□潘崇霞 周 瑋 李立望 謝吉?jiǎng)?/p>

一、引言

信息安全包括網(wǎng)絡(luò)安全和數(shù)據(jù)安全。數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)繼資本、土地、勞動(dòng)力和技術(shù)之后成為又一新的重要生產(chǎn)要素。銳觀(guān)產(chǎn)業(yè)研究院發(fā)布的《2023-2028 年中國(guó)數(shù)據(jù)安全產(chǎn)業(yè)投資規(guī)劃及前景預(yù)測(cè)報(bào)告》顯示，2021 年，我國(guó)數(shù)據(jù)安全產(chǎn)業(yè)市場(chǎng)規(guī)模達(dá)到88 億元，同比增長(zhǎng)91%；預(yù)計(jì)2025 年，數(shù)據(jù)安全產(chǎn)業(yè)有望達(dá)到478 億元。信息安全涉及銀行、醫(yī)療、物聯(lián)網(wǎng)等各個(gè)行業(yè)，企業(yè)之間通過(guò)信息平臺(tái)實(shí)現(xiàn)協(xié)同合作和信息共享，進(jìn)行產(chǎn)品數(shù)據(jù)交換、訂單數(shù)據(jù)交換和需求信息交換等，信息平臺(tái)成為企業(yè)商務(wù)大數(shù)據(jù)的來(lái)源。同時(shí)，企業(yè)信息平臺(tái)也面臨各種信息安全風(fēng)險(xiǎn)，如容易遭受攻擊者攻擊導(dǎo)致客戶(hù)信息泄露、業(yè)務(wù)數(shù)據(jù)竊取與篡改等。近年來(lái)，國(guó)內(nèi)外重大網(wǎng)絡(luò)安全事件頻頻，信息安全形勢(shì)嚴(yán)峻。國(guó)內(nèi)某官方網(wǎng)站盤(pán)點(diǎn)了2022 年全球重大網(wǎng)絡(luò)安全事件，其中遭受攻擊的包括各種類(lèi)型的企業(yè)，主要有國(guó)內(nèi)科創(chuàng)板上市企業(yè)、國(guó)內(nèi)外電子企業(yè)、汽車(chē)制造企業(yè)的供應(yīng)商和制造商等。[1]

為保證信息及其運(yùn)行平臺(tái)安全，企業(yè)需要進(jìn)行信息安全投資以實(shí)現(xiàn)企業(yè)信息系統(tǒng)穩(wěn)定運(yùn)行。隨著網(wǎng)絡(luò)安全事件的增加，越來(lái)越多的企業(yè)重視信息安全投資。來(lái)自物聯(lián)中國(guó)網(wǎng)中研普華產(chǎn)業(yè)研究院發(fā)布的《2023-2028 年中國(guó)信息安全行業(yè)發(fā)展趨勢(shì)及現(xiàn)狀分析》顯示，2022 年，信息安全產(chǎn)品和服務(wù)收入2038 億元，同比增長(zhǎng)10.4%。[2]

企業(yè)信息安全投資是信息安全經(jīng)濟(jì)學(xué)中的一個(gè)重要組成部分。以往的企業(yè)信息安全投資研究，側(cè)重于對(duì)單個(gè)企業(yè)的信息系統(tǒng)安全投資、信息安全中的攻防博弈、供應(yīng)鏈中各方信息共享等相關(guān)問(wèn)題進(jìn)行研究。本文采用演化博弈理論對(duì)企業(yè)群體信息安全投資策略進(jìn)行研究，主要有以下幾個(gè)方面創(chuàng)新：一是分析定向攻擊相關(guān)因素如網(wǎng)絡(luò)對(duì)外聯(lián)接度、企業(yè)投資效率、攻擊概率、攻擊者投資成本等對(duì)企業(yè)信息系統(tǒng)安全投資策略的影響；二是建立演化博弈模型對(duì)企業(yè)與攻擊者的動(dòng)態(tài)投資博弈進(jìn)行分析，企業(yè)群體與攻擊者群體的投資博弈是一個(gè)動(dòng)態(tài)過(guò)程，要通過(guò)不斷交互、調(diào)整才能達(dá)到一個(gè)穩(wěn)定的狀態(tài)，采用演化博弈模型對(duì)信息系統(tǒng)安全投資策略進(jìn)行分析，增強(qiáng)了預(yù)測(cè)分析的可靠性和準(zhǔn)確性；三是建立企業(yè)群體與攻擊者群體的多對(duì)多演化博弈模型，互聯(lián)網(wǎng)環(huán)境下多個(gè)企業(yè)常常要面對(duì)多個(gè)攻擊者的攻擊，尤其是處于供應(yīng)鏈上下游、因頻繁的數(shù)據(jù)交換和業(yè)務(wù)往來(lái)而具有利益和風(fēng)險(xiǎn)關(guān)聯(lián)的企業(yè)群體，更容易引發(fā)多個(gè)攻擊者的攻擊，因此研究企業(yè)群體與攻擊者群體的多對(duì)多演化博弈更具有現(xiàn)實(shí)意義。

