信息安全与经济学.pptVIP

北京图形研究所 信息安全与经济学—从经济学的视角认识信息安全问题 曹鸿强 报告提纲 1. 前言 2. 信息安全问题与经济学 3. 信息安全的一个经济学模型 4. 信息安全经济学的科学学 5. 结束语 1. 前言 1. 基本概念 信息安全 信息的机密性、完整性和可用性 经济学 稀缺条件下的理性选择 2. 研究信息安全经济学的意义所在 试图解决或者说是调和信息安全需求不断增长与信息安全投入有限之间的矛盾 1. 前言 3.第一届信息安全与经济学研讨会的基本情况 2002年5月在美国加州大学伯克利分校举行。 研讨会的主席之一是著名的学者HAL R. VARIAN（哈尔范里安），他著有微观经济学的经典教材：《微观经济学：现代观点》和《微观经济分析》。 1. 前言 3.第一届信息安全与经济学研讨会的基本情况 研讨会主题 安全经济学的历史 信息安全的测度和市场 信息安全的优化投资 经济学理论在信息安全中的应用 技术机制的激励 隐私和自由 其它问题 下一届年会：2003年5月，马里兰大学 2. 信息安全问题与经济学 1. 信息安全问题的特点 可以避免的信息安全事故及其危害是有限的 在信息系统的系统生命周期中，信息安全事故虽然可以避免，但是难于完全或者绝对避免。 对于各种信息安全事故的负面后果及影响，虽然可以避免，但是难于完全或者绝对避免。 对于信息安全的需求总是具有相对性 某种信息安全水平在某种特定的情况下被认为是安全的，但在另外的情况下就不一定仍旧被认为是安全。 某种信息安全水平对于某个特定的组织机构认为是安全的，但对另外的组织机构就可能被认为是不安全的，甚至是危险的。 2. 信息安全问题与经济学 1. 信息安全问题的特点 信息安全现象具有极向性的特点 信息安全事故及其危害是一种“零－无穷大”的稀少事件，即：或者单个事故发生的可能性很小，而后果十分严重，例如通过计算机网络泄露国家机密；或者危害的作用强度很小，但危害涉及的范围却很广，例如计算机文档的宏病毒。 描述信息安全水平的两个参量－安全性和危险性具有互补性，即安全性＝1－危险性：当安全性趋于最大值时，危险性就趋于最小值，反之亦然。 人类从事信息安全活动，总是希望以最小的经济力量（人、财、物）投入取得最大的信息安全效益。 2. 信息安全问题与经济学 2. 信息安全的成本效益分析 从系统生命周期看信息安全的成本：获取成本和运行成本 从安全防护手段看信息安全的成本：技术成本和管理成本 信息安全的价值效益：减少信息安全事故的经济损失 信息安全的非价值效益：增加声誉、提升品牌价值 2. 信息安全问题与经济学 信息系统安全防护模型 2. 信息安全问题与经济学 2. 信息安全问题与经济学 2. 信息安全的成本效益分析 信息安全的成本函数 C(S)=C*exp[c/(1-S)]+C0 其中C0,c0,C00 信息安全的效益函数 减损效益函数：L(S)=L*exp(S0/S)+L0 其中S00,L0,L00 增值效益函数：I(S)=I*exp(-S1/S) 其中S10,I0 2. 信息安全问题与经济学 2. 信息安全的成本效益分析 2. 信息安全问题与经济学 问题1（个体福利最大化）：隐私信息和匿名信息 隐私信息需要保护，以保证信息安全 匿名信息需要传播，以获取定制服务（CRM） 两者存在一定程度的冲突，即有制约关系 理性选择：一定约束下的最大效用 信息安全是一种商品。 2. 信息安全问题与经济学 问题2（市场均衡）：垃圾邮件 邮件服务提供者向消费者收取服务费 消费者要求邮件服务提供者保证服务质量 服务质量包括单位时间的垃圾邮件数 服务的价格由市场竞争决定 信息安全的价格应当由市场机制确定。 2. 信息安全问题与经济学 问题3（经济外部性）：网络安全 你越安全，你的客户和合作伙伴就越安全，因为网络 你越不安全，你的客户和合作伙伴就越不安全，还是因为网络 消除外部性的途径： 信息安全标准：由法规确定信息安全的最低程度 科斯定理：在关联组织之间明晰信息安全的产权 有权不安全，则由别人花钱购买自己的安全 没权不安全，则花钱向别人购买自己的不安全 庇古税（补贴）：政府引导的经济机制—对信息不安全收费 信息不安全是一种污染。（外部不经济理论） 2. 信息安全问题与经济学 问题3（经济外部性）：网络安全 作为公共物品的信息安全：公用地悲剧 多个企业共同拥有一个计算机网络。 某个企业上网的计算机越多，该企业信息系统的价值就越大。 网上的计算机的总数越多，网络就越不安全，这会导致各个企业的信息系统都减值。 个体优化和整体优化不一致，结果