張子健，李 傲

網(wǎng)絡(luò)脆弱性及網(wǎng)絡(luò)空間供應(yīng)鏈安全彈性投資協(xié)調(diào)機制

張子健，李 傲

（重慶交通大學 經(jīng)濟與管理學院，重慶 400074）

網(wǎng)絡(luò)空間供應(yīng)鏈中企業(yè)的安全水平是受自身對網(wǎng)絡(luò)安全的投入、網(wǎng)絡(luò)脆弱性和相關(guān)聯(lián)企業(yè)在網(wǎng)絡(luò)安全方面的投入等多因素的影響。本研究首先討論了分散決策下在網(wǎng)絡(luò)脆弱性影響下，供應(yīng)商和零售商成員網(wǎng)絡(luò)安全彈性的投資策略選擇，在此基礎(chǔ)上分析了網(wǎng)絡(luò)脆弱性、關(guān)聯(lián)企業(yè)在網(wǎng)絡(luò)安全方面的投入、對企業(yè)安全投資水平的影響。其次，在合作博弈情形下推導出供應(yīng)商和零售商的最優(yōu)投資策略，分析兩種情形下的博弈，得出企業(yè)在非合作博弈下的網(wǎng)絡(luò)安全投資不足。最后設(shè)計一種協(xié)調(diào)補償機制形成網(wǎng)絡(luò)投資不足問題，促使供應(yīng)鏈整體的安全彈性投資水平最優(yōu)。

網(wǎng)絡(luò)空間供應(yīng)鏈；網(wǎng)絡(luò)脆弱性；安全彈性；協(xié)調(diào)機制

0 引言

互聯(lián)網(wǎng)絡(luò)下的供應(yīng)鏈近些年已經(jīng)變得越來越脆弱，一些引人注目的網(wǎng)絡(luò)攻擊事件癱瘓了知名大公司的供應(yīng)鏈，揭示出黑客的進入常常是針對供應(yīng)鏈間連接的薄弱環(huán)節(jié)。美國信息安全論壇（Information Security Forum）2013年所發(fā)布的研究報告顯示，企業(yè)組織所遭遇的數(shù)據(jù)安全破壞有40%以上是來自于其供應(yīng)商所形成的攻擊[1]。網(wǎng)絡(luò)犯罪者越來越意識到“這是能夠進行網(wǎng)絡(luò)攻擊的有效渠道”[1]。不斷增加的復雜性以及對供應(yīng)鏈可視化要求的提升，更加惡化了這一情況。供應(yīng)鏈的本質(zhì)要求企業(yè)與其合作伙伴之間交換敏感信息，整個供應(yīng)鏈中，零售商、供應(yīng)商、第三方物流公司等對信息數(shù)據(jù)保護的能力高度不同，互聯(lián)網(wǎng)竊賊常常會利用最薄弱的環(huán)節(jié)，即利用網(wǎng)絡(luò)脆弱點展開攻擊。而就互聯(lián)網(wǎng)風險而言，不斷增加的對互聯(lián)網(wǎng)的依賴性導致在一個網(wǎng)絡(luò)中的供應(yīng)商數(shù)量不斷增加，因此這又增加了組織間連接的數(shù)量(Dederick et al., 2008)[2]，這些鏈接增加了網(wǎng)絡(luò)脆弱性，為網(wǎng)絡(luò)攻擊提供了溫床并且以此來進行對網(wǎng)絡(luò)中其他部分的攻擊?；诖?，業(yè)界與研究者將此類由關(guān)鍵信息組件和服務(wù)所構(gòu)成的供應(yīng)鏈定義為“網(wǎng)絡(luò)空間供應(yīng)鏈（Cyber Supply Chain）”,意指整個網(wǎng)絡(luò)空間的關(guān)鍵成員，包括系統(tǒng)終端使用者、信息供應(yīng)商、系統(tǒng)整合商、政策制定者，這些成員在所構(gòu)成的供應(yīng)鏈組織及流程層面交互計劃、建設(shè)、管理、維系并保護網(wǎng)絡(luò)空間[3,4]。對其安全管理的專門研究領(lǐng)域“網(wǎng)絡(luò)空間供應(yīng)鏈安全（Cyber Supply Chain Security）”也正在快速形成（Boyson et al., 2009；Linton et al., 2014；Bartol，2014）[5-7]，致力于通過系統(tǒng)終端使用者、信息供應(yīng)商、系統(tǒng)整合商以及政策制定者共同治理和維護網(wǎng)絡(luò)安全，實現(xiàn)網(wǎng)絡(luò)空間供應(yīng)鏈各環(huán)節(jié)的安全性和可控性。

