论文部分内容阅读
计算机信息系统的广泛运用既让企业的工作效率和管理水平大幅提升,也让企业面临越来越复杂和严峻的信息系统安全问题。同时,网络化时代企业信息系统不再是信息孤岛,与外部环境存在着各种类型的关联,企业信息系统安全及其投资策略不仅需要考虑内部因素,还需要考虑外部环境中各种关联因素的影响。为此,本文综合考虑企业自身、黑客和企业间关联等多方面的因素,运用信息系统安全管理、博弈论等基础理论和方法,采用案例分析与建模分析相结合的方法,研究企业多种关联情景下的信息系统安全投资策略,以帮助企业提高信息系统安全投资策略的科学性与合理性。首先,论文研究了企业间安全信息共享关联下的信息系统安全投资策略。一是综合考虑黑客攻击方式和企业决策者的风险偏好,研究了信息共享下风险厌恶型企业信息安全投资策略。研究发现:(1)两个信息共享的企业,最优信息系统安全投资一定随着各自共享系数的增加而增加,与黑客的攻击方式和企业的风险偏好均无关。(2)黑客随机攻击且企业极度厌恶风险时,企业的最优信息系统安全投资随着风险厌恶水平的增加而增加,随着投资效率的增大而减少。(3)黑客攻击方式直接影响着企业最优信息系统安全投资决策。二是研究了信息共享企业信息系统并联时的安全投资策略。研究结论主要有:(1)无论什么情形下,最优信息系统安全投资总是随着黑客攻击概率、信息共享水平和系统价值单调递增。且两企业系统的稳定性相互独立,与两企业之间的信息共享无关。(2)信息共享的两个企业类型的异同影响着企业信息系统安全的投资策略。(3)信息共享的两个企业中,信息系统中并联部件的数量和企业对外联接度影响着企业最优信息安全投资。其次,研究了预算约束下关联企业信息系统安全投资策略。一是针对关联企业,研究综合考虑预算约束、黑客攻击方式及其偏好情况下的信息系统安全投资策略。研究结论主要有:(1)与黑客的攻击方式无关,信息系统连接情况下,企业的最优信息系统安全投资预算总额一定存在最小值,只是最小值的取值随黑客攻击偏好的不同有所不同。(2)黑客不同攻击方式下,企业信息系统安全投资与企业的对外联接度间表现出不同的变化关系,且不同攻击方式下安全投资和投资分配与最优信息系统安全投资预算总额之间的关系也不相同。二是针对关联企业,研究综合考虑预算约束和企业信息系统安全防御能力情况下的信息系统安全投资策略。研究发现:(1)当企业防御黑客随机攻击的水平较高而防御定向攻击的水平较低时,在网络对外联接度取值较大时,信息系统安全投资总额存在最小值,在网络对外联接度取值较小时,信息系统安全投资总额存在最大值。(2)企业在不同攻击方式上的最优安全投资与企业网络对外联接度间有不同的关联变化关系。(3)当企业防御黑客定向攻击的水平较高而防御随机攻击的水平较低时,用于防御定向攻击的投资额应随着安全投资总额的增大而增大,但用于防御定向攻击的投资分配应随着安全投资总额的增大而减小。接着,讨论了安全服务外包关联下信息系统安全投资策略。一是研究了考虑黑客攻击情形下企业信息系统安全外包管理模式的选择。研究发现:(1)在企业与安全服务外包提供商(即managed security service provider,简称MSSP)合作管理时,合作效率并不是越高越好。(2)当企业与MSSP的合作效率较高时,黑客最大期望效用随着入侵概率的增大而增大,随着企业与MSSP合作效率的增大而减小;当企业与MSSP的合作效率较低时,黑客最大期望效用随着入侵概率的增大而减小,随着合作效率的增大而增大。二是分别针对两个和多个关联企业构建博弈模型,同时考虑外包中企业间信息系统风险的关联性和投资外部性,研究它们对企业信息系统安全投资策略的影响。研究认为:(1)两个企业关联情况下,考虑投资正外部性和负外部性时都存在一个均衡点,这个均衡点与外部性影响系数、间接入侵系数和黑客对两个企业的直接入侵概率有关。(2)多个企业关联情况下,在投资为正外部性影响时存在一个均衡点,这个均衡点与外部性影响系数、间接入侵系数、已投资企业个数和未投资企业个数有关;在投资为负外部性影响时不存在均衡点,企业的投资水平总是随着安全投资企业个数的增加而增加。再有,研究了随机攻击和定向攻击下多个关联企业与多个黑客演化博弈下的信息系统安全投资策略。研究结论主要有:(1)黑客随机攻击和定向攻击情形下,企业与黑客的演化稳定状态均出现六种情况。(2)黑客随机攻击情形下,当黑客采取入侵策略且企业采取不进行安全投资策略时,企业可以在估计黑客攻击概率的基础上,通过调整网络对外联接度、潜在损失和安全投资效率关系的方法来达到降低成本的目的,以改变对企业不利的稳定状态。(3)黑客定向攻击情形下,当黑客采取入侵策略且企业采取不进行安全投资策略时,企业可以通过提高安全投资效率、减小入侵潜在损失、减小企业系统的网络对外联接度的方式来达到减小安全投资的目的,以改变对企业不利的稳定状态。(4)当最终的演化稳定状态为黑客采取入侵策略和企业群体采取不投资策略的情况下,表现为企业成本过高;当最终的演化稳定状态为企业采取安全投资策略和黑客采取不入侵策略时,表现为黑客攻击成本过高。最后,论文总结了相关研究结论及其对信息系统安全投资带来的管理启示,归纳了论文的主要创新点,提出了未来可以研究的问题。