信息安全投資規(guī)劃項目質(zhì)量管理探究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全投資規(guī)劃項目質(zhì)量管理探究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著當今社會信息化水平的不斷發(fā)展，網(wǎng)絡攻擊帶來的危害和損失逐年增長。各種組織和個人的信息安全意識不斷提高，投入不斷加大，產(chǎn)業(yè)規(guī)?？焖僭鲩L。在這樣的背景下，關注信息安全投資的質(zhì)量，能更有效提升組織的網(wǎng)絡安全水平，降低信息安全風險。本文提出了信息安全投資項目質(zhì)量評價模型，并應用該模型得出了一家企業(yè)在不同投資期望情況下的最優(yōu)信息安全投資組合。

關鍵詞：信息安全；質(zhì)量評價模型；投資決策

全投資的主觀臆斷，降低信息安全投資的盲目性，提高信息安全投資的有效性。因此，企業(yè)在開展信息安全投資之前，應對公司信息安全現(xiàn)狀進行充分調(diào)研，充分考慮信息安全投資的質(zhì)量，制定出符合公司安全需求和投資預算的信息安全投資規(guī)劃項目，為下一步的信息安全投資打下基礎。

1信息安全項目質(zhì)量評價模型

1.1信息安全項目的評價模型

2002年，Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探討了公司信息安全威脅、單位損失、脆弱性和信息安全投資收益問題。通過投資收益比，分析了最優(yōu)信息安全投資金額及其特點，推測最優(yōu)信息安全投資量應少于潛在損失的1/e（即36.79%）[3]。進一步，通過比較兩種不同類型的攻擊，給出了最優(yōu)投資和脆弱性的關系。但是，Gordon-Loeb模型僅考慮了企業(yè)整體的信息安全風險和投資。在實際應用中，企業(yè)面臨的整體風險不僅難以估算，而且得出的最優(yōu)信息安全投資額并不能指導公司實際信息安全投資行為。參考Gordon-Loeb的經(jīng)典模型，進一步考慮特定的信息安全威脅、損失和脆弱性場景。公司的特定信息安全損失由三個因素組成，分別是單位損失λ；威脅t和脆弱性v。單位損失λ表示由特定威脅和特定脆弱性引起的單次信息安全事件所帶來的損失金額，用貨幣單位度量；威脅t表示某項特定威脅的發(fā)生概率；脆弱性v表示特定威脅成功造成損失的概率（其中，0≤t≤1，0≤v≤1）。特定信息安全風險的期望損失L，可以表示為：通常來說，一項脆弱性v可能會被多個威脅利用，因此一項特定脆弱性對應的期望損失Lv應該是所有可能利用到脆弱性v的風險的期望損失的和，可表示為：假定，組織總共有m項不相關的脆弱性v，則組織面臨的總體信息安全期望損失Ltotal可表示為：組織的各項不相關的脆弱性的組合可以用數(shù)組V表示：假設某項信息安全項目能夠通過降低某些脆弱性集合，來降低組織面臨的信息安全風險。為了計算方便，假定信息安全項目I的投資收益等于通過實施項目減少的信息安全期望損失。項目I通過減少脆弱性集合V來降低信息安全風險。項目對特定脆弱性vx的減少效果用vx′表示。信息安全項目I帶來的投資收益（即，減少的信息安全期望損失）S，可以表示為：在進行風險評估計算期望損失時，通常會估算組織一年內(nèi)的信息安全期望損失，也需要估算信息安全項目在同樣單位時間內(nèi)的成本。一般來說信息安全項目在第一年投入成本較大，之后每年維護的費用大致相等，同時項目也有使用年限，假設信息安全項目I的初始投入為X，項目每年維護費用為Q，使用年限為W，貼現(xiàn)率為r，可計算出每年的項目成本C為：

