基于博弈理论的等保测评机构监管仿真研究

庄 严

(中国科学技术大学网络信息中心，安徽 合肥 230026)

1 引言

随着网络安全法的颁布和实施，网络安全等级保护制度成为我国网络安全工作的基本制度。等级测评是等级保护工作的重要环节，而测评机构作为测评的执行者，其客观公正、测评质量和技术能力直接影响等保工作的推进和开展。作为独立经济主体，测评机构目的之一是追求自身收益最大化，因此如果缺乏有效的监管，可能为了追求经济收益而忽视测评质量，甚至出具虚假报告[1]。公安部印发了《网络安全等级保护测评机构管理办法》，强化对测评机构测评质量和能力的要求，明确了监督管理的工作责任、内容、方式、处罚等内容[2]，测评机构监管成为等级保护工作健康有序发展的重要部分。

当前，监管部门主要采取两类策略：对测评机构进行监督检查，以发现测评过程存在的问题，监督测评机构公正性和测评质量；举行各类攻防演练、网络安全竞赛和机构能力比对，引导或强制测评机构参加，检验测评机构的技术能力并促进提高。上述策略均起到了不错的效果，但监管部门的工作复杂繁重，时间精力有限，需要合理的分配资源，选择策略的强度和频度，以提升监管效果。因此对等保测评机构的监管进行研究具有重要的理论和现实意义。

2 相关研究综述

目前，已有专家学者对测评机构监管问题进行了研究，主要分为三类，第一类是对监管工作责任、模式和管理机制的宏观研究，黄道丽[3]对监管主体理论和监管立法现状进行了研究；王春元等[4]分析测评机构的法律责任，并提出制定和完善法律法规的建议；张亮[5]从国家和浙江省的监管模式出发，总结其不足并提出解决思路；王大萌等[6]从测评机构在等保中的作用出发，探讨规范测评机构管理、充分发挥其技术优势等问题；朱利妍[1]跟踪测评实施过程，研究目前存在的问题，针对测评机构、监管部门、被测单位三种角色提出建议，以完善测评过程。第二类是对监管的方法、工具和标准的研究，北京市公安局网络安全保卫处[7]对网络安全执法检查的工作进行总结，相关经验也适用于测评机构监管工作；王大为[8]提出利用态势感知技术构建动态监测和监管展示系统，为监管提供高效的管理手段；季静等[9]使用标准化理论构建测评机构服务通用基础标准体系，以实现监管的规范化、科学化。第三类是对测评机构质量和能力建设的研究，胡东梅[10]基于测评机构能力不均衡、竞争激烈、个性化问题突出等现状，提出了促进能力提升和工作有序开展的建议；林森等[11]在安徽省测评机构质量检查实践基础上，总结测评机构存在的问题并分析原因，给出了推进测评标准化体系建设等建议；张昊等[12]从测评机构质量、人员管理、测评技术等方面对能力建设进行探讨，为规范化管理提供借鉴；王云丽等[13]依据河北省测评机构的数据建立测评机构能力评估的模糊综合评价模型，为测评机构能力评估提供量化方法。

博弈论作为研究参与者策略行为的理论，许多专家学者将其运用到安全生产、碳排放、食品、电商信用等多领域的监管问题。沈斌[14]结合博弈论和系统动力学对安全生产不同监管策略的有效性进行了研究；张凯泽等[15]从第三方监督视角出发运用演化博弈模型分析政府碳排放监管问题；罗宏森等[16]通过建立政府与食品企业之间的博弈模型，分析了食品安全生产中相关主体的决策选择；杨丰梅等[17]基于博弈理论对电商和消费者双方交易策略进行了研究。这些研究为相关领域制定和完善监管及措施提供了理论支持。

综上所述，既有文献探讨了测评机构监管现状、问题和解决策略，对工作具有非常有益的指导作用，但有关监管策略对测评机构测评质量影响机理和效果的定量或仿真研究较少，致使监管部门在策略制定时缺乏理论依据；博弈理论在政府和多行业监管策略研究中取得了广泛应用，但现阶段鲜有研究将其与等保测评工作相结合。鉴于此，本文将数学建模、策略博弈和仿真分析等方法应用于测评机构监管研究，丰富了现有的研究视角和方法，通过构建测评机构监管模型并仿真分析监管部门策略选择对测评机构测评质量的影响，也为现实工作中监管部门的策略选择提供参考和借鉴，具有一定的理论和实践意义。

3 基本假设和模型构建

3.1 模型基本假设

目前，测评机构监管工作的主体主要包含由各主管单位组成的监管部门和作为被监管对象的等保测评机构。监管部门作为政府机构，主要追求社会正面影响和收益的最大化；测评机构作为市场实体，在为政府和社会提供服务的同时也要追求经济收益的最大化。因此双方在监管中既是合作伙伴，也是追求各自利益最大化的主体，存在博弈关系。本文选取监管部门与测评机构作为博弈的参与者。

