□潘崇霞 周 玮 李立望 谢吉刚

一、引言

信息安全包括网络安全和数据安全。数字经济时代，数据继资本、土地、劳动力和技术之后成为又一新的重要生产要素。锐观产业研究院发布的《2023-2028 年中国数据安全产业投资规划及前景预测报告》显示，2021 年，我国数据安全产业市场规模达到88 亿元，同比增长91%；预计2025 年，数据安全产业有望达到478 亿元。信息安全涉及银行、医疗、物联网等各个行业，企业之间通过信息平台实现协同合作和信息共享，进行产品数据交换、订单数据交换和需求信息交换等，信息平台成为企业商务大数据的来源。同时，企业信息平台也面临各种信息安全风险，如容易遭受攻击者攻击导致客户信息泄露、业务数据窃取与篡改等。近年来，国内外重大网络安全事件频频，信息安全形势严峻。国内某官方网站盘点了2022 年全球重大网络安全事件，其中遭受攻击的包括各种类型的企业，主要有国内科创板上市企业、国内外电子企业、汽车制造企业的供应商和制造商等。[1]

为保证信息及其运行平台安全，企业需要进行信息安全投资以实现企业信息系统稳定运行。随着网络安全事件的增加，越来越多的企业重视信息安全投资。来自物联中国网中研普华产业研究院发布的《2023-2028 年中国信息安全行业发展趋势及现状分析》显示，2022 年，信息安全产品和服务收入2038 亿元，同比增长10.4%。[2]

企业信息安全投资是信息安全经济学中的一个重要组成部分。以往的企业信息安全投资研究，侧重于对单个企业的信息系统安全投资、信息安全中的攻防博弈、供应链中各方信息共享等相关问题进行研究。本文采用演化博弈理论对企业群体信息安全投资策略进行研究，主要有以下几个方面创新：一是分析定向攻击相关因素如网络对外联接度、企业投资效率、攻击概率、攻击者投资成本等对企业信息系统安全投资策略的影响；二是建立演化博弈模型对企业与攻击者的动态投资博弈进行分析，企业群体与攻击者群体的投资博弈是一个动态过程，要通过不断交互、调整才能达到一个稳定的状态，采用演化博弈模型对信息系统安全投资策略进行分析，增强了预测分析的可靠性和准确性；三是建立企业群体与攻击者群体的多对多演化博弈模型，互联网环境下多个企业常常要面对多个攻击者的攻击，尤其是处于供应链上下游、因频繁的数据交换和业务往来而具有利益和风险关联的企业群体，更容易引发多个攻击者的攻击，因此研究企业群体与攻击者群体的多对多演化博弈更具有现实意义。

二、文献综述

随着网络金融和电子商务的快速发展，信息安全问题已不再是单纯的技术问题，而是一个需要综合考虑技术、管理、经济等更为复杂的系统问题。信息安全研究主要包括两大领域，一个是从技术角度出发的信息安全技术投资研究，另一个是从管理和经济角度出发的信息安全投资策略研究。[3-5]信息安全技术投资主要是对安全硬件和软件产品进行投资，如加密算法研究、防火墙配置和入侵检测系统等。[6-8]从当前的信息安全研究来看，无论是从技术角度还是从管理和经济角度，业界都更关注以下几个领域：网络安全、数据安全、物联网安全和云安全等。

在网络安全研究中，首先，信息系统脆弱性对信息安全投资具有重要的影响，Gordon 和Loeb（2002）[9]采用经济学模型研究了信息系统脆弱性对信息安全投资策略的影响，指出企业不应该将资金投到脆弱性最差的信息资产上，而应该投入到脆弱性中等的信息资产上才能达到投资效益最大化。其次，攻击者的攻击类型一直是影响信息安全投资策略的重要因素，攻击类型不同对企业信息资产潜在损失的影响也不同。学者一般把攻击类型定义为随机攻击与定向攻击：定向攻击主要针对特定目标进行攻击，采取的方式主要包括盗取数据、拒绝服务和网站篡改等；随机攻击主要针对容易访问或容易连接的节点进行攻击，常见方式为蠕虫病毒和垃圾邮件等。[10-11]Gao 和Zhong（2015）[12]研究了两个竞争企业在一定安全要求下的信息安全投资策略，考虑了黑客攻击的两种类型，即随机攻击和定向攻击，主要结论包括面对信息资产价值比较高的企业，黑客为获得更多收益，往往会采取定向攻击方式而非随机攻击方式。Peng 等（2015）[13]对持续定向攻击下的对等网络的抗毁性进行了研究，研究结论对复杂网络设计具有重要的意义。Mookerjee 等（2011）[14]采用微分博弈方法研究了古诺特和伯川德竞争下的信息系统安全投资策略，黑客通过知识扩散可以提高攻击水平，企业通过信息安全投资可以减弱黑客知识扩散，但并不是安全投资越高就越能有效阻止黑客的知识扩散。信息技术的发展并没有使攻击事件减少，反而有愈演愈烈的趋势，甚至出现了战略型攻击者。Simon 和Omar（2020）[15]的研究中提到了战略型攻击者，在进行信息平台安全投资时，为抵御战略型攻击者的攻击和防御企业之间的关联风险，供应链中各企业需要进行协作投资。Gao 和Yang（2023）[16]通过建立双寡头水平分化模型针对黑客攻击对信息安全投资和公司利润的作用进行研究后认为，当市场竞争加剧时，为保持安全差异，企业在信息安全方面的投入会减少，安全投资成本系数的增加可能对每个公司都有利。