二、文獻(xiàn)綜述

隨著網(wǎng)絡(luò)金融和電子商務(wù)的快速發(fā)展，信息安全問(wèn)題已不再是單純的技術(shù)問(wèn)題，而是一個(gè)需要綜合考慮技術(shù)、管理、經(jīng)濟(jì)等更為復(fù)雜的系統(tǒng)問(wèn)題。信息安全研究主要包括兩大領(lǐng)域，一個(gè)是從技術(shù)角度出發(fā)的信息安全技術(shù)投資研究，另一個(gè)是從管理和經(jīng)濟(jì)角度出發(fā)的信息安全投資策略研究。[3-5]信息安全技術(shù)投資主要是對(duì)安全硬件和軟件產(chǎn)品進(jìn)行投資，如加密算法研究、防火墻配置和入侵檢測(cè)系統(tǒng)等。[6-8]從當(dāng)前的信息安全研究來(lái)看，無(wú)論是從技術(shù)角度還是從管理和經(jīng)濟(jì)角度，業(yè)界都更關(guān)注以下幾個(gè)領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)安全、物聯(lián)網(wǎng)安全和云安全等。

在網(wǎng)絡(luò)安全研究中，首先，信息系統(tǒng)脆弱性對(duì)信息安全投資具有重要的影響，Gordon 和Loeb（2002）[9]采用經(jīng)濟(jì)學(xué)模型研究了信息系統(tǒng)脆弱性對(duì)信息安全投資策略的影響，指出企業(yè)不應(yīng)該將資金投到脆弱性最差的信息資產(chǎn)上，而應(yīng)該投入到脆弱性中等的信息資產(chǎn)上才能達(dá)到投資效益最大化。其次，攻擊者的攻擊類(lèi)型一直是影響信息安全投資策略的重要因素，攻擊類(lèi)型不同對(duì)企業(yè)信息資產(chǎn)潛在損失的影響也不同。學(xué)者一般把攻擊類(lèi)型定義為隨機(jī)攻擊與定向攻擊：定向攻擊主要針對(duì)特定目標(biāo)進(jìn)行攻擊，采取的方式主要包括盜取數(shù)據(jù)、拒絕服務(wù)和網(wǎng)站篡改等；隨機(jī)攻擊主要針對(duì)容易訪(fǎng)問(wèn)或容易連接的節(jié)點(diǎn)進(jìn)行攻擊，常見(jiàn)方式為蠕蟲(chóng)病毒和垃圾郵件等。[10-11]Gao 和Zhong（2015）[12]研究了兩個(gè)競(jìng)爭(zhēng)企業(yè)在一定安全要求下的信息安全投資策略，考慮了黑客攻擊的兩種類(lèi)型，即隨機(jī)攻擊和定向攻擊，主要結(jié)論包括面對(duì)信息資產(chǎn)價(jià)值比較高的企業(yè)，黑客為獲得更多收益，往往會(huì)采取定向攻擊方式而非隨機(jī)攻擊方式。Peng 等（2015）[13]對(duì)持續(xù)定向攻擊下的對(duì)等網(wǎng)絡(luò)的抗毀性進(jìn)行了研究，研究結(jié)論對(duì)復(fù)雜網(wǎng)絡(luò)設(shè)計(jì)具有重要的意義。Mookerjee 等（2011）[14]采用微分博弈方法研究了古諾特和伯川德競(jìng)爭(zhēng)下的信息系統(tǒng)安全投資策略，黑客通過(guò)知識(shí)擴(kuò)散可以提高攻擊水平，企業(yè)通過(guò)信息安全投資可以減弱黑客知識(shí)擴(kuò)散，但并不是安全投資越高就越能有效阻止黑客的知識(shí)擴(kuò)散。信息技術(shù)的發(fā)展并沒(méi)有使攻擊事件減少，反而有愈演愈烈的趨勢(shì)，甚至出現(xiàn)了戰(zhàn)略型攻擊者。Simon 和Omar（2020）[15]的研究中提到了戰(zhàn)略型攻擊者，在進(jìn)行信息平臺(tái)安全投資時(shí)，為抵御戰(zhàn)略型攻擊者的攻擊和防御企業(yè)之間的關(guān)聯(lián)風(fēng)險(xiǎn)，供應(yīng)鏈中各企業(yè)需要進(jìn)行協(xié)作投資。Gao 和Yang（2023）[16]通過(guò)建立雙寡頭水平分化模型針對(duì)黑客攻擊對(duì)信息安全投資和公司利潤(rùn)的作用進(jìn)行研究后認(rèn)為，當(dāng)市場(chǎng)競(jìng)爭(zhēng)加劇時(shí)，為保持安全差異，企業(yè)在信息安全方面的投入會(huì)減少，安全投資成本系數(shù)的增加可能對(duì)每個(gè)公司都有利。

