返回
信息安全工程的经济分析模型new

信息安全工程的经济分析模型new

ID:34455951

大小:228.11 KB

页数:4页

时间:2019-03-06

信息安全工程的经济分析模型new_第1页
信息安全工程的经济分析模型new_第2页
信息安全工程的经济分析模型new_第3页
信息安全工程的经济分析模型new_第4页
资源描述:

《信息安全工程的经济分析模型new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、中南财经政法大学研究生学报2007年第4期信息安全工程的经济分析模型梅培(中南财经政法大学信息学院,湖北武汉430060)摘要:本文引入经济学理论对信息安全工程的分级、成本和效益分析的方法,给出了最优模型和净现值模型作为对信息安全系统的最优评仨和投资决策的分析工具,对相关变量的取样方法进行了讨论,指出经济学理论在信息安全领域的进一步研究方向。关键词:信息安全;最优模型;净现值模型一、引言现今信息安全的理论研究范畴主要集中在技术和制度建设方面,如加密理论和技术、带宽资源分配、入侵检测与取证、网络监控以及法律制度的制定和完善等,从经济学角度

2、开展的信息安全理论研究甚为少见。事实上,作为一种需要详尽评估成本和收益的工程体系,一个组织信息安全系统的决策和实施并不仅仅取决于其技术的先进性和有效性,更大程度上是决策者和实施者在收益和代价间进行权衡的过程。[1](P112-135)经济学理论研究的主要内容是社会如何有效管理和分配稀缺资源现代经济学理论更多的[2](P1-12)是研究人们如何决定自己的行为,使得在给定约束条件下最大化自己的偏好。为此,经济学家们建立发一整套完整而深入的工具和理论体系对各种资源配置和行为策略模式进行研究,从而在各种复杂而变化多端的社会形态下寻求具有最优或比较优势的解

3、决方案。一般来说,组织机构在实施信息安全时主要侧重于以下几方面的考虑:(1)保护信息免受非授权用问访问;(2)使得授权用户在给定权限范围内访问信息;(3)保护信息免受系统内部疏漏的损害;(4)对外来入侵进行侦测以及在必要时恢复受损信息。进行安全研究时一般都假定没有任何信息系统能够完全避免外来侵害,也没有一种措施能够完全保护系统安全。二、最优模型(一)收益最大化决策假定一个组织机构的信息安全的强度可以通过安全级别加以度量,显然若安全级别为零,即完全不设置安全措施,组织付出的安全成本为最低,同时得到的收益(即企业由于采取安全措施减少的损失量)亦为

4、零,随着机构采取的安全强度增加,抵御信息侵害的能力增强,由于减少了信息侵害导致的损失,从而对应[3]的收益增长,但同时为此支付费用也会不断增加,亦即成本增加。这一变化可以用图1所示的曲线表示。图1表示了机构选择不同安全级别的成本收益变化,横轴表示从0开始增强的安全级别,纵轴表示成本或收益的货币数量刻度。从图中可以看出,随着安全级别的增加,机构付出的成本会不断增长,但由此减少的损失亦即收益并不会无限制地增长,而是会趋近于一个常数,因此收益曲线会由向上增长而逐渐变作者简介:梅培(1983),女,湖北武汉人,中南财经政法大学企业管理专业2006级硕

5、士研究生。41为水平。假定机构采纳不同信息安全级别S的总收益为变量B,总成本为C,两条曲线相交的部分为净收益G=B-C(G0),机构最优安全级别的选择方案是使得B-C的差达到最大的一点,亦即图1中的S!处,其形式化描述为:为使得G(S)=B(S)-C(S)最大,则dGdBdC=-=0(1)dSdSdSdBdC也可记为:=dSdS亦即:边际收益=边际成本图1实施信息安全的净值收益变化图(二)成本最小化决策以上最优模型考虑的是机构从信息安全中获取的收益最大化。另外一种研究方式是考察机构为信息安全所付出的代价。这一方式下的最优模型是使得实施信息

6、安全项目的成本加上与之对应安全级别措施[4](P15-43)缺失时导致的损失数为最小。图2显示了这一研究形式的曲线表达。从图2可以看出,随着机构信息安全措施级别的增强,机构由于信息安全问题导致的损失L不断减少,直至趋近于零,相应地用于信息安全建设的开支E也不断增长,因此,机构的总成本C=L+E会经历一个由下降到上升的过程,机构采纳信息安全级别的最优方案是使得C最小化,亦即图中曲线C到达最低点S!处。图2实施信息安全的总成本构成变化图42三、净现值NPV模型以上的经济学最优越模型的讨论为计划进行信息安全项目的决策者提供了一种清晰的分析方法,即

7、如何在付出与回报之间找到最佳平衡点。但只是一种理想状态下的分析工具,它建立在决策者对未来所有数据、包括安全问题发生的几率、实施各种安全级别的成本收益等都能够明确获取和估算的基础之上。但这种情况在现实生活中是很少存在的,决策者并不都能准确计算未来会发生什么情况,相应情况下的损益数据也很难准确得出,大多数情况只能是采取∀摸着石头过河#的方法,即先投资建立一些基本的安全措施,然后在此基础上评估进一步投资的可行性,即通过计算项目投资实施的时间段内,在给定贴现率下机构的净现值能否实现预期水平来判断。净现值模型就是这一情形下的投资决策的分析工具。该模型也经常

8、被用于各种工程项目的可行性分析报告中。设变量B和C分别为机构信息安全的收益和成本,K为贴现率,i为未来年份,则未来n年后的净现值为:ni

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。