計(jì)算機(jī)安全經(jīng)濟(jì)學(xué)課件

第9章計(jì)算機(jī)安全經(jīng)濟(jì)學(xué)第9章計(jì)算機(jī)安全經(jīng)濟(jì)學(xué)1本章要點(diǎn)安全方面的經(jīng)濟(jì)學(xué)案例測(cè)定和量化經(jīng)濟(jì)學(xué)價(jià)值計(jì)算機(jī)安全的經(jīng)濟(jì)學(xué)建模本章要點(diǎn)安全方面的經(jīng)濟(jì)學(xué)案例2這一章，我們將關(guān)注涉及計(jì)算機(jī)安全中稀有經(jīng)濟(jì)資源分配方面的決策。也就是說，作為一個(gè)從業(yè)者，基于投資的需求、開支以及與其它投資(也許與安全無關(guān))的平衡等諸多方面的考慮，必須決定對(duì)哪些類型的安全控制進(jìn)行投資。我們將從一個(gè)商業(yè)案例開始，描述一個(gè)用于表示關(guān)于“為什么我們認(rèn)為一個(gè)特別的安全投資是必要的”的信息框架。接著，為了給安全投資一個(gè)有說服力的支持，我們將概述對(duì)安全專家有幫助的數(shù)據(jù)收集種類。一旦有了好的數(shù)據(jù)，就能建模并做出預(yù)測(cè)。我們還將研究對(duì)計(jì)算機(jī)安全投資影響進(jìn)行建模的許多方式。這一章，我們將關(guān)注涉及計(jì)算機(jī)安全中稀有經(jīng)濟(jì)資源分配方39.1商業(yè)案例公司怎樣決定在計(jì)算機(jī)安全上的投資金額和投資方式？典型的方法是，使用一些基準(zhǔn)值，也就是參考其他相似的公司。這種方法只是對(duì)開支的合適水平方面的決策有幫助。然后，應(yīng)制定關(guān)于特定開支的細(xì)節(jié)決策，如需要哪些能力，哪些產(chǎn)品應(yīng)該被購買和支持，哪些培訓(xùn)是有幫助的，等等。這些投資決策并不是憑空決定的，因?yàn)橛?jì)算機(jī)安全資源的要求通常不得不與其他要求競(jìng)爭，最終決策的制定是基于哪些要求對(duì)商業(yè)經(jīng)營最有利。一個(gè)給定開支的商業(yè)案例是一個(gè)方案，證明資源使用的正當(dāng)性。包括以下部分：9.1商業(yè)案例公司怎樣決定在計(jì)算機(jī)安全上的投資金額和49.1商業(yè)案例(續(xù))(1)問題或開支需求的描述。(2)可能的解決方法列表。(3)解決問題的限制。(4)潛在的假設(shè)列表。(5)分析每一個(gè)選擇，包括風(fēng)險(xiǎn)、花費(fèi)和收益。(6)投資建議對(duì)公司有利的一個(gè)理由總結(jié)。9.1商業(yè)案例(續(xù))(1)問題或開支需求的描述。59.1商業(yè)案例(續(xù))

