熊强+仲伟俊+李治文+陈晓燕
收稿日期:2013-04-09
基金项目:国家自然科学基金项目(71071033);教育部人文社会科学研究青年基金项目(11YJC630234)
作者简介:熊 强(1979-),男,江苏常州人,东南大学博士研究生,讲师,研究方向为电子商务、信息安全管理;仲伟俊(1962-),男,江苏南通人,教授,研究方向为信息管理与信息系统、电子商务;李治文(1981-),男,山东海阳人,博士,研究方向为电子商务、网络经济学;陈晓燕(1982-),女,江苏靖江人,博士研究生,研究方向为经济信息管理、电子政务。
摘要:针对信息安全知识共享平台缺乏效率的问题,运用演化博弈模型对企业群体参与信息安全知识共享平台过程建模并求解分析,得出:共享群体中企业所采用的策略与安全知识共享的成本是密切相关的,当共享成本不断增长,出现多种演化稳定均衡;企业之间的关系将对演化稳定均衡产生影响,在企业相互依赖时其更易采用知识共享策略,而当企业之间为竞争或独立关系时其共享的意愿也较低;如果“搭便车”行为从对方知识共享中获得的收益很大,则企业自身实施知识共享的积极性会大大降低。为了提升公共信息安全水平,政府组织可对共享行为予以补贴,以激励企业实施信息安全知识共享。
关键词:企业群体;信息安全;知识共享;演化博弈
中图分类号:F270.7 文献标识码:A 文章编号:1001-8409(2014)03-0045-06
Analysis of Information Security Knowledge Sharing
among Enterprises Group Based on Evolutionary Game
XIONG Qiang1,2, ZHONG Wei-jun1, LI Zhi-wen2,CHEN Xiao-yan2
(1.School of Economic and Management, Southeast University, Nanjing 210096;
2. School of Management, Jiangsu University, Zhenjiang 212013)
Abstract: Concerning on the lack of efficiency for the information security knowledge sharing platform, this paper employs the evolutionary game theory to establish a security information sharing model about information security knowledge sharing between enterprises which take part in the sharing platform and concludes: the strategy that enterprises adopts is closely related to the cost of knowledge sharing, the increasing cost of sharing induces multiple evolutionary stable equilibriums; while the relationship among enterprises also affects the outcome of the equilibrium, the knowledge sharing strategy will be adopted by enterprises who are interdependent, whereas, the willingness of knowledge sharing is low for enterprises who are competing or dependent to each other. If the benefit of enterprises from “free-riding” behavior is great enough, the enthusiasm of them conducting the knowledge sharing will be dropped considerably. To improve the level of common information security, it will be helpful for the government to subsidize the sharing behavior and stimulate the incentive of security information sharing.