在数据安全研究中，邹纯龙等（2023）[17]采用定性比较分析法对中国24 个省及直辖市公共数据安全管理进行了研究，归纳出三种公共数据安全管理模式，可以为公共数据安全管理绩效水平的提高提供借鉴。池仁勇等（2023）[18]从企业绩效的角度对中小制造企业进行了实证研究，结果表明，数据安全在数字化制造能力与企业绩效之间起负向调节作用，而在数字化服务能力与企业绩效之间起正向调节作用。梅傲和陈子文（2023）[19]从总体国家安全观的角度，提出数据安全应该在制度的颗粒度、衔接性方面进行改进，从而达到维护数据安全、促进经济发展的目的。

在物联网安全和云安全研究中，多数偏重技术方面的研究，如数据存储技术、密码协议、网络安全模型与算法等。[20，21]而从经济管理角度研究的文献则主要集中于互联网数据安全和隐私保护：Zhang 等（2021）[22]研究了隐私数据安全投资对大数据公司的影响，发现一般情况下，隐私数据安全投资可以明显减少系统性风险；Sun（2020）[23]对云计算中的数据安全和隐私保护问题进行了研究，对云计算中的隐私风险进行分析，提出一个云计算中的隐私保护框架，包括访问控制、信任、云联盟资源管理等内容。

三、企业群体与攻击者群体演化博弈模型构建

（一）理论分析

一个企业常常面对多个攻击者，而一个攻击者的目标也可能是一个企业群体。首先，本文通过构建演化博弈模型对攻击者群体与企业群体之间的博弈问题进行分析。Mahmoudi 和Rasti-Barzoki（2017）[24]运用演化博弈理论对政府治理污染活动进行了研究，通过建立政府目标和生产者目标之间的博弈模型分别对三种情形下的均衡状态进行了分析，政府可以通过制定有效的税收和激励措施以明显地影响生产者行为、竞争市场与废物排放，达到有效治理污染的目的。其次，本文主要分析多种因素对信息安全投资决策的影响，如企业投资成本、信息安全投资效率、攻击者攻击类型、攻击者的攻击概率、入侵概率、企业之间的关联关系等对信息安全投资策略的影响，这些因素直接或间接影响到企业决策，从而影响信息安全投资策略。在攻击者群体与企业群体演化博弈过程中，双方根据自身既得利益、利用有限信息不断进行策略调整，用较好的状态不断代替不够好的状态，逐渐演化达到动态均衡稳定状态。最后，本文通过数字模拟对相关结论进行了仿真分析。

（二）模型构建

在信息安全投资策略研究中，攻击者的攻击类型是影响企业信息安全投资决策的重要因素。Huang 和Behara（2013）[25]将定向攻击类型的入侵概率函数定义为。其中，ξ∈[0，1]被定义为攻击概率，描述企业信息系统遭受攻击的可能性；随着攻击者的频繁攻击，企业信息系统可能被攻击者成功入侵，从而给企业造成信息资产损失L；c 取值范围为[0，1]，被描述为网络对外联接度，反映企业网络对外联接的频繁程度和开放程度，其值的大小一般取决于企业需求和系统安全技术要求，与之联接的企业网络结点越多，其取值就越大；z 被描述为信息安全投资水平；k 被描述为企业安全投资效率，是评价信息安全投资效果的指标。

在多个企业与多个攻击者的博弈过程中，假设攻击者群体中选择攻击策略的比例为x，选择不攻击策略的比例为1-x；企业群体中选择安全投资的比例为y，不选择安全投资策略的比例为1-y。攻击者与企业之间的博弈收益矩阵如表1 所示。由此可知，当攻击者选择攻击策略、企业选择投资策略时，攻击者总收益为p(ξ,c,z)L-ch，企业总收益为π-p (ξ,c,z)L-z；当攻击者选择攻击策略、企业选择不投资策略时，攻击者总收益为p (ξ,c,0)L-ch，企业收益为π-p (ξ,c,0)；当攻击者选择不攻击策略、企业选择投资策略时，攻击者的总收益为0，企业的总收益为π-z；当攻击者选择不攻击策略、企业选择不投资策略时，攻击者总收益为0，企业总收益为π。根据表1 收益矩阵对企业与攻击者的演化稳定策略ESS 进行计算与分析。