假设0 监管部门和测评机构都是有限理性的主体，追求各自自身收益的最大化，双方均不能预知对方的决策策略，而是根据对方的策略和自身收益不断调整自身选择的策略。

假设1监管部门的策略集合为Sg={监督检查，攻防竞赛}，其中采取监督检查和攻防竞赛的概率为(x，1-x)，当x=1时代表监管部门投入所有资源进行对测评机构的监督检查，当x=0时代表监管部门不进行监督检查，而将所有资源投入到进行攻防竞赛类工作；测评机构的策略集合为Sc={严格测评，低质量测评}，其中采取严格测评和低质量测评的概率为(y，1-y)，严格测评的概率反应了测评机构的测评质量。

假设2政府监管部门采取监督检查时，一定能够发现测评机构低质量测评的行为。如果测评机构严格测评，监管部门虽然进行了监督检查工作，但是因为无明显成果，收益为0；如果测评机构低质量测评，监管部门通过监督检查予以发现、通报和纠正，可以促进测评机构进行严格的测评，提高公众对监管部门的评价，受到上级部门的认可和奖励，给部门带来正面效应Fg；反之，监管部门放松监督检查，测评机构低质量测评未被发现造成不良社会影响，给部门带来负面效应-Fg。当监管部门进行攻防竞赛等活动时，扩大了网络安全相关工作的影响，提升了社会对网络安全的关注度和防护能力，同时通过测评机构参加相关活动，推动测评机构提升技术能力，给监管部门带来正面效应R。由于此处的Fg和R主要为无形收益，较难准确量化，可以理解为监管部门对相应策略收益的主观预期或主观重视和倾向程度。

假设3测评机构总成本为C，如果所有成本均投入严格测评工作，带来的收益为V，如果测评机构进行低质量测评，由于降低了工作量，会带来额外收益V′；如果监管部门通过监督检查发现低质量测评，则会对测评机构采取公示、罚款、暂停业务等处罚，给机构带来Fc的损失；测评机构会对投入进行分配，所有成本中k的比例用于测评(0

3.2 模型建立

根据以上假设，监管部门和测评机构不同策略下的收益矩阵如表1所示。

表1 监管部门和测评机构收益矩阵

Eg1=0*y+(1-y)*Fg=(1-y)*Fg

(1)

Eg2=y*R+(1-y)*(R-Fg)=R-Fg*(1-y)

(2)

(3)

根据假设0，监管部门会不断根据双方的策略和自身收益调整自己的决策，为表示监管部门策略随时间的变化，构建监管部门的策略概率变化率方程

=x*(1-x)*(2Fg-2Fg*y-R)

(4)

Ec1=(k*V-C)+(1-x)*(1-k)*G

(5)

Ec2=k*(V+V′)-x*Fc+(1-x)*(1-k)*G-C

(6)

(7)

测评机构的策略概率变化率方程

(8)

双方策略概率变化率可以通过联立式(4)和(8)组成

F(z)=[F(x)，F(y)]T

(9)

当F(z)=0时，双方的策略达到均衡状态，因此监管部门和测评机构的策略均衡点为：z1=(0，0)T，z2=(0，1)T，z3=(1，0)T，z4=(1，1)T，z5=(k*V′/Fc，1-R/2Fg)T。根据博弈理论，还需对均衡点的稳定性进行判断，即分析双方是否会随着时间的发展逐步逼近并最终稳定在某个策略。为此将计算机仿真和上述模型相结合，通过模拟仿真的方式分析不同条件下双方策略的稳定性，并对比不同参数值对监管双方策略选择的影响。

4 模型仿真分析

首先对模型中各变量初始值进行预设置：Fg=3，R=2，V=4，V′=4，C=3，G=1，Fc=4，k=0.8。受条件所限，变量初始值在逻辑分析基础上模拟赋值，数值不含量纲单位。

4.1 模型稳定状态分析

结合政策和规范要求，监管部门当前采取监督检查和攻防竞赛相结合的方式，不会采取纯粹的单一方式，因此策略均衡点z1至z4不具有现实意义。

根据预设变量值可知z5=(0.8，2/3)T，对z5状态进行仿真获得结果图1(a)，双方策略处于均衡状态，但是当监管策略监督检查概率由0.8变为0.85后，由仿真结果图1(b)可知，原有的均衡被打破，并呈现双方策略波动的状态，因此z5也不是一个稳定的策略均衡状态。