企業(yè)必須對供應(yīng)鏈能力進行投資以抵抗來自互聯(lián)網(wǎng)的攻擊，也即增加網(wǎng)絡(luò)安全彈性（cyber-resilience）以應(yīng)對潛在的威脅。這一并不常常被討論的風險方向是一種“新常態(tài)”，引起信息安全、供應(yīng)鏈管理、風險管理等領(lǐng)域?qū)W者們的高度關(guān)注。Amin等[6]研究表明這些自我防御方法在一定范圍上是有效的，但是網(wǎng)絡(luò)安全不僅僅是一個簡單的技術(shù)問題，更是涉及多個主體間互相影響的復雜管理問題。Gordon和Loeb[8]率先利用經(jīng)濟學模型將信息系統(tǒng)的防御措施和脆弱性看作一個整體，通過兩類典型的S(z,v)函數(shù)對投資水平和潛在損失進行比較，發(fā)現(xiàn)最優(yōu)的投資水平不應(yīng)超過潛在損失的36.79%。Kunreuther和Heal[9]運用博弈論研究相互關(guān)聯(lián)企業(yè)的安全投資納什均衡，分析了罰款、保險、第三方檢查等外部機制對安全投資的影響。孫薇等[10]研究只具有有限理性的投資主體，采用演化博弈論分析了企業(yè)的信息安全投資問題，得出組織策略選擇的關(guān)鍵是投資成本的大小。常詩雨[11]用演化博弈理論對網(wǎng)絡(luò)安全攻防進行建模，考慮加入第三方動態(tài)懲罰對攻防博弈模型的影響，結(jié)果表明加入第三方動態(tài)懲罰因素有利于整個網(wǎng)絡(luò)的安全。呂俊杰等[12]以企業(yè)間的病毒傳染為例，指出網(wǎng)絡(luò)安全風險的一個重要特征是相互依賴性，從而影響企業(yè)間的網(wǎng)絡(luò)安全投資決策，并提出了企業(yè)間安全的投資博弈模型，確定了多個企業(yè)進行投資的納什均衡。潘崇霞[13]研究在投資正外部性效應(yīng)和負外部性效應(yīng)下兩個相互關(guān)聯(lián)企業(yè)以及多個相關(guān)聯(lián)企業(yè)的網(wǎng)絡(luò)安全投資博弈，根據(jù)兩種情況下的差異，對企業(yè)的網(wǎng)絡(luò)安全投資策略提出建議。Zhuang[14]研究指出在多個相互關(guān)聯(lián)的企業(yè)中，缺乏戰(zhàn)略視角企業(yè)的存在使得供應(yīng)鏈中其他企業(yè)不愿意進行安全投資。然而，關(guān)于企業(yè)網(wǎng)絡(luò)系統(tǒng)安全存在的負外部性以及如何進行協(xié)調(diào)等問題卻很少引起了研究者的關(guān)注。周誠等[15]針對網(wǎng)絡(luò)脆弱性分析理論與脆弱性評分技術(shù)進行分析，設(shè)計出一種更能反映實際情況的脆弱性評分方法，保證了脆弱點的多樣性，實現(xiàn)對網(wǎng)絡(luò)脆弱性的最優(yōu)評分。Shetty等[16]的研究表明企業(yè)遭受黑客入侵造成損失的概率不但受企業(yè)自身安全水平的影響，企業(yè)所處的網(wǎng)絡(luò)環(huán)境的安全水平也會對其產(chǎn)生影響，每個企業(yè)因為沒有考慮自身策略的真實社會成本而導致投資不足，這就產(chǎn)生了所謂的負外部性。Bakshi等[17]研究運用討價還價理論研究了不對稱信息下供應(yīng)商和零售商在供應(yīng)鏈安全投資上的競爭合作，但是忽略了網(wǎng)絡(luò)脆弱性對企業(yè)網(wǎng)絡(luò)安全投資的影響。顧建強等[18]考慮存在負外部性的前提下的設(shè)計一種網(wǎng)絡(luò)安全保險投資激勵機制，以改善企業(yè)的安全水平并提高社會福利。Nagurney等[19]建立了一個關(guān)于零售商網(wǎng)絡(luò)安全投資的博弈理論框架，考慮消費者的偏好取決于產(chǎn)品的需求量和整條供應(yīng)鏈的平均安全水平，將納什均衡條件轉(zhuǎn)化為變分不等式問題，揭示均衡產(chǎn)品交易、安全性水準、產(chǎn)品價格、期望利潤、零售商脆弱性、網(wǎng)絡(luò)脆弱性之間的影響。

