公務(wù)員期刊網(wǎng) 論文中心 正文

信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究

摘要:隨著當(dāng)今社會(huì)信息化水平的不斷發(fā)展,網(wǎng)絡(luò)攻擊帶來(lái)的危害和損失逐年增長(zhǎng)。各種組織和個(gè)人的信息安全意識(shí)不斷提高,投入不斷加大,產(chǎn)業(yè)規(guī)??焖僭鲩L(zhǎng)。在這樣的背景下,關(guān)注信息安全投資的質(zhì)量,能更有效提升組織的網(wǎng)絡(luò)安全水平,降低信息安全風(fēng)險(xiǎn)。本文提出了信息安全投資項(xiàng)目質(zhì)量評(píng)價(jià)模型,并應(yīng)用該模型得出了一家企業(yè)在不同投資期望情況下的最優(yōu)信息安全投資組合。

關(guān)鍵詞:信息安全;質(zhì)量評(píng)價(jià)模型;投資決策

全投資的主觀臆斷,降低信息安全投資的盲目性,提高信息安全投資的有效性。因此,企業(yè)在開展信息安全投資之前,應(yīng)對(duì)公司信息安全現(xiàn)狀進(jìn)行充分調(diào)研,充分考慮信息安全投資的質(zhì)量,制定出符合公司安全需求和投資預(yù)算的信息安全投資規(guī)劃項(xiàng)目,為下一步的信息安全投資打下基礎(chǔ)。

1信息安全項(xiàng)目質(zhì)量評(píng)價(jià)模型

1.1信息安全項(xiàng)目的評(píng)價(jià)模型

2002年,Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探討了公司信息安全威脅、單位損失、脆弱性和信息安全投資收益問(wèn)題。通過(guò)投資收益比,分析了最優(yōu)信息安全投資金額及其特點(diǎn),推測(cè)最優(yōu)信息安全投資量應(yīng)少于潛在損失的1/e(即36.79%)[3]。進(jìn)一步,通過(guò)比較兩種不同類型的攻擊,給出了最優(yōu)投資和脆弱性的關(guān)系。但是,Gordon-Loeb模型僅考慮了企業(yè)整體的信息安全風(fēng)險(xiǎn)和投資。在實(shí)際應(yīng)用中,企業(yè)面臨的整體風(fēng)險(xiǎn)不僅難以估算,而且得出的最優(yōu)信息安全投資額并不能指導(dǎo)公司實(shí)際信息安全投資行為。參考Gordon-Loeb的經(jīng)典模型,進(jìn)一步考慮特定的信息安全威脅、損失和脆弱性場(chǎng)景。公司的特定信息安全損失由三個(gè)因素組成,分別是單位損失λ;威脅t和脆弱性v。單位損失λ表示由特定威脅和特定脆弱性引起的單次信息安全事件所帶來(lái)的損失金額,用貨幣單位度量;威脅t表示某項(xiàng)特定威脅的發(fā)生概率;脆弱性v表示特定威脅成功造成損失的概率(其中,0≤t≤1,0≤v≤1)。特定信息安全風(fēng)險(xiǎn)的期望損失L,可以表示為:通常來(lái)說(shuō),一項(xiàng)脆弱性v可能會(huì)被多個(gè)威脅利用,因此一項(xiàng)特定脆弱性對(duì)應(yīng)的期望損失Lv應(yīng)該是所有可能利用到脆弱性v的風(fēng)險(xiǎn)的期望損失的和,可表示為:假定,組織總共有m項(xiàng)不相關(guān)的脆弱性v,則組織面臨的總體信息安全期望損失Ltotal可表示為:組織的各項(xiàng)不相關(guān)的脆弱性的組合可以用數(shù)組V表示:假設(shè)某項(xiàng)信息安全項(xiàng)目能夠通過(guò)降低某些脆弱性集合,來(lái)降低組織面臨的信息安全風(fēng)險(xiǎn)。為了計(jì)算方便,假定信息安全項(xiàng)目I的投資收益等于通過(guò)實(shí)施項(xiàng)目減少的信息安全期望損失。項(xiàng)目I通過(guò)減少脆弱性集合V來(lái)降低信息安全風(fēng)險(xiǎn)。項(xiàng)目對(duì)特定脆弱性vx的減少效果用vx′表示。信息安全項(xiàng)目I帶來(lái)的投資收益(即,減少的信息安全期望損失)S,可以表示為:在進(jìn)行風(fēng)險(xiǎn)評(píng)估計(jì)算期望損失時(shí),通常會(huì)估算組織一年內(nèi)的信息安全期望損失,也需要估算信息安全項(xiàng)目在同樣單位時(shí)間內(nèi)的成本。一般來(lái)說(shuō)信息安全項(xiàng)目在第一年投入成本較大,之后每年維護(hù)的費(fèi)用大致相等,同時(shí)項(xiàng)目也有使用年限,假設(shè)信息安全項(xiàng)目I的初始投入為X,項(xiàng)目每年維護(hù)費(fèi)用為Q,使用年限為W,貼現(xiàn)率為r,可計(jì)算出每年的項(xiàng)目成本C為:

1.2信息安全投資組合評(píng)價(jià)模型

由于組織存在多個(gè)信息安全脆弱性,面臨著多種安全風(fēng)險(xiǎn),難以通過(guò)實(shí)施一個(gè)信息安全項(xiàng)目來(lái)滿足組織所有的信息安全需求。組織往往通過(guò)實(shí)施信息安全項(xiàng)目組合的方式,來(lái)進(jìn)行信息安全投資。在實(shí)際的工作中,可以將組織進(jìn)行信息安全投資的過(guò)程抽象為,在有限的信息安全項(xiàng)目集合Y中,選擇合適的信息安全項(xiàng)目投資組合Z,來(lái)實(shí)現(xiàn)自己的信息安全投資目標(biāo)。假設(shè)組織存在m個(gè)不相關(guān)的脆弱性V,為了降低信息安全風(fēng)險(xiǎn),組織計(jì)劃從k個(gè)可供選擇的信息安全項(xiàng)目中選擇一組投資組合來(lái)實(shí)現(xiàn)信息安全投資目標(biāo)。每個(gè)項(xiàng)目的投資成本分別為Ci(i=1,2,…,k)。組織的信息安全項(xiàng)目投資組合Z,可以表示為:Z=(z1,z2,…,zk),zn=1or0,n=1,2…..,k當(dāng)zn=1時(shí),表示組織選擇投資第n個(gè)投資項(xiàng)目;zn=0時(shí),表示組織選擇不投資第n個(gè)項(xiàng)目。在實(shí)施單個(gè)項(xiàng)目zn后對(duì)組織的一系列脆弱性Vm(v1,v2,…,vm)的投資成效可以用數(shù)組Vn′來(lái)表示:項(xiàng)目zn投資后的特定脆弱性vm,將會(huì)調(diào)整為。信息安全項(xiàng)目集合Z對(duì)組織的一系列脆弱性Vm(v1,v2,…,vm)的投資成效系數(shù),可以用矩陣Vkm′來(lái)表示:在選擇一組信息安全投資組合時(shí),會(huì)有多個(gè)不同類型的信息安全投資項(xiàng)目作用于組織的某個(gè)特定脆弱性。信息安全投資組合Z對(duì)組織特定脆弱性vm的影響將取決于組織選擇的信息安全項(xiàng)目組合Z及其投資成效Vkm′。假定所有的信息安全項(xiàng)目不會(huì)帶來(lái)新的脆弱性,即。依據(jù)信息安全脆弱性的特性以及Gordon-Loeb模型的假設(shè)。項(xiàng)目組合Z投資后的殘余風(fēng)險(xiǎn)S′,可以通過(guò)計(jì)算所有特定脆弱性對(duì)應(yīng)的殘余風(fēng)險(xiǎn)的和求得,用公式表示為:

2基于信息安全項(xiàng)目質(zhì)量評(píng)價(jià)模型的最優(yōu)投資規(guī)劃組合

2.1A公司風(fēng)險(xiǎn)評(píng)估

充分理解公司業(yè)務(wù)和安全現(xiàn)狀是選擇信息安全投資組合的前提。通過(guò)分析不相關(guān)的脆弱性對(duì)應(yīng)的信息安全事件發(fā)生頻率和單位損失,評(píng)估出不同脆弱性的年度期望損失,可以大致描述出公司的信息安全現(xiàn)狀,幫助公司做出正確的決策。經(jīng)過(guò)風(fēng)險(xiǎn)分析,估算A公司每項(xiàng)不相關(guān)脆弱性對(duì)應(yīng)的年度期望損失。結(jié)果如表1所示:

2.2可選信息安全投資項(xiàng)目

A公司面對(duì)以上信息安全風(fēng)險(xiǎn),需采用一定的安全技術(shù)措施和管理手段來(lái)處置及預(yù)防這些風(fēng)險(xiǎn)。A公司了解到市場(chǎng)上有一系列信息安全投資項(xiàng)目,計(jì)劃從這些項(xiàng)目中選擇合適的投資項(xiàng)目來(lái)降低公司的信息安全風(fēng)險(xiǎn)。表2列舉了這些信息安全投資項(xiàng)目,并估算出A公司實(shí)施這些項(xiàng)目每年的投資成本。A公司在實(shí)施了上述信息安全投資項(xiàng)目后將會(huì)降低某些特定的脆弱性,通過(guò)降低這些特定的脆弱性,A公司的信息安全風(fēng)險(xiǎn)和期望損失將會(huì)減少。設(shè)信息安全投資項(xiàng)目實(shí)施后對(duì)每一項(xiàng)脆弱性的有效性系數(shù)為向量。其中,P是項(xiàng)目總數(shù);V是脆弱性的總數(shù);表示項(xiàng)目Pi能夠?qū)⒋嗳跣訴j的風(fēng)險(xiǎn)完全緩解;表示項(xiàng)目Pi對(duì)脆弱性Vj沒有效果;表示項(xiàng)目Pi對(duì)脆弱性Vj的有效性系數(shù)是0.5。通過(guò)安全人員對(duì)可選信息安全投資項(xiàng)目進(jìn)行評(píng)估,信息安全項(xiàng)目Pi針對(duì)特定脆弱性Vj的有效性系數(shù)在0-1之間。

