n≥ 2 時(shí)，由于企業(yè)間的互相連通，一個(gè)企業(yè)的病毒可能 會(huì)傳染給網(wǎng)絡(luò)的其他企業(yè)。每個(gè)企業(yè)都面臨病毒侵害的風(fēng)險(xiǎn)；當(dāng)病毒對(duì)信息系統(tǒng) i 構(gòu)成破壞時(shí)，定義損失為 L。同在一個(gè)網(wǎng)絡(luò)內(nèi)的企業(yè)共同擁有一個(gè)網(wǎng)關(guān)，無論哪個(gè)企業(yè)沒有進(jìn)行網(wǎng)絡(luò)信息安全投資，造成了網(wǎng)絡(luò)中的病毒傳播泛濫，都會(huì)對(duì)網(wǎng)關(guān)造成侵害從而縮短網(wǎng)關(guān)的使用壽命，當(dāng)網(wǎng)關(guān)超過閥值損壞時(shí)，網(wǎng)絡(luò)中的企業(yè)將要花費(fèi)成本購置新的網(wǎng)關(guān)，按照常理，這部分費(fèi)用應(yīng)由所有沒有進(jìn)行信息安全投資的企業(yè)負(fù)擔(dān)。 21 企 業(yè) 2企 業(yè) 1企 業(yè) n? ? ? ? ?投 資 （ 成 本 為 C 1 ） 無直 接 威 脅不 投 資 ， 有 直 接 威 脅不 投 資 ， 有 直 接 威 脅無 間 接 威 脅有 間 接 威 脅負(fù) 擔(dān) 網(wǎng) 關(guān) 損 失負(fù) 擔(dān) 網(wǎng) 關(guān) 損 失網(wǎng) 關(guān) （ 成 本 為 C ） 圖 51 網(wǎng)絡(luò)安全投資模型 首先考慮網(wǎng)絡(luò)中有 2 個(gè)企業(yè) A1和 A2，每個(gè)企業(yè)的目標(biāo)都是利潤最大化，面臨是否投資于網(wǎng)絡(luò)信息安全措施的決策。在這種情況下，由于 A2不投資而對(duì) A1造成的影響為 p21L1，也即為 A2對(duì) A1的負(fù)外部性。并且共同負(fù)擔(dān)網(wǎng)關(guān)的損失。 表 51 2 個(gè)企業(yè)網(wǎng)絡(luò)信息安全投資期望收益 25 A1/A2 S N S Y1c1,Y2c2 Y1c1p21L1， Y2p2L2pc N Y1 p1L1pc， Y2c2 p12L2 Y1( p1+p21 p1p21)L1pc/2, Y2(p2+p21p2 p12)L2pc/2 由表 51 可知，對(duì)于 A1，投資于網(wǎng)絡(luò)信息安全措施是一個(gè)占優(yōu)策略，當(dāng)且僅當(dāng)式 (51)和式 (52)同時(shí)成立。因?yàn)樵谠Ｐ椭校?dāng) P211/2 時(shí)，式 (54)右端為負(fù)數(shù)，從而可以推出以下結(jié)論 :即使 A1進(jìn)行信息安全投資的成本為零，所獲得的期望收益也不如不進(jìn)行網(wǎng)絡(luò)信息安全投資的期望收益。這個(gè)結(jié)論是符合實(shí)際的，因?yàn)樵跊]有代價(jià)的情況下能抵御一些 風(fēng)險(xiǎn)也是很劃算的 [10]。 （四 ） 博弈產(chǎn)生的社會(huì)問題 這些納什均衡狀態(tài)是由企業(yè)從自身利益出發(fā)所做出的博弈選擇，但是不一定都能達(dá)到社會(huì)效用的最優(yōu)。 27 根據(jù)式（ 53）和（ 54），當(dāng)網(wǎng)絡(luò)中 企業(yè)數(shù)較少時(shí)，企業(yè)選擇網(wǎng)絡(luò)信息安全投資是占優(yōu)策略。從而影響網(wǎng)絡(luò)中其他企業(yè)對(duì)博弈局中人的策略預(yù)期。 