在數(shù)據(jù)安全研究中，鄒純龍等（2023）[17]采用定性比較分析法對(duì)中國(guó)24 個(gè)省及直轄市公共數(shù)據(jù)安全管理進(jìn)行了研究，歸納出三種公共數(shù)據(jù)安全管理模式，可以為公共數(shù)據(jù)安全管理績(jī)效水平的提高提供借鑒。池仁勇等（2023）[18]從企業(yè)績(jī)效的角度對(duì)中小制造企業(yè)進(jìn)行了實(shí)證研究，結(jié)果表明，數(shù)據(jù)安全在數(shù)字化制造能力與企業(yè)績(jī)效之間起負(fù)向調(diào)節(jié)作用，而在數(shù)字化服務(wù)能力與企業(yè)績(jī)效之間起正向調(diào)節(jié)作用。梅傲和陳子文（2023）[19]從總體國(guó)家安全觀(guān)的角度，提出數(shù)據(jù)安全應(yīng)該在制度的顆粒度、銜接性方面進(jìn)行改進(jìn)，從而達(dá)到維護(hù)數(shù)據(jù)安全、促進(jìn)經(jīng)濟(jì)發(fā)展的目的。

在物聯(lián)網(wǎng)安全和云安全研究中，多數(shù)偏重技術(shù)方面的研究，如數(shù)據(jù)存儲(chǔ)技術(shù)、密碼協(xié)議、網(wǎng)絡(luò)安全模型與算法等。[20，21]而從經(jīng)濟(jì)管理角度研究的文獻(xiàn)則主要集中于互聯(lián)網(wǎng)數(shù)據(jù)安全和隱私保護(hù)：Zhang 等（2021）[22]研究了隱私數(shù)據(jù)安全投資對(duì)大數(shù)據(jù)公司的影響，發(fā)現(xiàn)一般情況下，隱私數(shù)據(jù)安全投資可以明顯減少系統(tǒng)性風(fēng)險(xiǎn)；Sun（2020）[23]對(duì)云計(jì)算中的數(shù)據(jù)安全和隱私保護(hù)問(wèn)題進(jìn)行了研究，對(duì)云計(jì)算中的隱私風(fēng)險(xiǎn)進(jìn)行分析，提出一個(gè)云計(jì)算中的隱私保護(hù)框架，包括訪(fǎng)問(wèn)控制、信任、云聯(lián)盟資源管理等內(nèi)容。

