1、第9章 计算机安全经济学本章要点r 安全方面的经济学案例r 测定和量化经济学价值r 计算机安全的经济学建模 这一章,我们将关注涉及计算机安全中稀有经济资源分配方面的决策。也就是说,作为一个从业者,基于投资的需求、开支以及与其它投资(也许与安全无关)的平衡等诸多方面的考虑,必须决定对哪些类型的安全控制进行投资。我们将从一个商业案例开始,描述一个用于表示关于“为什么我们认为一个特别的安全投资是必要的”的信息框架。接着,为了给安全投资一个有说服力的支持,我们将概述对安全专家有帮助的数据收集种类。一旦有了好的数据,就能建模并做出预测。我们还将研究对计算机安全投资影响进行建模的许多方式。9.1 商业案例
2、 公司怎样决定在计算机安全上的投资金额和投资方式?典型的方法是,使用一些基准值,也就是参考其他相似的公司。这种方法只是对开支的合适水平方面的决策有帮助。然后,应制定关于特定开支的细节决策,如需要哪些能力,哪些产品应该被购买和支持,哪些培训是有帮助的,等等。这些投资决策并不是凭空决定的,因为计算机安全资源的要求通常不得不与其他要求竞争,最终决策的制定是基于哪些要求对商业经营最有利。一个给定开支的商业案例商业案例是一个方案,证明资源使用的正当性。包括以下部分:9.1 商业案例(续)(1)问题或开支需求的描述。(2)可能的解决方法列表。(3)解决问题的限制。(4)潜在的假设列表。(5)分析每一个选择
3、,包括风险、花费和收益。(6)投资建议对公司有利的一个理由总结。9.1 商业案例(续)关于技术投资,任何对现有或建议的技术投资的评估,应一次用多种形式汇报以构成一个“平衡的记分牌”:(1)从客户的角度,提出诸如顾客满意度的问题。(2)从运转角度,考察一个公司的核心竞争力。(3)从经济角度,考虑诸如投资回报或分享价格的措施。(4)从改进角度,评估投资怎样影响市场领导能力和增加的价值。确定经济价值 经济价值可以作为一个统一的法则来考察任何商业机会。也就是说,我们可以根据它的潜在经济价值来研究每一个投资选择。从一个高水平的公司角度,管理层必须决定如何将一个建议性的技术投资与简单地把钱存入银行获得利息
4、相比较。公司应把注意力转到通过优化他们的信息安全投资水平,来选择利润目标。9.1 商业案例(续)确定经济价值(续)纯的当前价值纯的当前价值(NPV)当建议一项技术时,你就必须确保考虑到所有的花费。NPV是收益的当前价值减去原始投资的价值。NPV根据整个工程的生命周期表达了经济学的价值。如果一个有前途的工程的NPV是正的,它就应该被接受。然而,如果NPV是负的,这个工程应该被放弃;负的NPV意味着工程的货币流通不如安全、更传统的投资。9.1 商业案例(续)确定经济价值(续)通常,NPV的计算使用一个折扣率或机会成本,即一个相等投资期待从资本市场获得的回报率。换句话说,折扣率反映了如果一个组织将投
5、资到银行或其他经济事务而不是软件技术,它能从中得到多少钱。计算NPV的常规方程是:nttttkCBC10)1/()(Bt和Ct 是在每个时间阶段t内投资预期的收益和开支,C0是原始投资,折扣率(期待从投资中获得的回报率)是k,n是投资的开支和收益被考虑的时间段数字。9.1 商业案例(续)确定经济价值(续)利用NPV来评估安全工程的优势是,它对提出的投资的评估效果贯穿工程的整个生命周期。NPV提供了一个对可在将来不同时段改变利润的工程的公平比较,但困难的是如何确定在多久的将来进行计算。NPV方法对资金流动的时间段很敏感;回报来得越晚,对总价值的妨碍就越严重。因此,市场时间对分析和影响支出是最关键
