導語：信息安全投資規(guī)劃項目質量管理探討一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著當今社會信息化水平的不斷發(fā)展，網絡攻擊帶來的危害和損失逐年增長。各種組織和個人的信息安全意識不斷提高，投入不斷加大，產業(yè)規(guī)模快速增長。在這樣的背景下，關注信息安全投資的質量，能更有效提升組織的網絡安全水平，降低信息安全風險。本文提出了信息安全投資項目質量評價模型，并應用該模型得出了一家企業(yè)在不同投資期望情況下的最優(yōu)信息安全投資組合。

關鍵詞：信息安全；質量評價模型；投資決策

全投資的主觀臆斷，降低信息安全投資的盲目性，提高信息安全投資的有效性。因此，企業(yè)在開展信息安全投資之前，應對公司信息安全現(xiàn)狀進行充分調研，充分考慮信息安全投資的質量，制定出符合公司安全需求和投資預算的信息安全投資規(guī)劃項目，為下一步的信息安全投資打下基礎。

1信息安全項目質量評價模型

1.1信息安全項目的評價模型

2002年，Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探討了公司信息安全威脅、單位損失、脆弱性和信息安全投資收益問題。通過投資收益比，分析了最優(yōu)信息安全投資金額及其特點，推測最優(yōu)信息安全投資量應少于潛在損失的1/e（即36.79%）[3]。進一步，通過比較兩種不同類型的攻擊，給出了最優(yōu)投資和脆弱性的關系。但是，Gordon-Loeb模型僅考慮了企業(yè)整體的信息安全風險和投資。在實際應用中，企業(yè)面臨的整體風險不僅難以估算，而且得出的最優(yōu)信息安全投資額并不能指導公司實際信息安全投資行為。參考Gordon-Loeb的經典模型，進一步考慮特定的信息安全威脅、損失和脆弱性場景。公司的特定信息安全損失由三個因素組成，分別是單位損失λ；威脅t和脆弱性v。單位損失λ表示由特定威脅和特定脆弱性引起的單次信息安全事件所帶來的損失金額，用貨幣單位度量；威脅t表示某項特定威脅的發(fā)生概率；脆弱性v表示特定威脅成功造成損失的概率（其中，0≤t≤1，0≤v≤1）。為了計算方便，假定信息安全項目I的投資收益等于通過實施項目減少的信息安全期望損失。

1.2信息安全投資組合評價模型

由于組織存在多個信息安全脆弱性，面臨著多種安全風險，難以通過實施一個信息安全項目來滿足組織所有的信息安全需求。組織往往通過實施信息安全項目組合的方式，來進行信息安全投資。在實際的工作中，可以將組織進行信息安全投資的過程抽象為，在有限的信息安全項目集合Y中，選擇合適的信息安全項目投資組合Z，來實現(xiàn)自己的信息安全投資目標。

2基于信息安全項目質量評價模型的最優(yōu)投資規(guī)劃組合

2.1A公司風險評估

充分理解公司業(yè)務和安全現(xiàn)狀是選擇信息安全投資組合的前提。通過分析不相關的脆弱性對應的信息安全事件發(fā)生頻率和單位損失，評估出不同脆弱性的年度期望損失，可以大致描述出公司的信息安全現(xiàn)狀，幫助公司做出正確的決策。

2.2可選信息安全投資項目

A公司面對以上信息安全風險，需采用一定的安全技術措施和管理手段來處置及預防這些風險。A公司了解到市場上有一系列信息安全投資項目，計劃從這些項目中選擇合適的投資項目來降低公司的信息安全風險。表2列舉了這些信息安全投資項目，并估算出A公司實施這些項目每年的投資成本。

