第9章计算机安全经济学.ppt

《第9章计算机安全经济学.ppt》由会员分享，可在线阅读，更多相关《第9章计算机安全经济学.ppt（50页珍藏版）》请在优知文库上搜索。

1、第9章 计算机安全经济学本章要点r 安全方面的经济学案例r 测定和量化经济学价值r 计算机安全的经济学建模 这一章，我们将关注涉及计算机安全中稀有经济资源分配方面的决策。也就是说，作为一个从业者，基于投资的需求、开支以及与其它投资(也许与安全无关)的平衡等诸多方面的考虑，必须决定对哪些类型的安全控制进行投资。我们将从一个商业案例开始，描述一个用于表示关于“为什么我们认为一个特别的安全投资是必要的”的信息框架。接着，为了给安全投资一个有说服力的支持，我们将概述对安全专家有帮助的数据收集种类。一旦有了好的数据，就能建模并做出预测。我们还将研究对计算机安全投资影响进行建模的许多方式。9.1 商业案例

2、 公司怎样决定在计算机安全上的投资金额和投资方式？典型的方法是，使用一些基准值，也就是参考其他相似的公司。这种方法只是对开支的合适水平方面的决策有帮助。然后，应制定关于特定开支的细节决策，如需要哪些能力，哪些产品应该被购买和支持，哪些培训是有帮助的，等等。这些投资决策并不是凭空决定的，因为计算机安全资源的要求通常不得不与其他要求竞争，最终决策的制定是基于哪些要求对商业经营最有利。一个给定开支的商业案例商业案例是一个方案，证明资源使用的正当性。包括以下部分：9.1 商业案例(续)(1)问题或开支需求的描述。(2)可能的解决方法列表。(3)解决问题的限制。(4)潜在的假设列表。(5)分析每一个选择

3、，包括风险、花费和收益。(6)投资建议对公司有利的一个理由总结。9.1 商业案例(续)关于技术投资，任何对现有或建议的技术投资的评估，应一次用多种形式汇报以构成一个“平衡的记分牌”：(1)从客户的角度，提出诸如顾客满意度的问题。(2)从运转角度，考察一个公司的核心竞争力。(3)从经济角度，考虑诸如投资回报或分享价格的措施。(4)从改进角度，评估投资怎样影响市场领导能力和增加的价值。确定经济价值 经济价值可以作为一个统一的法则来考察任何商业机会。也就是说，我们可以根据它的潜在经济价值来研究每一个投资选择。从一个高水平的公司角度，管理层必须决定如何将一个建议性的技术投资与简单地把钱存入银行获得利息

4、相比较。公司应把注意力转到通过优化他们的信息安全投资水平，来选择利润目标。9.1 商业案例(续)确定经济价值(续)纯的当前价值纯的当前价值(NPV)当建议一项技术时，你就必须确保考虑到所有的花费。NPV是收益的当前价值减去原始投资的价值。NPV根据整个工程的生命周期表达了经济学的价值。如果一个有前途的工程的NPV是正的，它就应该被接受。然而，如果NPV是负的，这个工程应该被放弃；负的NPV意味着工程的货币流通不如安全、更传统的投资。9.1 商业案例(续)确定经济价值(续)通常，NPV的计算使用一个折扣率或机会成本，即一个相等投资期待从资本市场获得的回报率。换句话说，折扣率反映了如果一个组织将投

5、资到银行或其他经济事务而不是软件技术，它能从中得到多少钱。计算NPV的常规方程是：nttttkCBC10)1/()(Bt和Ct 是在每个时间阶段t内投资预期的收益和开支，C0是原始投资，折扣率(期待从投资中获得的回报率)是k，n是投资的开支和收益被考虑的时间段数字。9.1 商业案例(续)确定经济价值(续)利用NPV来评估安全工程的优势是，它对提出的投资的评估效果贯穿工程的整个生命周期。NPV提供了一个对可在将来不同时段改变利润的工程的公平比较，但困难的是如何确定在多久的将来进行计算。NPV方法对资金流动的时间段很敏感；回报来得越晚，对总价值的妨碍就越严重。因此，市场时间对分析和影响支出是最关键

