刘文臣，朱建明

（中央财经大学信息学院，北京100081）

企业信息安全投资的博弈分析

刘文臣，朱建明

（中央财经大学信息学院，北京100081）

随着信息技术的快速发展，人们对信息和网络的依赖程度越来越大，信息安全对企业的发展起着重要的作用。由于信息共享和网络互连特点，企业的信息安全投资决策存在策略依赖性。用博弈论的方法，建立两企业和多企业的博弈模型并进行均衡分析，通过对多企业博弈的仿真模拟，可以发现企业信息安全投资策略与网络安全环境之间的关系，即企业投资的阀值与外部风险成正相关关系，与未投资的企业数量成正相关关系，而且最终企业投资信息安全的比例会趋于一个平衡。

信息安全；信息安全投资；博弈分析

IT技术的发展把人类带入了信息时代，信息在现代经济生活中的作用越来越大，已经成为市场竞争的重要手段。然而由于环境的开放性以及信息系统自身的缺陷等因素，导致信息面临着巨大的安全隐患。

信息安全不仅是技术上的问题，更是管理方面的问题。为降低安全风险，企业进行的信息安全投入越来越多。尤其是以互联网为基础的企业，风险成本支出在企业管理成本中占有很大的比例。企业采取何种策略最小化风险管理的成本，是每个管理者所关心的问题。实际上，企业对信息安全进行投资不仅与风险损失和投资成本有关系，还与互联网的安全环境有关系，与其他企业的信息安全的投资策略有关。企业的信息安全投资策略依赖于其他企业的投资策略，这是一种博弈关系。下面将从博弈论的角度对组织的风险投资进行探讨。

一、信息安全投资的研究现状

目前对于信息安全问题投资的研究主要集中在技术领域，相对于快速发展的信息技术，信息安全投资尚处于刚起步阶段。国内外对信息安全投资的研究主要是从集中在以下几个方面进行：风险管理角度、经济学角度、基于Gordon-Loeb模型的研究以及博弈论的角度。

伴随着博弈理论的发展及应用的逐步成熟，使用博弈论研究信息安全投资逐渐增多。对信息安全投资的博弈研究可以分成三个角度。一是采用非合作博弈来研究进攻和防守的策略，比如Huseyin Cavusoglu的文章研究企业和黑客的攻防博弈[1]，内容较少，研究还有较大差距。二是研究参与者相互依赖关系的合作博弈，Howard Kunreuther在文章“Interdependent Security”中，从两个参与对象的完美博弈入手，进而扩展研究多人博弈，提出IDS模型[2]。其文章主要研究航空安全领域，与信息安全投资有不同的特点。三是社会整体效益和个体投资效益的问题，如Jens Grossklags、Nicolas Christin等发表的文章“Secure or Insure?A Game-theoretic Analysis of Information Security Games”，将收益转变成信息安全投资与保险，通过网络范围、攻击类型、损失与投资成本要素将个体收益与整体的效益进行博弈研究[3]。

在国内采用博弈来分析信息安全投资的文献中，吕俊杰在文章“基于相互依赖性的信息安全投资博弈”中讨论了病毒单次侵入和多次侵入对企业造成的损失，分析了企业信息安全投资对外部环境的依赖性[4]。而孙薇在博士论文“组织信息安全风险投资中的博弈问题研究”中探讨了企业投资信息安全时的攻防博弈[5]。他们在博弈分析中以病毒在企业中的传播感染为背景，假定企业如果投资信息安全的话则自身风险降为零，由于外部风险以一定概率存在，企业仍然存在一定的损失。

这种假定并不能反映实际情况。企业面临的风险既有企业内部的风险，还有企业的外部环境（如其他企业）带来的风险。2002年FBI和CSI通过对484家公司的调查发现：有超过85%的安全威胁来自企业内部，而只有5%是来自黑客的攻击[6]。进行信息安全投资后，通过对内部人员的有效管理和培训，可以降低内部风险；通过安全设备的采购及合理配置，也会大大降低外部入侵风险。