Key words: enterprises group; information security; knowledge sharing; evolutionary game
1 引言
随着企业信息化的深入,企业在运用信息技术的过程中要充分考虑技术上的通用性和兼容性,保障企业内及企业间信息资源的交流,但由此也产生了安全负效应。如2002年“冲击波”蠕虫病毒在短短一周之内利用微软RPC漏洞进行传播,至少攻击了全球80%的Windows用户,计算机无法工作并反复重启,大量企业用户也未能幸免。2011年CSDN遭遇黑客攻击,600万用户数据泄露,此次数据泄漏事件波及天涯、新浪、CSDN、人人网、百合网等10余家大型网站,成为有史以来最严重的一次网站泄密事件。这些事实表明信息技术的同质化及用户的扩大化将导致信息安全的群体化,进一步加剧了企业信息安全所面临的威胁。信息安全是有技术需求的管理,为了有效解决企业的信息安全问题,Gal-Or和Ghose指出企业固然需要在安全方面增加投入,合理搭配安全技术,但企业之间就信息安全知识的共享则是进一步提升安全投资收益率的重要途径[1],美国为此设立了信息技术共享和分析中心(IT-ISAC),其互联网企业自建行业自律组织等都是在信息安全知识共享方面进行的探索。2009年,中国国家互联网应急中心、国家信息技术安全研究中心与东软、启明星辰、绿盟等国内主要安全公司、软件厂商以及相关互联网企业共同建设了国家信息安全漏洞共享平台,对于提升我国在安全漏洞方面的整体研究水平和应急处置能力,保护用户网络信息安全具有重要的积极意义。但由于企业担心共享安全知识给企业竞争力带来的负效应[2]以及大量“搭便车”企业的存在致使企业对参与信息安全知识共享平台的积极性并不是太高,平台难以充分发挥其效用。本文主要运用演化博弈理论来分析企业群体在参与平台实施信息安全知识共享过程的演化机制以及各种相关因素对演化进程的影响,并依据研究结果提出提升平台共享效率的路径。
2 相关研究
有关信息安全的研究最早始于其经济性的研究,Gordon和 Loeb(2002)通过对信息资产的脆弱性以及被入侵后的潜在损失进行研究后认为,在给定的潜在损失水平下,企业没有必要将安全投入放在脆弱性最差的信息资产上,因为此类资产保护的成本较高,而对脆弱性中等的信息资产投资会取得更好的经济回报,Gordon和Loeb进一步研究了影响信息安全投资效果的因素[3]。在研究投资经济性的同时, Gordon 和Loeb通过建模分析了信息安全知识共享过程中信息安全知识泄露所带来的潜在风险成本,指出在可控的风险范围内共享信息安全知识可以大量减少各自安全投资,提升安全投资的效益[2]。而Gal-Or和Ghose则运用博弈论进一步分析了安全技术投资和信息共享之间的关系,发现当企业间产品的替代性越高时,信息安全知识共享越有价值,同时共享收益随企业规模的增长而提高[1]。Liu、Ji等指出两家企业所拥有的信息资产的属性对企业在信息安全投资和进行知识共享决策的影响[4]。国内学者刘德海研究发现信息交流在群体性事件中有利于形成稳定的认知均衡,提升社会福利[5]。Hausken则从信息安全的角度出发运用博弈论分析企业之间的信息安全知识共享对黑客攻击行为的影响,以及信息安全知识共享中“搭便车”行为对社会福利将造成的负面影响[6]。
综上所述,当前对企业间信息安全知识共享研究主要集中在两家或少数具备强关联企业间的共享,但共享平台则是面对广大弱关联的企业群体,如何依托第三方平台在企业群体间开展信息安全知识共享还缺乏相关理论研究。演化博弈理论整合了理性经济学与演化生物学的思想,设定博弈参与方是有限理性的个体,分析学习速度较慢的优先理性博弈方组成的大群体成员的随机配对反复博弈[12],而在参与信息安全知识共享的企业群体中各个企业的理性程度、对安全知识共享的认知程度不尽相同,符合演化博弈的设定要求,因此可将其运用到对共享过程的研究中来。
3 模型描述
参与信息安全知识共享平台的企业群体中的个体互为供需关系,共享有关软件漏洞、黑客信息、病毒等信息安全知识,整个博弈过程可以视为位置无差异的两方对称博弈,现假设企业i为供方,而企业j为需方,策略空间均为共享和不共享,企业若不实施信息安全知识共享,则各自享有其自身的安全投资初始收益(均设为E0)。
