信息安全投资规划项目质量管理探讨

导语：信息安全投资规划项目质量管理探讨一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要：随着当今社会信息化水平的不断发展，网络攻击带来的危害和损失逐年增长。各种组织和个人的信息安全意识不断提高，投入不断加大，产业规模快速增长。在这样的背景下，关注信息安全投资的质量，能更有效提升组织的网络安全水平，降低信息安全风险。本文提出了信息安全投资项目质量评价模型，并应用该模型得出了一家企业在不同投资期望情况下的最优信息安全投资组合。

关键词：信息安全；质量评价模型；投资决策

全投资的主观臆断，降低信息安全投资的盲目性，提高信息安全投资的有效性。因此，企业在开展信息安全投资之前，应对公司信息安全现状进行充分调研，充分考虑信息安全投资的质量，制定出符合公司安全需求和投资预算的信息安全投资规划项目，为下一步的信息安全投资打下基础。

1信息安全项目质量评价模型

1.1信息安全项目的评价模型

2002年，Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探讨了公司信息安全威胁、单位损失、脆弱性和信息安全投资收益问题。通过投资收益比，分析了最优信息安全投资金额及其特点，推测最优信息安全投资量应少于潜在损失的1/e（即36.79%）[3]。进一步，通过比较两种不同类型的攻击，给出了最优投资和脆弱性的关系。但是，Gordon-Loeb模型仅考虑了企业整体的信息安全风险和投资。在实际应用中，企业面临的整体风险不仅难以估算，而且得出的最优信息安全投资额并不能指导公司实际信息安全投资行为。参考Gordon-Loeb的经典模型，进一步考虑特定的信息安全威胁、损失和脆弱性场景。公司的特定信息安全损失由三个因素组成，分别是单位损失λ；威胁t和脆弱性v。单位损失λ表示由特定威胁和特定脆弱性引起的单次信息安全事件所带来的损失金额，用货币单位度量；威胁t表示某项特定威胁的发生概率；脆弱性v表示特定威胁成功造成损失的概率（其中，0≤t≤1，0≤v≤1）。为了计算方便，假定信息安全项目I的投资收益等于通过实施项目减少的信息安全期望损失。

1.2信息安全投资组合评价模型

由于组织存在多个信息安全脆弱性，面临着多种安全风险，难以通过实施一个信息安全项目来满足组织所有的信息安全需求。组织往往通过实施信息安全项目组合的方式，来进行信息安全投资。在实际的工作中，可以将组织进行信息安全投资的过程抽象为，在有限的信息安全项目集合Y中，选择合适的信息安全项目投资组合Z，来实现自己的信息安全投资目标。

2基于信息安全项目质量评价模型的最优投资规划组合

2.1A公司风险评估

充分理解公司业务和安全现状是选择信息安全投资组合的前提。通过分析不相关的脆弱性对应的信息安全事件发生频率和单位损失，评估出不同脆弱性的年度期望损失，可以大致描述出公司的信息安全现状，帮助公司做出正确的决策。

2.2可选信息安全投资项目

A公司面对以上信息安全风险，需采用一定的安全技术措施和管理手段来处置及预防这些风险。A公司了解到市场上有一系列信息安全投资项目，计划从这些项目中选择合适的投资项目来降低公司的信息安全风险。表2列举了这些信息安全投资项目，并估算出A公司实施这些项目每年的投资成本。