为了使研究更贴近实际，我们假定进行信息安全投资后，内部风险和外部风险全部可以降低至忽略不计。而没有投资的企业，内部面临风险，外面的风险也存在，对外也会构成威胁。

二、信息安全投资的博弈模型的建立

1.博弈的基本假设

假设参与者为各企业组织，其中企业i的正常收益为E，企业投资信息安全的成本为C。企业在没有投资信息安全时自身可能引发风险，造成损失，包括生产上的损失、信誉上的损失等，用L表示。为研究方便，假定损失不再叠加。不考虑其他企业，独立的企业遭受到安全事件，从而引起风险的概率记为p，由于网络互联，企业i受到其他未投资信息安全的企业的传染而引发风险的概率为q。如果企业i投资信息安全后，外部风险忽略不计。

2.两个企业间的投资博弈

为研究众多互联网企业的投资博弈情况，首先需要研究只有两个企业的情况。当两企业都投资信息安全时，企业收益均为E-C；当两个企业都不投资信息安全时，企业此时既有内部因素带来的风险损失p-L，也有其他企业带来的风险损失qL，由于风险的不可叠加性，这一损失为pL+(1-p)qL；而当一个企业投资另一个企业不投资时，投资的企业风险不计，收益为E-C，不投资的企业只面临内部风险，此时收益为E-pL，建立两个企业的投资博弈模型，如表1所示。

（表1） 两个企业信息安全投资的博弈模型

3.多个企业的投资博弈

网络中有多家企业进行投资博弈，有的企业已经进行信息安全的投资，有的企业没有进行投资。我们假定共有n家企业，其中有s家已经做了投资。根据前面的假设，这s家企业本身不存在风险，也不会对其他企业产生威胁。对于一个企业考虑是否进行投资，要考虑的是其他剩下的n-s-1家企业间的相互影响。如果投资的话，不存在这个威胁，收益依然是E-C；如果不进行投资的话，自身面临的损失为pL，下面分析外部n-s-1家企业对他的影响。由于损失的不可叠加性，只要有一家企业对这个企业产生风险损失，其他企业对他的影响就不再计算，这n-s-1家企业都没有对他产生风险影响的概率是（1-q）n-s-1，从而得出至少有一家企业对他产生风险影响的概率就是1-（1-q）n-s-1。这就是外部的影响，加上自身的影响及不可叠加特性，该企业在未进行投资时的收益为E-pL-(1-p)［1-（1-q）n-s-1］*L。

三、信息投资博弈的均衡分析

1.两个企业投资博弈的均衡分析

对两个企业进行信息安全投资的博弈矩阵进行均衡分析，利用纯策略纳什均衡和混合策略纳什均衡两种方法进行分析。

在纯策略纳什均衡中，要想达到两个企业都进行投资的纳什均衡，充分必要条件是无论在何种情况下，投资所获得的收益均优于不投资时的收益，即

也就是说当投资成本小于内部风险带来的损失时，企业愿意进行投资。

下面分三种情况对均衡进行讨论：

（1）当 C＜pL 时

这时信息安全投资成本小于自身风险所引发的损失，进行投资是最佳的选择。此时的博弈均衡是（投资，投资）。

（2）当 pL≤C≤pL+（1-p）qL 时

此时的博弈存在两个纯策略纳什均衡，同时也存在一个混合策略纳什均衡。纯策略纳什均衡是（投资，不投资）以及（不投资，投资）。在混合策略纳什均衡中，博弈双方以一定的概率分布选择投资还是不投资。假定企业i以1-x的概率选择投资，以1-x的概率选择不投资，则在混合策略纳什均衡中，这种策略必须使得另一企业j所获得的期望收益相等，即

同样，企业j与企业i是对称的，所以企业j也是同样的策略。

（3）当 C＞pL+（1-p）qL 时

信息企业投资成本高于内外风险所引发的风险损失，所以此时的纳什均衡是（不投资，不投资）。

2.多个企业投资决策的均衡分析

在众多的企业中，要使得信息安全投资成为最优的策略，必须要使企业在进行信息安全投资时获得的期望收益大于不投资是的期望收益，即

对式子进行整理化简，得到

这个式子的含义是信息投资成本必须小于“至少发生一次安全事件”所造成的期望损失，令

从数学公式可知，当自身风险p增加或是外部风险q增加时，均会使得企业的受到的风险增加，企业会更倾向于投资信息安全。同样道理，当n值增加，或是s值减小时，不投资的企业数量会增加，企业的外部环境变坏，企业会倾向于进行安全投资。