關(guān)于技術(shù)投資，任何對(duì)現(xiàn)有或建議的技術(shù)投資的評(píng)估，應(yīng)一次用多種形式匯報(bào)以構(gòu)成一個(gè)“平衡的記分牌”：(1)從客戶的角度，提出諸如顧客滿意度的問題。(2)從運(yùn)轉(zhuǎn)角度，考察一個(gè)公司的核心競(jìng)爭力。(3)從經(jīng)濟(jì)角度，考慮諸如投資回報(bào)或分享價(jià)格的措施。(4)從改進(jìn)角度，評(píng)估投資怎樣影響市場(chǎng)領(lǐng)導(dǎo)能力和增加的價(jià)值。9.1商業(yè)案例(續(xù))關(guān)于技術(shù)投資，任何對(duì)現(xiàn)有或建議的6確定經(jīng)濟(jì)價(jià)值經(jīng)濟(jì)價(jià)值可以作為一個(gè)統(tǒng)一的法則來考察任何商業(yè)機(jī)會(huì)。也就是說，我們可以根據(jù)它的潛在經(jīng)濟(jì)價(jià)值來研究每一個(gè)投資選擇。從一個(gè)高水平的公司角度，管理層必須決定如何將一個(gè)建議性的技術(shù)投資與簡單地把錢存入銀行獲得利息相比較。公司應(yīng)把注意力轉(zhuǎn)到通過優(yōu)化他們的信息安全投資水平，來選擇利潤目標(biāo)。9.1商業(yè)案例(續(xù))確定經(jīng)濟(jì)價(jià)值經(jīng)濟(jì)價(jià)值可以作為一個(gè)統(tǒng)一的法則來考察任何商7確定經(jīng)濟(jì)價(jià)值(續(xù))純的當(dāng)前價(jià)值(NPV)當(dāng)建議一項(xiàng)技術(shù)時(shí)，你就必須確?？紤]到所有的花費(fèi)。NPV是收益的當(dāng)前價(jià)值減去原始投資的價(jià)值。NPV根據(jù)整個(gè)工程的生命周期表達(dá)了經(jīng)濟(jì)學(xué)的價(jià)值。如果一個(gè)有前途的工程的NPV是正的，它就應(yīng)該被接受。然而，如果NPV是負(fù)的，這個(gè)工程應(yīng)該被放棄；負(fù)的NPV意味著工程的貨幣流通不如安全、更傳統(tǒng)的投資。9.1商業(yè)案例(續(xù))確定經(jīng)濟(jì)價(jià)值(續(xù))純的當(dāng)前價(jià)值(NPV)9.1商業(yè)案8確定經(jīng)濟(jì)價(jià)值(續(xù))

通常，NPV的計(jì)算使用一個(gè)折扣率或機(jī)會(huì)成本，即一個(gè)相等投資期待從資本市場(chǎng)獲得的回報(bào)率。換句話說，折扣率反映了如果一個(gè)組織將投資到銀行或其他經(jīng)濟(jì)事務(wù)而不是軟件技術(shù)，它能從中得到多少錢。計(jì)算NPV的常規(guī)方程是：Bt和Ct是在每個(gè)時(shí)間階段t內(nèi)投資預(yù)期的收益和開支，C0是原始投資，折扣率(期待從投資中獲得的回報(bào)率)是k，n是投資的開支和收益被考慮的時(shí)間段數(shù)字。9.1商業(yè)案例(續(xù))確定經(jīng)濟(jì)價(jià)值(續(xù))通常，NPV的計(jì)算使用一個(gè)折扣率或機(jī)9確定經(jīng)濟(jì)價(jià)值(續(xù))

利用NPV來評(píng)估安全工程的優(yōu)勢(shì)是，它對(duì)提出的投資的評(píng)估效果貫穿工程的整個(gè)生命周期。NPV提供了一個(gè)對(duì)可在將來不同時(shí)段改變利潤的工程的公平比較，但困難的是如何確定在多久的將來進(jìn)行計(jì)算。NPV方法對(duì)資金流動(dòng)的時(shí)間段很敏感；回報(bào)來得越晚，對(duì)總價(jià)值的妨礙就越嚴(yán)重。因此，市場(chǎng)時(shí)間對(duì)分析和影響支出是最關(guān)鍵的。一個(gè)工程的大小和規(guī)模也會(huì)影響NPV。因?yàn)镹PV是可累加的，我們可以通過簡單地累加個(gè)體NPV值來評(píng)估工程集合的結(jié)果。9.1商業(yè)案例(續(xù))確定經(jīng)濟(jì)價(jià)值(續(xù))利用NPV來評(píng)估安全工程的優(yōu)勢(shì)是，10確定經(jīng)濟(jì)價(jià)值(續(xù))

內(nèi)部回報(bào)率

內(nèi)部回報(bào)率(IRR)起源于純的當(dāng)前價(jià)值；它等同于使NPV等于零的折扣率。換句話說，它是期待的投資回報(bào)率。

投資回報(bào)