表1 企业与攻击者演化博弈收益矩阵

以下将对定向攻击下企业群体与攻击者群体的演化博弈过程进行分析和模拟，根据均衡稳定状态分六种情形进行讨论，并假设图例中参数。

（三）情形一的企业与攻击者演化博弈过程分析及数字模拟

1.企业与攻击者演化博弈过程分析

2.企业与攻击者演化博弈均衡数字模拟

图1 情形一：攻击者与企业投资演化关系图

表2 情形一：企业与攻击者演化博弈过程数字模拟分析

在满足第一种情形的条件下进行假设，企业的投资额为z=5000（一般为企业信息资产潜在损失的5%，假设企业潜在损失为L=100000），攻击者攻击成本为ch=2500，对外联结度为c=0.2（一般情况下对外联结度c

由此可见，在定向攻击下情形一的条件中，企业与攻击者都没有成本优势，但当企业投资意愿强烈时，攻击者往往选择不攻击策略；当攻击者攻击意愿非常强烈时，企业会情况调整投资状态，企业与攻击者双方处于循环博弈状态。

（四）情形二的企业与攻击者演化博弈过程分析及数字模拟

1.企业与攻击者演化博弈过程分析

图2 情形二：攻击者与企业投资演化关系图

图3 情形三：攻击者与企业的演化关系图

2.企业与攻击者演化博弈均衡状态数字模拟

表3 情形二：企业与攻击者演化博弈过程数字模拟分析

参考情形一，增加企业投资成本为6000，此时企业群体投资比例为0.91，进行数字模拟如表3 所示。企业信息系统初始安全水平较高，攻击者入侵系统比较困难，企业投资意愿开始降低，演化结果企业选择不投资策略和攻击者选择攻击策略的均衡稳定状态；由于企业成本过高而造成企业投资意愿降低，最终演变成企业选择不投资和攻击者选择攻击的均衡稳定状态。

由此可见，在情形二中，企业信息系统初始安全水平较高，可以在一定程度上减少攻击者的入侵，但由于安全投资成本过高，可能造成企业不愿增加投资，攻击者选择攻击策略的后果。在企业信息资产价值一定的情况下，企业可以通过提高安全投资效率的方式以减少安全投资，达到提高信息系统安全水平的目的。

（五）情形三的企业与攻击者演化博弈过程分析及数字模拟

1.企业与攻击者演化博弈过程分析

2.企业与攻击者演化博弈均衡状态数字模拟

为满足情形三的条件，需要提高攻击者的攻击成本为9000（为潜在损失的9%），攻击者群体选择攻击策略的比例保持不变为0.87，企业与攻击者的博弈过程数字模拟分析如表4。

表4 情形三：企业与攻击者演化博弈过程数字模拟分析

由此可见，在情形三中，攻击者攻击成本较高，企业投资意愿弹性较大，无论攻击者攻击意愿是否强烈，双方博弈的最终结果都是攻击者选择不攻击策略。

（六）情形四的企业与攻击者演化博弈过程分析及数字模拟

1.企业与攻击者演化博弈过程分析

图4 情形四：攻击者与企业的演化关系图

2.企业与攻击者演化博弈均衡状态数字模拟

在情形四中，当攻击者成本较低，无论企业投资意愿是否强烈，形成的均衡稳定状态是攻击者始终选择攻击策略。博弈将按照其中A 区域箭头的方向演化，形成均衡稳定状态x*=1 和y*=0，即均衡状态E9（1，0），但这个状态还不稳定。因为企业不可能坐以待毙，所以最终的演化稳定状态为x*=1 和y*=1，即均衡稳定状态E10（1，1），攻击者选择攻击策略和企业采取投资策略。

（七）情形五的企业与攻击者演化博弈过程分析及数字模拟

图5 情形五：攻击者与企业的演化关系图

在情形五中，企业投资成本较高，攻击者攻击成本相对较低，最终的演化结果是，攻击者选择攻击策略，企业选择不投资策略。当前情形企业降低投资成本是最优选择，由可知，在信息资产一定的情况下，可以通过提高安全投资效率和减小网络对外联接度的方法来优化企业最低信息安全投资额。