四、算例分析及仿真模拟

1.两企业投资博弈的算例分析

首先讨论两个企业进行投资博弈的情况。假设企业i和企业j是正要进行信息安全投资决策的两个同质企业。企业的正常收益为40（万元），企业在遭受信息安全风险时损失的数额达20（万元）。两个企业因内部原因而发生的安全事件的概率p均为0.4。如果两企业均不投资的话，企业会面临外部的安全威胁，外部威胁对企业影响的概率为q，设为0.2。将上述数据代入两企业投资博弈模型中，得出以下的结果，如表2所示。

（表2） 两企业信息安全投资博弈的模型算例

两企业的投资均衡为（投资，投资）的充分必要条件是对方不论采取什么策略，选择投资都是最优的，即

上式表明，当信息安全投资的成本小于8万元时，两个企业都会投资于信息安全，达到理想的均衡。

2.多个企业投资博弈的仿真分析

对企业安全投资的阀值U和外部风险q做个仿真模拟。假设变量p=0.4，L=30，n=80，s=69，阀值U=［1－（1－p）（1－q）n-s－1］L 与变量 q 的仿真模拟结果如图 1 所示。

可以得出，在多企业进行信息安全投资博弈时，保持其他的条件不变的情况下，阀值U=［1－（1－p）（1－q）n-s－1］L与企业间的外部影响概率q呈正相关的关系。

对于U与q之间的关系，还可以通过阀值U与n-s的仿真图中得到进一步的验证。假设变量p=0.4，L=30 时，对比 q=0.2 和 q=0.05 时的情况，仿真模拟的结果如图 2 所示。

图2也说明当q值较大时，阀值也较高，企业投资意愿也会加大。这与前面结果是一致的。

下面对投资的阀值与未投资的企业数量关系做一个仿真模拟，假设变量p=0.4，L=30，q=0.2，对阀值U与n-s的关系进行仿真模拟，得到图3所示的结果。

（图1） 阀值U与外部影响因素q的仿真模拟图

（图2） 阀值U与n-s的仿真模拟图

（图3） 阀值U与未投资的企业数量n-s之间的仿真模拟图

当n-s数量增加时，阀值增大，说明成本的约束条件变松，企业更倾向于进行信息安全的投资。

于是可以得出，在多企业间进行信息安全投资博弈时，保持其他的条件不变的情况下，阀值U=［1-（1-p）（1-q）n-s-1］L与互联网环境未投资信息安全的企业的数量呈正相关的关系。

假设当前互联网上共有n家企业，其中有s家企业已经投资信息安全。如果有些未投资的企业进行投资的话，投资的企业数量增加，根据公式 U=［1-（1-p）（1-q）n-s-1］L，从而引起阀值减小，阀值的减少降低了企业投资的意愿，对于其他企业的投资又形成了约束；同理，当投资的企业数量减少时，会引起阀值的增大，结果又会促进企业进行投资。因此互联网中企业由于信息不对称的原因，投资的数量会不断发生变化，但总体上会围绕一个平衡点上下波动。

因此，在多企业间进行信息安全投资博弈时，保持其他的条件不变的情况下，投资信息安全的企业数所占比例经过不断地演化博弈，最终会趋于一个平衡值。

[1]Cavusiglu H，Mishra B.A Model for Evaluation IT Security Investments[J].Communications of the ACM，2004，47（7）.

[2]Kunreuther H，Heal G.Interdependent Security[J].Journal of Risk and Uncertainty，2003，26（2－3）.

[3]Grossklags J，Christin N，Chuang J.Secure or insure?A game-theoretic analysis of information security games[R].Proceedings of the 17th international world wide web conference，China，2008.

[4]吕俊杰.基于相互依赖性的信息安全投资博弈[J].中国管理科学，2006，14（3）.

[5]孙薇.组织信息安全投资中的博弈问题研究[D].大连：大连理工大学，2008.

[6]张泽虹，赵冬梅.信息安全管理与风险评估[M].北京：电子工业出版社，2010.

C931

A

1001－4799（2012）03－0138－04

2012-01-30

教育部科学技术研究重点资助项目：109016

刘文臣（1974-），男，山东招远人，中央财经大学信息学院2009级博士研究生；朱建明（1965-），男，山西太原人，中央财经大学信息学院教授、博士生导师，主要从事信息安全、电子商务安全和信息系统可生存性研究。

雷 丹］