6、的。一个工程的大小和规模也会影响NPV。因为NPV是可累加的，我们可以通过简单地累加个体NPV值来评估工程集合的结果。9.1 商业案例(续)确定经济价值(续)内部回报率内部回报率 内部回报率内部回报率(IRR)起源于纯的当前价值；它等同于使NPV等于零的折扣率。换句话说，它是期待的投资回报率。投资回报投资回报 投资回报投资回报(ROI)的计算与IRR和NPV十分相似。ROI的产生是通过最后的账目利润(由收入和支出计算)除以产生这些利润的投资开销。9.1 商业案例(续)确定经济价值(续)公正的开销估计公正的开销估计 一个商业案例是一个做某些事的讨论：投资一项新技术、培训员工、增加一项产品的安全能

7、力或维持现状，等等。计算机安全商业案例通常用经济学术语来表达：节约金额、行为回报或可避免的开支。有时将安全影响从更多的、普遍的影响中分离出来是很困难的，比如提高功能或对资产更好的访问。这些讨论常常回避了在计算机安全中怎样获得可靠数据的问题。9.1 商业案例(续)9.2 量化安全 量化和估计正是安全官必须做的，以证明安全花费的正当性。在管理层花了钱去阻止一个可能，但没有发生的严重威胁后，他们可能便不愿意再次花钱去对付另一个可能的严重威胁。一般认为，公司没有必要把投资与对每个资源潜在的影响相匹配。因为非常容易受攻击的信息可能也是保护起来十分昂贵的，公司也可能集中精力去保护不太容易受攻击的信息资源。

8、为了从保护信息的投资中得到最大的利益，公司只应该考虑小的投入可以弥补大的安全损失的情况。9.2.1 计算机安全的经济学影响 理解计算机安全问题的经济学影响(预防、检测、缓解和恢复)，需要能支持好的决策制定的经济学关系模型。然而，实际的模型必须基于从实际的计算机安全投资和真实的攻击结果中获得的数据。理解计算机安全威胁的本质需要至少应明确以下几点：(1)需要保护的资产的数量和类型。(2)系统中存在的脆弱点的数量和类型。(3)可能对系统造成威胁的数量和类型。理解网络攻击的实际情况，也需要明确可能发生攻击的数量和类型，将系统恢复到攻击前状态所需的花费和和采取行动防止将来的攻击所需的花费。9.2.2 证

9、明安全行为是正当的数据 数据需要用来支持多层次上的计算机安全决策的制定。(1)国家和全球数据国家和全球数据通过帮助使用者评估工业部门，在国家经济中如何相互作用以及计算机安全如何影响全球经济，来解决国家和国际上所关心的问题。(2)公司数据公司数据帮助我们检查公司如何运用安全技术来阻止攻击以及处理安全破坏的影响。(3)技术数据技术数据描述了对核心基础设施技术的威胁，使建模者能够开发出一套低成本的响应。9.2.2 证明安全行为是正当的数据(续)支持经济决策制定的数据必须有以下特征：(1)准确性准确性：当报告价值与实际价值相等或接近时，数据是准确的。(2)一致性一致性：一致的报告要求所有报告组织使用相

10、同的计算规则，且要求数据在相同条件下收集。例如，计算规则应该详细说明“入侵”的明确定义，说明一个单独的恶意行为者造成的多次入侵尝试，算一次还是多次。(3)及时性及时性：依靠老的数据可以使安全人员去解决昨天的问题。(4)可靠性可靠性：可靠数据来自可信的来源，并用通俗易懂的术语表达。9.2.2 证明安全行为是正当的数据(续)安全实施安全实施 信息安全破坏调查(ISBS)是一个有关计算机安全事件和实施的特别丰富的信息来源，并为捕获计算机安全信息提供了一个好的模型。调查的结果分为4个主要类型：信息技术的依赖、计算机安全的优先性、安全事件的趋势以及计算机安全的支出和意识。他们报告的一些结果包括：几乎所有

11、的回复者的公司都进行常规备份，其中3/4在异地存放备份，这些商家主动与病毒作斗争；98%的商家有反病毒软件；80%的商家在新病毒公布的一天内更新他们的病毒库；88%的商家在一周内安装重要的操作系统补丁；86%的公司过滤收到的电子邮件以防止垃圾邮件。9.2.2 证明安全行为是正当的数据(续)经济学影响经济学影响 英国的公司在信息安全上要花费4%到5%的信息技术预算，但是2/5的公司在安全上的花费不到1%。总的变化总的变化大公司的变化大公司的变化影响的公司数下降20%下降10%受影响的计算机安全事件的中等数字增长50%下降30%每个事件的平均花费增长20%下降10%计算机安全事件花费的总的变化增长