2.3不同投資期望下的最優(yōu)信息安全投資組合

為了確定組織的最優(yōu)信息安全投資組合,不僅需要有評(píng)價(jià)信息安全投資效果的工具,還需要分析企業(yè)期望達(dá)到的投資效果。不同的企業(yè)基于不同的投資目的,有著不同的信息安全風(fēng)險(xiǎn)偏好水平和投資策略。可以依據(jù)企業(yè)對(duì)信息安全投資的風(fēng)險(xiǎn)偏好水平和投資策略,制定最優(yōu)的信息安全投資組合。2.3.1明確信息安全需求下的最優(yōu)投資組合。假設(shè)A公司明確了投資策略,確定了信息安全需求,希望將公司的整體信息安全風(fēng)險(xiǎn)水平降低70%以上。那么A公司的最優(yōu)投資組合,就是以最小的代價(jià)滿足以上的風(fēng)險(xiǎn)水平。王軍提出了信息安全投資的智能化決策方法[4],對(duì)其方法加以改進(jìn),結(jié)合離散二進(jìn)制PSO算法[5]來(lái)幫助進(jìn)行投資決策。選擇粒子群個(gè)數(shù)為1000個(gè),迭代次數(shù)200次,慣性權(quán)重w=1,自我學(xué)習(xí)因子c1=0.5,群體學(xué)習(xí)因子c2=0.5,適應(yīng)值是信息安全投資成本,判斷標(biāo)準(zhǔn)是使投資效果E大于等于投資需求Eneed。運(yùn)用MATLAB計(jì)算出上述投資決策的結(jié)果(圖1)。通過(guò)運(yùn)行上述程序,可以得到最優(yōu)的投資組合及其對(duì)應(yīng)的投資金額。圖1(左)中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合,在迭代過(guò)程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資效果為70.27%,使公司的整體信息安全風(fēng)險(xiǎn)水平降低70%以上,且投資金額為650萬(wàn)的點(diǎn))附近收斂。圖1(右)顯示了最優(yōu)投資組合的收斂過(guò)程,在本例中經(jīng)過(guò)69次迭代達(dá)到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一組0-1二元向量,公司選擇投資信息安全意識(shí)培訓(xùn)、信息安全管管理體系項(xiàng)目、應(yīng)用層防火墻、終端安全管理軟件、安全掃描和評(píng)估項(xiàng)目、系統(tǒng)備份容災(zāi)項(xiàng)目、堡壘機(jī)項(xiàng)目、雙因素認(rèn)證項(xiàng)目、郵件安全項(xiàng)目,投資組合的金額為650萬(wàn)。使得公司的信息安全期望損失減少70%以上,且投資的成本最小。2.3.2給定預(yù)算金額情況下的最優(yōu)投資組合。假設(shè)A公司進(jìn)行信息安全投資的預(yù)算為500萬(wàn),公司希望在有限的投資金額內(nèi),將信息安全風(fēng)險(xiǎn)水平降低到盡可能低的程度。同樣,公司應(yīng)用離散二進(jìn)制PSO算法來(lái)幫助進(jìn)行投資決策,將適應(yīng)值調(diào)整為投資效果E,判斷標(biāo)準(zhǔn)是在預(yù)算范圍內(nèi)使E最大。利用MATLAB運(yùn)算求解上述投資決策,可以得到此條件下最優(yōu)的投資組合及其對(duì)應(yīng)的投資金額。圖2-2(左)中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合,在迭代過(guò)程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資效果為63.91%,且投資金額為500萬(wàn)的點(diǎn))附近收斂。圖2-2(右)顯示了最優(yōu)投資組合的收斂過(guò)程,在本例中經(jīng)過(guò)62次迭代達(dá)到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一個(gè)二元向量公司選擇投資信息安全意識(shí)培訓(xùn)、信息安全管管理體系項(xiàng)目、應(yīng)用層防火墻、蜜罐系統(tǒng)、安全掃描和評(píng)估項(xiàng)目、運(yùn)維監(jiān)控平臺(tái)、堡壘機(jī)項(xiàng)目、雙因素認(rèn)證項(xiàng)目、郵件安全項(xiàng)目,投資組合的金額為500萬(wàn),且獲得了對(duì)應(yīng)金額投資情況下最大的投資收益。2.3.3風(fēng)險(xiǎn)厭惡型企業(yè)的最優(yōu)投資組合。假設(shè)A公司希望盡可能地降低信息安全風(fēng)險(xiǎn),使投資組合能夠產(chǎn)生最大的投資效果。