網(wǎng)絡(luò)空間供應(yīng)鏈安全水平取決于安全的最薄弱環(huán)節(jié)，不僅需要企業(yè)自身在安全技術(shù)與安全意識的提高，更需要在整個網(wǎng)絡(luò)空間供應(yīng)鏈中通過協(xié)同合作形成共同治理來實現(xiàn)，從而實現(xiàn)整體安全水平提升。利用網(wǎng)絡(luò)脆弱性進行攻擊形成的破壞已持續(xù)對經(jīng)濟與社會造成巨大負面影響，因此，供應(yīng)鏈視角下分析網(wǎng)絡(luò)安全彈性投資決策過程并建立合作協(xié)調(diào)機制是非常必要的。過去研究對于供應(yīng)鏈中影響網(wǎng)絡(luò)安全彈性的分析還比較孤立，缺少貫穿整個網(wǎng)絡(luò)空間供應(yīng)鏈安全彈性建設(shè)的內(nèi)在關(guān)聯(lián)與生成機理系統(tǒng)分析；同時以提升網(wǎng)絡(luò)空間供應(yīng)鏈整體安全保護的研究也較為缺乏，整個供應(yīng)鏈安全風險控制的協(xié)調(diào)機制和共同治理策略需進一步深入研究?；诖?，本文基于網(wǎng)絡(luò)脆弱性，建立一個包括供應(yīng)鏈與零售商的兩層的供應(yīng)鏈博弈理論模型，分析供應(yīng)鏈中的網(wǎng)絡(luò)安全彈性投資決策問題，對比分析供應(yīng)鏈分散決策和集中決策兩種情形，并在此基礎(chǔ)上建立供應(yīng)鏈合作協(xié)調(diào)機制，為供應(yīng)鏈在網(wǎng)絡(luò)安全彈性方面的建設(shè)提供決策理論依據(jù)。

1 模型

1.1 基本假設(shè)與描述

考慮一個上游供應(yīng)商及下游零售商所構(gòu)成的二元網(wǎng)絡(luò)空間供應(yīng)鏈，供應(yīng)鏈中兩個企業(yè)通過網(wǎng)絡(luò)相互連接。外部網(wǎng)絡(luò)攻擊者可以直接或間接（即先通過入侵系統(tǒng)相聯(lián)企業(yè)，再以此為基，通過網(wǎng)絡(luò)系統(tǒng)入侵到目標企業(yè)）入侵供應(yīng)鏈信息體系并獲取經(jīng)濟利益。為了提高網(wǎng)絡(luò)系統(tǒng)安全，需要通過安全投資來增加供應(yīng)鏈的網(wǎng)絡(luò)安全彈性并減少網(wǎng)絡(luò)安全漏洞，從而降低被外部入侵概率并減少網(wǎng)絡(luò)損失。文章假設(shè)如下：

1.2 模型

2 網(wǎng)絡(luò)空間供應(yīng)鏈的安全彈性投資決策

2.1 供應(yīng)鏈分散決策

分散決策情形下，網(wǎng)絡(luò)空間供應(yīng)鏈中安全彈性投資決策為非合作博弈，以最大化供應(yīng)商或零售商自身利益為目標。供應(yīng)商與零售商在網(wǎng)絡(luò)安全彈性投資水平上同時決策且獨立確定自身企業(yè)的最優(yōu)網(wǎng)絡(luò)安全彈性投資策略，兩個企業(yè)目標的是投資總成本最小化，且雙方目標成本函數(shù)分別為：

