公務(wù)員期刊網(wǎng) 論文中心 正文

信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究范文,希望能給你帶來靈感和參考,敬請閱讀。

信息安全投資規(guī)劃項(xiàng)目質(zhì)量管理探究

摘要:隨著當(dāng)今社會信息化水平的不斷發(fā)展,網(wǎng)絡(luò)攻擊帶來的危害和損失逐年增長。各種組織和個人的信息安全意識不斷提高,投入不斷加大,產(chǎn)業(yè)規(guī)模快速增長。在這樣的背景下,關(guān)注信息安全投資的質(zhì)量,能更有效提升組織的網(wǎng)絡(luò)安全水平,降低信息安全風(fēng)險。本文提出了信息安全投資項(xiàng)目質(zhì)量評價模型,并應(yīng)用該模型得出了一家企業(yè)在不同投資期望情況下的最優(yōu)信息安全投資組合。

關(guān)鍵詞:信息安全;質(zhì)量評價模型;投資決策

全投資的主觀臆斷,降低信息安全投資的盲目性,提高信息安全投資的有效性。因此,企業(yè)在開展信息安全投資之前,應(yīng)對公司信息安全現(xiàn)狀進(jìn)行充分調(diào)研,充分考慮信息安全投資的質(zhì)量,制定出符合公司安全需求和投資預(yù)算的信息安全投資規(guī)劃項(xiàng)目,為下一步的信息安全投資打下基礎(chǔ)。

1信息安全項(xiàng)目質(zhì)量評價模型

1.1信息安全項(xiàng)目的評價模型

2002年,Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探討了公司信息安全威脅、單位損失、脆弱性和信息安全投資收益問題。通過投資收益比,分析了最優(yōu)信息安全投資金額及其特點(diǎn),推測最優(yōu)信息安全投資量應(yīng)少于潛在損失的1/e(即36.79%)[3]。進(jìn)一步,通過比較兩種不同類型的攻擊,給出了最優(yōu)投資和脆弱性的關(guān)系。但是,Gordon-Loeb模型僅考慮了企業(yè)整體的信息安全風(fēng)險和投資。在實(shí)際應(yīng)用中,企業(yè)面臨的整體風(fēng)險不僅難以估算,而且得出的最優(yōu)信息安全投資額并不能指導(dǎo)公司實(shí)際信息安全投資行為。參考Gordon-Loeb的經(jīng)典模型,進(jìn)一步考慮特定的信息安全威脅、損失和脆弱性場景。公司的特定信息安全損失由三個因素組成,分別是單位損失λ;威脅t和脆弱性v。單位損失λ表示由特定威脅和特定脆弱性引起的單次信息安全事件所帶來的損失金額,用貨幣單位度量;威脅t表示某項(xiàng)特定威脅的發(fā)生概率;脆弱性v表示特定威脅成功造成損失的概率(其中,0≤t≤1,0≤v≤1)。特定信息安全風(fēng)險的期望損失L,可以表示為:通常來說,一項(xiàng)脆弱性v可能會被多個威脅利用,因此一項(xiàng)特定脆弱性對應(yīng)的期望損失Lv應(yīng)該是所有可能利用到脆弱性v的風(fēng)險的期望損失的和,可表示為:假定,組織總共有m項(xiàng)不相關(guān)的脆弱性v,則組織面臨的總體信息安全期望損失Ltotal可表示為:組織的各項(xiàng)不相關(guān)的脆弱性的組合可以用數(shù)組V表示:假設(shè)某項(xiàng)信息安全項(xiàng)目能夠通過降低某些脆弱性集合,來降低組織面臨的信息安全風(fēng)險。為了計(jì)算方便,假定信息安全項(xiàng)目I的投資收益等于通過實(shí)施項(xiàng)目減少的信息安全期望損失。項(xiàng)目I通過減少脆弱性集合V來降低信息安全風(fēng)險。項(xiàng)目對特定脆弱性vx的減少效果用vx′表示。信息安全項(xiàng)目I帶來的投資收益(即,減少的信息安全期望損失)S,可以表示為:在進(jìn)行風(fēng)險評估計(jì)算期望損失時,通常會估算組織一年內(nèi)的信息安全期望損失,也需要估算信息安全項(xiàng)目在同樣單位時間內(nèi)的成本。一般來說信息安全項(xiàng)目在第一年投入成本較大,之后每年維護(hù)的費(fèi)用大致相等,同時項(xiàng)目也有使用年限,假設(shè)信息安全項(xiàng)目I的初始投入為X,項(xiàng)目每年維護(hù)費(fèi)用為Q,使用年限為W,貼現(xiàn)率為r,可計(jì)算出每年的項(xiàng)目成本C為:

