信息系统安全投资策略及风险管理研究管理科学与工程专业论文.docxVIP

摘要摘要 摘要 摘要 计算机和网络技术的快速发展，信息系统正成为越来越多企业运营和管理的 支撑工具，信息系统安全变得日渐重要。为了减少由安全事件导致严重损失的可 能性，很多企业通常大量购买和运用防火墙、入侵检测系统等信息系统安全技术。 然而，一个企业的信息系统安全不但取决于自身的安全措施，而且与外部环境中 的相关企业和黑客攻击方式等密切相关。因此考虑企业在相互依赖风险和黑客多 样化攻击下的信息系统安全投资策略是企业信息系统运用过程中迫切需要解决 的关键问题之一。同时随着信息系统安全管理服务和信息系统安全保险的出现， 如何设计最优的激励机制成为信息安全经济学的重要问题。本文对企业信息系统 安全投资策略及风险管理的相关问题进行了研究。 首先，论文研究了信息系统相互关联下企业信息系统安全投资策略，构建博 弈模型，讨论关联企业的互联风险和信任风险对信息系统安全投资最优策略的影 响，并对在非合作博弈条件下信息系统安全投资的均衡水平与社会最优的解决方 案进行了比较。结果表明，互联风险往往引起企业信息系统安全投资率低下，而 信任风险导致过度重视信息系统安全。在合作条件下企业信息系统安全投资不一 定随着互联风险和信任风险的增大而单调变化。此外，相对于社会最优水平，面 临互联风险的企业是否过度投资完全取决于信任风险大小。 其次，分别研究了黑客随机攻击和定向攻击情形下，基于微分博弈的信息系 统安全投资水平问题。研究了非合作博弈下信息系统安全投资的最优策略选择， 在此基础上，讨论了安全投资效率、黑客学习能力、传染率、目标替代率以及企 业的信息系统安全事件带来的损失等因素对信息系统脆弱性和最优信息系统安 全投资水平的影响。在讨论了黑客随机攻击和定向攻击两种情形下两企业合作博 弈情形下最优策略选择的基础上，分别对比了非合作情形下的博弈均衡结果，得 出在黑客随机攻击下企业维持低的投资率，在定向攻击下维持高的投资率。发现 构建一种相互的支付激励机制可以消除企业投资不足或者过度的问题，从而使企 业达到合作博弈下的最优投资水平，提高两个企业的联合收益。 再次，研究了信息系统安全外包背景下如何通过激励措施来协调信息系统安 全管理服务商的投入水平从而有效地控制信息系统安全风险的问题。考虑信息系 统安全特征，提出了三种契约模型，即一般惩罚契约、部分外包契约和奖励一惩 罚契约。在此基础上对不同契约模型的均衡结果进行讨论和比较。研究结果表明， 部分外包契约优于一般惩罚契约，但只有奖励一惩罚契约能够诱导信息系统安全 管理服务商最优投入的同时也使委托企业获得最大的回报。进一步，论文运用委 托代理模型分析了信息系统安全外包中双边道德风险问题。发现普通赔偿契约并 不能阻止双边道德风险。因此论文提出一种新的契约结构，即关系激励契约。通 万方数据 东南大学博士学位论文过研究发现在一定的条件下，这种契约能够规避双边道德风险，促进双方投入最 东南大学博士学位论文 过研究发现在一定的条件下，这种契约能够规避双边道德风险，促进双方投入最 优投入水平，提升社会福利且委托企业获得更好的收益。 最后，论文结合风险管理理论和博弈理论研究企业采用信息系统安全保险时 的投资策略及激励机制设计问题。一方面，为解决正向相互依赖下的信息系统安 全投资不足问题，设计一种基于保险免赔额的信息系统安全投资激励机制。结果 表明，适当的保险免赔额可以在一定程度上将这种负外部性内部化，进而改善了 企业安全水平，有效提高了社会福利。另一方面，通过对比非合作博弈和社会最 优下的自我防御投资和信息系统安全保险水平，提出相应的补贴协调机制。研究结 果表明当风险相互依赖程度趋于很小时，自我防御投资水平随其潜在安全损失的上 升而增大；企业在进行信息系统安全投资时往往会忽略对其他企业的边际外部成 本或收益的影响，这种负外部性特征会导致企业自我防御投资和信息系统安全保 险水平均低于社会最优化水平。政府通过补贴企业自我防御投资可以在一定程度 上协调企业的风险管理决策，进而改善了企业安全水平，有效提高社会福利。 关键词：信息系统安全；相互依赖性风险；投资策略；信息系统安全外包；信 息系统安全保险：激励机制 万方数据 摘要ABASTRCT 摘要 ABASTRCT With the rapid development of computer and network，information systems increasingly play key role in the operation and management for many companies．The information system security is more important．In order to reduce the probability of seriou