图1 z5=(0.8，2/3)T点稳定性分析

对于更一般的初始非均衡策略状态进行仿真结果如图2，可发现双方策略均存在随着时间的波动变化。

图2 一般初始策略点稳定性分析

图2情景说明：初期测评机构测评质量较低，监管部门通过监督检查来获得社会影响和收益的意愿相对较高，当监管部门增加监督检查的力度时，测评机构低质量测评导致的损失预期增加，测评机构加大严格测评比例提升测评质量，而随着机构测评质量提升，监管部门监督检查的动力又会降低，而将资源分配至攻防竞赛等其它方面，导致监督检查的力度下降，进而引发测评机构调整策略增加低质量测评的比例，最终造成双方策略选择的上下波动。综上，当前模型在现实下不存在双方策略选择的稳定均衡状态，较难实现有效的监管。

4.2 模型参数影响分析

结合现实情况，通过仿真分析研究监管机构策略参数对测评机构测评质量的影响，给监管部门监管策略的选择和制定提供参考。

4.2.1 监管部门策略收益预期的影响

在其它参数不变的条件下分别对Fg和R为2， 4，6，8的情况进行仿真，测评机构选择严格测评策略的概率如图3。从图中对比可以发现，监管部门采取监督检查策略的主观预期收益Fg提高时，虽然测评机构严格测评的概率仍然存在波动，但是概率的最大值和波动的中心值均随Fg的提高而增加；而当监管部门采取攻防竞赛策略的主观预期收益R提高时，测评机构严格测评的概率呈下降趋势，并最终趋近于0，即选择低质量测评的策略，与监管的目标相悖。

图3情景说明，测评质量水平与监督检查的力度呈正相关；攻防竞赛虽然可以提高测评机构的技术能力，但在没有其它配套措施的情况下，并不能显著提升测评机构的收益，而且会占用人力等成本，增加测评机构低质量测评的意愿；而监管部门的资源和精力有限，过度关注攻防竞赛等方式，会导致监督检查工作的缺失，进一步对测评质量造成负面影响。

图3 监管部门策略收益预期影响仿真

4.2.2 低质量测评处罚力度的影响

在其它参数不变的条件下分别对Fc为2， 4，6，8的情况进行仿真，测评机构选择严格测评策略的概率如图4，可以看出，当监管部门处罚力度较小(Fc=2)时，测评机构严格测评的概率趋向于0，随着处罚力度增加(Fc=4)，测评机构严格测评的概率有所提高，但是当处罚力度过大(Fc=6，8)时，虽然测评机构严格测评的最大概率有所增加，但是整体波动的幅度明显增大。

图4情景说明，监督检查发现问题需要有实质的处罚力度，如果处罚仅流于形式，低于测评机构低质量测评的额外收益预期，测评机构从利益出发倾向于选择低质量测评，无法起到监管的效果；但是如果单纯的增加处罚力度，随着处罚力度的加大，测评机构严格测评比例上升也越快，但是只能在短期内达到效果，同时监督检查强度也会随之较快降低，会导致测评质量预期波动性增加，进而也会增加监管的难度。

图4 监管部门处罚力度影响仿真

4.3 模型稳定性控制优化

综上分析可以发现，现实状态下模型不存在稳定的双方策略选择状态，监管部门通过调整监管参数也无法解决测评机构策略选择的波动性，这使监管部门较难维持稳定一致的监管政策，以实现增加测评机构严格测评概率、提高测评质量的目标。

为解决策略选择的波动性问题，尝试引入动态处罚力度，将原假设3中Fc修改为Fc=Fcb*(1-y)，其中Fcb为处罚力度基数，即假设监管部门根据掌握的测评机构信息，随着测评机构低质量测评的概率同步调整处罚的力度。依据此假设对模型进行修改后，在其它参数不变的情况下分别对Fcb为3，5， 7， 9， 100的情况进行仿真，测评机构选择严格测评策略的概率如图5所示。

图5 动态处罚力度模型参数影响仿真

图5情景说明，引入动态处罚后，测评机构质量策略选择的波动性被抑制，最终趋向于收敛，形成了稳定的策略决策，监管部门可以同步据此形成稳定的监管策略；与静态处罚力度情景类似，测评机构最终质量策略概率受监管部门处罚力度参数的影响，但即使处罚力度再大仍存在一定的低质量测评概率，因此想要达到监管的理想状态，仍需要引入更多的管理机制。

5 结论

本文将数学建模、策略博弈和仿真分析等方法应用于测评机构监管策略研究，在模型框架的假设下，得到仿真结论如下：监管部门和测评机构之间难以形成稳定的策略选择状态，决策呈波动性；测评机构的测评质量与监管部门采取攻防竞赛类监管措施的预期收益呈负相关，过度强调攻防竞赛类工作的重要性而缺乏其它配套措施可能会对测评质量造成负面影响；测评机构的测评质量与监管部门的处罚力度呈正相关，但单纯增加处罚力度会扩大测评机构策略选择的波动性，增加监管部门的管控难度；在当前模型中引入动态的处罚力度可以抑制测评机构策略的波动性，达到监管的稳定状态。上述结论对于监管部门合理分配资源、选择监管措施和策略可以提供借鉴作用。