1.2信息安全投資組合評價模型

由于組織存在多個信息安全脆弱性,面臨著多種安全風(fēng)險,難以通過實(shí)施一個信息安全項(xiàng)目來滿足組織所有的信息安全需求。組織往往通過實(shí)施信息安全項(xiàng)目組合的方式,來進(jìn)行信息安全投資。在實(shí)際的工作中,可以將組織進(jìn)行信息安全投資的過程抽象為,在有限的信息安全項(xiàng)目集合Y中,選擇合適的信息安全項(xiàng)目投資組合Z,來實(shí)現(xiàn)自己的信息安全投資目標(biāo)。假設(shè)組織存在m個不相關(guān)的脆弱性V,為了降低信息安全風(fēng)險,組織計(jì)劃從k個可供選擇的信息安全項(xiàng)目中選擇一組投資組合來實(shí)現(xiàn)信息安全投資目標(biāo)。每個項(xiàng)目的投資成本分別為Ci(i=1,2,…,k)。組織的信息安全項(xiàng)目投資組合Z,可以表示為:Z=(z1,z2,…,zk),zn=1or0,n=1,2…..,k當(dāng)zn=1時,表示組織選擇投資第n個投資項(xiàng)目;zn=0時,表示組織選擇不投資第n個項(xiàng)目。在實(shí)施單個項(xiàng)目zn后對組織的一系列脆弱性Vm(v1,v2,…,vm)的投資成效可以用數(shù)組Vn′來表示:項(xiàng)目zn投資后的特定脆弱性vm,將會調(diào)整為。信息安全項(xiàng)目集合Z對組織的一系列脆弱性Vm(v1,v2,…,vm)的投資成效系數(shù),可以用矩陣Vkm′來表示:在選擇一組信息安全投資組合時,會有多個不同類型的信息安全投資項(xiàng)目作用于組織的某個特定脆弱性。信息安全投資組合Z對組織特定脆弱性vm的影響將取決于組織選擇的信息安全項(xiàng)目組合Z及其投資成效Vkm′。假定所有的信息安全項(xiàng)目不會帶來新的脆弱性,即。依據(jù)信息安全脆弱性的特性以及Gordon-Loeb模型的假設(shè)。項(xiàng)目組合Z投資后的殘余風(fēng)險S′,可以通過計(jì)算所有特定脆弱性對應(yīng)的殘余風(fēng)險的和求得,用公式表示為:

2基于信息安全項(xiàng)目質(zhì)量評價模型的最優(yōu)投資規(guī)劃組合

2.1A公司風(fēng)險評估

充分理解公司業(yè)務(wù)和安全現(xiàn)狀是選擇信息安全投資組合的前提。通過分析不相關(guān)的脆弱性對應(yīng)的信息安全事件發(fā)生頻率和單位損失,評估出不同脆弱性的年度期望損失,可以大致描述出公司的信息安全現(xiàn)狀,幫助公司做出正確的決策。經(jīng)過風(fēng)險分析,估算A公司每項(xiàng)不相關(guān)脆弱性對應(yīng)的年度期望損失。結(jié)果如表1所示:

2.2可選信息安全投資項(xiàng)目

A公司面對以上信息安全風(fēng)險,需采用一定的安全技術(shù)措施和管理手段來處置及預(yù)防這些風(fēng)險。A公司了解到市場上有一系列信息安全投資項(xiàng)目,計(jì)劃從這些項(xiàng)目中選擇合適的投資項(xiàng)目來降低公司的信息安全風(fēng)險。表2列舉了這些信息安全投資項(xiàng)目,并估算出A公司實(shí)施這些項(xiàng)目每年的投資成本。A公司在實(shí)施了上述信息安全投資項(xiàng)目后將會降低某些特定的脆弱性,通過降低這些特定的脆弱性,A公司的信息安全風(fēng)險和期望損失將會減少。設(shè)信息安全投資項(xiàng)目實(shí)施后對每一項(xiàng)脆弱性的有效性系數(shù)為向量。其中,P是項(xiàng)目總數(shù);V是脆弱性的總數(shù);表示項(xiàng)目Pi能夠?qū)⒋嗳跣訴j的風(fēng)險完全緩解;表示項(xiàng)目Pi對脆弱性Vj沒有效果;表示項(xiàng)目Pi對脆弱性Vj的有效性系數(shù)是0.5。通過安全人員對可選信息安全投資項(xiàng)目進(jìn)行評估,信息安全項(xiàng)目Pi針對特定脆弱性Vj的有效性系數(shù)在0-1之間。