企业i、企业j在共享方面投入的努力分别为si、sj,其共享的成本系数分别为ci和cj,信息安全知识共享的成本除了包含技术、人力等成本因素外,还包含着安全知识外泄给企业带来的风险成本。当企业通过共享获得更多信息安全知识后其安全防御能力势必得到一定程度的提升,同时借鉴R&D信息共享的研究成果,在多方实施信息共享的过程中存在信息规模外溢效应[7],假定信息安全知识共享过程中的外溢系数为r,r≥1 ,溢出效应为(r-1),即当企业i、企业j均参与共享时,企业i能从平台中获得rsj的收益。
在信息安全知识共享群体中企业之间存在各种不同的关系,如由于软件系统的相似性、网络的链接、业务往来以及企业信息资产的互补性等因素致使企业之间信息安全存在依赖性,而若信息资产可相互替代则使得企业之间信息安全具有竞争性,若企业间没有任何关联则相互完全独立[8]。设b表示两家企业在抵御外部入侵时的企业关系,当b值为正时,企业之间期望合作共同抵御黑客,例如处于业务上下游的企业间存在信息系统相关联,当黑客攻击一家企业以后,有可能对其他企业发动衍生攻击[9],因而两家企业更倾向于合作,bsi称之为安全网络效益。当b值为负时,两家企业可能互为竞争关系,对一家企业的成功入侵有助于保护另一家企业的信息安全,例如两家企业信息资产存在可替代性,当黑客通过入侵一家企业窃取信息资产以后,将会放弃对其他企业的继续攻击[4],bsi称之为负安全网络效益。当b值为零时,表明两家企业是完全独立的,包括在网络连接、企业业务、信息资产等方面都是完全独立的,黑客对两家企业的攻击不存在任何关联。
企业i、企业j采用不同的博弈策略所得到的博弈收益如下:
(1)当企业i、企业j均采用共享策略时,其收益分别为ui1、ui2。
ui1=E0+rsj+bsi-cisi,uj1=E0+rsi+bsj-cjsj
若b为正值,企业i共享安全知识后能增强企业j的防御能力,从而减少黑客因入侵企业j而对企业i发动衍生攻击的概率,从而提升了企业i的安全收益,对企业j亦是如此;当b为负值时,企业i共享安全知识后能增强企业j的防御能力,提升了企业j的防御威慑力[10],黑客则转而增加对企业i的攻击,因此降低了企业i的安全收益。
(2)若企业i采用共享策略,而企业j采用不共享策略,此时各自的收益为:
ui2=E0+bsi-cisi,uj2=E0+Si
反之则为:
ui3=E0+sj,uj3=E0+bsj-cjsj
(3)若双方企业均采用不共享策略,此时各自的收益为:
ui4=E0,uj4=E0
根据上面的定义,建立博弈的支付矩阵如表1所示。
表1 企业群体信息安全知识共享博弈支付矩阵
4 信息安全知识共享的演化博弈分析
4.1 演化过程的平衡点分析
假设在供方企业群体中,选择实施信息安全知识共享策略的供方企业比例为x(0≤x≤1),实施不共享策略的企业比例为1-x,而在需方企业群体中选择共享策略的比例为y(0≤y≤1),选择不共享策略的企业比例为1-y。
对于供方企业群体而言,其选择实施信息安全知识共享策略的期望收益为:
Uis=y(E0+rsj+bsi-cisi)+(1-y)(E0+bsi-cisi)
实施信息安全知识不共享策略的期望收益为:
Uin=y(E0+sj)+(1-y)E0
则供方企业的总体收益期望值为:
Ui=xUis+(1-x)Uin
依据演化博弈理论,企业学习选择共享策略的速度取决于两个因素[11],一是模仿对象的数量,即当前选择共享策略企业的比例,这关系到观察和模仿的难易程度;二是学习对象的成功程度,即已经选择共享策略企业的收益超出企业群体平均收益的幅度,这关系到对学习激励大小的判断。因此设t为时间,采用共享策略的企业比例的动态变化速度用复制动态方程可表示为:
x·=dxdt=x(Uis-Ui)
=x(1-x)[y(r-1)sj-(ci-b)si]
同理,需方企业群体的复制动态方程为:
y·=dydt=y(Ujs-Uj)
=y(1-y)[x(r-1)si-(cj-b)sj]
令dxdt=0
dydt=0
x*=(cj-b)sj(r-1)si
y*=(ci-b)si(r-1)sj