三、企業(yè)群體與攻擊者群體演化博弈模型構(gòu)建

（一）理論分析

一個(gè)企業(yè)常常面對(duì)多個(gè)攻擊者，而一個(gè)攻擊者的目標(biāo)也可能是一個(gè)企業(yè)群體。首先，本文通過(guò)構(gòu)建演化博弈模型對(duì)攻擊者群體與企業(yè)群體之間的博弈問(wèn)題進(jìn)行分析。Mahmoudi 和Rasti-Barzoki（2017）[24]運(yùn)用演化博弈理論對(duì)政府治理污染活動(dòng)進(jìn)行了研究，通過(guò)建立政府目標(biāo)和生產(chǎn)者目標(biāo)之間的博弈模型分別對(duì)三種情形下的均衡狀態(tài)進(jìn)行了分析，政府可以通過(guò)制定有效的稅收和激勵(lì)措施以明顯地影響生產(chǎn)者行為、競(jìng)爭(zhēng)市場(chǎng)與廢物排放，達(dá)到有效治理污染的目的。其次，本文主要分析多種因素對(duì)信息安全投資決策的影響，如企業(yè)投資成本、信息安全投資效率、攻擊者攻擊類(lèi)型、攻擊者的攻擊概率、入侵概率、企業(yè)之間的關(guān)聯(lián)關(guān)系等對(duì)信息安全投資策略的影響，這些因素直接或間接影響到企業(yè)決策，從而影響信息安全投資策略。在攻擊者群體與企業(yè)群體演化博弈過(guò)程中，雙方根據(jù)自身既得利益、利用有限信息不斷進(jìn)行策略調(diào)整，用較好的狀態(tài)不斷代替不夠好的狀態(tài)，逐漸演化達(dá)到動(dòng)態(tài)均衡穩(wěn)定狀態(tài)。最后，本文通過(guò)數(shù)字模擬對(duì)相關(guān)結(jié)論進(jìn)行了仿真分析。

（二）模型構(gòu)建

在信息安全投資策略研究中，攻擊者的攻擊類(lèi)型是影響企業(yè)信息安全投資決策的重要因素。Huang 和Behara（2013）[25]將定向攻擊類(lèi)型的入侵概率函數(shù)定義為。其中，ξ∈[0，1]被定義為攻擊概率，描述企業(yè)信息系統(tǒng)遭受攻擊的可能性；隨著攻擊者的頻繁攻擊，企業(yè)信息系統(tǒng)可能被攻擊者成功入侵，從而給企業(yè)造成信息資產(chǎn)損失L；c 取值范圍為[0，1]，被描述為網(wǎng)絡(luò)對(duì)外聯(lián)接度，反映企業(yè)網(wǎng)絡(luò)對(duì)外聯(lián)接的頻繁程度和開(kāi)放程度，其值的大小一般取決于企業(yè)需求和系統(tǒng)安全技術(shù)要求，與之聯(lián)接的企業(yè)網(wǎng)絡(luò)結(jié)點(diǎn)越多，其取值就越大；z 被描述為信息安全投資水平；k 被描述為企業(yè)安全投資效率，是評(píng)價(jià)信息安全投資效果的指標(biāo)。

在多個(gè)企業(yè)與多個(gè)攻擊者的博弈過(guò)程中，假設(shè)攻擊者群體中選擇攻擊策略的比例為x，選擇不攻擊策略的比例為1-x；企業(yè)群體中選擇安全投資的比例為y，不選擇安全投資策略的比例為1-y。攻擊者與企業(yè)之間的博弈收益矩陣如表1 所示。由此可知，當(dāng)攻擊者選擇攻擊策略、企業(yè)選擇投資策略時(shí)，攻擊者總收益為p(ξ,c,z)L-ch，企業(yè)總收益為π-p (ξ,c,z)L-z；當(dāng)攻擊者選擇攻擊策略、企業(yè)選擇不投資策略時(shí)，攻擊者總收益為p (ξ,c,0)L-ch，企業(yè)收益為π-p (ξ,c,0)；當(dāng)攻擊者選擇不攻擊策略、企業(yè)選擇投資策略時(shí)，攻擊者的總收益為0，企業(yè)的總收益為π-z；當(dāng)攻擊者選擇不攻擊策略、企業(yè)選擇不投資策略時(shí)，攻擊者總收益為0，企業(yè)總收益為π。根據(jù)表1 收益矩陣對(duì)企業(yè)與攻擊者的演化穩(wěn)定策略ESS 進(jìn)行計(jì)算與分析。

表1 企業(yè)與攻擊者演化博弈收益矩陣

以下將對(duì)定向攻擊下企業(yè)群體與攻擊者群體的演化博弈過(guò)程進(jìn)行分析和模擬，根據(jù)均衡穩(wěn)定狀態(tài)分六種情形進(jìn)行討論，并假設(shè)圖例中參數(shù)。

（三）情形一的企業(yè)與攻擊者演化博弈過(guò)程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過(guò)程分析