6、的。一个工程的大小和规模也会影响NPV。因为NPV是可累加的,我们可以通过简单地累加个体NPV值来评估工程集合的结果。9.1 商业案例(续)确定经济价值(续)内部回报率内部回报率 内部回报率内部回报率(IRR)起源于纯的当前价值;它等同于使NPV等于零的折扣率。换句话说,它是期待的投资回报率。投资回报投资回报 投资回报投资回报(ROI)的计算与IRR和NPV十分相似。ROI的产生是通过最后的账目利润(由收入和支出计算)除以产生这些利润的投资开销。9.1 商业案例(续)确定经济价值(续)公正的开销估计公正的开销估计 一个商业案例是一个做某些事的讨论:投资一项新技术、培训员工、增加一项产品的安全能
7、力或维持现状,等等。计算机安全商业案例通常用经济学术语来表达:节约金额、行为回报或可避免的开支。有时将安全影响从更多的、普遍的影响中分离出来是很困难的,比如提高功能或对资产更好的访问。这些讨论常常回避了在计算机安全中怎样获得可靠数据的问题。9.1 商业案例(续)9.2 量化安全 量化和估计正是安全官必须做的,以证明安全花费的正当性。在管理层花了钱去阻止一个可能,但没有发生的严重威胁后,他们可能便不愿意再次花钱去对付另一个可能的严重威胁。一般认为,公司没有必要把投资与对每个资源潜在的影响相匹配。因为非常容易受攻击的信息可能也是保护起来十分昂贵的,公司也可能集中精力去保护不太容易受攻击的信息资源。
8、为了从保护信息的投资中得到最大的利益,公司只应该考虑小的投入可以弥补大的安全损失的情况。9.2.1 计算机安全的经济学影响 理解计算机安全问题的经济学影响(预防、检测、缓解和恢复),需要能支持好的决策制定的经济学关系模型。然而,实际的模型必须基于从实际的计算机安全投资和真实的攻击结果中获得的数据。理解计算机安全威胁的本质需要至少应明确以下几点:(1)需要保护的资产的数量和类型。(2)系统中存在的脆弱点的数量和类型。(3)可能对系统造成威胁的数量和类型。理解网络攻击的实际情况,也需要明确可能发生攻击的数量和类型,将系统恢复到攻击前状态所需的花费和和采取行动防止将来的攻击所需的花费。9.2.2 证
9、明安全行为是正当的数据 数据需要用来支持多层次上的计算机安全决策的制定。(1)国家和全球数据国家和全球数据通过帮助使用者评估工业部门,在国家经济中如何相互作用以及计算机安全如何影响全球经济,来解决国家和国际上所关心的问题。(2)公司数据公司数据帮助我们检查公司如何运用安全技术来阻止攻击以及处理安全破坏的影响。(3)技术数据技术数据描述了对核心基础设施技术的威胁,使建模者能够开发出一套低成本的响应。9.2.2 证明安全行为是正当的数据(续)支持经济决策制定的数据必须有以下特征:(1)准确性准确性:当报告价值与实际价值相等或接近时,数据是准确的。(2)一致性一致性:一致的报告要求所有报告组织使用相
10、同的计算规则,且要求数据在相同条件下收集。例如,计算规则应该详细说明“入侵”的明确定义,说明一个单独的恶意行为者造成的多次入侵尝试,算一次还是多次。(3)及时性及时性:依靠老的数据可以使安全人员去解决昨天的问题。(4)可靠性可靠性:可靠数据来自可信的来源,并用通俗易懂的术语表达。9.2.2 证明安全行为是正当的数据(续)安全实施安全实施 信息安全破坏调查(ISBS)是一个有关计算机安全事件和实施的特别丰富的信息来源,并为捕获计算机安全信息提供了一个好的模型。调查的结果分为4个主要类型:信息技术的依赖、计算机安全的优先性、安全事件的趋势以及计算机安全的支出和意识。他们报告的一些结果包括:几乎所有