1.2信息安全投資組合評價模型

由于組織存在多個信息安全脆弱性，面臨著多種安全風險，難以通過實施一個信息安全項目來滿足組織所有的信息安全需求。組織往往通過實施信息安全項目組合的方式，來進行信息安全投資。在實際的工作中，可以將組織進行信息安全投資的過程抽象為，在有限的信息安全項目集合Y中，選擇合適的信息安全項目投資組合Z，來實現(xiàn)自己的信息安全投資目標。假設組織存在m個不相關的脆弱性V，為了降低信息安全風險，組織計劃從k個可供選擇的信息安全項目中選擇一組投資組合來實現(xiàn)信息安全投資目標。每個項目的投資成本分別為Ci（i=1，2，…，k）。組織的信息安全項目投資組合Z，可以表示為：Z=（z1,z2,…,zk）,zn=1or0,n=1,2…..,k當zn=1時，表示組織選擇投資第n個投資項目；zn=0時，表示組織選擇不投資第n個項目。在實施單個項目zn后對組織的一系列脆弱性Vm（v1，v2，…，vm）的投資成效可以用數(shù)組Vn′來表示：項目zn投資后的特定脆弱性vm，將會調(diào)整為。信息安全項目集合Z對組織的一系列脆弱性Vm（v1，v2，…，vm）的投資成效系數(shù)，可以用矩陣Vkm′來表示：在選擇一組信息安全投資組合時，會有多個不同類型的信息安全投資項目作用于組織的某個特定脆弱性。信息安全投資組合Z對組織特定脆弱性vm的影響將取決于組織選擇的信息安全項目組合Z及其投資成效Vkm′。假定所有的信息安全項目不會帶來新的脆弱性，即。依據(jù)信息安全脆弱性的特性以及Gordon-Loeb模型的假設。項目組合Z投資后的殘余風險S′，可以通過計算所有特定脆弱性對應的殘余風險的和求得，用公式表示為：

2基于信息安全項目質(zhì)量評價模型的最優(yōu)投資規(guī)劃組合

2.1A公司風險評估

充分理解公司業(yè)務和安全現(xiàn)狀是選擇信息安全投資組合的前提。通過分析不相關的脆弱性對應的信息安全事件發(fā)生頻率和單位損失，評估出不同脆弱性的年度期望損失，可以大致描述出公司的信息安全現(xiàn)狀，幫助公司做出正確的決策。經(jīng)過風險分析，估算A公司每項不相關脆弱性對應的年度期望損失。結(jié)果如表1所示：

2.2可選信息安全投資項目

A公司面對以上信息安全風險，需采用一定的安全技術措施和管理手段來處置及預防這些風險。A公司了解到市場上有一系列信息安全投資項目，計劃從這些項目中選擇合適的投資項目來降低公司的信息安全風險。表2列舉了這些信息安全投資項目，并估算出A公司實施這些項目每年的投資成本。A公司在實施了上述信息安全投資項目后將會降低某些特定的脆弱性，通過降低這些特定的脆弱性，A公司的信息安全風險和期望損失將會減少。設信息安全投資項目實施后對每一項脆弱性的有效性系數(shù)為向量。其中，P是項目總數(shù)；V是脆弱性的總數(shù)；表示項目Pi能夠?qū)⒋嗳跣訴j的風險完全緩解；表示項目Pi對脆弱性Vj沒有效果；表示項目Pi對脆弱性Vj的有效性系數(shù)是0.5。通過安全人員對可選信息安全投資項目進行評估，信息安全項目Pi針對特定脆弱性Vj的有效性系數(shù)在0-1之間。

