[東南大學(xué) 南京 211189]

引言

目前，網(wǎng)絡(luò)安全投資策略研究受到國內(nèi)外學(xué)者的廣泛關(guān)注，企業(yè)網(wǎng)絡(luò)安全投資策略不僅需要考慮企業(yè)信息系統(tǒng)的特點(diǎn)、信息資產(chǎn)的特點(diǎn)、企業(yè)的成本、潛在損失，還需要考慮黑客的行為，黑客的攻擊類型，黑客的入侵概率、入侵收益、攻擊成本等。

黑客的攻擊類型一般分為兩種：隨機(jī)攻擊（opportunistic attack或mass attack）和定向攻擊（targeted attack）。Ponemon機(jī)構(gòu)和Richardson電腦安全機(jī)械對這兩種類型的攻擊進(jìn)行了定義，指出隨機(jī)攻擊并不針對特定的目標(biāo)進(jìn)行攻擊，只是對可以連接的、容易訪問的節(jié)點(diǎn)進(jìn)行攻擊，采取的主要方式為蠕蟲病毒、監(jiān)控軟件、釣魚軟件和垃圾郵件等，而定向攻擊則是針對特定的信息系統(tǒng)進(jìn)行攻擊，用于盜取數(shù)據(jù)或者進(jìn)行破壞，采取的主要方式是拒絕服務(wù)、定向入侵等。

有關(guān)黑客攻擊方式及其技術(shù)的研究，Gao X，Zhong W討論了兩個競爭企業(yè)與一個黑客在隨機(jī)攻擊與定向攻擊兩種攻擊情形下的安全投資策略，結(jié)果發(fā)現(xiàn)，一定條件下，黑客采用定向攻擊比采用隨機(jī)攻擊能夠獲得更高的期望收益。論文進(jìn)一步檢驗了安全要求對安全投資策略的影響，指出當(dāng)兩企業(yè)的競爭比較激烈時，在定向攻擊與隨機(jī)攻擊兩種情形下，兩企業(yè)都愿意接受嚴(yán)格的安全管理要求；當(dāng)兩企業(yè)的競爭比較溫和時，在定向攻擊與隨機(jī)攻擊兩情形下，兩企業(yè)都愿意接受寬松的安全管理要求[1]。Xing Gao，Weijun Zhong，Shue Mei采用博弈論方法研究了相關(guān)聯(lián)企業(yè)的安全投資，分別考慮了隨機(jī)攻擊、定向攻擊和信息系統(tǒng)的薄弱水平，指出并不是所有的安全風(fēng)險都值得防御，企業(yè)面對定向攻擊時，應(yīng)該提高安全投資去彌補(bǔ)信息系統(tǒng)的脆弱水平，而面對隨機(jī)攻擊時，企業(yè)應(yīng)該提高具有中等脆弱水平的信息系統(tǒng)[2]。Png I P L，Wang Q H考慮了隨機(jī)攻擊與定向攻擊背景下的兩種策略效果的對比：對用戶預(yù)警和用法律約束攻擊者這兩種策略哪一種更有效果，結(jié)論為，無論是在隨機(jī)攻擊還是在定向攻擊的情況下，用戶預(yù)警都可以減少終端用戶的期望損失；當(dāng)預(yù)警成本與攻擊成本很低的時候，對用戶預(yù)警比使用法律約束攻擊者更有效；在定向攻擊下，在信息安全高估值的情況下，對用戶預(yù)警更有效，在信息安全較低估值的情況下，法律更有效[3]。