11、的回复者的公司都进行常规备份,其中3/4在异地存放备份,这些商家主动与病毒作斗争;98%的商家有反病毒软件;80%的商家在新病毒公布的一天内更新他们的病毒库;88%的商家在一周内安装重要的操作系统补丁;86%的公司过滤收到的电子邮件以防止垃圾邮件。9.2.2 证明安全行为是正当的数据(续)经济学影响经济学影响 英国的公司在信息安全上要花费4%到5%的信息技术预算,但是2/5的公司在安全上的花费不到1%。总的变化总的变化大公司的变化大公司的变化影响的公司数下降20%下降10%受影响的计算机安全事件的中等数字增长50%下降30%每个事件的平均花费增长20%下降10%计算机安全事件花费的总的变化增长
12、50%下降50%表 9.1 英国安全事件花费总的变化(摘自ISBS 2006)9.2.3 数据意味着什么 攻击类型分类攻击类型分类 一个人可能希望从许多调查中提取相似的数据元素,但遗憾的是,这往往十分困难。因为这些数据可能源自调查的对象的不同,不同的国家、部门和安全事件的复杂程度。回复者类型回复者类型 调查中的大部分都是简便的调查,也就是说,回复者是自选择的,不能代表大多数。对于简便调查,通常很困难也不可能决定结果代表多少人,也就使得人们很难去下结论。当做法合适时,好的调查样本不但可以覆盖更大的人群,而且结果可以与其他年份比较(因为样本代表了相同的人群)。9.2.3 数据意味着什么(续)类型的
13、比较类型的比较 在定义、跟踪和报道安全事件和攻击方面没有统一的标准。例如,(1)“电子攻击”(澳大利亚计算机犯罪和安全调查)。(2)“电子犯罪和网络、系统或数据入侵的总数”和“未授权的计算机系统的使用”(CSI/FBI)。(3)“安全事件”,“偶然的安全事件”,“故意的安全事件”和“严重的安全事件”(信息安全破坏调查)(4)“任何形式的安全破坏”(Deloitte全球安全调查)(5)“导致一个关键商业系统意外崩溃的事件”(Ernst和Young全球信息安全调查)不仅数据的特征不同,而且许多问题的答案是基于看法、解释或感觉的,并不是靠捕捉和分析固定的数据。9.2.4 攻击源 攻击的来源也是有疑问
14、的。当然,各种调查的发现有一些相同点。病毒、Trojan木马、蠕虫和恶意代码造成一致的、严重的威胁。商业部门最害怕内部攻击和访问的滥用。9.2.5 经济影响 很多调查获得了有关因果的信息。例如,一项2004年由ICSA实验室进行的调查指出:2003年“病毒灾难”增加了12%,但是恢复损失的时间和被破坏的数据增加了25%。目前,还没有可被广泛接受的损失的定义,在测量损失上也没有标准的方法。实际上,ICSA在2004年的研究表明,调查中的回复者低估了开销,只估计了1/7到1/10的开销。9.2.5 经济影响(续)许多调查指出:正式的安全政策和事件响应计划是非常重要的。缺乏教育和培训是进一步提高的主
15、要障碍。缺乏“安全文化”(包括安全问题和策略的意识与理解)也是一个问题。许多组织并不知道他们在安全保护、预防和缓解上投资了多少。他们在制定安全投资策略和评估这些策略的有效性上,没有一个清晰的战略。好的决策需要的投入,还没有准确的数字。9.2.6 结论 调查作为参考证据是有用的。但是管理者会问这些数字在其他国家是否有效,哪些构成一次事件,以及他的公司在那些危害下是比较脆弱的。调查是一个好的开始,要想获得准确有用的分析,我们需要在一段时间内对同一类人群进行有效的统计调查。在这种方式下,我们能够获得有用的数据和趋势信息。理想情况是,在不同国家进行可比较的调查可以证明地域的差异。没有这些可靠的数据,计