2.企業(yè)與攻擊者演化博弈均衡數(shù)字模擬

圖1 情形一：攻擊者與企業(yè)投資演化關(guān)系圖

表2 情形一：企業(yè)與攻擊者演化博弈過(guò)程數(shù)字模擬分析

在滿(mǎn)足第一種情形的條件下進(jìn)行假設(shè)，企業(yè)的投資額為z=5000（一般為企業(yè)信息資產(chǎn)潛在損失的5%，假設(shè)企業(yè)潛在損失為L(zhǎng)=100000），攻擊者攻擊成本為ch=2500，對(duì)外聯(lián)結(jié)度為c=0.2（一般情況下對(duì)外聯(lián)結(jié)度c

由此可見(jiàn)，在定向攻擊下情形一的條件中，企業(yè)與攻擊者都沒(méi)有成本優(yōu)勢(shì)，但當(dāng)企業(yè)投資意愿強(qiáng)烈時(shí)，攻擊者往往選擇不攻擊策略；當(dāng)攻擊者攻擊意愿非常強(qiáng)烈時(shí)，企業(yè)會(huì)情況調(diào)整投資狀態(tài)，企業(yè)與攻擊者雙方處于循環(huán)博弈狀態(tài)。

（四）情形二的企業(yè)與攻擊者演化博弈過(guò)程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過(guò)程分析

圖2 情形二：攻擊者與企業(yè)投資演化關(guān)系圖

圖3 情形三：攻擊者與企業(yè)的演化關(guān)系圖

2.企業(yè)與攻擊者演化博弈均衡狀態(tài)數(shù)字模擬

表3 情形二：企業(yè)與攻擊者演化博弈過(guò)程數(shù)字模擬分析

參考情形一，增加企業(yè)投資成本為6000，此時(shí)企業(yè)群體投資比例為0.91，進(jìn)行數(shù)字模擬如表3 所示。企業(yè)信息系統(tǒng)初始安全水平較高，攻擊者入侵系統(tǒng)比較困難，企業(yè)投資意愿開(kāi)始降低，演化結(jié)果企業(yè)選擇不投資策略和攻擊者選擇攻擊策略的均衡穩(wěn)定狀態(tài)；由于企業(yè)成本過(guò)高而造成企業(yè)投資意愿降低，最終演變成企業(yè)選擇不投資和攻擊者選擇攻擊的均衡穩(wěn)定狀態(tài)。

由此可見(jiàn)，在情形二中，企業(yè)信息系統(tǒng)初始安全水平較高，可以在一定程度上減少攻擊者的入侵，但由于安全投資成本過(guò)高，可能造成企業(yè)不愿增加投資，攻擊者選擇攻擊策略的后果。在企業(yè)信息資產(chǎn)價(jià)值一定的情況下，企業(yè)可以通過(guò)提高安全投資效率的方式以減少安全投資，達(dá)到提高信息系統(tǒng)安全水平的目的。

（五）情形三的企業(yè)與攻擊者演化博弈過(guò)程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過(guò)程分析

2.企業(yè)與攻擊者演化博弈均衡狀態(tài)數(shù)字模擬

為滿(mǎn)足情形三的條件，需要提高攻擊者的攻擊成本為9000（為潛在損失的9%），攻擊者群體選擇攻擊策略的比例保持不變?yōu)?.87，企業(yè)與攻擊者的博弈過(guò)程數(shù)字模擬分析如表4。

表4 情形三：企業(yè)與攻擊者演化博弈過(guò)程數(shù)字模擬分析

由此可見(jiàn)，在情形三中，攻擊者攻擊成本較高，企業(yè)投資意愿彈性較大，無(wú)論攻擊者攻擊意愿是否強(qiáng)烈，雙方博弈的最終結(jié)果都是攻擊者選擇不攻擊策略。

（六）情形四的企業(yè)與攻擊者演化博弈過(guò)程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過(guò)程分析

圖4 情形四：攻擊者與企業(yè)的演化關(guān)系圖

2.企業(yè)與攻擊者演化博弈均衡狀態(tài)數(shù)字模擬

在情形四中，當(dāng)攻擊者成本較低，無(wú)論企業(yè)投資意愿是否強(qiáng)烈，形成的均衡穩(wěn)定狀態(tài)是攻擊者始終選擇攻擊策略。博弈將按照其中A 區(qū)域箭頭的方向演化，形成均衡穩(wěn)定狀態(tài)x*=1 和y*=0，即均衡狀態(tài)E9（1，0），但這個(gè)狀態(tài)還不穩(wěn)定。因?yàn)槠髽I(yè)不可能坐以待斃，所以最終的演化穩(wěn)定狀態(tài)為x*=1 和y*=1，即均衡穩(wěn)定狀態(tài)E10（1，1），攻擊者選擇攻擊策略和企業(yè)采取投資策略。

