【正文】 在論文的撰寫過程中老師們給予我很大的幫助，幫助解決了不少的難點，使得論文能夠及時完成，這里一并表示真誠的感謝。老師們認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。最后，我要特別感謝我的導(dǎo)師趙達睿老師、和研究生助教熊偉麗老師。四年的風(fēng)風(fēng)雨雨，我們一同走過，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。感謝老師四年來對我孜孜不倦的教誨，對我成長的關(guān)心和愛護。從這里走出，對我的人生來說，將是踏上一個新的征程，要把所學(xué)的知識應(yīng)用到實際工作中去。最后，我要感謝我的父母對我的關(guān)系和理解，如果沒有他們在我的學(xué)習(xí)生涯中的無私奉獻和默默支持，我將無法順利完成今天的學(xué)業(yè)。其次，我要感謝大學(xué)四年中所有的任課老師和輔導(dǎo)員在學(xué)習(xí)期間對我的嚴(yán)格要求，感謝他們對我學(xué)習(xí)上和生活上的幫助，使我了解了許多專業(yè)知識和為人的道理，能夠在今后的生活道路上有繼續(xù)奮斗的力量。從他身上，我學(xué)到了許多能受益終生的東西。首先，我要特別感謝我的知道郭謙功老師對我的悉心指導(dǎo)，在我的論文書寫及設(shè)計過程中給了我大量的幫助和指導(dǎo)，為我理清了設(shè)計思路和操作方法，并對我所做的課題提出了有效的改進方案。這期間凝聚了很多人的心血，在此我表示由衷的感謝。本次畢業(yè)設(shè)計是對我大學(xué)四年學(xué)習(xí)下來最好的檢驗。首先非常感謝學(xué)校開設(shè)這個課題，為本人日后從事計算機方面的工作提供了經(jīng)驗，奠定了基礎(chǔ)。（保密論文在解密后遵守此規(guī)定）畢業(yè)設(shè)計（論文）使用授權(quán)聲明本人完全了解濱州學(xué)院關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定。 對本文的研究做出重要貢獻的個人和集體均已在文中以明確方式標(biāo)明。論文密級：□公開 □保密（___年__月至__年__月）(保密的學(xué)位論文在解密后應(yīng)遵守此協(xié)議)作者簽名：_______ 導(dǎo)師簽名：______________年_____月_____日 _______年_____月_____日獨 創(chuàng) 聲 明本人鄭重聲明：所呈交的畢業(yè)設(shè)計(論文)，是本人在指導(dǎo)老師的指導(dǎo)下，獨立進行研究工作所取得的成果，成果不存在知識產(chǎn)權(quán)爭議。本人完全意識到本聲明的法律結(jié)果由本人承擔(dān)。盡我所知，除文中已經(jīng)特別注明引用的內(nèi)容和致謝的地方外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的研究成果。Gaming,2003,26:779802[3]呂俊杰，[J].北京航空航天大學(xué)學(xué)報,2006,32(12):14991502[4]Davis,[J].Computersamp。當(dāng)“拿來主義”不在囿于學(xué)者的書房，而開始實踐于具有中國特色社會主義市場經(jīng)濟的博弈問題時，經(jīng)濟博弈論的應(yīng)用必將期待著未來的重大突破。同樣在網(wǎng)絡(luò)安全投資領(lǐng)域也必將發(fā)揮更大的作用。博弈理論是新興的經(jīng)濟學(xué)分支，處理復(fù)經(jīng)濟學(xué)決策模型具有領(lǐng)先性，會帶給企業(yè)利益最大化，在其它領(lǐng)域的決策研究中正扮演著十分重要的角色，事實上，博弈論與其他學(xué)科的交融已經(jīng)成為一種趨勢，除了廣泛應(yīng)用于經(jīng)濟學(xué)、哲學(xué)、法學(xué)、倫理學(xué)、心里學(xué)等社會科學(xué)以外，越來越多的研究者開始嘗試將這一理論應(yīng)用于化學(xué)、物理學(xué)、信息與情報學(xué)、生命科學(xué)、醫(yī)學(xué)等自然學(xué)科領(lǐng)域。同時本文在政府如何影響企業(yè)進行信息安全投資決策行為時只做了定性研究。應(yīng)用更多的科學(xué)方法來研究，會使得信息安全日漸豐滿，而我們所能達到的也只是相對的安全，尋找一種可以平衡的狀態(tài)而已。 如今的信息安全已經(jīng)成為一個跨學(xué)科，跨領(lǐng)域的綜合性系統(tǒng)工程。討論網(wǎng)絡(luò)信息安全投資中進行博弈后產(chǎn)生的結(jié)果，并針對該結(jié)果造成的社會問題進行研究?？