投資回報(bào)(ROI)的計(jì)算與IRR和NPV十分相似。ROI的產(chǎn)生是通過最后的賬目利潤(由收入和支出計(jì)算)除以產(chǎn)生這些利潤的投資開銷。9.1商業(yè)案例(續(xù))確定經(jīng)濟(jì)價(jià)值(續(xù))內(nèi)部回報(bào)率9.1商業(yè)案例(續(xù))11確定經(jīng)濟(jì)價(jià)值(續(xù))

公正的開銷估計(jì)一個(gè)商業(yè)案例是一個(gè)做某些事的討論：投資一項(xiàng)新技術(shù)、培訓(xùn)員工、增加一項(xiàng)產(chǎn)品的安全能力或維持現(xiàn)狀，等等。計(jì)算機(jī)安全商業(yè)案例通常用經(jīng)濟(jì)學(xué)術(shù)語來表達(dá)：節(jié)約金額、行為回報(bào)或可避免的開支。有時(shí)將安全影響從更多的、普遍的影響中分離出來是很困難的，比如提高功能或?qū)Y產(chǎn)更好的訪問。這些討論常?；乇芰嗽谟?jì)算機(jī)安全中怎樣獲得可靠數(shù)據(jù)的問題。9.1商業(yè)案例(續(xù))確定經(jīng)濟(jì)價(jià)值(續(xù))公正的開銷估計(jì)9.1商業(yè)案例(續(xù))129.2量化安全量化和估計(jì)正是安全官必須做的，以證明安全花費(fèi)的正當(dāng)性。在管理層花了錢去阻止一個(gè)可能，但沒有發(fā)生的嚴(yán)重威脅后，他們可能便不愿意再次花錢去對(duì)付另一個(gè)可能的嚴(yán)重威脅。一般認(rèn)為，公司沒有必要把投資與對(duì)每個(gè)資源潛在的影響相匹配。因?yàn)榉浅Ｈ菀资芄舻男畔⒖赡芤彩潜Ｗo(hù)起來十分昂貴的，公司也可能集中精力去保護(hù)不太容易受攻擊的信息資源。為了從保護(hù)信息的投資中得到最大的利益，公司只應(yīng)該考慮小的投入可以彌補(bǔ)大的安全損失的情況。9.2量化安全量化和估計(jì)正是安全官必須做的，以證明安139.2.1計(jì)算機(jī)安全的經(jīng)濟(jì)學(xué)影響理解計(jì)算機(jī)安全問題的經(jīng)濟(jì)學(xué)影響(預(yù)防、檢測(cè)、緩解和恢復(fù))，需要能支持好的決策制定的經(jīng)濟(jì)學(xué)關(guān)系模型。然而，實(shí)際的模型必須基于從實(shí)際的計(jì)算機(jī)安全投資和真實(shí)的攻擊結(jié)果中獲得的數(shù)據(jù)。理解計(jì)算機(jī)安全威脅的本質(zhì)需要至少應(yīng)明確以下幾點(diǎn)：(1)需要保護(hù)的資產(chǎn)的數(shù)量和類型。(2)系統(tǒng)中存在的脆弱點(diǎn)的數(shù)量和類型。(3)可能對(duì)系統(tǒng)造成威脅的數(shù)量和類型。理解網(wǎng)絡(luò)攻擊的實(shí)際情況，也需要明確可能發(fā)生攻擊的數(shù)量和類型，將系統(tǒng)恢復(fù)到攻擊前狀態(tài)所需的花費(fèi)和和采取行動(dòng)防止將來的攻擊所需的花費(fèi)。9.2.1計(jì)算機(jī)安全的經(jīng)濟(jì)學(xué)影響理解計(jì)算機(jī)安全問題149.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)

