信息安全与经济学

1信息安全与经济学—从经济学的视角认识信息安全问题曹鸿强22002-12-15报告提纲1.前言2.信息安全问题与经济学3.信息安全的一个经济学模型4.信息安全经济学的科学学5.结束语32002-12-151.前言1.基本概念信息安全信息的机密性、完整性和可用性经济学稀缺条件下的理性选择2.研究信息安全经济学的意义所在试图解决或者说是调和信息安全需求不断增长与信息安全投入有限之间的矛盾42002-12-151.前言3.第一届信息安全与经济学研讨会的基本情况2002年5月在美国加州大学伯克利分校举行。研讨会的主席之一是著名的学者HALR.VARIAN（哈尔范里安），他著有微观经济学的经典教材：《微观经济学：现代观点》和《微观经济分析》。52002-12-151.前言3.第一届信息安全与经济学研讨会的基本情况研讨会主题安全经济学的历史信息安全的测度和市场信息安全的优化投资经济学理论在信息安全中的应用技术机制的激励隐私和自由其它问题下一届年会：2003年5月，马里兰大学62002-12-152.信息安全问题与经济学1.信息安全问题的特点可以避免的信息安全事故及其危害是有限的在信息系统的系统生命周期中，信息安全事故虽然可以避免，但是难于完全或者绝对避免。对于各种信息安全事故的负面后果及影响，虽然可以避免，但是难于完全或者绝对避免。对于信息安全的需求总是具有相对性某种信息安全水平在某种特定的情况下被认为是安全的，但在另外的情况下就不一定仍旧被认为是安全。某种信息安全水平对于某个特定的组织机构认为是安全的，但对另外的组织机构就可能被认为是不安全的，甚至是危险的。72002-12-152.信息安全问题与经济学1.信息安全问题的特点信息安全现象具有极向性的特点信息安全事故及其危害是一种“零－无穷大”的稀少事件，即：或者单个事故发生的可能性很小，而后果十分严重，例如通过计算机网络泄露国家机密；或者危害的作用强度很小，但危害涉及的范围却很广，例如计算机文档的宏病毒。描述信息安全水平的两个参量－安全性和危险性具有互补性，即安全性＝1－危险性：当安全性趋于最大值时，危险性就趋于最小值，反之亦然。人类从事信息安全活动，总是希望以最小的经济力量（人、财、物）投入取得最大的信息安全效益。82002-12-152.信息安全问题与经济学2.信息安全的成本效益分析从系统生命周期看信息安全的成本：获取成本和运行成本从安全防护手段看信息安全的成本：技术成本和管理成本信息安全的价值效益：减少信息安全事故的经济损失信息安全的非价值效益：增加声誉、提升品牌价值92002-12-152.信息安全问题与经济学信息系统安全防护模型组织和人员安全组织和人员安全运行安全运行安全信息安全信息安全物理安全物理安全安全安全技术技术安全管理安全管理用户自主级用户自主级系统审计级系统审计级安全标记级安全标记级结构化保护级结构化保护级访问验证级访问验证级102002-12-152.信息安全问题与经济学安全防护层次安全防护技术能力安全防护管理过程组织和人员安全目标和范围管理、风险管理、生命周期管理、人员安全管理、变更控制管理、安全意识教育和培训、第三方访问安全管理运行安全安全检测、、安全监控、安全审计、病毒防护、备份和故障恢复资源保护管理、病毒防护安全管理、应急和灾难恢复计划管理信息安全自主访问控制、强制访问控制、标记、用户身份鉴别、数据传输保密性保护、数据存储保密性保护、数据完整性保护、剩余信息保护、隐蔽信道分析、可信路径、抗抵赖操作系统安全管理、网络系统安全管理、应用系统安全管理物理安全环境安全、设备安全、介质安全物理安全管理112002-12-152.信息安全问题与经济学2.信息安全的成本效益分析信息安全的成本函数C(S)=C*exp[c/(1-S)]+C0其中C0,c0,C00信息安全的效益函数减损效益函数：L(S)=L*exp(S0/S)+L0其中S00,L0,L00增值效益函数：I(S)=I*exp(-S1/S)其中S10,I0122002-12-152.信息安全问题与经济学2.信息安全的成本效益分析C(S)可以使用最优化技术求解信息安全的最佳效益。数学模型的意义不在于定量的精确与否，而在于描述了信息安全的规律。132002-12-152.信息安全问题与经济学问题1（个体福利最大化）：隐私信息和匿名信息隐私信息需要保护，以保证信息安全匿名信息需要传播，以获取定制服务（CRM）两者存在一定程度的冲突，即有制约关系理性选择：一定约束下的最大效用信息安全是一种商品。142002-12-152.信息安全问题与经济学问题2（市场均衡）：垃圾邮件邮件服务提供者向消费者收取服务费消费者要求邮件服务提供者保证服务质量服务质量包括单位时间的垃圾邮件数服务的价格由市场竞争决定信息安全的价格应当由市场机制确定。152002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全你越安全，你的客户和合作伙伴就越安全，因为网络你越不安全，你的客户和合作伙伴就越不安全，还是因为网络消除外部性的途径：信息安全标准：由法规确定信息安全的最低程度科斯定理：在关联组织之间明晰信息安全的产权有权不安全，则由别人花钱购买自己的安全没权不安全，则花钱向别人购买自己的不安全庇古税（补贴）：政府引导的经济机制—对信息不安全收费信息不安全是一种污染。（外部不经济理论）162002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全作为公共物品的信息安全：公用地悲剧多个企业共同拥有一个计算机网络。某个企业上网的计算机越多，该企业信息系统的价值就越大。网上的计算机的总数越多，网络就越不安全，这会导致各个企业的信息系统都减值。个体优化和整体优化不一致，结果是过度上网。原因在于：个体优化只考虑网络更加不安全对自身信息系统的减值效应，而并没有考虑网络更加不安全对其他个体信息系统的减值效应。