2.3不同投資期望下的最優(yōu)信息安全投資組合

為了確定組織的最優(yōu)信息安全投資組合,不僅需要有評價信息安全投資效果的工具,還需要分析企業(yè)期望達(dá)到的投資效果。不同的企業(yè)基于不同的投資目的,有著不同的信息安全風(fēng)險偏好水平和投資策略??梢砸罁?jù)企業(yè)對信息安全投資的風(fēng)險偏好水平和投資策略,制定最優(yōu)的信息安全投資組合。2.3.1明確信息安全需求下的最優(yōu)投資組合。假設(shè)A公司明確了投資策略,確定了信息安全需求,希望將公司的整體信息安全風(fēng)險水平降低70%以上。那么A公司的最優(yōu)投資組合,就是以最小的代價滿足以上的風(fēng)險水平。王軍提出了信息安全投資的智能化決策方法[4],對其方法加以改進(jìn),結(jié)合離散二進(jìn)制PSO算法[5]來幫助進(jìn)行投資決策。選擇粒子群個數(shù)為1000個,迭代次數(shù)200次,慣性權(quán)重w=1,自我學(xué)習(xí)因子c1=0.5,群體學(xué)習(xí)因子c2=0.5,適應(yīng)值是信息安全投資成本,判斷標(biāo)準(zhǔn)是使投資效果E大于等于投資需求Eneed。運(yùn)用MATLAB計(jì)算出上述投資決策的結(jié)果(圖1)。通過運(yùn)行上述程序,可以得到最優(yōu)的投資組合及其對應(yīng)的投資金額。圖1(左)中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合,在迭代過程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資效果為70.27%,使公司的整體信息安全風(fēng)險水平降低70%以上,且投資金額為650萬的點(diǎn))附近收斂。圖1(右)顯示了最優(yōu)投資組合的收斂過程,在本例中經(jīng)過69次迭代達(dá)到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一組0-1二元向量,公司選擇投資信息安全意識培訓(xùn)、信息安全管管理體系項(xiàng)目、應(yīng)用層防火墻、終端安全管理軟件、安全掃描和評估項(xiàng)目、系統(tǒng)備份容災(zāi)項(xiàng)目、堡壘機(jī)項(xiàng)目、雙因素認(rèn)證項(xiàng)目、郵件安全項(xiàng)目,投資組合的金額為650萬。使得公司的信息安全期望損失減少70%以上,且投資的成本最小。2.3.2給定預(yù)算金額情況下的最優(yōu)投資組合。假設(shè)A公司進(jìn)行信息安全投資的預(yù)算為500萬,公司希望在有限的投資金額內(nèi),將信息安全風(fēng)險水平降低到盡可能低的程度。同樣,公司應(yīng)用離散二進(jìn)制PSO算法來幫助進(jìn)行投資決策,將適應(yīng)值調(diào)整為投資效果E,判斷標(biāo)準(zhǔn)是在預(yù)算范圍內(nèi)使E最大。利用MATLAB運(yùn)算求解上述投資決策,可以得到此條件下最優(yōu)的投資組合及其對應(yīng)的投資金額。圖2-2(左)中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合,在迭代過程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資效果為63.91%,且投資金額為500萬的點(diǎn))附近收斂。圖2-2(右)顯示了最優(yōu)投資組合的收斂過程,在本例中經(jīng)過62次迭代達(dá)到了最優(yōu)投資組合。最優(yōu)投資組合可以表示為一個二元向量公司選擇投資信息安全意識培訓(xùn)、信息安全管管理體系項(xiàng)目、應(yīng)用層防火墻、蜜罐系統(tǒng)、安全掃描和評估項(xiàng)目、運(yùn)維監(jiān)控平臺、堡壘機(jī)項(xiàng)目、雙因素認(rèn)證項(xiàng)目、郵件安全項(xiàng)目,投資組合的金額為500萬,且獲得了對應(yīng)金額投資情況下最大的投資收益。2.3.3風(fēng)險厭惡型企業(yè)的最優(yōu)投資組合。假設(shè)A公司希望盡可能地降低信息安全風(fēng)險,使投資組合能夠產(chǎn)生最大的投資效果。