易知,如果A公司對(duì)全部項(xiàng)目進(jìn)行投資,則信息安全投資效果最大。但是在現(xiàn)實(shí)的案例中,很少有公司會(huì)選擇對(duì)全部項(xiàng)目進(jìn)行投資。在本例中將投資效果精確到小數(shù)點(diǎn)后兩位,并計(jì)算一系列投資效果最大的投資組合中投資成本最小的投資組合。公司應(yīng)用離散二進(jìn)制PSO算法來(lái)幫助進(jìn)行投資決策,適應(yīng)值為投資效果E,判斷標(biāo)準(zhǔn)是使E最大,同時(shí)記錄下滿足E最大情況下的,最小投資成本對(duì)應(yīng)的投資組合。隨著信息安全投資金額的增加,安全項(xiàng)目增多,信息安全投資收益趨于平穩(wěn),變化不大,因此為了使算法可以有效收斂,將縱坐標(biāo)投資效果的精度降低。因?yàn)樵谶@一區(qū)間,信息安全額外的投入帶來(lái)的收益將越來(lái)越小,將投資效果的精度降低,也符合企業(yè)在做投資決策時(shí)通常會(huì)采用的策略。利用MATLAB運(yùn)算求解上述投資決策,可以得到此條件下最優(yōu)的投資組合及其對(duì)應(yīng)的投資金額。圖3中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合,在迭代過(guò)程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資效果為89%,且投資金額為1890萬(wàn)的點(diǎn))附近收斂。2.3.4利潤(rùn)偏好型企業(yè)的最優(yōu)投資組合。假設(shè)公司A是利潤(rùn)偏好型企業(yè),希望通過(guò)信息安全投資實(shí)現(xiàn)信息安全項(xiàng)目收益與成本之差(即,利潤(rùn))的最大化,并愿意為獲得這些收益承擔(dān)一定的信息安全風(fēng)險(xiǎn)。同樣,公司應(yīng)用離散二進(jìn)制PSO算法來(lái)幫助進(jìn)行投資決策,適應(yīng)值為投資利潤(rùn)profit,判斷標(biāo)準(zhǔn)是使投資利潤(rùn)profit值最大,同時(shí)記錄下投資利潤(rùn)profit最大情況下對(duì)應(yīng)的投資組合。根據(jù)上述適應(yīng)值和判斷標(biāo)準(zhǔn)修改程序,利用MATLAB運(yùn)算求解利潤(rùn)偏好型企業(yè)的投資決策,可以得到此條件下最優(yōu)投資組合及其對(duì)應(yīng)的投資金額。圖4(左)中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的投資組合,在迭代過(guò)程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資收益為388.6萬(wàn),且投資成本為160萬(wàn),投資利潤(rùn)為228.6萬(wàn)的點(diǎn))附近收斂。圖4(右)顯示了最優(yōu)投資組合的收斂過(guò)程,在本例中經(jīng)過(guò)44次迭代達(dá)到了最優(yōu)投資組合。2.3.5最優(yōu)信息安全投資組合集。以A公司為例,利用MATLAB分別計(jì)算不同信息安全需求情況下的最優(yōu)投資組合及其對(duì)應(yīng)的成本收益。圖5中的藍(lán)點(diǎn)分別代表不同信息安全需求下的最優(yōu)投資組合對(duì)應(yīng)的成本收益,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過(guò)程中遍歷到的所有投資組合的成本收益,藍(lán)色曲線附近的點(diǎn)就是最優(yōu)信息安全投資組合的成本收益,組成了最優(yōu)投資組合集Q。通過(guò)上述實(shí)例,可以觀察到由最優(yōu)信息安全投資組合模型求解的最優(yōu)投資組合集Q,隨著投資金額的增大,投資效果也增大,但是投資效果的增長(zhǎng)幅度越來(lái)越小,符合效用理論[6]。

3結(jié)束語(yǔ)

本文主要研究了組織的信息安全投資決策問(wèn)題。參考Gordon-Loeb模型,提出了信息安全投資評(píng)價(jià)模型。使組織可以借助該模型選擇最優(yōu)信息安全投資組合。但是,本文提出的模型中的信息安全投資收益,只考慮了實(shí)施信息安全投資項(xiàng)目所降低的期望損失所獲得投資收益,并未考慮信息安全投資項(xiàng)目可能帶來(lái)的業(yè)務(wù)擴(kuò)展、商譽(yù)等正收益。在今后的研究中可以把信息安全投資的正收益納入投資收益的計(jì)算中。

作者:張智銘 單位:上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院