有關(guān)信息系統(tǒng)和信息資產(chǎn)脆弱性的研究，Gordon L A，Loeb M P提出了一個在給定信息設(shè)置的情況下可以確定最優(yōu)投資額的經(jīng)濟(jì)模型，模型考慮了信息的脆弱性及入侵造成的潛在損失，指出沒有必要把投資放到脆弱程度最高的信息資產(chǎn)上面，而應(yīng)該把投資放到脆弱程度中等的信息資產(chǎn)上面[4]。Y Miaoui，N Boudriga介紹了近年來與企業(yè)信息系統(tǒng)及信息資產(chǎn)相關(guān)的各種脆弱性研究，并對17年來國家脆弱性數(shù)據(jù)庫數(shù)據(jù)進(jìn)行回歸分析預(yù)測安全投資過程中脆弱程度的演化。結(jié)果表明，面對定向攻擊的情況下，最優(yōu)安全投資額總是隨著脆弱程度的增大而增大，脆弱類型不同增大程度不同。與定向攻擊不同，在隨機(jī)攻擊情形下，最優(yōu)安全投資額并不總是隨著脆弱程度的增大而增大。最優(yōu)安全投資額還取決于決策者對風(fēng)險的態(tài)度[5]。熊強(qiáng)，仲偉俊，梅姝娥分析了供應(yīng)鏈中處于主從地位的兩種企業(yè)的信息資產(chǎn)價值、網(wǎng)絡(luò)脆弱性、共享成本、信息安全互補(bǔ)性等因素在供應(yīng)鏈信息系統(tǒng)安全決策中的影響，通過建立并比較主從對策模型與Cournot模型兩種決策模型，為供應(yīng)鏈中各方企業(yè)進(jìn)行信息安全投資及共享決策提供了決策判斷依據(jù)[6]。Huseyin Cavusoglu，Srinivasan Raghunathan，WeiT Yue采用了博弈論方法來確定信息安全投資水平，并且在安全投資水平、信息系統(tǒng)脆弱性、投資收益方面與決策理論方法進(jìn)行了比較，研究認(rèn)為采用博弈方法在一定條件下比采用決策理論更有可能取得最大收益[7]。Nagurney A，Shukla S提出了三個安全投資模型，在合作或競爭的條件下對三個模型進(jìn)行了均衡分析，并對三個模型中的網(wǎng)絡(luò)脆弱性與潛在損失的關(guān)系進(jìn)行了比較[8]。Nagurney A，Nagurney L S，Shukla S建立了供應(yīng)鏈中多個零售商與多個消費(fèi)者的期望效用/期望利潤的博弈模型，研究了網(wǎng)絡(luò)脆弱性對安全投資及價格需求函數(shù)的影響[9]。Schechter S，Smith M采用經(jīng)濟(jì)威脅模型研究了一個企圖利用網(wǎng)絡(luò)脆弱性進(jìn)入企業(yè)系統(tǒng)的對手的行為，而信息共享可以阻止對手入侵，間接提高安全技術(shù)的效率[10]。Bandyopadhyay T，Liu D，Mookerjee V S等采用微分博弈模型對兩個企業(yè)連續(xù)時間內(nèi)的安全投資與一個黑客進(jìn)行博弈研究，黑客可以根據(jù)自己的偏好識別保護(hù)能力比較弱的目標(biāo)，從而造成兩個企業(yè)之間的競爭，最后推導(dǎo)出穩(wěn)定均衡解，文獻(xiàn)把黑客的偏好定義成兩種形式，一種偏好從網(wǎng)絡(luò)系統(tǒng)的脆弱程度即網(wǎng)絡(luò)系統(tǒng)入侵的難易程度來選擇攻擊目標(biāo)，另一種偏好從信息資產(chǎn)價值選擇攻擊目標(biāo)[11]。

企業(yè)的投資成本是有限的，需要在一定的資金預(yù)算下進(jìn)行網(wǎng)絡(luò)安全投資。Huang C D, Behara R S研究了一定預(yù)算約束下企業(yè)面對多種攻擊類型下的信息安全投資，重點(diǎn)研究了企業(yè)同時面對隨機(jī)攻擊和定向攻擊兩種攻擊情形下的安全投資，討論了企業(yè)在這兩種攻擊情形下的最優(yōu)安全投資及其投資分配[2]。

隨著企業(yè)安全意識的提高和防病毒軟件以及信息系統(tǒng)技術(shù)的進(jìn)步，黑客不再采用單一的攻擊方式，一般情況下同時采用不同的攻擊方法，即隨機(jī)攻擊和定向攻擊相結(jié)合的攻擊方式。而企業(yè)網(wǎng)絡(luò)系統(tǒng)由于其自身的特點(diǎn)和投資的側(cè)重點(diǎn)不同存在不同的脆弱性。一些企業(yè)自恃信息系統(tǒng)安全等級較高，安全意識淡薄，即使隨機(jī)攻擊中的普通蠕蟲病毒也可能使系統(tǒng)遭到入侵。一些企業(yè)信息系統(tǒng)安全等級并不高，但平時注意信息系統(tǒng)的更新、安全人員的培訓(xùn)等，即使黑客的定向攻擊也能及早發(fā)現(xiàn)及時阻止。因此，每個企業(yè)的網(wǎng)絡(luò)系統(tǒng)由于其人員、管理、技術(shù)、安全培訓(xùn)等原因具有不同的脆弱性。面對黑客隨機(jī)攻擊與定向攻擊相結(jié)合的復(fù)雜攻擊，企業(yè)的信息系統(tǒng)由于其脆弱性一般存在兩種情形：一種是信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱，即企業(yè)網(wǎng)絡(luò)系統(tǒng)容易阻止隨機(jī)攻擊的入侵，但不能阻止定向攻擊的入侵；另一種是信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱，即企業(yè)網(wǎng)絡(luò)系統(tǒng)容易阻止定向攻擊的入侵，但沒能阻止隨機(jī)攻擊的入侵。

