信息系统安全投资策略及风险管理研究

发布时间：2018-02-28 10:46

  本文关键词： 信息系统安全 相互依赖性风险 投资策略 信息系统安全外包 信息系统安全保险 激励机制　出处：《东南大学》2016年博士论文　论文类型：学位论文

【摘要】：计算机和网络技术的快速发展,信息系统正成为越来越多企业运营和管理的支撑工具,信息系统安全变得日渐重要。为了减少由安全事件导致严重损失的可能性,很多企业通常大量购买和运用防火墙、入侵检测系统等信息系统安全技术。然而,一个企业的信息系统安全不但取决于自身的安全措施,而且与外部环境中的相关企业和黑客攻击方式等密切相关。因此考虑企业在相互依赖风险和黑客多样化攻击下的信息系统安全投资策略是企业信息系统运用过程中迫切需要解决的关键问题之一。同时随着信息系统安全管理服务和信息系统安全保险的出现,如何设计最优的激励机制成为信息安全经济学的重要问题。本文对企业信息系统安全投资策略及风险管理的相关问题进行了研究。首先,论文研究了信息系统相互关联下企业信息系统安全投资策略,构建博弈模型,讨论关联企业的互联风险和信任风险对信息系统安全投资最优策略的影响,并对在非合作博弈条件下信息系统安全投资的均衡水平与社会最优的解决方案进行了比较。结果表明,互联风险往往引起企业信息系统安全投资率低下,而信任风险导致过度重视信息系统安全。在合作条件下企业信息系统安全投资不一定随着互联风险和信任风险的增大而单调变化。此外,相对于社会最优水平,面临互联风险的企业是否过度投资完全取决于信任风险大小。其次,分别研究了黑客随机攻击和定向攻击情形下,基于微分博弈的信息系统安全投资水平问题。研究了非合作博弈下信息系统安全投资的最优策略选择,在此基础上,讨论了安全投资效率、黑客学习能力、传染率、目标替代率以及企业的信息系统安全事件带来的损失等因素对信息系统脆弱性和最优信息系统安全投资水平的影响。在讨论了黑客随机攻击和定向攻击两种情形下两企业合作博弈情形下最优策略选择的基础上,分别对比了非合作情形下的博弈均衡结果,得出在黑客随机攻击下企业维持低的投资率,在定向攻击下维持高的投资率。发现构建一种相互的支付激励机制可以消除企业投资不足或者过度的问题,从而使企业达到合作博弈下的最优投资水平,提高两个企业的联合收益。再次,研究了信息系统安全外包背景下如何通过激励措施来协调信息系统安全管理服务商的投入水平从而有效地控制信息系统安全风险的问题。考虑信息系统安全特征,提出了三种契约模型,即一般惩罚契约、部分外包契约和奖励-惩罚契约。在此基础上对不同契约模型的均衡结果进行讨论和比较。研究结果表明,部分外包契约优于一般惩罚契约,但只有奖励-惩罚契约能够诱导信息系统安全管理服务商最优投入的同时也使委托企业获得最大的回报。进一步,论文运用委托代理模型分析了信息系统安全外包中双边道德风险问题。发现普通赔偿契约并不能阻止双边道德风险。因此论文提出一种新的契约结构,即关系激励契约。通过研究发现在一定的条件下,这种契约能够规避双边道德风险,促进双方投入最优投入水平,提升社会福利且委托企业获得更好的收益。最后,论文结合风险管理理论和博弈理论研究企业采用信息系统安全保险时的投资策略及激励机制设计问题。一方面,为解决正向相互依赖下的信息系统安全投资不足问题,设计一种基于保险免赔额的信息系统安全投资激励机制。结果表明,适当的保险免赔额可以在一定程度上将这种负外部性内部化,进而改善了企业安全水平,有效提高了社会福利。另一方面,通过对比非合作博弈和社会最优下的自我防御投资和信息系统安全保险水平,提出相应的补贴协调机制。研究结果表明当风险相互依赖程度趋于很小时,自我防御投资水平随其潜在安全损失的上升而增大；企业在进行信息系统安全投资时往往会忽略对其他企业的边际外部成本或收益的影响,这种负外部性特征会导致企业自我防御投资和信息系统安全保险水平均低于社会最优化水平。政府通过补贴企业自我防御投资可以在一定程度上协调企业的风险管理决策,进而改善了企业安全水平,有效提高社会福利。
[Abstract]:The paper studies the security investment strategy of information system under non - cooperative game , and discusses how to design the optimal incentive mechanism for information system security . On the other hand , by comparing the level of self - defense investment and information system safety insurance under non - cooperative game and social optimum , the author puts forward the corresponding subsidy coordination mechanism . The results show that when the risk interdependencies tend to be very small , the level of self - defense investment increases with the rise of potential safety loss .

【学位授予单位】：东南大学
【学位级别】：博士
【学位授予年份】：2016
【分类号】：TP309;F272;F224.32
，

本文编号：1546976