前言:想要写出一篇引人入胜的文章?我们特意为您整理了信息安全投资规划项目质量管理探究范文,希望能给你带来灵感和参考,敬请阅读。
摘要:随着当今社会信息化水平的不断发展,网络攻击带来的危害和损失逐年增长。各种组织和个人的信息安全意识不断提高,投入不断加大,产业规模快速增长。在这样的背景下,关注信息安全投资的质量,能更有效提升组织的网络安全水平,降低信息安全风险。本文提出了信息安全投资项目质量评价模型,并应用该模型得出了一家企业在不同投资期望情况下的最优信息安全投资组合。
关键词:信息安全;质量评价模型;投资决策
全投资的主观臆断,降低信息安全投资的盲目性,提高信息安全投资的有效性。因此,企业在开展信息安全投资之前,应对公司信息安全现状进行充分调研,充分考虑信息安全投资的质量,制定出符合公司安全需求和投资预算的信息安全投资规划项目,为下一步的信息安全投资打下基础。
1信息安全项目质量评价模型
1.1信息安全项目的评价模型
2002年,Gordon和Loeb提出了Gordon-Loeb模型[2]。Gordon-Loeb模型探讨了公司信息安全威胁、单位损失、脆弱性和信息安全投资收益问题。通过投资收益比,分析了最优信息安全投资金额及其特点,推测最优信息安全投资量应少于潜在损失的1/e(即36.79%)[3]。进一步,通过比较两种不同类型的攻击,给出了最优投资和脆弱性的关系。但是,Gordon-Loeb模型仅考虑了企业整体的信息安全风险和投资。在实际应用中,企业面临的整体风险不仅难以估算,而且得出的最优信息安全投资额并不能指导公司实际信息安全投资行为。参考Gordon-Loeb的经典模型,进一步考虑特定的信息安全威胁、损失和脆弱性场景。公司的特定信息安全损失由三个因素组成,分别是单位损失λ;威胁t和脆弱性v。单位损失λ表示由特定威胁和特定脆弱性引起的单次信息安全事件所带来的损失金额,用货币单位度量;威胁t表示某项特定威胁的发生概率;脆弱性v表示特定威胁成功造成损失的概率(其中,0≤t≤1,0≤v≤1)。特定信息安全风险的期望损失L,可以表示为:通常来说,一项脆弱性v可能会被多个威胁利用,因此一项特定脆弱性对应的期望损失Lv应该是所有可能利用到脆弱性v的风险的期望损失的和,可表示为:假定,组织总共有m项不相关的脆弱性v,则组织面临的总体信息安全期望损失Ltotal可表示为:组织的各项不相关的脆弱性的组合可以用数组V表示:假设某项信息安全项目能够通过降低某些脆弱性集合,来降低组织面临的信息安全风险。为了计算方便,假定信息安全项目I的投资收益等于通过实施项目减少的信息安全期望损失。项目I通过减少脆弱性集合V来降低信息安全风险。项目对特定脆弱性vx的减少效果用vx′表示。信息安全项目I带来的投资收益(即,减少的信息安全期望损失)S,可以表示为:在进行风险评估计算期望损失时,通常会估算组织一年内的信息安全期望损失,也需要估算信息安全项目在同样单位时间内的成本。一般来说信息安全项目在第一年投入成本较大,之后每年维护的费用大致相等,同时项目也有使用年限,假设信息安全项目I的初始投入为X,项目每年维护费用为Q,使用年限为W,贴现率为r,可计算出每年的项目成本C为:
1.2信息安全投资组合评价模型
由于组织存在多个信息安全脆弱性,面临着多种安全风险,难以通过实施一个信息安全项目来满足组织所有的信息安全需求。组织往往通过实施信息安全项目组合的方式,来进行信息安全投资。在实际的工作中,可以将组织进行信息安全投资的过程抽象为,在有限的信息安全项目集合Y中,选择合适的信息安全项目投资组合Z,来实现自己的信息安全投资目标。假设组织存在m个不相关的脆弱性V,为了降低信息安全风险,组织计划从k个可供选择的信息安全项目中选择一组投资组合来实现信息安全投资目标。每个项目的投资成本分别为Ci(i=1,2,…,k)。组织的信息安全项目投资组合Z,可以表示为:Z=(z1,z2,…,zk),zn=1or0,n=1,2…..,k当zn=1时,表示组织选择投资第n个投资项目;zn=0时,表示组织选择不投资第n个项目。