2.3不同投資期望下的最優(yōu)信息安全投資組合

為了確定組織的最優(yōu)信息安全投資組合，不僅需要有評價信息安全投資效果的工具，還需要分析企業(yè)期望達到的投資效果。不同的企業(yè)基于不同的投資目的，有著不同的信息安全風險偏好水平和投資策略?？梢砸罁?jù)企業(yè)對信息安全投資的風險偏好水平和投資策略，制定最優(yōu)的信息安全投資組合。2.3.1明確信息安全需求下的最優(yōu)投資組合假設A公司明確了投資策略，確定了信息安全需求，希望將公司的整體信息安全風險水平降低70%以上。那么A公司的最優(yōu)投資組合，就是以最小的代價滿足以上的風險水平。王軍提出了信息安全投資的智能化決策方法[4]，對其方法加以改進，結合離散二進制PSO算法[5]來幫助進行投資決策。選擇粒子群個數(shù)為1000個，迭代次數(shù)200次，慣性權重w=1，自我學習因子c1=0.5，群體學習因子c2=0.5，適應值是信息安全投資成本，判斷標準是使投資效果E大于等于投資需求Eneed。通過運行上述程序，可以得到最優(yōu)的投資組合及其對應的投資金額。圖1（左）中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資效果為70.27%，使公司的整體信息安全風險水平降低70%以上，且投資金額為650萬的點）附近收斂。圖1（右）顯示了最優(yōu)投資組合的收斂過程，在本例中經過69次迭代達到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一組0-1二元向量，公司選擇投資信息安全意識培訓、信息安全管管理體系項目、應用層防火墻、終端安全管理軟件、安全掃描和評估項目、系統(tǒng)備份容災項目、堡壘機項目、雙因素認證項目、郵件安全項目，投資組合的金額為650萬。使得公司的信息安全期望損失減少70%以上，且投資的成本最小。2.3.2給定預算金額情況下的最優(yōu)投資組合假設A公司進行信息安全投資的預算為500萬，公司希望在有限的投資金額內，將信息安全風險水平降低到盡可能低的程度。同樣，公司應用離散二進制PSO算法來幫助進行投資決策，將適應值調整為投資效果E，判斷標準是在預算范圍內使E最大。利用MATLAB運算求解上述投資決策，可以得到此條件下最優(yōu)的投資組合及其對應的投資金額。圖2-2（左）中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資效果為63.91%，且投資金額為500萬的點）附近收斂。圖2-2（右）顯示了最優(yōu)投資組合的收斂過程，在本例中經過62次迭代達到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一個二元向量公司選擇投資信息安全意識培訓、信息安全管管理體系項目、應用層防火墻、蜜罐系統(tǒng)、安全掃描和評估項目、運維監(jiān)控平臺、堡壘機項目、雙因素認證項目、郵件安全項目，投資組合的金額為500萬，且獲得了對應金額投資情況下最大的投資收益。2.3.3風險厭惡型企業(yè)的最優(yōu)投資組合假設A公司希望盡可能地降低信息安全風險，使投資組合能夠產生最大的投資效果。易知，如果A公司對全部項目進行投資，則信息安全投資效果最大。但是在現(xiàn)實的案例中，很少有公司會選擇對全部項目進行投資。在本例中將投資效果精確到小數(shù)點后兩位，并計算一系列投資效果最大的投資組合中投資成本最小的投資組合。公司應用離散二進制PSO算法來幫助進行投資決策，適應值為投資效果E，判斷標準是使E最大，同時記錄下滿足E最大情況下的，最小投資成本對應的投資組合。隨著信息安全投資金額的增加，安全項目增多，信息安全投資收益趨于平穩(wěn)，變化不大，因此為了使算法可以有效收斂，將縱坐標投資效果的精度降低。因為在這一區(qū)間，信息安全額外的投入帶來的收益將越來越小，將投資效果的精度降低，也符合企業(yè)在做投資決策時通常會采用的策略。利用MATLAB運算求解上述投資決策，可以得到此條件下最優(yōu)的投資組合及其對應的投資金額。圖3中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資效果為89%，且投資金額為1890萬的點）附近收斂。2.3.4利潤偏好型企業(yè)的最優(yōu)投資組合假設公司A是利潤偏好型企業(yè)，希望通過信息安全投資實現(xiàn)信息安全項目收益與成本之差（即，利潤）的最大化，并愿意為獲得這些收益承擔一定的信息安全風險。同樣，公司應用離散二進制PSO算法來幫助進行投資決策，適應值為投資利潤profit，判斷標準是使投資利潤profit值最大，同時記錄下投資利潤profit最大情況下對應的投資組合。根據(jù)上述適應值和判斷標準修改程序，利用MATLAB運算求解利潤偏好型企業(yè)的投資決策，可以得到此條件下最優(yōu)投資組合及其對應的投資金額。圖4（左）中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資收益為388.6萬，且投資成本為160萬，投資利潤為228.6萬的點）附近收斂。圖4（右）顯示了最優(yōu)投資組合的收斂過程，在本例中經過44次迭代達到了最優(yōu)投資組合。2.3.5最優(yōu)信息安全投資組合集以A公司為例，利用MATLAB分別計算不同信息安全需求情況下的最優(yōu)投資組合及其對應的成本收益。圖5中的藍點分別代表不同信息安全需求下的最優(yōu)投資組合對應的成本收益，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的所有投資組合的成本收益，藍色曲線附近的點就是最優(yōu)信息安全投資組合的成本收益，組成了最優(yōu)投資組合集Q。通過上述實例，可以觀察到由最優(yōu)信息安全投資組合模型求解的最優(yōu)投資組合集Q，隨著投資金額的增大，投資效果也增大，但是投資效果的增長幅度越來越小，符合效用理論[6]。

3結束語

本文主要研究了組織的信息安全投資決策問題。參考Gordon-Loeb模型，提出了信息安全投資評價模型。使組織可以借助該模型選擇最優(yōu)信息安全投資組合。但是，本文提出的模型中的信息安全投資收益，只考慮了實施信息安全投資項目所降低的期望損失所獲得投資收益，并未考慮信息安全投資項目可能帶來的業(yè)務擴展、商譽等正收益。在今后的研究中可以把信息安全投資的正收益納入投資收益的計算中。

作者：張智銘 單位：上海交通大學網絡空間安全學院