16、算机安全的经济学建模是非常困难的。9.3 计算机安全建模 关于计算机安全投资的问题如下:(1)一个公司为了保护一定数量的资产在计算机安全上应该投入多少?(2)一次安全破坏可能的影响有多大?(3)信息共享的开销和收益是多少?9.3.1 转移模型 为了回答问题(1),Cordon和Loeb运用了简单的会计学技术开发了一个信息保护模型。他们用了三个参数:破坏发生条件下的损失、一个威胁发生的可能性和易受攻击性(定义为了一个威胁被成功实施的可能性)。用破坏发生时公司预测的损失来表示其影响。9.3.1 转移模型(续)Campbell等人通过研究报纸、美国公司的贸易公告中报道的信息安全破坏的经济学影响,来解
17、决问题(2)。他们指出是破坏的性质影响了结果。对涉及未授权访问机密数据的信息安全破坏,有严重的负面市场反应,但当破坏不涉及机密信息时,便没有严重的反应。9.3.1 转移模型(续)Gal-Or和Ghose用Campbell等人的结论解决问题(3)。他们使用游戏理论,把这种形式描述成两个具有竞争产品的公司A和公司B没有合作的游戏。在该游戏中,两个公司选择最佳的安全投资和信息共享的等级。游戏中包括的是反应价格和竞争开销及需求模型。他们的模型告诉我们以下关于共享安全破坏方面信息的开销和收益:9.3.1 转移模型(续)(1)公司A提供的高水平的安全破坏信息共享,会引导公司B进入一个高水平的信息共享,也同
18、样会使B的安全技术投资进入一个更高的水平。因此,“技术投资和信息共享充当了平衡中的战略补充”。(2)有时公司中有一种可以被其他产品代替的产品。当产品的代替度增加,A和B的信息共享和技术投资也会增加。(3)安全破坏信息共享和安全投资水平随着公司规模和工业规模的增大而增大。总之,在共享破坏信息上有很强的动力,当公司规模、工业规模和竞争力增长时,此动力也会变得更强大。9.3.2 决策制定的模型 原始模型的范围正在多方面被扩展。例如,一项研究希望扩大模型的理解能力,使它们能反映人类思考问题的复杂想法。这些问题有时非常难以理解,但却与制定计算机安全投资的决策有关。9.3.2 决策制定的模型(续)设计议题
19、设计议题 当提及风险的可能性和花费时,研究者发现:(1)当花费很小时,人们关注风险。(2)当风险很小时,人们关注花费。许多计算机安全风险都只有一个非常小的发生概率,但对花费、日程安排、不方便性甚至人类生活都有巨大的影响。一个问题的表达方式会造成人们选择上的巨大差异。信息的交流会导致表达偏爱的多样性。基于计算机安全经济学模型的决策支持系统,能够用这种关于表达和风险感知的行为科学信息来表达风险,使决策制定者做出最好的选择。9.3.2 决策制定的模型(续)群体行为群体行为 用行为科学研究经济行为时,他们会质疑只有理性的选择(在很多计算机安全的经济学模型中被假设)是否足以建模。这些研究显示的不仅是人们
20、做出的不理智的选择,还包括用不同但类似的方式提出相同的问题,导致人们做出重大的不同选择。这些研究结果,便于更好地理解人类如何使用启发性方法来解决问题和做出决策。决策的制定者不是一个人,而是一个团队、组织或商业部门。大量研究表明在决策制定方面,团队与个人存在重大区别。群体的身份导致了团队的判断。9.3.2 决策制定的模型(续)群体行为群体行为 每个团队的成员都认为其他人也包括自己,这种意识会影响做出的选择。通过一个或多个给定的行为所得到的尊重,是与环境相关的,它的价值依赖该行为在相似的环境中如何与别人的行为相比较。9.3.2 决策制定的模型(续)行话也与规范期待有关。共享的含义、特殊的术语和团队