易知,如果A公司對全部項(xiàng)目進(jìn)行投資,則信息安全投資效果最大。但是在現(xiàn)實(shí)的案例中,很少有公司會選擇對全部項(xiàng)目進(jìn)行投資。在本例中將投資效果精確到小數(shù)點(diǎn)后兩位,并計(jì)算一系列投資效果最大的投資組合中投資成本最小的投資組合。公司應(yīng)用離散二進(jìn)制PSO算法來幫助進(jìn)行投資決策,適應(yīng)值為投資效果E,判斷標(biāo)準(zhǔn)是使E最大,同時記錄下滿足E最大情況下的,最小投資成本對應(yīng)的投資組合。隨著信息安全投資金額的增加,安全項(xiàng)目增多,信息安全投資收益趨于平穩(wěn),變化不大,因此為了使算法可以有效收斂,將縱坐標(biāo)投資效果的精度降低。因?yàn)樵谶@一區(qū)間,信息安全額外的投入帶來的收益將越來越小,將投資效果的精度降低,也符合企業(yè)在做投資決策時通常會采用的策略。利用MATLAB運(yùn)算求解上述投資決策,可以得到此條件下最優(yōu)的投資組合及其對應(yīng)的投資金額。圖3中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合,在迭代過程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資效果為89%,且投資金額為1890萬的點(diǎn))附近收斂。2.3.4利潤偏好型企業(yè)的最優(yōu)投資組合。假設(shè)公司A是利潤偏好型企業(yè),希望通過信息安全投資實(shí)現(xiàn)信息安全項(xiàng)目收益與成本之差(即,利潤)的最大化,并愿意為獲得這些收益承擔(dān)一定的信息安全風(fēng)險。同樣,公司應(yīng)用離散二進(jìn)制PSO算法來幫助進(jìn)行投資決策,適應(yīng)值為投資利潤profit,判斷標(biāo)準(zhǔn)是使投資利潤profit值最大,同時記錄下投資利潤profit最大情況下對應(yīng)的投資組合。根據(jù)上述適應(yīng)值和判斷標(biāo)準(zhǔn)修改程序,利用MATLAB運(yùn)算求解利潤偏好型企業(yè)的投資決策,可以得到此條件下最優(yōu)投資組合及其對應(yīng)的投資金額。圖4(左)中的藍(lán)點(diǎn)代表最優(yōu)投資組合,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過程中遍歷到的投資組合,在迭代過程中,粒子不斷向圖中的藍(lán)色圓點(diǎn)(即投資收益為388.6萬,且投資成本為160萬,投資利潤為228.6萬的點(diǎn))附近收斂。圖4(右)顯示了最優(yōu)投資組合的收斂過程,在本例中經(jīng)過44次迭代達(dá)到了最優(yōu)投資組合。2.3.5最優(yōu)信息安全投資組合集。以A公司為例,利用MATLAB分別計(jì)算不同信息安全需求情況下的最優(yōu)投資組合及其對應(yīng)的成本收益。圖5中的藍(lán)點(diǎn)分別代表不同信息安全需求下的最優(yōu)投資組合對應(yīng)的成本收益,紅點(diǎn)代表在搜尋上述最優(yōu)投資組合過程中遍歷到的所有投資組合的成本收益,藍(lán)色曲線附近的點(diǎn)就是最優(yōu)信息安全投資組合的成本收益,組成了最優(yōu)投資組合集Q。通過上述實(shí)例,可以觀察到由最優(yōu)信息安全投資組合模型求解的最優(yōu)投資組合集Q,隨著投資金額的增大,投資效果也增大,但是投資效果的增長幅度越來越小,符合效用理論[6]。

3結(jié)束語

本文主要研究了組織的信息安全投資決策問題。參考Gordon-Loeb模型,提出了信息安全投資評價模型。使組織可以借助該模型選擇最優(yōu)信息安全投資組合。但是,本文提出的模型中的信息安全投資收益,只考慮了實(shí)施信息安全投資項(xiàng)目所降低的期望損失所獲得投資收益,并未考慮信息安全投資項(xiàng)目可能帶來的業(yè)務(wù)擴(kuò)展、商譽(yù)等正收益。在今后的研究中可以把信息安全投資的正收益納入投資收益的計(jì)算中。

作者:張智銘 單位:上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院