【正文】 及信息安全保險(xiǎn)概念有關(guān)的一些因素 [9]。但是，經(jīng)濟(jì)學(xué)家通常假定計(jì)算成本和收益的公式己經(jīng) 根據(jù)風(fēng)險(xiǎn)調(diào)整過(guò)了 [6]。如果 NPV=0，接受還是拒絕都無(wú)關(guān)緊要。如果我們假定采用某種信息安全標(biāo)準(zhǔn) (例如具有基本的訪(fǎng)問(wèn)控制和入侵檢測(cè)系統(tǒng) )，那么在公式 (41) NPV=??ntB1t /(1+k)t – Ct 式（ 41） (NPV， B 是收益， C 是成本， K 是折現(xiàn)率， t 為時(shí)間周期， n 為應(yīng)考慮的時(shí)間周期數(shù)量 )中列出的凈現(xiàn)值模型就可以被用于評(píng)估附 加的信息安全投資。 理想數(shù)學(xué)模型，顧明思議只是理想的模型，它 是試圖最大化收益 或者 最小化成本，在事先采取安全措施的基礎(chǔ)上，根據(jù)不同的信息、安全標(biāo)準(zhǔn)做出優(yōu)化的信息安全規(guī)劃是可能的。實(shí)際上，絕對(duì)的安全是沒(méi)有的，信息安全系統(tǒng)也不是“越安全越好”，信息安全系統(tǒng)安全標(biāo)準(zhǔn)超過(guò)信息安全的要求不但沒(méi)有必要，而且還會(huì)造成資金上 的浪費(fèi)。當(dāng)安全性提高時(shí)，收益也相應(yīng)提高，但當(dāng)安全性到了一定程度時(shí)，收益再難提高。假設(shè)未購(gòu)買(mǎi)設(shè)備時(shí)，信息安全事件可能發(fā)生機(jī)率為 P0，改善前成本為 A。從安全防護(hù)手段看信息安全的成本 :技術(shù)成本和管理成本。同樣地，信息安全管理人員也很少在對(duì)信息安全基礎(chǔ)設(shè)施進(jìn)行投資時(shí)，使用凈現(xiàn)值或者內(nèi)部報(bào)酬率等資本預(yù)算技術(shù) [5]。這一切措施旨在保護(hù)信息系統(tǒng)的數(shù)據(jù)安全。因此，信息流越多的地方，越是存在安全問(wèn)題 [4]。 在信息系統(tǒng)的生命周期中，信息安全事故雖然可以避免，但是難于完全或者絕對(duì)避免。多一個(gè)鏈接就多一分被黑客和病毒攻擊的危險(xiǎn)。例如對(duì)于政府來(lái)說(shuō)某種信息安全水平已經(jīng)足夠了，但對(duì)于金融證券行業(yè)來(lái)說(shuō)，這種信息安全水平是危險(xiǎn)的。 因此，除了更靈活的安全策略之外，還需要在企業(yè)防線(xiàn)中引入更多的檢測(cè)機(jī)制，包括可提高應(yīng)用程序?qū)涌梢?jiàn)性的檢測(cè)機(jī)制。這反映出企業(yè)安全策略規(guī)劃上的問(wèn)題，還有很重要的一點(diǎn)，就是安全威脅在技術(shù)和形式上的變化。但由于惡意攻擊、操作失誤、意外事故等等原因使信息系統(tǒng)暴露在各種各樣的威脅之下。但前提是人所不欲勿施于我。只有當(dāng) 他們都首先替對(duì)方著想時(shí)，或者相互合謀(串供 )時(shí)，才可以得到最短時(shí)間的監(jiān)禁的結(jié)果。 沒(méi)有人會(huì)主動(dòng)改變自己的策略以便使自己獲得更大利益。顯然，根據(jù)對(duì)稱(chēng)性， B 也會(huì)選擇“坦白”，結(jié)果是兩人都被判刑 8 年。如果兩人都抵賴(lài)，則警方因證據(jù)不足不能判兩人的偷竊罪，但可以以私入民宅的罪名將兩人各判入獄 1 年。該模型講述一個(gè)警察與小偷的故事。但是對(duì)于社會(huì)而言，因?yàn)樾∝i未能參與競(jìng)爭(zhēng)，小豬搭便車(chē)時(shí)的社會(huì)資源配置并不是最佳狀態(tài)。每次的收獲剛好消費(fèi)完。 改變方案三 :減量加移位方案。小豬去踩，大豬將會(huì)把食物吃完；大豬去踩，小豬將也會(huì)把食物吃完，所以誰(shuí)也不會(huì)有踩踏板的動(dòng)力了。反正對(duì)方不會(huì)一次把食物吃完，競(jìng)爭(zhēng)意識(shí)不會(huì)很強(qiáng)。 10 改變方案 1:增量方案。反觀大豬，已明知小豬是不會(huì)去踩動(dòng)踏板的，自己親自去踩踏板總比不踩強(qiáng)吧，所以只好親力親為。當(dāng)小豬踩動(dòng)踏板時(shí)，大豬會(huì)在小豬跑到食槽之前剛好吃光 所有的食物；若是大豬踩動(dòng)了踏板，則還有機(jī)會(huì)在小豬吃完落下的食物之前跑到食槽，爭(zhēng)吃到另一半殘羹。用通俗的話(huà)說(shuō)，這個(gè)著名的最小最大定理所體現(xiàn)的基本“理性”思想是“抱最好的希望，做最壞的打算”。因此，它被稱(chēng)為“社會(huì)科學(xué)的數(shù)學(xué)”，從理論上講，博弈論是研究理性的行動(dòng)者相互作用的形式理論，而實(shí)際上正深入到經(jīng)濟(jì)學(xué)、政治學(xué)、社會(huì)學(xué)等等，被各門(mén)社會(huì)科學(xué)所應(yīng)用。 靜態(tài)博弈 :指參與者同時(shí)采取行動(dòng)，或者盡管有先后順序，但后行動(dòng)者不知道先行動(dòng)者的策略。 （三） 博弈的類(lèi)型 —— 研究人們達(dá)成合作時(shí)如何分配合作得到的收益，即收益分配問(wèn)題。 均衡又存在納什均衡，它是一穩(wěn)定的博弈結(jié)果。每個(gè)局中人在一局博弈結(jié)束時(shí)的得失，不僅與該局中人自身所選擇的策略有關(guān)，而且與全局中人所取定的一組策略有關(guān)。只有兩個(gè)局中人的博弈現(xiàn)象稱(chēng)為“兩人博弈”，而多于兩個(gè)局中人的博弈稱(chēng)為“多人博弈”。事實(shí)上，博弈論正是衍生于古老的游戲或曰博弈如象棋、撲克等。如何減少企業(yè)的信息安全損失，更好地保護(hù)和管理自身的信息資產(chǎn)正成為一個(gè)嚴(yán)峻的挑戰(zhàn)，因此，在信息完全投資的方面已經(jīng)很必要。據(jù)美國(guó)聯(lián)邦調(diào)查局的報(bào)告，計(jì)算機(jī)犯罪是商業(yè)犯罪中最大的犯罪類(lèi)型之一，每筆犯罪的平均金額為 45000美元，每年計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá) 50 億美元。其中存貯、傳輸和處理的信息有許 多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。通常包括 :信息在傳輸中丟失或泄漏。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。此類(lèi)攻擊又可以分為兩種 :一種是主動(dòng)攻擊。用戶(hù)口令選擇不慎 。 其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。 3 二、 信息安全概論 20 世紀(jì) 40 年代，伴隨著計(jì)算機(jī)的出現(xiàn)，計(jì)算機(jī)安全問(wèn)題也隨之產(chǎn)生。 