21、讨论中辅助的假设,能导致团体成员间的相互熟悉和信任。行话能否帮助或损害决策的制定,取决于如何表达一个问题。最有优势的参与者首先发言并成为台上的主角,而团队的其他成员由于得不到上台机会而“远离了”团队的想法一种称为生产线阻塞的现象。群体行为影响客户、同事甚至竞争者。这些人中的每一个都会影响决策的制定者,就像消费者在判断一种商品或一项服务价值时,可能依赖于其他使用者。9.3.2 决策制定的模型(续)可信度和信任可信度和信任 人们之间意外相遇的次数和性质也会影响一个决策。如果相遇次数很少,那么每次相遇就会带来“显著的影响”。9.3.3 企业文化的角色 构建文化实施的三个特征是:符号、英雄和仪式。(1
22、)符号符号是一群人用以交流的、含有特殊意义的字母、手势、图片和物体。(2)一个文化中的英雄英雄是表现出众且可以作为团队中其他人楷模的那些人。(3)仪式仪式是团队所有成员参与的活动,它是社会必须的,但对商业却不是必须的。关键是构建一种计算机安全文化包括能够增加开发人员安全意识的措施和能够使产品更加安全的举措。9.3.3 企业文化的角色(续)图9.1 文化的展现9.3.3 企业文化的角色(续)我们可以认为价值是“偏爱事物的某些状态甚于其他状态的普遍倾向”。如果开发者、管理者或客户没有重视安全,他们既不会采用安全措施也不会购买安全产品。从计算机安全角度,提高计算机安全价值最好的方法是专注于工作,特别
23、是企业文化。9.3.3 企业文化的角色(续)表9.2 企业文化的各方面观点观点1观点观点2解释解释面向过程面向结果方法对目标面向雇员面向工作关注人对关注完成工作狭隘的专业的公司的身份对专家的身份开放系统封闭系统关于新来者松散控制严格控制关于雇员主权规范性实效性基于规范对工作驱动9.3.3 企业文化的角色(续)(1)过程对结果过程对结果:一个面向过程的组织认为如果好的措施被合理使用,自然会有满意的结果。面向结果的组织需要用最后结果来证明它的质量。(2)员工对工作员工对工作:一个关注于员工的机构担心的是员工的满意度和工作动力。相反,关注工作的机构通常使用诸如完成工作所需的主要阶段等尺度来决定是否有
24、进步。(3)地方对专业地方对专业:一个地方的机构因按计划完成了由机构、部门或公司内部设置的目标而奖励它的员工。一个专业的机构寻求机构外的、专业的奖励和认证机关来考评和奖励它的员工。9.3.3 企业文化的角色(续)(4)开放对封闭开放对封闭:一个开放的公司,它欢迎外界的能人加盟,也不惜在培训上投资,以帮助新人理解企业文化的各个方面。一个封闭的公司倾向于内部用人,使文化的价值和实施待以保存和巩固。(5)松对紧的控制松对紧的控制:一个管理松散的公司通常允许团队按自己的方式工作。在一个管理严格的机构中,管理人员组建团队并对团队提出严格的进度要求,以保证不断地进步。(6)规范性对实效性规范性对实效性:规
25、范的机构通常关注最佳的事实。相反,实效的机构更多的是工作驱动,关注的是怎样把工作完成,而使用非传统的或未经测试的方法去解决问题。9.3.3 企业文化的角色(续)企业文化会显示有关计算机安全投资行为的各种可能选择。例如:(1)一个面向结果的机构会选择投资于“刺穿然后修补的行为”,而不是最佳实施培训。(2)一个专业的机构会对所有它的安全专家进行认证;但一个狭隘的机构更愿意奖励那些产品几乎没有安全漏洞的开发人员。(3)一个规范性的机构可能开发一个安全工程方法,然后运用到所有的工程上;而实效性的机构偏爱于一个接一个的工程开发它自己的安全策略。9.3.3 企业文化的角色(续)理解工程和团队中人的因素能够