分別對式(7)和式(8)求其一階條件為：

聯(lián)立式(11)和式(12)求解得到：

由式(13)、(14)可得：

命題1揭示了網(wǎng)絡(luò)脆弱性對供應(yīng)鏈成員進行網(wǎng)絡(luò)安全彈性投資激勵的消極影響，即網(wǎng)絡(luò)脆弱性越高供應(yīng)鏈成員受到其合作伙伴信息不安全的影響越大，這又一定程度上抑制了其對自身安全彈性的投資，導致供應(yīng)鏈中遭受損失的概率越大。值得注意的是成員增加自身網(wǎng)絡(luò)安全彈性投資水平并不能消除其遭受間接破壞的概率，因此企業(yè)可能會降低自身的網(wǎng)絡(luò)安全彈性投資水平，繼而加劇了網(wǎng)絡(luò)空間供應(yīng)鏈的安全風險。這個結(jié)果類似于公共產(chǎn)品相關(guān)研究的“搭便車”。在信息安全背景下當兩個相互關(guān)聯(lián)的企業(yè)面臨相同的入侵概率時，當其中一個企業(yè)選擇進行安全投資，而另一個企業(yè)就會存在“搭便車”行為。

2.2 供應(yīng)鏈集中決策

對式(17)求其一階條件為：

聯(lián)立式(20)和式(21)求解得到：

由式(22)、式(23)可得：

命題3 集中決策情形下，供應(yīng)鏈成員的網(wǎng)絡(luò)安全彈性投資水平表現(xiàn)為：

命題4 分散決策情形下，網(wǎng)絡(luò)脆弱性影響下供應(yīng)商和零售商對網(wǎng)絡(luò)安全彈性的投資不足。

證明：由式(8)、式(9)可知：

證畢。

命題4說明，在分散決策情形下，如果供應(yīng)鏈成員供應(yīng)商和零售商提高其網(wǎng)絡(luò)安全彈性投資水平，那么遭受直接損失或間接損失的可能性就會降低，同時從供應(yīng)商（零售商）的網(wǎng)絡(luò)安全系統(tǒng)轉(zhuǎn)而入侵零售商（供應(yīng)商）的網(wǎng)絡(luò)安全系統(tǒng)的概率也會降低。然而在分散決策情形下，企業(yè)在進行網(wǎng)絡(luò)安全彈性投資時不會考慮增加投資給其他企業(yè)帶來的正外部性影響，所以相對于集中決策情形，分散決策情形導致供應(yīng)鏈中網(wǎng)絡(luò)安全彈性投資不足。

3 合作協(xié)調(diào)機制

合作協(xié)調(diào)機制的模型描述如下：

（3）在博弈過程中零售商首先給出網(wǎng)絡(luò)安全彈性投資策略，一旦供應(yīng)商接受或拒絕這個策略，博弈馬上結(jié)束。

（4）博弈過程中沒有交易成本且零售商對供應(yīng)商的成本函數(shù)具有完全信息。

4 數(shù)值分析

現(xiàn)實環(huán)境下，網(wǎng)絡(luò)空間供應(yīng)鏈中網(wǎng)絡(luò)脆弱性及其網(wǎng)絡(luò)安全水平的評估與量化相對復雜，加之本文的目的是將網(wǎng)絡(luò)脆弱性作為連續(xù)變量來分析其對供應(yīng)鏈安全彈性投資的影響，在數(shù)據(jù)采集上存在困難。鑒于此，本文采取數(shù)值模擬方法來研究網(wǎng)絡(luò)脆弱性對供應(yīng)鏈企業(yè)建立網(wǎng)絡(luò)安全性的投資決策影響。通過數(shù)值模擬，分別分析隨網(wǎng)絡(luò)脆弱性變動情況下，供應(yīng)鏈成員網(wǎng)絡(luò)安全彈性投資水平以及投資成本的變化情況，從而刻畫網(wǎng)絡(luò)脆弱性對供應(yīng)鏈中企業(yè)信息安全投資決策所產(chǎn)生的影響。