172002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全网络安全建设的私人自愿供给：搭便车现象多个企业共同拥有一个计算机网络，这些企业共同投资建设该网络的安全防护系统，总投资越多网络就越安全。每个企业在其他企业投入特定投资的情况下，选择自己的最优投资。每个企业的信息系统建设预算一定，安全防护投资从中列支。个体优化和整体优化不一致，结果是投资不足。随着企业之间信息系统建设预算差距的扩大，安全防护投资不足会减弱。原因在于：每个企业都希望搭便车（光脚的不怕穿鞋的，穿鞋的不怕坐轿的）。182002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全最为环境污染的信息不安全：外部性的数学分析外部性的概念：B的行为影响了A的福利A的福利函数包含参量X参量X由B选择B选择参量X时不会考虑A的福利最优外部效应：多信息不安全污染源：边际控制成本相等，换言之即实现信息系统内部安全特性的经济平衡边际控制成本=单位信息安全的价格社会最优个体最优边际个体净效益边际外部成本192002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径1：信息安全标准信息安全标准：由管制部门制定并依法强制实施的特定信息系统应当达到的信息安全水平。主要的信息安全标准外国：TCSEC（桔皮书）、ITSEC、CC（通用评估准则）我国GB《计算机信息系统安全保护等级划分准则》GA/T《计算机信息系统安全等级保护通用技术要求》、《管理要求》等202002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径1：信息安全标准不足：标准不准，即由于缺乏足够的信息以及信息获取的成本过高，使得标准很难达到社会最优的信息安全水平。自主访问控制★★★★★身份鉴别★★★★★数据完整性★★★★★客体重用★★★★审计★★★★强制访问控制★★★标记★★★隐蔽信道分析★★可信路径★★可信恢复★212002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径2：信息安全的产权交易信息安全的产权：安全的权利或者不安全的权利科斯定理：只要信息安全的产权明晰，通过信息安全相关各方的谈判，市场将自然达到社会最优。不足：信息安全的产权不明晰信息安全的效果具有滞后性交易成本高只适用于特定情况（牵扯利益主体少的网络系统）。222002-12-152.信息安全问题与经济学问题3（经济外部性）：网络安全消除外部性的途径3：信息安全税根据信息不安全的危害对信息系统的使用者征税，使用税收弥补个体成本和社会成本之间的差距，使得两者相等。在征税背景下，个体会调整自身的行为，从而产生达成社会最优的激励。不足：政府的信息不完备，获取信息成本过高税收的转嫁有可能导致不公平，这时穷人使用支出的较大部分用于支付增加的税收。优点：信息安全税比信息安全标准的社会成本低。232002-12-152.信息安全问题与经济学问题4（激励机制）：安全信息共享组织在1998年，业界的信息共享和分析中心（ISAC）出现，其目标是共享安全脆弱性信息和解决方案2002年9月18日美国政府在《NationalStrategyToSecureCyberspace（Draft）》中对ISAC进一步加以强调ISAC类似贸易联盟需要加入ISAC的激励机制需要加入ISAC后如实全面提供自身信息的激励机制242002-12-152.信息安全问题与经济学问题4（激励机制）：安全信息共享组织作为团队(Team)的ISAC团队的概念：共同创造一个产出每个成员的收益依赖于其他成员的贡献每个成员的贡献不能独立观测团队的缺陷：由于存在替代关系，产生偷懒问题/搭便车问题。解决方案：设法引入互补关系，产生正反馈，即某人对团队做出的贡献能够激励他人对团队做出更大的贡献。252002-12-153.信息安全的一个经济学模型1.模型构成：企业、政府和黑客的三方博弈N个组织机构（以企业为原型）：决定防护程度M个威胁源（以黑客为原型）：决定威胁频度1个公共管理机构（以政府为原型）：决定处罚力度边际效用递减规律福利商品262002-12-153.信息安全的一个经济学模型2.威胁源分析成本函数：威胁源的成本包括两类：一类是固定成本，即学习知识技能、购买相关设备的成本；另一类是可变成本，即实施一次威胁活动的边际成本。收益函数：威胁源的收益包括两类：一类是正收益，即由于威胁活动成功造成了信息安全事故而使威胁源获得的利益；另一类是负收益，即由于威胁活动没有成功造成信息安全事故而使威胁源遭受的处罚。272002-12-153.信息安全的一个经济学模型2.威胁源分析优化行为：当处罚力度加大后，活动频度降低；当处罚力度减小后，活动频度升高当可变成本加大后，活动频度降低；当可变成本减小后，活动频度升高当防范程度加大后，活动频度降低；当防范程度减小后，活动频度升高282002-12-153.信息安全的一个经济学模型3.组织机构分析成本函数：达到的信息安全防范程度越高，需要投入的经济成本越大；当防范程度趋近于1时，需要投入的经济成本趋近于无穷大；当防范程度趋近于0时，需要投入的经济成本趋近于0。达到的信息安全防范程度越高，进一步提高信息安全防范程度的难度越大，投入的经济成本也就越多。收益函数：组织机构在信息安全上的收益函数刻划了在一定信息安全防范程度下组织机构的经济收益。这里简单地认为经济收益等同于信息安全事故所造成的经济损失的负值。292002-12-153.信息安全的一个经济学模型3.组织机构分析优化行为：当信息安全事故的损失小到忽略不计时，组织机构可以不采取任何信息安全防护措施随着信息安全事故损失的上升，防范程度应当上升，但防范程度上升的速度在减慢随着信息安全措施成本的下降，防范程度应当上升，但防范程度上升的速度在减慢随