、應(yīng)用及意義 。 網(wǎng)絡(luò)安全投資決策中的傳統(tǒng)經(jīng)濟(jì)學(xué)模型都是從單個(gè)組織的成本效益出發(fā)，沒(méi)有考慮到 網(wǎng)絡(luò)信息安全的經(jīng)濟(jì)外部性這個(gè)因素，因此本章結(jié)合了經(jīng)濟(jì)學(xué)新技術(shù)博弈論來(lái)分析組織間的網(wǎng)絡(luò)信息安全投資策略。 信息時(shí)代成熟的未來(lái)，社會(huì)中的網(wǎng)絡(luò)安全問(wèn)題將愈加復(fù) 雜和嚴(yán)重，隨之 也 將會(huì)帶來(lái)網(wǎng)絡(luò)安全投資決策分析的全面升級(jí)。 隨著信息時(shí)代的到來(lái)，每個(gè)組織所擁有和需要的信息越來(lái)越多。s informatization pace. Chapter 1 is Introduction. Drawn to the focus of research papers. Chapter 2 is Introduction to Information Security. Chapter 3 is Basic knowledge of game theory. Focus on an overview of the meaning and application of game theory in practice. Chapter 4 is Economic Analyse in Investment of Network examine the investment of work and information security mainly from the perspective of economics. At first, we sum up the status of investment in information security and the issue of information security features. Next,we analyze the issues about investment in traditional information security, meanwhile, the cost of the investment and ine. At the final,we analyse the economics model of investment in information security such as Ideal Mathematical model and Net Present Value model,and make a summary of these models. Chapter 5 is Investment of Information Security and Study of Game Strategy. This chapter will analyze the external information security and Game Strategy. Due to the introduction of gateway, Network game panies rely on their own risk appetite to have more variables. Social problems arising for the Nash equilibrium appears discussed. Network security, economic and external characteristics of the introduction of the Government or the anization of power, appropriate incentives and penalties on the enterprise work, with minimal social costs to produce the optimal social utility. Chapter 6 is conclusion and prospect. The paper summarizes the main achievements, further ahead, and the application prospect of game theory. Key words： Information security。由于網(wǎng)關(guān)的引入 ,使得網(wǎng)絡(luò)中的博弈 企業(yè)依賴(lài)自身的風(fēng)險(xiǎn)偏好有了更多的變數(shù) ,針對(duì)出現(xiàn)的多重納什均衡狀態(tài)所產(chǎn)生的社會(huì)問(wèn)題做了探討。 第一章為緒論， 引出論文所要研究的重點(diǎn)；第二章為信息安全概論；第三章為博弈 論的基本知識(shí) 。 涉密論文按學(xué)校規(guī)定處理。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。從而以正確、高效的決策方式來(lái)加快企業(yè)信息化的步伐 。 本文對(duì) 信息 安全的投資外部性及博弈策略進(jìn)行了再研究 ,改進(jìn)了相互依賴(lài)的信息安全風(fēng)險(xiǎn)模型。 關(guān)鍵詞： 信息安全；博弈論；投資；均衡 Reserch In Investment And Game Strategies Of Network Security Abstract： With the rapid development of information technology, each anization have need of information and more and security more and more get the attention of the enterprise, information security investment also became the focus of research, this paper researches were bined with new technology economics game theory to analysis between enterprise work information safety investment strategy. Thus to correct and efficient way to speed up the decision of the enterprise39。 equilibrium 目 錄 一、引言 ................................................... 1 二、信息安全概論 ........................................... 3 （一）信息安全簡(jiǎn)介 ......................................... 3 （三）信息發(fā)展現(xiàn)狀以及安全投資的必要性 ...................... 4 三、博弈論基本知識(shí) ......................................