4.1 網(wǎng)絡(luò)脆弱性對投資水平的影響

圖1 網(wǎng)絡(luò)脆弱性對供應(yīng)商安全投資水平的影響

Figure 1 Impact of network vulnerability on supplier's security investment level

圖2 網(wǎng)絡(luò)脆弱性對零售商安全投資水平的影響

Figure 2 Impact of network vulnerability on retailer's security investment level

對比圖1和圖2可以看出合作博弈下相對于供應(yīng)商來說零售商維持較高的投資水平。在非合作博弈中供應(yīng)鏈網(wǎng)絡(luò)脆弱性對零售商和供應(yīng)商的網(wǎng)絡(luò)安全彈性投資的影響是負面的，因為隨著供應(yīng)鏈網(wǎng)絡(luò)脆弱性的增加，零售商和供應(yīng)商進行網(wǎng)絡(luò)安全彈性投資的邊際收益是減少的，從而導致雙方減少網(wǎng)絡(luò)安全彈性投資水平。

4.2 網(wǎng)絡(luò)脆弱性對供應(yīng)鏈投資成本的影響

圖3 網(wǎng)絡(luò)脆弱性對供應(yīng)商總成本的影響

Figure 3 Impact of network vulnerability on supplier's total cost

圖4 網(wǎng)絡(luò)脆弱性對零售商總成本的影響

Figure 4 Impact of network vulnerability on retailer's total cost

圖5 網(wǎng)絡(luò)脆弱性對轉(zhuǎn)移支付的影響

Figure 5 Impact of network vulnerability on transfer payments

5 結(jié)語

本文基于網(wǎng)絡(luò)脆弱性研究供應(yīng)鏈成員在面對網(wǎng)絡(luò)安全風險的安全彈性投資過程，分析了供應(yīng)鏈中網(wǎng)絡(luò)安全彈性建設(shè)的分散決策過程以及集中決策過程，并據(jù)此提出了供應(yīng)鏈網(wǎng)絡(luò)安全彈性投資的合作協(xié)調(diào)機制。研究結(jié)論主要包括，在分散決策情形中，零售商和供應(yīng)商的網(wǎng)絡(luò)安全彈性投資水平隨著網(wǎng)絡(luò)脆弱性的增加而降低，且在網(wǎng)絡(luò)安全彈性投資過程兩個企業(yè)的安全投資存在不足。在集中決策中，當企業(yè)遭受損失的概率大于自身遭受損失與供應(yīng)鏈整體損失的比值時，企業(yè)處于相對不安全環(huán)境中，供應(yīng)鏈成員的網(wǎng)絡(luò)安全彈性投資水平隨著網(wǎng)絡(luò)脆弱性的增加而降低，當企業(yè)遭受損失的概率小于自身遭受損失與供應(yīng)鏈整體損失的比值時，企業(yè)處于相對安全環(huán)境中，供應(yīng)鏈成員的網(wǎng)絡(luò)安全彈性投資水平隨著網(wǎng)絡(luò)脆弱性的增加而增加，且供應(yīng)鏈的總網(wǎng)絡(luò)安全彈性投資成本低于非合作博弈。在協(xié)調(diào)機制中，提出通過一個合理的轉(zhuǎn)移支付補償來激勵企業(yè)在網(wǎng)絡(luò)安全彈性建設(shè)方面的投資。未來對此問題的進一步深入研究可以考慮兩個以上供應(yīng)鏈成員在考慮網(wǎng)絡(luò)脆弱性情形下如何實現(xiàn)激勵機制以達到供應(yīng)鏈總體網(wǎng)絡(luò)安全彈性最優(yōu)，或者在二元供應(yīng)鏈基礎(chǔ)上進一步考慮多成員之間的網(wǎng)絡(luò)安全彈性投資博弈，設(shè)計出實現(xiàn)多個企業(yè)面臨入侵情形下的激勵協(xié)調(diào)機制。

[1] Securing the Supply Chain: Preventing your suppliers’ vulnerabilities from becoming your own[R].Information Security Forum(ISF), 2013.