論文主要成果 有 ： 介紹了信息安全的現(xiàn)狀及發(fā)展趨勢 。 討論網(wǎng)絡(luò)信息安全投資中進(jìn)行博弈后產(chǎn)生的結(jié)果，并針對(duì)該結(jié)果造成的社會(huì)問題進(jìn)行研究。應(yīng)用更多的科學(xué)方法來研究，會(huì)使得信息安全日漸豐滿，而我們所能達(dá)到的也只是相對(duì)的安全，尋找一種可以平衡的狀態(tài)而已。博弈理論是新興的經(jīng) 29 濟(jì)學(xué)分支，處理復(fù)經(jīng)濟(jì)學(xué)決策模型具有領(lǐng)先性，會(huì)帶給企業(yè)利益最大化，在其它領(lǐng)域的決策研究中正扮演著十分重要的角色， 事實(shí)上，博弈論與其他學(xué)科的交融已經(jīng)成為一種趨勢，除了廣泛應(yīng)用于經(jīng)濟(jì)學(xué)、哲學(xué)、法學(xué)、倫理學(xué)、心里學(xué)等社會(huì)科學(xué)以外，越來越多的研究者開始嘗試將這一理論應(yīng)用于化學(xué)、物理學(xué)、信息與情報(bào)學(xué)、生命科學(xué)、醫(yī)學(xué)等自然學(xué)科領(lǐng)域。當(dāng)“拿來主義”不在囿于學(xué)者的書房，而開始實(shí)踐于具有中國特色社會(huì)主義市場經(jīng)濟(jì) 的博弈問題時(shí)，經(jīng)濟(jì)博弈論的應(yīng)用必將期待著未來的重大突破。盡我所知，除文中已經(jīng)特別注明引用的內(nèi)容和致謝的地方外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫過的研究成果。 論文密級(jí)： □公開 □保密（ ___年 __月至 __年 __月） (保密的學(xué)位論文在解密后應(yīng)遵守此協(xié)議 ) 作者簽名： _______ 導(dǎo)師簽名： _______ _______年 _____月 _____日 _______年 _____月 _____日 32 獨(dú) 創(chuàng) 聲 明 本人鄭重聲明：所呈交的畢業(yè)設(shè)計(jì) (論文 )，是本人在指導(dǎo)老師的指導(dǎo)下，獨(dú)立進(jìn)行研究工作所取得的成果 ，成果不存在知識(shí)產(chǎn)權(quán)爭議。 作者簽名 : 二〇一〇年九月二十日 畢業(yè)設(shè)計(jì)（論文）使用授權(quán)聲明 本人完全了解濱州學(xué)院關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定。本次畢業(yè)設(shè)計(jì)大概持續(xù)了半年，現(xiàn)在終于到結(jié)尾了。沒有他們的幫助，我將無法順利完成這次設(shè)計(jì)。再次對(duì)周巍老師表示衷心的感謝。 四年的大學(xué)生活就快走入尾聲 ，我們的校園生活就要?jiǎng)澤暇涮?hào)，心中是無盡的難舍與眷戀。 學(xué)友情深，情同兄妹。是他們?cè)谖耶厴I(yè)的最后關(guān)頭給了我們巨大的幫助與鼓勵(lì)，給了我很多解決問題的思路，在此表示衷心的感激。 。他無論在理論上還是在實(shí)踐中，都給與我很大的幫助，使我得到不少的提高這對(duì)于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，感謝他耐心的輔導(dǎo)。 在我的十幾年求學(xué)歷程里，離不開父母的鼓勵(lì)和支持，是他們辛勤的勞作，無私的付出，為我創(chuàng)造良好的學(xué)習(xí)條件，我才能順利完成完成學(xué)業(yè)，感激他們一直以來對(duì)我的撫養(yǎng)與培育。 