12、50%下降50%表 9.1 英国安全事件花费总的变化(摘自ISBS 2006)9.2.3 数据意味着什么 攻击类型分类攻击类型分类 一个人可能希望从许多调查中提取相似的数据元素，但遗憾的是，这往往十分困难。因为这些数据可能源自调查的对象的不同，不同的国家、部门和安全事件的复杂程度。回复者类型回复者类型 调查中的大部分都是简便的调查，也就是说，回复者是自选择的，不能代表大多数。对于简便调查，通常很困难也不可能决定结果代表多少人，也就使得人们很难去下结论。当做法合适时，好的调查样本不但可以覆盖更大的人群，而且结果可以与其他年份比较(因为样本代表了相同的人群)。9.2.3 数据意味着什么(续)类型的

13、比较类型的比较 在定义、跟踪和报道安全事件和攻击方面没有统一的标准。例如，(1)“电子攻击”(澳大利亚计算机犯罪和安全调查)。(2)“电子犯罪和网络、系统或数据入侵的总数”和“未授权的计算机系统的使用”(CSI/FBI)。(3)“安全事件”，“偶然的安全事件”，“故意的安全事件”和“严重的安全事件”(信息安全破坏调查)(4)“任何形式的安全破坏”(Deloitte全球安全调查)(5)“导致一个关键商业系统意外崩溃的事件”(Ernst和Young全球信息安全调查)不仅数据的特征不同，而且许多问题的答案是基于看法、解释或感觉的，并不是靠捕捉和分析固定的数据。9.2.4 攻击源 攻击的来源也是有疑问

14、的。当然，各种调查的发现有一些相同点。病毒、Trojan木马、蠕虫和恶意代码造成一致的、严重的威胁。商业部门最害怕内部攻击和访问的滥用。9.2.5 经济影响 很多调查获得了有关因果的信息。例如，一项2004年由ICSA实验室进行的调查指出：2003年“病毒灾难”增加了12%，但是恢复损失的时间和被破坏的数据增加了25%。目前，还没有可被广泛接受的损失的定义，在测量损失上也没有标准的方法。实际上，ICSA在2004年的研究表明，调查中的回复者低估了开销，只估计了1/7到1/10的开销。9.2.5 经济影响(续)许多调查指出：正式的安全政策和事件响应计划是非常重要的。缺乏教育和培训是进一步提高的主

15、要障碍。缺乏“安全文化”(包括安全问题和策略的意识与理解)也是一个问题。许多组织并不知道他们在安全保护、预防和缓解上投资了多少。他们在制定安全投资策略和评估这些策略的有效性上，没有一个清晰的战略。好的决策需要的投入，还没有准确的数字。9.2.6 结论 调查作为参考证据是有用的。但是管理者会问这些数字在其他国家是否有效，哪些构成一次事件，以及他的公司在那些危害下是比较脆弱的。调查是一个好的开始，要想获得准确有用的分析，我们需要在一段时间内对同一类人群进行有效的统计调查。在这种方式下，我们能够获得有用的数据和趋势信息。理想情况是，在不同国家进行可比较的调查可以证明地域的差异。没有这些可靠的数据，计

16、算机安全的经济学建模是非常困难的。9.3 计算机安全建模 关于计算机安全投资的问题如下：(1)一个公司为了保护一定数量的资产在计算机安全上应该投入多少？(2)一次安全破坏可能的影响有多大？(3)信息共享的开销和收益是多少？9.3.1 转移模型 为了回答问题(1)，Cordon和Loeb运用了简单的会计学技术开发了一个信息保护模型。他们用了三个参数：破坏发生条件下的损失、一个威胁发生的可能性和易受攻击性(定义为了一个威胁被成功实施的可能性)。用破坏发生时公司预测的损失来表示其影响。9.3.1 转移模型(续)Campbell等人通过研究报纸、美国公司的贸易公告中报道的信息安全破坏的经济学影响，来解决问题(2)。他们指出是破坏的性质影响了结果。对涉及未授权访问机密数据的信息安全破坏，有严重的负面市场反应，但当破坏不涉及机密信息时，便没有严重的反应。9.3.1 转移模型(续)Gal-Or和Ghose用Campbell等人的结论解决问题(3)。他们使用游戏理论，把这种形式描述成两个具有竞争产品的公司A和公司B没有合作的游戏。在该游戏中，两个公司选择最佳的安全投资和信息共享的等级。游戏中包括的是反