得到演化博弈的5个平衡点,分别是(0,0)、(0,1)、(1,0)、(1,1)以及当b 4.2 平衡点的稳定性分析 复制动态方程所求解得到的平衡点不一定是系统演化的稳定策略(ESS),根据提出的稳定策略验证方法,演化均衡的稳定性可以从该系统的雅克比矩阵(记为J)的局部稳定分析导出。对x·和y·分别关于x和y求偏导得如下雅克比矩阵: J=x·xx·yu y·xy·y=a11a12 a21a22 其中: a11=(1-2x)[y(r-1)sj-(ci-b)si] a12=x(1-x)(r-1)sj a21=y(1-y)(r-1)si a22=(1-2y)[x(r-1)si-(cj-b)sj] 如果能够满足条件: (1)a11+a22<0(迹条件,值记为trJ); (2)a11a12 a21a22>0(雅克比行列式条件,值记为det J)。 能够满足以上条件(1)、(2)的复制动态方程的平衡点是局部稳定的,该平衡点就是演化稳定策略(ESS)。 若群体中的企业之间信息安全呈相互依赖关系(b>0)时,由于供需双方企业间是相互对称的,因而在判断局部稳定性时共有如下6种情况: (1)ci (2)ci (3)ci(r-1)sisj+b (4)b (5)b (6)ci>(r-1)sjsi+b,cj>(r-1)sisj+b 各情况下局部稳定性的分析结果如表2至表7,系统演化动态相位图如图1所示。 若群体中的企业间信息安全呈竞争关系或相互独立,即b为负数或0时,则情况(1)、(2)、(3)不存在。当b>max{-(r-1)sjsi,-(r-1)sisj}时情况(4)和(5)存在,而情况(6)则总是存在的。 表2 情况(1)平衡点的局部稳定性 表3 情况(2)平衡点的局部稳定性 表4 情况(3)平衡点的局部稳定性 表5 情况(4)平衡点的局部稳定性 表6 情况(5)平衡点的局部稳定性 表7 情况(6)平衡点的局部稳定性 4.3 演化博弈结果分析 4.3.1 依赖性企业之间的安全知识共享 (1)在情况(1)、(2)、(3)下,由于企业的共享成本均较低,且都小于共享后所带来的安全网络效应,因而此时企业即便未能获得对方企业共享的安全知识,采用共享策略还是能为其带来正收益的。但对于企业j,在情况(1)下,其共享成本小于安全网络效应,因此企业选择共享策略;随着企业共享成本的上升,在情况(2)下,共享成本高于安全网络效应,但是低于安全网络效应和共享溢出效应之和,因此此时共享对企业j仍然是获益的,企业j最终选择共享策略;随着企业j共享成本的进一步提高,企业j发现其共享的成本高于安全网络效应与共享溢出效应之和,因此企业j放弃共享策略,采用不共享策略,享用“搭便车”效应且能继续获益,此时演化均衡点为(1,0),即共享成本高的企业“搭便车”,共享成本低的企业进行知识共享。 (2)在情况(4)下,图(4)中由两个不稳定点和一个鞍点构成了系统收敛于不同策略模式的分界线AOC,即当博弈状态位于区域AOCB中时,最终演化结果将收敛于稳定策略组合(共享、共享),是一种博弈双方双赢的理想状态;而当博弈状态位于区域AOCD时,最终的演化结果将收敛于策略组合(不共享、不共享),此时信息安全共享平台将无法发挥其应有的价值,是一种最不理想的稳定状态。鞍点(x*,y*)需要尽可能靠近相图的左下角,演化均衡稳定于点(1,1)的概率得以提升,需要提高共享效率,增强共享溢出效应,同时降低共享成本,从而达到降低(x*,y*)值的目的。 (3)在情况(5)、(6)下,对于企业j,由于其共享的成本过高,因而不管其能否从企业i处获得共享的安全知识,其收益总是负的,因此其最佳策略总为不共享。在情况(5)下,虽然企业i共享的成本低于安全网络效应和共享溢出效应之和,但是由于企业j无知识共享,因而企业i无法享用到共享的溢出效应,所以企业i最终也采用不共享策略;在情况(6)下,双方共享成本都很高,故所有企业最终都采纳了不共享策略。
4.3.2 竞争性企业和独立性企业之间的安全知识共享
对于竞争性和独立性的企业群体间由于b≤0,若b>max{-(r-1)sjsj,-(r-1)sisj}时,则可以出现情况(4)、(5)、(6),其演化博弈结果分析与依赖性企业间的演化博弈结果分析类似。
5 补贴机制对演化博弈均衡的影响
在信息高度发达而又高度脆弱的时代,政府加强国家信息安全建设刻不容缓,当前网络信息安全已经提升到公共安全的层次,因此为了保障网络信息安全水平,政府或相关组织有必要采用合理的补贴激励机制来推动信息安全知识共享平台建设,活跃企业信息安全知识共享程度,本文将在演化博弈中加入政府补贴机制。假定企业i可以从知识共享中获得ksi的补助收益,k>0 ,此时双方博弈收益如表8。
表8 补贴机制下企业群体安全知识共享博弈支付矩阵
演化博弈的复制动态方程为:
x·=x(1-x)[y(r-1)sj-(ci-b-k)si]
y·=y(1-y)[x(r-1)si-(cj-b-k)sj]