論文在參考以前文獻(xiàn)的基礎(chǔ)上，同時考慮了以上企業(yè)信息系統(tǒng)的不同脆弱性和企業(yè)的資金預(yù)算約束，通過建立經(jīng)濟(jì)模型給出了不同脆弱性的網(wǎng)絡(luò)系統(tǒng)的安全投資及其投資分配策略。

一、模型

攻擊類型不同對企業(yè)安全投資的影響不同，入侵函數(shù)也不同。Gordon，Loeb首先對攻擊者的這兩種入侵函數(shù)進(jìn)行了區(qū)分，稱為第一種入侵函數(shù)與第二種入侵函數(shù)[4]。Huang采用經(jīng)濟(jì)學(xué)模型研究了一定預(yù)算下單個企業(yè)在同時面對多種攻擊類型時的信息安全投資及其投資分配，文獻(xiàn)重點(diǎn)分析了隨機(jī)攻擊和定向攻擊兩種攻擊類型，并從函數(shù)上進(jìn)行了明確區(qū)分[7]。對隨機(jī)攻擊入侵函數(shù)的定義為：對定向攻擊入侵函數(shù)的定義為：其中參數(shù)反應(yīng)了信息系統(tǒng)的暴露程度，與企業(yè)和其他企業(yè)的聯(lián)系頻繁程度和網(wǎng)絡(luò)系統(tǒng)的信息技術(shù)有關(guān)；表示類型攻擊的入侵概率，表示企業(yè)面對類型攻擊的安全投資，表示企業(yè)面對類型攻擊的安全投資效率，表示企業(yè)信息系統(tǒng)受到入侵以后的損失。

（一）企業(yè)信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱

企業(yè)信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱，在此情形下意味著企業(yè)網(wǎng)絡(luò)系統(tǒng)容易阻止隨機(jī)攻擊的入侵，卻不能阻止定向攻擊的入侵。此時黑客對企業(yè)信息系統(tǒng)的入侵概率為：等式右邊表示，黑客采取的組合攻擊中，隨機(jī)攻擊入侵方式?jīng)]能成功，但定向攻擊成功入侵了企業(yè)信息系統(tǒng)。此時企業(yè)進(jìn)行安全投資的期望成本為：

結(jié)論1：當(dāng)信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱時，在暴露程度時，安全投資總額存在最小值在暴露程度時，安全投資總額存在最大值

結(jié)論1說明，當(dāng)暴露程度比較大的時候，企業(yè)必須進(jìn)行一定的投資，投資總額存在最小值；當(dāng)暴露程度比較小的時候，企業(yè)可以進(jìn)行較少的安全投資，投資總額存在一個最大值。

對結(jié)論1的證明如下：

由于企業(yè)的安全投資必須有正的收益，使企業(yè)的投資邊際利潤不能為0，否則企業(yè)就不會進(jìn)行投資。所以，當(dāng)時，需要即因為當(dāng)時，

結(jié)論2：當(dāng)信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱時，在安全投資總額S非常大的時候，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額S的增大而減小，相對應(yīng)地，對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額S的增大而增大。

結(jié)論3：當(dāng)信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱時，在安全投資總額S非常小時，對定向攻擊類型的投資分配存在兩種情況，當(dāng)信息系統(tǒng)的暴露程度比較小時，對定向攻擊類型的投資分配和對隨機(jī)攻擊類型的投資分配趨向于一個確定的值，不受安全投資總額S的增大或減小的影響；當(dāng)信息系統(tǒng)的暴露程度比較大時，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額S的增大而減小，相對應(yīng)地，對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額S的增大而增大。

結(jié)論2和結(jié)論3證明如下：

當(dāng)暴露程度c→0時，

因此，當(dāng)安全投資總額S非常小時，對定向攻擊類型的投資分配存在兩種情況，當(dāng)信息系統(tǒng)的暴露程度比較小時，對定向攻擊類型的投資分配和對隨機(jī)攻擊類型的投資分配趨向于一個確定的值，不受安全投資總額S的增大或減小的影響；當(dāng)信息系統(tǒng)的暴露程度比較大時，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額S的增大而減小，而對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額S的增大而增大。企業(yè)在安全投資比較少的情況下，可以對定向攻擊投資和對隨機(jī)攻擊投資按一定比例進(jìn)行分配，其對安全影響不大；如果在安全投資比較大的情況下，應(yīng)該隨著總投資增加，加大對防御定向攻擊類型的投資，減少對防御隨機(jī)攻擊類型的投資。

結(jié)論4：當(dāng)信息系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱時，在最優(yōu)安全投資與網(wǎng)絡(luò)暴露程度的關(guān)系中，面對定向攻擊的最優(yōu)安全投資隨著企業(yè)信息系統(tǒng)暴露程度的增加而減少，而對隨機(jī)攻擊的最優(yōu)安全投資應(yīng)隨著企業(yè)信息系統(tǒng)暴露程度的增加而增加。

