7、建模 USB 记忆棒安全的人力与技术成本及效益

建模 USB 记忆棒安全的人力与技术成本及效益

1. 引言

在当今的商业环境中，组织为了支持运营并实现业务目标，广泛部署各种系统技术。然而，这也带来了信息保密性、完整性和可用性之间的矛盾。负责信息和系统安全的人员在制定安全政策时面临两大难题：一是对如何制定、调配资源、衡量和评估安全政策的经济理解不足；二是对用户对信息和系统安全的态度以及他们对强制安全政策的反应缺乏组织层面的理解。

为了评估系统中安全投资（包括人员、流程或技术方面）的有效性和价值，我们需要一个包含系统及其用户和经济环境的概念模型。我们提出了一种全新的方法来解决在组织内建模实施安全政策的经济有效性问题，其关键组成部分如下：
- 检验信息安全投资中解决保密性和可用性的组件之间存在权衡的假设。
- 目前，主要从概念而非数学角度，使用受中央银行问题宏观经济模型启发的模型来捕捉可用性和保密性之间的权衡。
- 不提供详细的数学公式，而是进行实证研究，并基于实证数据和系统执行的流程进行严格结构化的模拟。
- 实证数据来自对两个组织（一家金融服务公司和一家研究机构）员工的半结构化访谈，重点关注金融服务组织。
- 展示如何使用该模型探索可用性和保密性之间权衡的效用。

2. 中央银行问题与信息安全

宏观经济学中，中央银行设定利率以管理通货膨胀和失业率是一个著名问题。其基本模型的设定如下：
- 通货膨胀和失业率的关系为：((n_{t}^{e} - u_{t}) = \lambda(\pi_{t} - \pi_{t}^{e}) + \eta_{t})，其中(\lambda > 0)，(u_{t})、(n_{t})和(\pi_{t})分别是失业率、自然