偨Y(jié)了信息安全投資的現(xiàn)狀和傳統(tǒng)投資決策采用的經(jīng)濟學(xué)模型。論文主要成果有：介紹了信息安全的現(xiàn)狀及發(fā)展趨勢。六、 總結(jié)與展望隨著信息技術(shù)的飛速發(fā)展，信息安全越來越受到企業(yè)的重視，信息安全方面的投資也成為了研究的重點，對于信息安全的研究，業(yè)界取得了很多成果，無論是技術(shù)、產(chǎn)品還是管理，都出現(xiàn)了很多理論和模型，所有這些，使得對信息安全的研究越來越深入。從而影響網(wǎng)絡(luò)中其他企業(yè)對博弈局中人的策略預(yù)期。這樣一來，避免不進行網(wǎng)絡(luò)信息安全投資的企業(yè)形成一定的規(guī)模顯得十分的重要了，換句話說，政府或者權(quán)力組織應(yīng)采取適當(dāng)?shù)募顏砭S持進行網(wǎng)絡(luò)信息安全投資的企業(yè)的規(guī)模很有必要的。根據(jù)式（53）和（54），當(dāng)網(wǎng)絡(luò)中企業(yè)數(shù)較少時，企業(yè)選擇網(wǎng)絡(luò)信息安全投資是占優(yōu)策略。即便網(wǎng)關(guān)正常工作，也會造成病毒的泛濫，對網(wǎng)絡(luò)外的介質(zhì)也構(gòu)成威脅，例如移動存儲介質(zhì)等傳播病毒，從而降低社會效用。（四）博弈產(chǎn)生的社會問題這些納什均衡狀態(tài)是由企業(yè)從自身利益出發(fā)所做出的博弈選擇，但是不一定都能達到社會效用的最優(yōu)。從對兩個企業(yè)的分析我們?nèi)菀淄瞥觯寒?dāng)其他企業(yè)都不進行網(wǎng)絡(luò)信息安全投資時，Am會遇到非常嚴(yán)重的網(wǎng)絡(luò)外部性侵害，并且在面對網(wǎng)關(guān)損失問題時會有最小的負(fù)擔(dān)(因為共同負(fù)擔(dān)網(wǎng)關(guān)損失的企業(yè)數(shù)最大)，因此Am只會在網(wǎng)絡(luò)信息安全投資成本足夠小的情況下占優(yōu)投資，其他大多數(shù)情況下Am都會傾向不進行網(wǎng)絡(luò)信息安全投資。這個結(jié)論是符合實際的，因為在沒有代價的情況下能抵御一些風(fēng)險也是很劃算的[10]。在改進后的模型中，不論P21(P211)的取值如何，式(54)右端總為正數(shù)。因為在原模型中，當(dāng)P211/2時，式(54)右端為負(fù)數(shù)，從而可以推出以下結(jié)論:即使A1進行信息安全投資的成本為零，所獲得的期望收益也不如不進行網(wǎng)絡(luò)信息安全投資的期望收益。由式(52)可得： c1 p1L1(1p21)+pc/2 式（54）將式(54)與式(53)比較可知，在A2不投資時，A1可能會受到A2的傳染，并且有A2共同負(fù)擔(dān)網(wǎng)關(guān)損失，使得 A1投資的約束條件變緊，投資的動機也因此降低。表51 2個企業(yè)網(wǎng)絡(luò)信息安全投資期望收益A1/A2SNSY1c1,Y2c2Y1c1p21L1，Y2p2L2pcNY1 p1L1pc，Y2c2 p12L2Y1( p1+p21 p1p21)L1pc/2,Y2(p2+p21p2 p12)L2pc/2由表51可知，對于A1，投資于網(wǎng)絡(luò)信息安全措施是一個占優(yōu)策略，當(dāng)且僅當(dāng)式(51)和式(52)同時成立。所以2個企業(yè)的期望收益分別為Y1(p1+p21 p1p21)L1pc/2和Y2(p2+ p12p2 p12)L2pc/2(見圖55)。并且共同負(fù)擔(dān)網(wǎng)關(guān)的損失。圖53 A1投資，A2不投資3．同理，當(dāng)A2投資，而A1不投資時，可推出A1的期望收益為Y1p1L1pc，A2的期望收益為Y2c2 p12L2(見圖54)。在這種情況下，由于A2不投資而對A1造成的影響為p21L1，也即為A2對A1的負(fù)外部性。圖52 2個企業(yè)同時投資2．當(dāng)A1投資，而A2不投資的時候，A1除了投資的成本外，還可能受到A2的病毒傳染而造成損失。圖51 網(wǎng)絡(luò)安全投資模型首先考慮網(wǎng)絡(luò)中有2個企業(yè)A1和A2，每個企業(yè)的目標(biāo)都是利潤最大化，面臨是否投資于網(wǎng)絡(luò)信息安全措施的決策。設(shè)p為網(wǎng)關(guān)遭受病毒侵害時損壞的概率，pO；網(wǎng)關(guān)的成本為c，c0[8]。