[2] Cavusoglu H, Raghunathan S, Cavusoglu H. Configuration of and Interaction Between Information Security Technologies: The Case of Firewalls and Intrusion Detection Systems[J]. Information Systems Research, 2009, 20(2):198-217.

[3] Gao X, Zhong W, Mei S. A game-theory approach to configuration of detection software with decision errors[J]. Reliability Engineering & System Safety, 2013, 119:35-43.

[4] Boyson S, Rossman H. Developing a cyber-supply chain assurance reference model [R]. Maryland: Supply Chain Management Center (SCMC), Robert H. Smith School of Business University of Maryland,2009.

[5] Linton J, Boyson S, Aje J. The challenge of cyber supply chain security to research and practice - An introduction [J]. Technovation, 34(7): 339-341.

[6] Bartol N. Cyber supply chain security practices DNA–filling in the puzzle using a diverse set of disciplines [J]. Technovation, 2014, 34 (7): 354–361.

[7] Amin S, Schwartz G A, Sastry S S. Security of interdependent and identical networked control systems[J]. Automatica, 2013, 49(1): 186-192.

[8] Gordon L A, Loeb M P. The economics of information security investment[J]. Acm Transactions on Information & System Security, 2002, 5(4):438-457.

[9] Kunreuther H, Heal G. Interdependent security[J]. Journal of risk and uncertainty, 2003, 26(2-3): 231-249.

[10] 孫薇,孔祥維,何德全.信息安全投資的演化博弈分析[J]. 系統(tǒng)工程,2008,26(6):124-126.

Sun W, Kong X W, He D Q. Evolutionary game analysis of information security investment[J]. Systems Engineering, 2008,26(6): 124-126.

[11] 常詩雨,宋禮鵬. 基于演化博弈論的網(wǎng)絡(luò)安全投資策略分析[J]. 計算機工程與設(shè)計,2017,38(03):611-615.

Chang S Y, Song L P. Analysis of network security investment strategy based on evolutionary game theory[J]. Computer Engineering and Design, 2017, 38(03):611-615.

[12] 呂俊杰,邱菀華,王元卓. 基于相互依賴性的信息安全投資博弈[J].中國管理科學,2006,14(03):7-12.

LV J J, Qiu W H, Wang Y Z. An Analysis of Games of Information Security Investment Based on Interdependent Security[J].Chinese Journal of Management Science, 2006,14(03):7-12.

[13] 潘崇霞. 相互關(guān)聯(lián)性與投資外部性對網(wǎng)絡(luò)安全投資策略的影響[J]. 西安電子科技大學學報(社會科學版),2017,27(01):1-8.

Pan C X . Effects of Interconnectedness and Externality on Network Security Investment Strategy[J].Journal of Xidian University(Social Science Edition), 2017,27(01):1-8.

[14] Jun Zhuang. Impacts of Subsidized Security on Stability and Total Social Costs of Equilibrium Solutions in an N-Player Game with

Errors[J]. Engineering Economist, 2010, 55(2):131-149.

[15] 周誠, 李偉偉, 莫璇等. 一種網(wǎng)絡(luò)安全脆弱性評估方法[J]. 江蘇大學學報(自然科學版),2017,38(01): 68-77.

Zhou C, Li W W, Mo X, et al. A assessment method of network security vulnerability[J]. Journal of Jiangsu University (Natural Science Edition), 2017,38(01): 68-77.

[16] Shetty N, Schwartz G, Walrand J.Can competitive insurers improve network security?[C]International Conference on Trust and Trustworthy Computing. Springer Berlin Heidelberg,2010: 308-322.

[17] Bakshi N, Kleindorfer P. Co-opetition and Investment for Supply- Chain Resilience[J]. Production & Operations Management, 2009, 18(6):583–603.

[18] 顧建強,梅姝娥,仲偉俊. 基于網(wǎng)絡(luò)安全保險的信息系統(tǒng)安全投資激勵機制[J]. 系統(tǒng)工程理論與實踐,2015,35(4):1057-1062.

Gu J Q, Mei S E , Zhong W J. Cyber insurance as an incentive for information system security[J]. System Engineering Theory and Practice, 2015, 35(4): 1057-1062.