回首四年，取得了些許成績，生活中有快樂也有艱辛。 另外，我還要感謝大學(xué)四年和我一起走過的同學(xué)朋友對(duì)我的關(guān)心與支持，與他們一起學(xué)習(xí)、生活，讓我在大學(xué)期間生活的很充實(shí)，給我留下了很多難忘的回憶。郭謙功老師淵博的知識(shí)、嚴(yán)謹(jǐn)?shù)淖黠L(fēng)和誨人不倦的態(tài)度給我留下了深刻的印象。經(jīng)過這次畢業(yè)設(shè)計(jì)，我的能力有了很大的提高，比如操作能力、分析問題的能力、合作精神、嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)等方方面面都有很大的進(jìn)步。 （保密論文在解密后遵守此規(guī)定） 作者簽名 : 二〇一〇年九月二十日 33 致 謝 時(shí)間飛逝，大學(xué)的學(xué)習(xí)生活很快就要過去，在這四年的學(xué)習(xí)生活中，收獲了很多，而這些成績的取得是和一直關(guān)心幫助我的人分不開的。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體均已在文中以明確方式標(biāo)明。 本人完全意識(shí)到本聲明的法律結(jié)果由本人承擔(dān)。Gaming,2020,26:779802 [3]呂俊杰，邱苑華 .王元卓網(wǎng)絡(luò)安全投資外部性及博弈策略 [J].北京航空航天大學(xué)學(xué)報(bào) ,2020,32(12):14991502 [4]Davis,[J].Computersamp。 同樣在網(wǎng)絡(luò)安全投資領(lǐng)域也必將發(fā)揮更大的作用。同時(shí)本文在政府如何影響企業(yè)進(jìn)行信息安全投資決策行為時(shí)只做了定 性研究。 如今的信息安全已經(jīng)成為一個(gè)跨學(xué)科，跨領(lǐng)域的綜合性系統(tǒng)工程。 總結(jié)了信息安全投資的現(xiàn)狀和傳統(tǒng)投資決策采用的經(jīng)濟(jì)學(xué)模型 。 28 六、 總結(jié)與展望 隨著 信息技術(shù)的飛速發(fā)展，信息安全越來越受到企業(yè)的重視，信息安全方面的投資也成為了研究的重點(diǎn)， 對(duì)于信息安全的研究，業(yè)界取得了很多成果，無論是技術(shù)、產(chǎn)品還是管理，都出現(xiàn)了很多理論和模型，所有這些，使得對(duì) 信息安全的研究越來越深入。這樣一來，避免不進(jìn)行網(wǎng)絡(luò)信息安全投資的企業(yè)形成一定的規(guī)模顯得十分的重要了，換句話說，政府或者權(quán)力組織應(yīng)采取適當(dāng)?shù)募?lì)來維持進(jìn)行網(wǎng) 絡(luò)信息安全投資的企業(yè)的規(guī)模很有必要的。即便網(wǎng)關(guān)正常工作，也會(huì)造成病毒的泛濫，對(duì)網(wǎng)絡(luò)外的介質(zhì)也構(gòu)成威脅，例如移動(dòng)存儲(chǔ)介質(zhì)等傳播病毒，從而降低社會(huì)效用。從對(duì)兩個(gè)企業(yè)的分析我們?nèi)菀淄瞥觯寒?dāng)其他企業(yè)都不進(jìn)行網(wǎng)絡(luò)信息安全投資時(shí)， Am會(huì)遇到非常嚴(yán)重的網(wǎng)絡(luò)外部性侵害，并且在面對(duì)網(wǎng)關(guān)損失問題時(shí)會(huì)有最小的負(fù)擔(dān) (因?yàn)楣餐?fù)擔(dān)網(wǎng)關(guān)損失的企業(yè)數(shù)最大 )，因此 Am只會(huì)在網(wǎng)絡(luò)信息安全投資成本足夠小的情況下占優(yōu)投資，其他大多數(shù)情況下 Am都會(huì)傾向不進(jìn)行網(wǎng)絡(luò)信息安全投資。