超级会员免费看
信息安全生产力空间:拓展模型下的投资策略分析
1. 引言
信息安全管理与评估是安全工程和社会之间的桥梁。在工程方面,工程师通过提供技术手段来降低攻击成功率(漏洞降低)和阻止攻击发生(威胁降低)。在社会层面,用户希望了解这些降低措施的重要性。本文通过引入信息安全生产力空间,构建了一个简单的分析桥梁,连接这两个层面。
2. 两种降低措施
2.1 漏洞降低
为了激励管理者进行信息安全风险管理,一些研究记录了信息安全的现状和安全漏洞可能导致的潜在损失,另一些则展示了安全投资的回报。更重要的是,管理者需要知道如何合理投资对策,以有效防御安全事件。
定量模型和分析方法相对较少,但Gordon - Loeb模型(GL模型)具有一定的实证支持。该模型的核心是对漏洞降低效果的形式化。考虑一个单期经济模型,企业为保护给定信息集而进行额外安全投入。信息集由三个参数表征:
- λ:发生安全漏洞时的货币损失,假定为企业估计的固定值,且为有限值。
- t:威胁发生的概率,潜在损失L = tλ,0 ≤ t ≤ 1。
- v:威胁实现时成功的条件概率,0 ≤ v ≤ 1。
设z > 0为信息安全的货币投资,GL模型中用S(z, v)表示信息集在威胁实现且企业投资z的情况下被攻破的概率,称为安全漏洞概率函数(SBP函数)。研究中最受关注的一类SBP函数为:
S(z, v) = vαz + 1 (1)
其中参数α > 0是信息安全关于漏洞降低的生产力度量。该类函数有实证支持,且暗示管理者分配信息安全预算时应关注中等漏洞范围的信息。这一策略通过求解预期净收益(ENBIS)最大化问题得出:
订阅专栏 解锁全文
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