求解可以得出该演化博弈系统的平衡点(0,0)、(0,1)、(1,0)、(1,1),当满足如下条件:
max{(r-1)sjsi+ci-b,(r-1)sisj+ci-b}≤k≤min{ci-b,cj-b}
则(x*′,y*′)点也为系统的平衡点:
x*′=(cj-b-k)sj(r-1)si
y*′=(ci-b-k)si(r-1)sj
表9 补贴机制下平衡点分析
复制动态方程的平衡点是局部稳定的充要条件为tr J<0,det J>0,表9中tr J=a11+a22<0,det J=a11a22>0。得出政府补贴的系数k须满足以下条件:
ksi≥cisi-(r-1)sj-bsi且ksj≥cjsj-(r-1)si-bsj
政府的补贴主要是为了弥补共享成本与共享外溢效益以及网络效益的差值,对于企业群体中存在安全依赖性关系的企业间的知识共享,由于其自身存在信息安全知识共享的内在需求,因而对其补贴是较少的,甚至群体能够自发地实施共享,例如美国的互联网企业安全知识共享平台等;而对于信息安全具有竞争性或独立性关系的企业群体,由于担心竞争对手给自身带来威胁及信息泄露风险,因而共享意愿下降,政府须对这类企业组织加大补贴额度。
6 研究结论及其管理启示
随着信息技术的发展及在企业中应用的深入,企业信息安全所面临的威胁也在加大,信息安全由孤立的、个体的企业问题逐步演化为带有公共性的安全问题,为了提升企业信息安全水平,除了企业自身的安全防御投入外,需要有信息安全知识共享的平台来进一步提升安全防御投资的效率。本文通过对不同关系的企业群体在不同的共享条件下信息安全知识共享的演化博弈策略的分析得出:提升信息安全知识共享效率、降低共享成本对共享平台的效率有积极作用;企业间的关系也对共享策略产生影响,依赖性越强的企业越倾向于共享,反之则共享意愿下降;为了充分发挥共享平台的效率,提升公共信息安全水平,政府或其他组织需要对共享行为予以必要的补贴。本文的分析对信息安全知识共享平台的管理有以下启示:(1)提高信息安全知识共享平台的效率,通过平台上共享知识的整合,进一步发挥知识的外溢效应,即提升r;(2)加强信息知识的保护、防止信息泄露,强化对共享平台参与者的管理,加强对共享平台的知识的保护,消除由于安全知识外泄给黑客群体而给企业带来新的信息安全风险,即降低共享的成本ci和cj;(3)完善补贴机制,建立合理的可测的补贴标准,通过政府补贴机制提升群体共享的积极性,杜绝“搭便车”效应,另外由于共享安全知识难以度量,特别是可能包含大量隐性知识,增加了补贴实施的难度,因此需要建立可测的补贴标准,例如通过安全审计,对参与信息安全知识共享的企业依据其所遭遇的入侵情况予以合理的补贴等。
参考文献:
[1]Gal-Or E, Ghose A. The Economic Incentives for Sharing Security Information[J]. Information Systems Research. 2005, 16(2): 186-208.
[2]Gordon L A, Loeb M P, Lucyshyn W. Sharing Information on Computer Systems Security: An Economic Analysis[J]. Journal of Accounting and Public Policy, 2003, 22(6): 461-485.
[3]L A Gordon, M P Loeb. Budgeting Process for Information Security Expenditures[J]. Communications of the ACM, 2006, 49(1):121-126.
[4]Liu D, Ji Y, Mookerjee V. Knowledge Sharing and Investment Decisions in Information Security[J]. Decision Support Systems. 2011, 52(1): 95-107.
[5]刘德海. 信息交流在群体性突发事件处理中作用的博弈分析[J]. 中国管理科学, 2005(3): 95-102.
[6]Hausken K. Information Sharing Among Firms and Cyber Attacks[J]. Journal of Accounting & Public Policy,2007, 26(6): 639-688.