（七）情形五的企業(yè)與攻擊者演化博弈過(guò)程分析及數(shù)字模擬

圖5 情形五：攻擊者與企業(yè)的演化關(guān)系圖

在情形五中，企業(yè)投資成本較高，攻擊者攻擊成本相對(duì)較低，最終的演化結(jié)果是，攻擊者選擇攻擊策略，企業(yè)選擇不投資策略。當(dāng)前情形企業(yè)降低投資成本是最優(yōu)選擇，由可知，在信息資產(chǎn)一定的情況下，可以通過(guò)提高安全投資效率和減小網(wǎng)絡(luò)對(duì)外聯(lián)接度的方法來(lái)優(yōu)化企業(yè)最低信息安全投資額。

（八）情形六的企業(yè)與攻擊者演化博弈過(guò)程分析及數(shù)字模擬

圖6 情形六：攻擊者與企業(yè)的演化關(guān)系圖

在情形六中，雙方成本都比較高，兩者都不能達(dá)到收益最大化，博弈的均衡結(jié)果就是企業(yè)選擇不投資和攻擊者選擇不攻擊。

四、主要結(jié)論與對(duì)策建議

（一）主要結(jié)論

本文采用演化博弈理論對(duì)企業(yè)信息安全投資策略進(jìn)行研究，考慮攻擊者攻擊類(lèi)型、企業(yè)投資成本、網(wǎng)絡(luò)對(duì)外聯(lián)接度、潛在損失、企業(yè)安全投資效率和攻擊概率等多種因素對(duì)企業(yè)信息安全投資決策的影響，根據(jù)企業(yè)群體與攻擊者群體的演化博弈過(guò)程，分六種情形對(duì)12 個(gè)均衡穩(wěn)定狀態(tài)進(jìn)行分析。主要結(jié)論包括：

1.定向攻擊下，在企業(yè)與攻擊者都沒(méi)有成本優(yōu)勢(shì)的情況下，當(dāng)企業(yè)投資意愿強(qiáng)烈時(shí)，攻擊者往往選擇不攻擊策略；

2.當(dāng)企業(yè)信息系統(tǒng)初始安全水平較高，可以在一定程度上減少攻擊者的攻擊概率，但由于安全投資成本過(guò)高，可能促使企業(yè)后期不愿增加投資，形成企業(yè)不投資和攻擊者選擇攻擊策略的狀態(tài)；

3.當(dāng)攻擊者攻擊成本偏高，無(wú)論企業(yè)投資意愿是否強(qiáng)烈，最終的均衡穩(wěn)定狀態(tài)都是采取不攻擊策略；

4.當(dāng)攻擊者攻擊成本較低，無(wú)論攻擊者攻擊意愿是否強(qiáng)烈，企業(yè)投資意愿是否強(qiáng)烈，最終的均衡穩(wěn)定狀態(tài)都是攻擊者選擇攻擊策略；

5.當(dāng)企業(yè)安全投資成本過(guò)高，攻擊者攻擊意愿強(qiáng)烈時(shí)，企業(yè)最終選擇不投資策略。

綜上所述，定向攻擊下，攻擊者攻擊成本可以明顯影響攻擊者的攻擊意愿：在攻擊成本較低時(shí)，無(wú)論企業(yè)投資意愿是否強(qiáng)烈，最終都會(huì)選擇攻擊策略；在攻擊成本較高時(shí)，無(wú)論企業(yè)投資意愿是否強(qiáng)烈，最終都會(huì)采取不攻擊策略。而企業(yè)只有在安全投資成本過(guò)高，并且攻擊者攻擊意愿強(qiáng)烈的情況下，才會(huì)采取不投資策略。