[19] Nagurney A, Nagurney L S, Shukla S. A supply chain game theory framework for cybersecurity investments under network vulnerability[M]. Computation, cryptography, and network security.Springer International Publishing, 2015: 381-398.

Network vulnerability and the coordination mechanism of cyber supply chain security resilience investment

ZHANG Zijian, LI Ao

(School of economics and management, Chongqing Jiaotong University, Chongqing 400074, China)

Enterprise network security level under the Internet depends not only on its network security investment but also on many other factors such as the supply chain network vulnerability and the investment in network security. In the cyber supply chain, the network data protection ability of suppliers, retailers, and third-party logistics companies are profoundly different, and internet hackers often use the weakest link as the network attacking vulnerable point. Key members in the whole cyberspace need to plan, construct, manage, and maintain interactively in the supply chain organization and process level against attacks from the Internet.

This paper considers a binary cyber supply chain consisting of an upstream supplier and a downstream retailer. The two enterprises in the supply chain connect through the Internet. The network hacker can compromise the supply chain system directly. Alternatively, the network hackers can invade the enterprise associated with the supply chain. Hackers can also indirectly invade the information system of the supply chain through the network system and gain economic benefits from the targeted enterprises. It is necessary to increase cybersecurity resilience and reduce cyber vulnerability in the supply chain through security investment to improve cybersecurity. As a result, the probability of external intrusion and reduce network loss can be reduced. In this context, this paper discusses the decentralized decision-making and centralized decision-making processes of the supply chain under the influence of cyber vulnerability. It establishes the coordination mechanism in the supply chain.

Our proposed model assumes that once the information system of the supply chain is damaged, the supplier and the retailer will afford certain losses, and that will come from direct losses and indirect losses, respectively. The probability of direct loss of supplier or retailer depends on their investment level of cybersecurity resilience, and the probability function is a second-order differentiable convex function. The function shows that the probability of direct loss decreases with the increase of cybersecurity investment, but its effect is marginal decrease. As for the indirect loss, the model assumes that the probability of the indirect invasion to the supplier or retailer is constant. The constant is the vulnerability of the network location of the supplier or retailer. On this basis, the expected cost function of suppliers and retailers is established in the case of the cybersecurity resilience investment of each member.

In the first part, the decentralized model discusses the choice of investment strategies for the cybersecurity resilience of the supplier and the retailer in the case of decentralized decision-making of supply chains. With decentralized decision-making, the decision of security resilience investment in the cyber supply chain is a non-cooperative game to maximize the interests of the supplier or the retailer itself. Based on this, it analyzes the influence of network vulnerability on the input of supply chain members and their affiliated enterprises in network security. The result shows that the level of cybersecurity resilience investment of the supplier and the retailer decreases with the cyber vulnerability and increases with each other in the supply chain.

In the second part, the centralized model discusses the investment decision-making process of the cybersecurity resilience of the supplier and the retailer under centralized decision-making. With centralized decision making, the supplier and the retailer can coordinate their investment level to improve the security investment level and optimize the overall cybersecurity investment of the supply chain.

In the third part, the comparative analysis compares the decentralized decision and centralized decision in the supply chain. It then establishes the transfer payment mechanism among the members of the supply chain to realize the coordination of the supply chain with the investment of security resilience，solving the double marginal effect of cybersecurity investment in the supply chain.

Finally, The numerical simulation analyzes the influence of cyber vulnerability on the investment decision of the supplier and the retailer. It respectively analyzes cases along with the change of cyber vulnerability, how the cybersecurity resilience investment levels and the investment cost change, as so to describe the influence of cyber vulnerability to security investment decisions in the supply chain.

Cyber supply chain(CSC); Network vulnerability; Security resilience; Coordination mechanism

2018-02-21

2018-06-25

Supported by the National Social Sciences Foundation of China(17BGL177)

F273

A

1004-6062(2020)05-0130-007

10.13587/j.cnki.jieem.2020.05.014

2018-02-21

2018-06-25

國家社會科學基金資助項目（17BGL177）

張子?。?976－），男，湖北荊州人；重慶交通大學經(jīng)濟與管理學院教授；研究方向：供應(yīng)鏈管理，風險管理。

中文編輯：杜 ??；英文編輯：Charlie C. Chen