[7]霍沛军,陈继祥,宣国良. 内定溢出与信息共享中的“囚徒困境”[J]. 管理工程学报. 2002(2): 29-31.
[8]Chen P, Kataria G, Krishnan R. Correlated Failures, Diversification, and Information Security Risk Management[J]. MIS Quarterly. 2011, 35(2): 393-397.
[9]张永铮,方滨兴,迟悦,等. 用于评估网络信息系统的风险传播模型[J]. 软件学报,2007, 18(1): 9.
[10]Cremonini M, Nizovtsev D. Risks and Benefits of Signaling Information System Characteristics to Strategic Attackers[J]. Journal of Management Information Systems,2009, 26(3): 241-274.
[11]谢识予.经济博弈论[M].复旦大学出版社,2006年1月第二版.
(责任编辑:何 彬)
4.3.2 竞争性企业和独立性企业之间的安全知识共享
对于竞争性和独立性的企业群体间由于b≤0,若b>max{-(r-1)sjsj,-(r-1)sisj}时,则可以出现情况(4)、(5)、(6),其演化博弈结果分析与依赖性企业间的演化博弈结果分析类似。
5 补贴机制对演化博弈均衡的影响
在信息高度发达而又高度脆弱的时代,政府加强国家信息安全建设刻不容缓,当前网络信息安全已经提升到公共安全的层次,因此为了保障网络信息安全水平,政府或相关组织有必要采用合理的补贴激励机制来推动信息安全知识共享平台建设,活跃企业信息安全知识共享程度,本文将在演化博弈中加入政府补贴机制。假定企业i可以从知识共享中获得ksi的补助收益,k>0 ,此时双方博弈收益如表8。
表8 补贴机制下企业群体安全知识共享博弈支付矩阵
演化博弈的复制动态方程为:
x·=x(1-x)[y(r-1)sj-(ci-b-k)si]
y·=y(1-y)[x(r-1)si-(cj-b-k)sj]
求解可以得出该演化博弈系统的平衡点(0,0)、(0,1)、(1,0)、(1,1),当满足如下条件:
max{(r-1)sjsi+ci-b,(r-1)sisj+ci-b}≤k≤min{ci-b,cj-b}
则(x*′,y*′)点也为系统的平衡点:
x*′=(cj-b-k)sj(r-1)si
y*′=(ci-b-k)si(r-1)sj
表9 补贴机制下平衡点分析
复制动态方程的平衡点是局部稳定的充要条件为tr J<0,det J>0,表9中tr J=a11+a22<0,det J=a11a22>0。得出政府补贴的系数k须满足以下条件:
ksi≥cisi-(r-1)sj-bsi且ksj≥cjsj-(r-1)si-bsj
政府的补贴主要是为了弥补共享成本与共享外溢效益以及网络效益的差值,对于企业群体中存在安全依赖性关系的企业间的知识共享,由于其自身存在信息安全知识共享的内在需求,因而对其补贴是较少的,甚至群体能够自发地实施共享,例如美国的互联网企业安全知识共享平台等;而对于信息安全具有竞争性或独立性关系的企业群体,由于担心竞争对手给自身带来威胁及信息泄露风险,因而共享意愿下降,政府须对这类企业组织加大补贴额度。
6 研究结论及其管理启示
随着信息技术的发展及在企业中应用的深入,企业信息安全所面临的威胁也在加大,信息安全由孤立的、个体的企业问题逐步演化为带有公共性的安全问题,为了提升企业信息安全水平,除了企业自身的安全防御投入外,需要有信息安全知识共享的平台来进一步提升安全防御投资的效率。本文通过对不同关系的企业群体在不同的共享条件下信息安全知识共享的演化博弈策略的分析得出:提升信息安全知识共享效率、降低共享成本对共享平台的效率有积极作用;企业间的关系也对共享策略产生影响,依赖性越强的企业越倾向于共享,反之则共享意愿下降;为了充分发挥共享平台的效率,提升公共信息安全水平,政府或其他组织需要对共享行为予以必要的补贴。本文的分析对信息安全知识共享平台的管理有以下启示:(1)提高信息安全知识共享平台的效率,通过平台上共享知识的整合,进一步发挥知识的外溢效应,即提升r;(2)加强信息知识的保护、防止信息泄露,强化对共享平台参与者的管理,加强对共享平台的知识的保护,消除由于安全知识外泄给黑客群体而给企业带来新的信息安全风险,即降低共享的成本ci和cj;(3)完善补贴机制,建立合理的可测的补贴标准,通过政府补贴机制提升群体共享的积极性,杜绝“搭便车”效应,另外由于共享安全知识难以度量,特别是可能包含大量隐性知识,增加了补贴实施的难度,因此需要建立可测的补贴标准,例如通过安全审计,对参与信息安全知识共享的企业依据其所遭遇的入侵情况予以合理的补贴等。
参考文献:
[1]Gal-Or E, Ghose A. The Economic Incentives for Sharing Security Information[J]. Information Systems Research. 2005, 16(2): 186-208.