在改進(jìn)后的模型中，不論 P21(P211)的取值如何，式 26 (54)右端總為正數(shù)。 由式 (52)可得： c1 p1L1(1p21)+pc/2 式（ 54） 將式 (54)與式 (53)比較可知，在 A2不投資時(shí)， A1可能會(huì)受到 A2的傳染，并且有 A2共同負(fù)擔(dān)網(wǎng)關(guān)損失，使得 A1投資的約束條件變緊，投資的動(dòng)機(jī)也因此降低。所以 2個(gè)企業(yè)的期望收益分別為 Y1(p1+p21 p1p21)L1pc/2和 Y2(p2+ p12p2 p12)L2pc/2(見圖 55)。 23 企 業(yè) A 2企 業(yè) A 1不 投 資 ， 直 接 威 脅 為P 2 L 2投 資 ( 成 本 為 C 1 ) 無 直 接 威 脅有 間 接 威 脅 為 P 2 1 L 1無 間 接 威 脅網(wǎng) 關(guān) （ 成 本 為 C ）Y1 c1 p2 1L1Y2 P2L2 p c負(fù) 擔(dān) 為 P C 圖 53 A1投資， A2不投資 3． 同理，當(dāng) A2投資，而 A1不投資時(shí)，可推出 A1的期望收益為 Y1p1L1pc，A2的期望收益 為 Y2c2 p12L2(見圖 54)。 22 企 業(yè) A 2企 業(yè) A 1投 資 （ 成 本 為 C 2 ） 無直 接 威 脅投 資 ( 成 本 為 C 1 ) 無 直 接 威 脅無 間 接 威 脅無 間 接 威 脅網(wǎng) 關(guān) （ 成 本 為 C ）收 益 Y 1 C 1收 益 Y 2 C 2圖 52 2 個(gè)企業(yè)同時(shí)投資 2． 當(dāng) A1投資，而 A2不投資的時(shí)候， A1除了投資的成本外 ，還可能受到 A2的病毒傳染而造成損失。設(shè) p 為網(wǎng)關(guān)遭受病毒侵害時(shí)損壞的概率， pO；網(wǎng)關(guān)的成本為 c， c0[8]。假設(shè)單個(gè)企業(yè) i 沒有投資，病毒也沒有侵入時(shí) 的收益值為 Yi，ci為投資于網(wǎng)絡(luò)信息安全措施的成本，且 Yici0。設(shè) pi為企業(yè) i 從外界直接感染病毒的概率，其中 pi1，代表企業(yè) i 有可能不采取安全措施，也不會(huì)感染病毒。 按照原模型的闡述 :網(wǎng)絡(luò)間的外部性有正負(fù)之分，當(dāng)一個(gè)個(gè)體的防御措施使其他個(gè)體受攻擊的概率和損失減少，例如，對(duì)攻擊組織的打擊降 20 低了其攻擊能力，這時(shí)外部性為正；相反，當(dāng)一個(gè)個(gè)體的防御措施使其他個(gè)體受攻擊的概率或損失增加時(shí)，外部性為負(fù) [7]。 網(wǎng)絡(luò)中的信息安全具備一個(gè)重要特性，即經(jīng)濟(jì)外部性。 19 五、 信息安全投資與博弈策略研究 本文對(duì) 信息 安全的投資外部性及博弈策略進(jìn)行了再研究 ,改進(jìn)了相互依賴的信息安全風(fēng)險(xiǎn)模型。另外，這種類型的模型需要考慮與入侵檢測成本、信息安全破壞修正成本 (也就是不論信息安全現(xiàn)在采用的是多高的標(biāo)準(zhǔn)，都假設(shè)某種信息安全破壞會(huì)出現(xiàn) )