在实施单个项目zn后对组织的一系列脆弱性Vm(v1,v2,…,vm)的投资成效可以用数组Vn′来表示:项目zn投资后的特定脆弱性vm,将会调整为。信息安全项目集合Z对组织的一系列脆弱性Vm(v1,v2,…,vm)的投资成效系数,可以用矩阵Vkm′来表示:在选择一组信息安全投资组合时,会有多个不同类型的信息安全投资项目作用于组织的某个特定脆弱性。信息安全投资组合Z对组织特定脆弱性vm的影响将取决于组织选择的信息安全项目组合Z及其投资成效Vkm′。假定所有的信息安全项目不会带来新的脆弱性,即。依据信息安全脆弱性的特性以及Gordon-Loeb模型的假设。项目组合Z投资后的残余风险S′,可以通过计算所有特定脆弱性对应的残余风险的和求得,用公式表示为:
2基于信息安全项目质量评价模型的最优投资规划组合
2.1A公司风险评估
充分理解公司业务和安全现状是选择信息安全投资组合的前提。通过分析不相关的脆弱性对应的信息安全事件发生频率和单位损失,评估出不同脆弱性的年度期望损失,可以大致描述出公司的信息安全现状,帮助公司做出正确的决策。经过风险分析,估算A公司每项不相关脆弱性对应的年度期望损失。结果如表1所示:
2.2可选信息安全投资项目
A公司面对以上信息安全风险,需采用一定的安全技术措施和管理手段来处置及预防这些风险。A公司了解到市场上有一系列信息安全投资项目,计划从这些项目中选择合适的投资项目来降低公司的信息安全风险。表2列举了这些信息安全投资项目,并估算出A公司实施这些项目每年的投资成本。A公司在实施了上述信息安全投资项目后将会降低某些特定的脆弱性,通过降低这些特定的脆弱性,A公司的信息安全风险和期望损失将会减少。设信息安全投资项目实施后对每一项脆弱性的有效性系数为向量。其中,P是项目总数;V是脆弱性的总数;表示项目Pi能够将脆弱性Vj的风险完全缓解;表示项目Pi对脆弱性Vj没有效果;表示项目Pi对脆弱性Vj的有效性系数是0.5。通过安全人员对可选信息安全投资项目进行评估,信息安全项目Pi针对特定脆弱性Vj的有效性系数在0-1之间。
2.3不同投资期望下的最优信息安全投资组合
为了确定组织的最优信息安全投资组合,不仅需要有评价信息安全投资效果的工具,还需要分析企业期望达到的投资效果。不同的企业基于不同的投资目的,有着不同的信息安全风险偏好水平和投资策略。可以依据企业对信息安全投资的风险偏好水平和投资策略,制定最优的信息安全投资组合。2.3.1明确信息安全需求下的最优投资组合。假设A公司明确了投资策略,确定了信息安全需求,希望将公司的整体信息安全风险水平降低70%以上。那么A公司的最优投资组合,就是以最小的代价满足以上的风险水平。王军提出了信息安全投资的智能化决策方法[4],对其方法加以改进,结合离散二进制PSO算法[5]来帮助进行投资决策。选择粒子群个数为1000个,迭代次数200次,惯性权重w=1,自我学习因子c1=0.5,群体学习因子c2=0.5,适应值是信息安全投资成本,判断标准是使投资效果E大于等于投资需求Eneed。运用MATLAB计算出上述投资决策的结果(图1)。通过运行上述程序,可以得到最优的投资组合及其对应的投资金额。图1(左)中的蓝点代表最优投资组合,红点代表在搜寻上述最优投资组合过程中遍历到的投资组合,在迭代过程中,粒子不断向图中的蓝色圆点(即投资效果为70.27%,使公司的整体信息安全风险水平降低70%以上,且投资金额为650万的点)附近收敛。图1(右)显示了最优投资组合的收敛过程,在本例中经过69次迭代达到了最优投资组合。最优投资组合可以表示为一组0-1二元向量,公司选择投资信息安全意识培训、信息安全管管理体系项目、应用层防火墙、终端安全管理软件、安全扫描和评估项目、系统备份容灾项目、堡垒机项目、双因素认证项目、邮件安全项目,投资组合的金额为650万。使得公司的信息安全期望损失减少70%以上,且投资的成本最小。2.3.2给定预算金额情况下的最优投资组合。假设A公司进行信息安全投资的预算为500万,公司希望在有限的投资金额内,将信息安全风险水平降低到尽可能低的程度。