[2]Gordon L A, Loeb M P, Lucyshyn W. Sharing Information on Computer Systems Security: An Economic Analysis[J]. Journal of Accounting and Public Policy, 2003, 22(6): 461-485.
[3]L A Gordon, M P Loeb. Budgeting Process for Information Security Expenditures[J]. Communications of the ACM, 2006, 49(1):121-126.
[4]Liu D, Ji Y, Mookerjee V. Knowledge Sharing and Investment Decisions in Information Security[J]. Decision Support Systems. 2011, 52(1): 95-107.
[5]刘德海. 信息交流在群体性突发事件处理中作用的博弈分析[J]. 中国管理科学, 2005(3): 95-102.
[6]Hausken K. Information Sharing Among Firms and Cyber Attacks[J]. Journal of Accounting & Public Policy,2007, 26(6): 639-688.
[7]霍沛军,陈继祥,宣国良. 内定溢出与信息共享中的“囚徒困境”[J]. 管理工程学报. 2002(2): 29-31.
[8]Chen P, Kataria G, Krishnan R. Correlated Failures, Diversification, and Information Security Risk Management[J]. MIS Quarterly. 2011, 35(2): 393-397.
[9]张永铮,方滨兴,迟悦,等. 用于评估网络信息系统的风险传播模型[J]. 软件学报,2007, 18(1): 9.
[10]Cremonini M, Nizovtsev D. Risks and Benefits of Signaling Information System Characteristics to Strategic Attackers[J]. Journal of Management Information Systems,2009, 26(3): 241-274.
[11]谢识予.经济博弈论[M].复旦大学出版社,2006年1月第二版.
(责任编辑:何 彬)
4.3.2 竞争性企业和独立性企业之间的安全知识共享
对于竞争性和独立性的企业群体间由于b≤0,若b>max{-(r-1)sjsj,-(r-1)sisj}时,则可以出现情况(4)、(5)、(6),其演化博弈结果分析与依赖性企业间的演化博弈结果分析类似。
5 补贴机制对演化博弈均衡的影响
在信息高度发达而又高度脆弱的时代,政府加强国家信息安全建设刻不容缓,当前网络信息安全已经提升到公共安全的层次,因此为了保障网络信息安全水平,政府或相关组织有必要采用合理的补贴激励机制来推动信息安全知识共享平台建设,活跃企业信息安全知识共享程度,本文将在演化博弈中加入政府补贴机制。假定企业i可以从知识共享中获得ksi的补助收益,k>0 ,此时双方博弈收益如表8。
表8 补贴机制下企业群体安全知识共享博弈支付矩阵
演化博弈的复制动态方程为:
x·=x(1-x)[y(r-1)sj-(ci-b-k)si]
y·=y(1-y)[x(r-1)si-(cj-b-k)sj]
求解可以得出该演化博弈系统的平衡点(0,0)、(0,1)、(1,0)、(1,1),当满足如下条件:
max{(r-1)sjsi+ci-b,(r-1)sisj+ci-b}≤k≤min{ci-b,cj-b}
则(x*′,y*′)点也为系统的平衡点:
x*′=(cj-b-k)sj(r-1)si
y*′=(ci-b-k)si(r-1)sj
表9 补贴机制下平衡点分析
复制动态方程的平衡点是局部稳定的充要条件为tr J<0,det J>0,表9中tr J=a11+a22<0,det J=a11a22>0。得出政府补贴的系数k须满足以下条件:
ksi≥cisi-(r-1)sj-bsi且ksj≥cjsj-(r-1)si-bsj
政府的补贴主要是为了弥补共享成本与共享外溢效益以及网络效益的差值,对于企业群体中存在安全依赖性关系的企业间的知识共享,由于其自身存在信息安全知识共享的内在需求,因而对其补贴是较少的,甚至群体能够自发地实施共享,例如美国的互联网企业安全知识共享平台等;而对于信息安全具有竞争性或独立性关系的企业群体,由于担心竞争对手给自身带来威胁及信息泄露风险,因而共享意愿下降,政府须对这类企业组织加大补贴额度。
