14、IT安全中激励措施与经济解决方案的重要性

IT安全中激励措施与经济解决方案的重要性

1. 引言

信息安全管理正逐渐成为一个复杂、敏感且亟待解决的领域。攻击形式动态多变且难以预测，各行业和企业对互联网开展业务的依赖程度日益加深，然而安全专业人员的专业能力有限，缺乏能在异构网络环境中协同工作的解决方案，计算机安全信息共享不足，通过合同外包信息安全的情况也较少，同时激励机制的不合理导致用户与系统安全机制之间存在利益冲突。

即便采用了嵌入式防火墙、大量投入入侵检测和攻击流量监测、制定完善的访问控制策略以及应用复杂的加密协议，信息安全问题仍未得到有效解决。如今，安全专业人员需要在组织的安全投资范围内，结合激励机制的概念，合理保护信息资产。基于经济原则和完善的经济激励链，能更有效地理解和管理信息安全。

近年来，人们逐渐认识到，安全漏洞的出现不仅是由于设计缺陷，不良的激励机制也是重要原因。大部分研究集中在提供技术解决方案来保护数据，而从经济角度进行的研究相对较少。大型组织和企业在防御攻击和威胁时缺乏合作的动力。应对攻击的解决方案可分为技术和经济两类。虽然合作性的技术解决方案有效，但组织缺乏实施的动力，因此应更重视经济解决方案，为相关方提供更强的激励。

通常，防御威胁和攻击的一方并非遭受损失的一方，而遭受损失的一方却没有参与防御。这就是尽管软件和IT行业取得了长足进步，但经济解决方案仍然匮乏的主要原因。要实施经济解决方案，就需要明确激励链，并确定在互联网环境中应向哪些方提供激励。互联网由服务器、ISP、路由器、内容提供商和终端用户等多个实体组成，各方都需要以金钱或其他形式的利益作为激励，才能相互合作，为终端用户提供优质服务。例如，边界网关路由器可保护特定网络免受攻击，终端用户和内容提供商是主要受益者，但他们很少对路由