同在一個網(wǎng)絡(luò)內(nèi)的企業(yè)共同擁有一個網(wǎng)關(guān)，無論哪個企業(yè)沒有進行網(wǎng)絡(luò)信息安全投資，造成了網(wǎng)絡(luò)中的病毒傳播泛濫，都會對網(wǎng)關(guān)造成侵害從而縮短網(wǎng)關(guān)的使用壽命，當(dāng)網(wǎng)關(guān)超過閥值損壞時，網(wǎng)絡(luò)中的企業(yè)將要花費成本購置新的網(wǎng)關(guān)，按照常理，這部分費用應(yīng)由所有沒有進行信息安全投資的企業(yè)負(fù)擔(dān)。假設(shè)單個企業(yè)i沒有投資，病毒也沒有侵入時的收益值為Yi，ci為投資于網(wǎng)絡(luò)信息安全措施的成本，且Yici0。每個企業(yè)都面臨病毒侵害的風(fēng)險；當(dāng)病毒對信息系統(tǒng)i構(gòu)成破壞時，定義損失為L。設(shè)pi為企業(yè)i從外界直接感染病毒的概率，其中pi1，代表企業(yè)i有可能不采取安全措施，也不會感染病毒。當(dāng)網(wǎng)絡(luò)中的企業(yè)數(shù)量n≥2時，由于企業(yè)間的互相連通，一個企業(yè)的病毒可能會傳染給網(wǎng)絡(luò)的其他企業(yè)。按照原模型的闡述:網(wǎng)絡(luò)間的外部性有正負(fù)之分，當(dāng)一個個體的防御措施使其他個體受攻擊的概率和損失減少，例如，對攻擊組織的打擊降低了其攻擊能力，這時外部性為正；相反，當(dāng)一個個體的防御措施使其他個體受攻擊的概率或損失增加時，外部性為負(fù)[7]。（二）網(wǎng)絡(luò)安全投資模型 早期的信息安全風(fēng)險模型在分析網(wǎng)絡(luò)安全投資外部性時，只考慮了單個企業(yè)和其他企業(yè)之間的因素，而沒有考慮所有企業(yè)共同負(fù)擔(dān)的問題。網(wǎng)絡(luò)中的信息安全具備一個重要特性，即經(jīng)濟外部性。最后,根據(jù)網(wǎng)絡(luò)的外部特性引入政府或權(quán)力組織,對網(wǎng)絡(luò)中的企業(yè)進行適當(dāng)?shù)募詈蛻土P,以最少的社會成本產(chǎn)生最優(yōu)社會效用。五、 信息安全投資與博弈策略研究本文對信息安全的投資外部性及博弈策略進行了再研究,改進了相互依賴的信息安全風(fēng)險模型。在建立合適的信息安全投資決策模型過程中，一定要認(rèn)識到模型要根據(jù)具體條件和具體行業(yè)而有所變化。另外，這種類型的模型需要考慮與入侵檢測成本、信息安全破壞修正成本(也就是不論信息安全現(xiàn)在采用的是多高的標(biāo)準(zhǔn)，都假設(shè)某種信息安全破壞會出現(xiàn))及信息安全保險概念有關(guān)的一些因素[9]。事實上，需要對模型的建立投入更多的研究使得模型在概念上合理，在假設(shè)條件方面更現(xiàn)實。但是，經(jīng)濟學(xué)家通常假定計算成本和收益的公式己經(jīng)根據(jù)風(fēng)險調(diào)整過了[6]。更為重要的是，上述公式中折現(xiàn)率K是考慮到風(fēng)險并做了調(diào)整的，這個風(fēng)險是與信息安全收益和成本有關(guān)的。如果NPV=0，接受還是拒絕都無關(guān)緊要。決策規(guī)則如下:如果NPVO，接受附加的信息安全措施。如果我們假定采用某種信息安全標(biāo)準(zhǔn)(例如具有基本的訪問控制和入侵檢測系統(tǒng))，那么在公式(41)NPV=t /(1+k)t –Ct 式（41）(NPV，B是收益，C是成本，K是折現(xiàn)率，t為時間周期，n為應(yīng)考慮的時間周期數(shù)量)中列出的凈現(xiàn)值模型就可以被用于評估附加的信息安全投資。這不僅僅是對信息安全活動而言，企業(yè)其它的活動也是這樣。理想數(shù)學(xué)模型，顧明思議只是理想的模型，它是試圖最大化收益或者最小化成本，在事先采取安全措施的基礎(chǔ)上，根據(jù)不同的信息、安全標(biāo)準(zhǔn)做出優(yōu)化的信息安全規(guī)劃是可能的。安全標(biāo)準(zhǔn)越高，整個信息安全系統(tǒng)的安全成本也就越高，使用效率也就越低，因此企業(yè)在對信息安全活動進行資源分配時必須對成本和收益進行分析比較。實際上，絕對的安全是沒有的，信息安全系統(tǒng)也不是“越安全越好”，信息安全系統(tǒng)安全標(biāo)準(zhǔn)超過信息安全的要求不但沒有必要，而且還會造成資金上的浪費。但不管怎么樣，信息單位對信息安全的投資都是必要的[5]。當(dāng)安全性提高時，收益也相應(yīng)提高，但當(dāng)安全性到了一定程度時，收益再難提高。對于信息安全的成本和效益，則是安全性要求越高，成本也會越高。假設(shè)未購買設(shè)備時，信息安全事件可能發(fā)生機率為P0，改善前成本為A。信息安全的非