6 研究结论及其管理启示
随着信息技术的发展及在企业中应用的深入,企业信息安全所面临的威胁也在加大,信息安全由孤立的、个体的企业问题逐步演化为带有公共性的安全问题,为了提升企业信息安全水平,除了企业自身的安全防御投入外,需要有信息安全知识共享的平台来进一步提升安全防御投资的效率。本文通过对不同关系的企业群体在不同的共享条件下信息安全知识共享的演化博弈策略的分析得出:提升信息安全知识共享效率、降低共享成本对共享平台的效率有积极作用;企业间的关系也对共享策略产生影响,依赖性越强的企业越倾向于共享,反之则共享意愿下降;为了充分发挥共享平台的效率,提升公共信息安全水平,政府或其他组织需要对共享行为予以必要的补贴。本文的分析对信息安全知识共享平台的管理有以下启示:(1)提高信息安全知识共享平台的效率,通过平台上共享知识的整合,进一步发挥知识的外溢效应,即提升r;(2)加强信息知识的保护、防止信息泄露,强化对共享平台参与者的管理,加强对共享平台的知识的保护,消除由于安全知识外泄给黑客群体而给企业带来新的信息安全风险,即降低共享的成本ci和cj;(3)完善补贴机制,建立合理的可测的补贴标准,通过政府补贴机制提升群体共享的积极性,杜绝“搭便车”效应,另外由于共享安全知识难以度量,特别是可能包含大量隐性知识,增加了补贴实施的难度,因此需要建立可测的补贴标准,例如通过安全审计,对参与信息安全知识共享的企业依据其所遭遇的入侵情况予以合理的补贴等。
参考文献:
[1]Gal-Or E, Ghose A. The Economic Incentives for Sharing Security Information[J]. Information Systems Research. 2005, 16(2): 186-208.
[2]Gordon L A, Loeb M P, Lucyshyn W. Sharing Information on Computer Systems Security: An Economic Analysis[J]. Journal of Accounting and Public Policy, 2003, 22(6): 461-485.
[3]L A Gordon, M P Loeb. Budgeting Process for Information Security Expenditures[J]. Communications of the ACM, 2006, 49(1):121-126.
[4]Liu D, Ji Y, Mookerjee V. Knowledge Sharing and Investment Decisions in Information Security[J]. Decision Support Systems. 2011, 52(1): 95-107.
[5]刘德海. 信息交流在群体性突发事件处理中作用的博弈分析[J]. 中国管理科学, 2005(3): 95-102.
[6]Hausken K. Information Sharing Among Firms and Cyber Attacks[J]. Journal of Accounting & Public Policy,2007, 26(6): 639-688.
[7]霍沛军,陈继祥,宣国良. 内定溢出与信息共享中的“囚徒困境”[J]. 管理工程学报. 2002(2): 29-31.
[8]Chen P, Kataria G, Krishnan R. Correlated Failures, Diversification, and Information Security Risk Management[J]. MIS Quarterly. 2011, 35(2): 393-397.
[9]张永铮,方滨兴,迟悦,等. 用于评估网络信息系统的风险传播模型[J]. 软件学报,2007, 18(1): 9.
[10]Cremonini M, Nizovtsev D. Risks and Benefits of Signaling Information System Characteristics to Strategic Attackers[J]. Journal of Management Information Systems,2009, 26(3): 241-274.
[11]谢识予.经济博弈论[M].复旦大学出版社,2006年1月第二版.
(责任编辑:何 彬)