2.3不同投资期望下的最优信息安全投资组合

为了确定组织的最优信息安全投资组合，不仅需要有评价信息安全投资效果的工具，还需要分析企业期望达到的投资效果。不同的企业基于不同的投资目的，有着不同的信息安全风险偏好水平和投资策略。可以依据企业对信息安全投资的风险偏好水平和投资策略，制定最优的信息安全投资组合。2.3.1明确信息安全需求下的最优投资组合假设A公司明确了投资策略，确定了信息安全需求，希望将公司的整体信息安全风险水平降低70%以上。那么A公司的最优投资组合，就是以最小的代价满足以上的风险水平。王军提出了信息安全投资的智能化决策方法[4]，对其方法加以改进，结合离散二进制PSO算法[5]来帮助进行投资决策。选择粒子群个数为1000个，迭代次数200次，惯性权重w=1，自我学习因子c1=0.5，群体学习因子c2=0.5，适应值是信息安全投资成本，判断标准是使投资效果E大于等于投资需求Eneed。通过运行上述程序，可以得到最优的投资组合及其对应的投资金额。图1（左）中的蓝点代表最优投资组合，红点代表在搜寻上述最优投资组合过程中遍历到的投资组合，在迭代过程中，粒子不断向图中的蓝色圆点（即投资效果为70.27%，使公司的整体信息安全风险水平降低70%以上，且投资金额为650万的点）附近收敛。图1（右）显示了最优投资组合的收敛过程，在本例中经过69次迭代达到了最优投资组合。最优投资组合可以表示为一组0-1二元向量，公司选择投资信息安全意识培训、信息安全管管理体系项目、应用层防火墙、终端安全管理软件、安全扫描和评估项目、系统备份容灾项目、堡垒机项目、双因素认证项目、邮件安全项目，投资组合的金额为650万。使得公司的信息安全期望损失减少70%以上，且投资的成本最小。2.3.2给定预算金额情况下的最优投资组合假设A公司进行信息安全投资的预算为500万，公司希望在有限的投资金额内，将信息安全风险水平降低到尽可能低的程度。同样，公司应用离散二进制PSO算法来帮助进行投资决策，将适应值调整为投资效果E，判断标准是在预算范围内使E最大。利用MATLAB运算求解上述投资决策，可以得到此条件下最优的投资组合及其对应的投资金额。图2-2（左）中的蓝点代表最优投资组合，红点代表在搜寻上述最优投资组合过程中遍历到的投资组合，在迭代过程中，粒子不断向图中的蓝色圆点（即投资效果为63.91%，且投资金额为500万的点）附近收敛。图2-2（右）显示了最优投资组合的收敛过程，在本例中经过62次迭代达到了最优投资组合。最优投资组合可以表示为一个二元向量公司选择投资信息安全意识培训、信息安全管管理体系项目、应用层防火墙、蜜罐系统、安全扫描和评估项目、运维监控平台、堡垒机项目、双因素认证项目、邮件安全项目，投资组合的金额为500万，且获得了对应金额投资情况下最大的投资收益。2.3.3风险厌恶型企业的最优投资组合假设A公司希望尽可能地降低信息安全风险，使投资组合能够产生最大的投资效果。易知，如果A公司对全部项目进行投资，则信息安全投资效果最大。但是在现实的案例中，很少有公司会选择对全部项目进行投资。在本例中将投资效果精确到小数点后两位，并计算一系列投资效果最大的投资组合中投资成本最小的投资组合。公司应用离散二进制PSO算法来帮助进行投资决策，适应值为投资效果E，判断标准是使E最大，同时记录下满足E最大情况下的，最小投资成本对应的投资组合。随着信息安全投资金额的增加，安全项目增多，信息安全投资收益趋于平稳，变化不大，因此为了使算法可以有效收敛，将纵坐标投资效果的精度降低。因为在这一区间，信息安全额外的投入带来的收益将越来越小，将投资效果的精度降低，也符合企业在做投资决策时通常会采用的策略。利用MATLAB运算求解上述投资决策，可以得到此条件下最优的投资组合及其对应的投资金额。图3中的蓝点代表最优投资组合，红点代表在搜寻上述最优投资组合过程中遍历到的投资组合，在迭代过程中，粒子不断向图中的蓝色圆点（即投资效果为89%，且投资金额为1890万的点）附近收敛。2.3.4利润偏好型企业的最优投资组合假设公司A是利润偏好型企业，希望通过信息安全投资实现信息安全项目收益与成本之差（即，利润）的最大化，并愿意为获得这些收益承担一定的信息安全风险。同样，公司应用离散二进制PSO算法来帮助进行投资决策，适应值为投资利润profit，判断标准是使投资利润profit值最大，同时记录下投资利润profit最大情况下对应的投资组合。根据上述适应值和判断标准修改程序，利用MATLAB运算求解利润偏好型企业的投资决策，可以得到此条件下最优投资组合及其对应的投资金额。图4（左）中的蓝点代表最优投资组合，红点代表在搜寻上述最优投资组合过程中遍历到的投资组合，在迭代过程中，粒子不断向图中的蓝色圆点（即投资收益为388.6万，且投资成本为160万，投资利润为228.6万的点）附近收敛。图4（右）显示了最优投资组合的收敛过程，在本例中经过44次迭代达到了最优投资组合。2.3.5最优信息安全投资组合集以A公司为例，利用MATLAB分别计算不同信息安全需求情况下的最优投资组合及其对应的成本收益。图5中的蓝点分别代表不同信息安全需求下的最优投资组合对应的成本收益，红点代表在搜寻上述最优投资组合过程中遍历到的所有投资组合的成本收益，蓝色曲线附近的点就是最优信息安全投资组合的成本收益，组成了最优投资组合集Q。通过上述实例，可以观察到由最优信息安全投资组合模型求解的最优投资组合集Q，随着投资金额的增大，投资效果也增大，但是投资效果的增长幅度越来越小，符合效用理论[6]。

3结束语

本文主要研究了组织的信息安全投资决策问题。参考Gordon-Loeb模型，提出了信息安全投资评价模型。使组织可以借助该模型选择最优信息安全投资组合。但是，本文提出的模型中的信息安全投资收益，只考虑了实施信息安全投资项目所降低的期望损失所获得投资收益，并未考虑信息安全投资项目可能带来的业务扩展、商誉等正收益。在今后的研究中可以把信息安全投资的正收益纳入投资收益的计算中。

作者：张智铭 单位：上海交通大学网络空间安全学院