（二）對(duì)策建議

通過(guò)對(duì)攻擊者與企業(yè)六種情形下的博弈均衡穩(wěn)定結(jié)果分析，給出以下對(duì)策建議：

1.定向攻擊下，當(dāng)企業(yè)面對(duì)情形一時(shí)，在企業(yè)與攻擊者都沒(méi)有成本優(yōu)勢(shì)的情況下，企業(yè)可以采取威懾措施，讓攻擊者看到企業(yè)進(jìn)行安全投資的強(qiáng)烈意愿和決心，讓攻擊者認(rèn)為如果攻擊企業(yè)信息系統(tǒng)就會(huì)付出巨大成本，從而選擇不攻擊策略；當(dāng)企業(yè)面對(duì)情形二時(shí)，如果企業(yè)信息系統(tǒng)初始安全水平較高，雖然在一定程度上減少了攻擊者的攻擊，但后期也不能掉以輕心，任何階段都應(yīng)該根據(jù)情況提高安全投資額和提升安全投資效率；當(dāng)企業(yè)面對(duì)情形三時(shí)，在攻擊者攻擊成本較高而企業(yè)成本占優(yōu)勢(shì)的情況下，從企業(yè)效益最大化考慮，企業(yè)可以適當(dāng)降低信息安全投資額，采取相對(duì)保守的安全投資措施，比如在原有信息安全水平的基礎(chǔ)上進(jìn)行系統(tǒng)更新、提高安全管理人員的意識(shí)、注意信息平臺(tái)的日常維護(hù)和數(shù)據(jù)備份等。

2.當(dāng)企業(yè)面對(duì)情形四時(shí)，在攻擊者具有成本優(yōu)勢(shì)的情況下，無(wú)論企業(yè)采取什么樣的投資策略，攻擊者都始終選擇攻擊策略，定向攻擊目標(biāo)非常明確，在這種情況下，企業(yè)需要采取積極的防御措施。如果企業(yè)信息安全投資預(yù)算有限，就要提高安全投資效率；如果信息安全投資預(yù)算正常，增加安全投資以提高信息安全技術(shù)水平才是唯一可行的措施，如提升信息安全等級(jí)和防護(hù)策略、增強(qiáng)防護(hù)意識(shí)、聘用信息安全專(zhuān)家、采用信息安全新技術(shù)、優(yōu)化配置信息安全技術(shù)組合或者直接委托安全服務(wù)外包商等。

3.當(dāng)企業(yè)面對(duì)情形五時(shí)，企業(yè)投資成本較高，攻擊者攻擊成本較低，企業(yè)從利益最大化考慮，一般采取不投資策略。當(dāng)前情形降低投資成本才是企業(yè)首選，在信息資產(chǎn)一定的情況下，企業(yè)可以通過(guò)減小網(wǎng)絡(luò)對(duì)外聯(lián)接度和提高安全投資效率的方法來(lái)達(dá)到降低成本的目的，并隨時(shí)做好系統(tǒng)備份和數(shù)據(jù)備份。

4.當(dāng)企業(yè)面對(duì)第六種情形時(shí)，攻擊者攻擊成本和企業(yè)投資成本都比較高，企業(yè)信息系統(tǒng)處于暫時(shí)的安全狀態(tài)，企業(yè)信息安全投資也可以采取保守投資策略。

5.在攻擊者成本較低的情況下，無(wú)論企業(yè)投資意愿是否強(qiáng)烈，雙方博弈的均衡穩(wěn)定狀態(tài)攻擊者都始終選擇攻擊策略，當(dāng)企業(yè)投資成本較高選擇不投資策略時(shí)，攻擊者的定向攻擊可能為企業(yè)帶來(lái)極其嚴(yán)重的后果。因此，企業(yè)應(yīng)注意減少自己的投資成本，增加攻擊者的沉沒(méi)成本。如增加信息系統(tǒng)的入侵難度和消耗攻擊者的攻擊成本。具體來(lái)說(shuō)就是，面對(duì)定向攻擊者，不僅需要初期的信息安全投資，平時(shí)還要做好系統(tǒng)維護(hù)，優(yōu)化信息系統(tǒng)安全配置和注意信息系統(tǒng)安全更新，不定期對(duì)信息安全人員進(jìn)行安全培訓(xùn)等。

綜上所述，企業(yè)與攻擊者的博弈是一個(gè)循環(huán)往復(fù)的過(guò)程，均衡穩(wěn)定狀態(tài)下的和平只是暫時(shí)的。任何情況下，提高信息安全投資效率、提高信息安全水平，使投資效益最大化才是企業(yè)信息安全投資的目標(biāo)。企業(yè)應(yīng)根據(jù)與攻擊者博弈過(guò)程中的幾種具體情形及時(shí)調(diào)整投資策略，以最小成本獲得最大化投資收益。