同样,公司应用离散二进制PSO算法来帮助进行投资决策,将适应值调整为投资效果E,判断标准是在预算范围内使E最大。利用MATLAB运算求解上述投资决策,可以得到此条件下最优的投资组合及其对应的投资金额。图2-2(左)中的蓝点代表最优投资组合,红点代表在搜寻上述最优投资组合过程中遍历到的投资组合,在迭代过程中,粒子不断向图中的蓝色圆点(即投资效果为63.91%,且投资金额为500万的点)附近收敛。图2-2(右)显示了最优投资组合的收敛过程,在本例中经过62次迭代达到了最优投资组合。最优投资组合可以表示为一个二元向量公司选择投资信息安全意识培训、信息安全管管理体系项目、应用层防火墙、蜜罐系统、安全扫描和评估项目、运维监控平台、堡垒机项目、双因素认证项目、邮件安全项目,投资组合的金额为500万,且获得了对应金额投资情况下最大的投资收益。2.3.3风险厌恶型企业的最优投资组合。假设A公司希望尽可能地降低信息安全风险,使投资组合能够产生最大的投资效果。易知,如果A公司对全部项目进行投资,则信息安全投资效果最大。但是在现实的案例中,很少有公司会选择对全部项目进行投资。在本例中将投资效果精确到小数点后两位,并计算一系列投资效果最大的投资组合中投资成本最小的投资组合。公司应用离散二进制PSO算法来帮助进行投资决策,适应值为投资效果E,判断标准是使E最大,同时记录下满足E最大情况下的,最小投资成本对应的投资组合。随着信息安全投资金额的增加,安全项目增多,信息安全投资收益趋于平稳,变化不大,因此为了使算法可以有效收敛,将纵坐标投资效果的精度降低。因为在这一区间,信息安全额外的投入带来的收益将越来越小,将投资效果的精度降低,也符合企业在做投资决策时通常会采用的策略。利用MATLAB运算求解上述投资决策,可以得到此条件下最优的投资组合及其对应的投资金额。图3中的蓝点代表最优投资组合,红点代表在搜寻上述最优投资组合过程中遍历到的投资组合,在迭代过程中,粒子不断向图中的蓝色圆点(即投资效果为89%,且投资金额为1890万的点)附近收敛。2.3.4利润偏好型企业的最优投资组合。假设公司A是利润偏好型企业,希望通过信息安全投资实现信息安全项目收益与成本之差(即,利润)的最大化,并愿意为获得这些收益承担一定的信息安全风险。同样,公司应用离散二进制PSO算法来帮助进行投资决策,适应值为投资利润profit,判断标准是使投资利润profit值最大,同时记录下投资利润profit最大情况下对应的投资组合。根据上述适应值和判断标准修改程序,利用MATLAB运算求解利润偏好型企业的投资决策,可以得到此条件下最优投资组合及其对应的投资金额。图4(左)中的蓝点代表最优投资组合,红点代表在搜寻上述最优投资组合过程中遍历到的投资组合,在迭代过程中,粒子不断向图中的蓝色圆点(即投资收益为388.6万,且投资成本为160万,投资利润为228.6万的点)附近收敛。图4(右)显示了最优投资组合的收敛过程,在本例中经过44次迭代达到了最优投资组合。2.3.5最优信息安全投资组合集。以A公司为例,利用MATLAB分别计算不同信息安全需求情况下的最优投资组合及其对应的成本收益。图5中的蓝点分别代表不同信息安全需求下的最优投资组合对应的成本收益,红点代表在搜寻上述最优投资组合过程中遍历到的所有投资组合的成本收益,蓝色曲线附近的点就是最优信息安全投资组合的成本收益,组成了最优投资组合集Q。通过上述实例,可以观察到由最优信息安全投资组合模型求解的最优投资组合集Q,随着投资金额的增大,投资效果也增大,但是投资效果的增长幅度越来越小,符合效用理论[6]。
3结束语
本文主要研究了组织的信息安全投资决策问题。参考Gordon-Loeb模型,提出了信息安全投资评价模型。使组织可以借助该模型选择最优信息安全投资组合。但是,本文提出的模型中的信息安全投资收益,只考虑了实施信息安全投资项目所降低的期望损失所获得投资收益,并未考虑信息安全投资项目可能带来的业务扩展、商誉等正收益。在今后的研究中可以把信息安全投资的正收益纳入投资收益的计算中。
作者:张智铭 单位:上海交通大学网络空间安全学院