由以上可以看出，隨著信息系統(tǒng)暴露程度的增加，面對定向攻擊的最優(yōu)安全投資應(yīng)該減少，而對隨機(jī)攻擊的最優(yōu)安全投資應(yīng)該逐步增加。即在企業(yè)進(jìn)行一定安全投資的情況下，企業(yè)信息系統(tǒng)與外界聯(lián)系越頻繁，對隨機(jī)攻擊的安全投資應(yīng)該逐步增加，而對定向攻擊的安全投資應(yīng)該減少。

（二）企業(yè)信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱

企業(yè)信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱，在此情形下意味著企業(yè)信息系統(tǒng)容易阻止定向攻擊的入侵，不能阻止隨機(jī)攻擊的入侵，此時黑客對企業(yè)信息系統(tǒng)的入侵概率為：等式右邊表示，定向攻擊入侵沒能成功，但隨機(jī)攻擊成功入侵企業(yè)信息系統(tǒng)。此時企業(yè)進(jìn)行安全投資的期望成本為：

結(jié)論5：當(dāng)信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱時，安全投資總額存在最大值。

結(jié)論6：當(dāng)信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱時，對定向攻擊類型的投資額應(yīng)隨著安全投資總額的增大而增大，相對應(yīng)地，對隨機(jī)攻擊類型的投資額應(yīng)隨著安全投資總額的增大而減小。

對結(jié)論1和結(jié)論2的證明如下：

由于企業(yè)的安全投資必須有正的收益，使企業(yè)的投資邊際利潤不能為0，否則企業(yè)就不會進(jìn)行投資，所以當(dāng)時，需要即因為很顯然不等式成立。

結(jié)論7：當(dāng)信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱時，在企業(yè)信息系統(tǒng)成功阻止了定向攻擊的入侵，但沒能成功阻止隨機(jī)攻擊入侵的情況下，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而減小，而對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而增大。

由以上可以看出，當(dāng)信息系統(tǒng)防御定向攻擊能力較強(qiáng)，防御隨機(jī)攻擊能力較弱時，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而減小，而對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而增大，不受網(wǎng)絡(luò)暴露程度的影響，不同于第一種情況的結(jié)論。在此情況下，企業(yè)應(yīng)根據(jù)信息系統(tǒng)的特點(diǎn)加大防御隨機(jī)攻擊類型的投資分配，而對防御定向攻擊類型的投資分配可適當(dāng)減少。

二、結(jié)論

本論文對一定預(yù)算約束下的企業(yè)網(wǎng)絡(luò)安全投資進(jìn)行了研究，在研究中主要考慮了企業(yè)網(wǎng)絡(luò)具有不同的脆弱性，即面對黑客隨機(jī)攻擊與定向攻擊相互結(jié)合的攻擊方式，有些企業(yè)的網(wǎng)絡(luò)系統(tǒng)防御隨機(jī)攻擊能力較強(qiáng)，防御定向攻擊能力較弱，另一些企業(yè)的網(wǎng)絡(luò)系統(tǒng)防御定向攻擊能力較強(qiáng)，而防御隨機(jī)攻擊能力較弱。

第一種情形下的主要結(jié)論包括：當(dāng)安全投資總額非常大的時候，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而減小，而對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而增大。當(dāng)安全投資總額非常小時，對定向攻擊類型的投資分配存在兩種情況：當(dāng)信息系統(tǒng)的暴露程度比較小時，對定向攻擊類型的投資分配和對隨機(jī)攻擊類型的投資分配趨向于一個確定的值，不受安全投資總額的增大或減小的影響；當(dāng)信息系統(tǒng)的暴露程度比較大時，對定向攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而減小，相對應(yīng)地，對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而增大。在最優(yōu)安全投資與網(wǎng)絡(luò)暴露程度的關(guān)系中，面對定向攻擊的最優(yōu)安全投資隨著企業(yè)信息系統(tǒng)暴露程度的增加而減少，而對隨機(jī)攻擊的最優(yōu)安全投資應(yīng)隨著企業(yè)信息系統(tǒng)暴露程度的增加而增加。

第二種情況下得出的結(jié)論則與第一種情況有所不同，主要結(jié)論包括：安全投資總額存在最大值。對定向攻擊類型的投資額應(yīng)隨著安全投資總額的增大而增大，而對隨機(jī)攻擊類型的投資額應(yīng)隨著安全投資總額的增大而減小。對定向攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而減小，而對隨機(jī)攻擊類型的投資分配應(yīng)隨著安全投資總額的增大而增大。

本論文重點(diǎn)研究了企業(yè)面對組合攻擊下的安全投資，研究結(jié)果可以為企業(yè)的網(wǎng)絡(luò)安全投資提供參考，企業(yè)可以根據(jù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)特點(diǎn)及與外界的聯(lián)系頻繁程度進(jìn)行合理的投資分配。