2.3不同投資期望下的最優(yōu)信息安全投資組合

為了確定組織的最優(yōu)信息安全投資組合，不僅需要有評價信息安全投資效果的工具，還需要分析企業(yè)期望達到的投資效果。不同的企業(yè)基于不同的投資目的，有著不同的信息安全風險偏好水平和投資策略。可以依據(jù)企業(yè)對信息安全投資的風險偏好水平和投資策略，制定最優(yōu)的信息安全投資組合。2.3.1明確信息安全需求下的最優(yōu)投資組合。假設A公司明確了投資策略，確定了信息安全需求，希望將公司的整體信息安全風險水平降低70%以上。那么A公司的最優(yōu)投資組合，就是以最小的代價滿足以上的風險水平。王軍提出了信息安全投資的智能化決策方法[4]，對其方法加以改進，結(jié)合離散二進制PSO算法[5]來幫助進行投資決策。選擇粒子群個數(shù)為1000個，迭代次數(shù)200次，慣性權(quán)重w=1，自我學習因子c1=0.5，群體學習因子c2=0.5，適應值是信息安全投資成本，判斷標準是使投資效果E大于等于投資需求Eneed。運用MATLAB計算出上述投資決策的結(jié)果（圖1）。通過運行上述程序，可以得到最優(yōu)的投資組合及其對應的投資金額。圖1（左）中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資效果為70.27%，使公司的整體信息安全風險水平降低70%以上，且投資金額為650萬的點）附近收斂。圖1（右）顯示了最優(yōu)投資組合的收斂過程，在本例中經(jīng)過69次迭代達到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一組0-1二元向量，公司選擇投資信息安全意識培訓、信息安全管管理體系項目、應用層防火墻、終端安全管理軟件、安全掃描和評估項目、系統(tǒng)備份容災項目、堡壘機項目、雙因素認證項目、郵件安全項目，投資組合的金額為650萬。使得公司的信息安全期望損失減少70%以上，且投資的成本最小。2.3.2給定預算金額情況下的最優(yōu)投資組合。假設A公司進行信息安全投資的預算為500萬，公司希望在有限的投資金額內(nèi)，將信息安全風險水平降低到盡可能低的程度。同樣，公司應用離散二進制PSO算法來幫助進行投資決策，將適應值調(diào)整為投資效果E，判斷標準是在預算范圍內(nèi)使E最大。利用MATLAB運算求解上述投資決策，可以得到此條件下最優(yōu)的投資組合及其對應的投資金額。圖2-2（左）中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資效果為63.91%，且投資金額為500萬的點）附近收斂。圖2-2（右）顯示了最優(yōu)投資組合的收斂過程，在本例中經(jīng)過62次迭代達到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一個二元向量公司選擇投資信息安全意識培訓、信息安全管管理體系項目、應用層防火墻、蜜罐系統(tǒng)、安全掃描和評估項目、運維監(jiān)控平臺、堡壘機項目、雙因素認證項目、郵件安全項目，投資組合的金額為500萬，且獲得了對應金額投資情況下最大的投資收益。2.3.3風險厭惡型企業(yè)的最優(yōu)投資組合。假設A公司希望盡可能地降低信息安全風險，使投資組合能夠產(chǎn)生最大的投資效果。易知，如果A公司對全部項目進行投資，則信息安全投資效果最大。但是在現(xiàn)實的案例中，很少有公司會選擇對全部項目進行投資。在本例中將投資效果精確到小數(shù)點后兩位，并計算一系列投資效果最大的投資組合中投資成本最小的投資組合。公司應用離散二進制PSO算法來幫助進行投資決策，適應值為投資效果E，判斷標準是使E最大，同時記錄下滿足E最大情況下的，最小投資成本對應的投資組合。隨著信息安全投資金額的增加，安全項目增多，信息安全投資收益趨于平穩(wěn)，變化不大，因此為了使算法可以有效收斂，將縱坐標投資效果的精度降低。因為在這一區(qū)間，信息安全額外的投入帶來的收益將越來越小，將投資效果的精度降低，也符合企業(yè)在做投資決策時通常會采用的策略。利用MATLAB運算求解上述投資決策，可以得到此條件下最優(yōu)的投資組合及其對應的投資金額。圖3中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資效果為89%，且投資金額為1890萬的點）附近收斂。2.3.4利潤偏好型企業(yè)的最優(yōu)投資組合。假設公司A是利潤偏好型企業(yè)，希望通過信息安全投資實現(xiàn)信息安全項目收益與成本之差（即，利潤）的最大化，并愿意為獲得這些收益承擔一定的信息安全風險。同樣，公司應用離散二進制PSO算法來幫助進行投資決策，適應值為投資利潤profit，判斷標準是使投資利潤profit值最大，同時記錄下投資利潤profit最大情況下對應的投資組合。根據(jù)上述適應值和判斷標準修改程序，利用MATLAB運算求解利潤偏好型企業(yè)的投資決策，可以得到此條件下最優(yōu)投資組合及其對應的投資金額。圖4（左）中的藍點代表最優(yōu)投資組合，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合，在迭代過程中，粒子不斷向圖中的藍色圓點（即投資收益為388.6萬，且投資成本為160萬，投資利潤為228.6萬的點）附近收斂。圖4（右）顯示了最優(yōu)投資組合的收斂過程，在本例中經(jīng)過44次迭代達到了最優(yōu)投資組合。2.3.5最優(yōu)信息安全投資組合集。以A公司為例，利用MATLAB分別計算不同信息安全需求情況下的最優(yōu)投資組合及其對應的成本收益。圖5中的藍點分別代表不同信息安全需求下的最優(yōu)投資組合對應的成本收益，紅點代表在搜尋上述最優(yōu)投資組合過程中遍歷到的所有投資組合的成本收益，藍色曲線附近的點就是最優(yōu)信息安全投資組合的成本收益，組成了最優(yōu)投資組合集Q。通過上述實例，可以觀察到由最優(yōu)信息安全投資組合模型求解的最優(yōu)投資組合集Q，隨著投資金額的增大，投資效果也增大，但是投資效果的增長幅度越來越小，符合效用理論[6]。

3結(jié)束語

本文主要研究了組織的信息安全投資決策問題。參考Gordon-Loeb模型，提出了信息安全投資評價模型。使組織可以借助該模型選擇最優(yōu)信息安全投資組合。但是，本文提出的模型中的信息安全投資收益，只考慮了實施信息安全投資項目所降低的期望損失所獲得投資收益，并未考慮信息安全投資項目可能帶來的業(yè)務擴展、商譽等正收益。在今后的研究中可以把信息安全投資的正收益納入投資收益的計算中。

作者:張智銘 單位:上海交通大學網(wǎng)絡空間安全學院