（八）情形六的企业与攻击者演化博弈过程分析及数字模拟

图6 情形六：攻击者与企业的演化关系图

在情形六中，双方成本都比较高，两者都不能达到收益最大化，博弈的均衡结果就是企业选择不投资和攻击者选择不攻击。

四、主要结论与对策建议

（一）主要结论

本文采用演化博弈理论对企业信息安全投资策略进行研究，考虑攻击者攻击类型、企业投资成本、网络对外联接度、潜在损失、企业安全投资效率和攻击概率等多种因素对企业信息安全投资决策的影响，根据企业群体与攻击者群体的演化博弈过程，分六种情形对12 个均衡稳定状态进行分析。主要结论包括：

1.定向攻击下，在企业与攻击者都没有成本优势的情况下，当企业投资意愿强烈时，攻击者往往选择不攻击策略；

2.当企业信息系统初始安全水平较高，可以在一定程度上减少攻击者的攻击概率，但由于安全投资成本过高，可能促使企业后期不愿增加投资，形成企业不投资和攻击者选择攻击策略的状态；

3.当攻击者攻击成本偏高，无论企业投资意愿是否强烈，最终的均衡稳定状态都是采取不攻击策略；

4.当攻击者攻击成本较低，无论攻击者攻击意愿是否强烈，企业投资意愿是否强烈，最终的均衡稳定状态都是攻击者选择攻击策略；

5.当企业安全投资成本过高，攻击者攻击意愿强烈时，企业最终选择不投资策略。

综上所述，定向攻击下，攻击者攻击成本可以明显影响攻击者的攻击意愿：在攻击成本较低时，无论企业投资意愿是否强烈，最终都会选择攻击策略；在攻击成本较高时，无论企业投资意愿是否强烈，最终都会采取不攻击策略。而企业只有在安全投资成本过高，并且攻击者攻击意愿强烈的情况下，才会采取不投资策略。

（二）对策建议

通过对攻击者与企业六种情形下的博弈均衡稳定结果分析，给出以下对策建议：

1.定向攻击下，当企业面对情形一时，在企业与攻击者都没有成本优势的情况下，企业可以采取威慑措施，让攻击者看到企业进行安全投资的强烈意愿和决心，让攻击者认为如果攻击企业信息系统就会付出巨大成本，从而选择不攻击策略；当企业面对情形二时，如果企业信息系统初始安全水平较高，虽然在一定程度上减少了攻击者的攻击，但后期也不能掉以轻心，任何阶段都应该根据情况提高安全投资额和提升安全投资效率；当企业面对情形三时，在攻击者攻击成本较高而企业成本占优势的情况下，从企业效益最大化考虑，企业可以适当降低信息安全投资额，采取相对保守的安全投资措施，比如在原有信息安全水平的基础上进行系统更新、提高安全管理人员的意识、注意信息平台的日常维护和数据备份等。

2.当企业面对情形四时，在攻击者具有成本优势的情况下，无论企业采取什么样的投资策略，攻击者都始终选择攻击策略，定向攻击目标非常明确，在这种情况下，企业需要采取积极的防御措施。如果企业信息安全投资预算有限，就要提高安全投资效率；如果信息安全投资预算正常，增加安全投资以提高信息安全技术水平才是唯一可行的措施，如提升信息安全等级和防护策略、增强防护意识、聘用信息安全专家、采用信息安全新技术、优化配置信息安全技术组合或者直接委托安全服务外包商等。

3.当企业面对情形五时，企业投资成本较高，攻击者攻击成本较低，企业从利益最大化考虑，一般采取不投资策略。当前情形降低投资成本才是企业首选，在信息资产一定的情况下，企业可以通过减小网络对外联接度和提高安全投资效率的方法来达到降低成本的目的，并随时做好系统备份和数据备份。

4.当企业面对第六种情形时，攻击者攻击成本和企业投资成本都比较高，企业信息系统处于暂时的安全状态，企业信息安全投资也可以采取保守投资策略。

5.在攻击者成本较低的情况下，无论企业投资意愿是否强烈，双方博弈的均衡稳定状态攻击者都始终选择攻击策略，当企业投资成本较高选择不投资策略时，攻击者的定向攻击可能为企业带来极其严重的后果。因此，企业应注意减少自己的投资成本，增加攻击者的沉没成本。如增加信息系统的入侵难度和消耗攻击者的攻击成本。具体来说就是，面对定向攻击者，不仅需要初期的信息安全投资，平时还要做好系统维护，优化信息系统安全配置和注意信息系统安全更新，不定期对信息安全人员进行安全培训等。

综上所述，企业与攻击者的博弈是一个循环往复的过程，均衡稳定状态下的和平只是暂时的。任何情况下，提高信息安全投资效率、提高信息安全水平，使投资效益最大化才是企业信息安全投资的目标。企业应根据与攻击者博弈过程中的几种具体情形及时调整投资策略，以最小成本获得最大化投资收益。