26、使投资决策更有效率。首先,明确人际交流怎样影响可信度和信任,使决策制定者投资于能够增加这些交流的方面。其次,计算机安全决策的制定,包括了根据影响和风险去定量和对比可能的安全漏洞。支持计算机安全投资决策的工具能够考虑这种多样性,并用使用者能够理解的方式来沟通选择。最后,企业文化基本能够揭示一个公司如何使用安全信息,如何选择合适的安全实施,如何重视尊重和信任等。此外,与行为、文化和组织有关的事务还会影响到公司外部。9.4 领域前沿 计算机安全经济学的研究关注信息技术和市场机制间的互动。我们购买软件会涉及许多方面。首先,购买软件的价格依赖于我们对它的信任度。第二,一些公司使用软件的“软的方面”进行收
27、费,取决于其中包含的个人信息的多少。第三,市场机制可以用来鼓励销售商减少其他产品中的漏洞。9.4.1 经济学与隐私 研究经济学和隐私,与日益增长的差别定价的使用之间的关系是一个方向。随着数据存储和数据分析的开销逐渐下降,商家能够很容易地获得有关消费者行为的数据,差别定价的行为鼓励消费者放弃个人信息以获取更低的价格。通过使用隐私/定价间的折中,能为公司创造利润的市场条件。许多研究者对个人、商业和社会间的开支和收益的折中很感兴趣。9.4.2 经济学和完整性 大多数软件产品有许多漏洞,解决单一漏洞所起的作用不大;一个恶意的破坏者很容易找到另一个漏洞加以利用。因此,在打补丁之前公开漏洞是对恶意行为的一
28、种激励。然而,持不同的观点的人却支持公开。他们的理论是没有这种公开,软件销售商就没有动力去找出漏洞和解决问题。研究了怎样使用市场的力量去避免和减少漏洞也是一个方向。经济学构建了可以进行漏洞交易的市场。在这样的市场中,发现一个产品的漏洞的开销可以使消费者明确它的安全等级。可以采用一个类似的、基于市场的方法,运用拍卖理论去分析如何更好地经营脆弱漏洞交易市场。9.4.3 经济学与规则 认为市场机制将最终解决其自身问题的人,与希望政府机构介入并管理的人一直在激励争论。许多研究者都在研究信息市场的各方面,以及确定规则的必要性。对于垃圾邮件问题,市场规则(要求所有的使用者使用一个垃圾邮件过滤器)能够摆脱垃
29、圾邮件之害。但搭便车(不安装)会对整个系统可靠性带来影响。许多垃圾邮件的研究者使用经济模型中基于市场的解决方法,以减少不希望收到的电子邮件。9.4.3 经济学与规则(续)一个类似的经济学概念是外在性,即两个人或公司做一个决定或进行一次交易,第三方的收益即使第三方不参与。版权和数字化管理是有关规则制定讨论的热门话题。网上下载出售对影视音乐产业是否有利?严格控制对创新有正面还是负面影响?这些问题都有不同的观点。9.5 本章总结 计算机安全经济学涉及商业需求、动机、管理要求、风险容忍以及当前商业实施等方面。就像Bruce Schneier指出的,“通常的系统崩溃是由于不适宜的经济动机:保护一个系统的人不是承担失败代价的人”。公司使用基准值来决定它们在计算机安全上的开支是否与其它公司相同。但是除了一个推荐的总开支或收益百分比外,公司需要清晰有效的战略以决定如何使用和在哪些地方使用这些安全开支。许多公司使用通用会计学原理来估算他们计算机安全投资的商业利益。然而,这样的计算需要有关攻击特点、频率和影响的可靠数据。计算机安全经济学的继续深入研究将解决商业、政府和技术的交叉问题。谢谢!