數(shù)據(jù)需要用來支持多層次上的計(jì)算機(jī)安全決策的制定。(1)國家和全球數(shù)據(jù)通過幫助使用者評(píng)估工業(yè)部門，在國家經(jīng)濟(jì)中如何相互作用以及計(jì)算機(jī)安全如何影響全球經(jīng)濟(jì)，來解決國家和國際上所關(guān)心的問題。(2)公司數(shù)據(jù)幫助我們檢查公司如何運(yùn)用安全技術(shù)來阻止攻擊以及處理安全破壞的影響。(3)技術(shù)數(shù)據(jù)描述了對(duì)核心基礎(chǔ)設(shè)施技術(shù)的威脅，使建模者能夠開發(fā)出一套低成本的響應(yīng)。

9.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)數(shù)據(jù)需要用來支持多159.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)(續(xù))

支持經(jīng)濟(jì)決策制定的數(shù)據(jù)必須有以下特征：(1)準(zhǔn)確性：當(dāng)報(bào)告價(jià)值與實(shí)際價(jià)值相等或接近時(shí)，數(shù)據(jù)是準(zhǔn)確的。(2)一致性：一致的報(bào)告要求所有報(bào)告組織使用相同的計(jì)算規(guī)則，且要求數(shù)據(jù)在相同條件下收集。例如，計(jì)算規(guī)則應(yīng)該詳細(xì)說明“入侵”的明確定義，說明一個(gè)單獨(dú)的惡意行為者造成的多次入侵嘗試，算一次還是多次。(3)及時(shí)性：依靠老的數(shù)據(jù)可以使安全人員去解決昨天的問題。(4)可靠性：可靠數(shù)據(jù)來自可信的來源，并用通俗易懂的術(shù)語表達(dá)。9.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)(續(xù))支持經(jīng)濟(jì)決169.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)(續(xù))

安全實(shí)施信息安全破壞調(diào)查(ISBS)是一個(gè)有關(guān)計(jì)算機(jī)安全事件和實(shí)施的特別豐富的信息來源，并為捕獲計(jì)算機(jī)安全信息提供了一個(gè)好的模型。調(diào)查的結(jié)果分為4個(gè)主要類型：信息技術(shù)的依賴、計(jì)算機(jī)安全的優(yōu)先性、安全事件的趨勢(shì)以及計(jì)算機(jī)安全的支出和意識(shí)。他們報(bào)告的一些結(jié)果包括：幾乎所有的回復(fù)者的公司都進(jìn)行常規(guī)備份，其中3/4在異地存放備份，這些商家主動(dòng)與病毒作斗爭；98%的商家有反病毒軟件；80%的商家在新病毒公布的一天內(nèi)更新他們的病毒庫；88%的商家在一周內(nèi)安裝重要的操作系統(tǒng)補(bǔ)?。?6%的公司過濾收到的電子郵件以防止垃圾郵件。9.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)(續(xù))安全實(shí)施179.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)(續(xù))

經(jīng)濟(jì)學(xué)影響

英國的公司在信息安全上要花費(fèi)4%到5%的信息技術(shù)預(yù)算，但是2/5的公司在安全上的花費(fèi)不到1%?？偟淖兓蠊镜淖兓绊懙墓緮?shù)下降20%下降10%受影響的計(jì)算機(jī)安全事件的中等數(shù)字增長50%下降30%每個(gè)事件的平均花費(fèi)增長20%下降10%計(jì)算機(jī)安全事件花費(fèi)的總的變化增長50%下降50%表9.1英國安全事件花費(fèi)總的變化(摘自ISBS2006)9.2.2證明安全行為是正當(dāng)?shù)臄?shù)據(jù)(續(xù))經(jīng)濟(jì)學(xué)影響總189.2.3數(shù)據(jù)意味著什么

攻擊類型分類一個(gè)人可能希望從許多調(diào)查中提取相似的數(shù)據(jù)元素，但遺憾的是，這往往十分困難。因?yàn)檫@些數(shù)據(jù)可能源自調(diào)查的對(duì)象的不同，不同的國家、部門和安全事件的復(fù)雜程度。

回復(fù)者類型調(diào)查中的大部分都是簡便的調(diào)查，也就是說，回復(fù)者是自選擇的，不能代表大多數(shù)。對(duì)于簡便調(diào)查，通常很困難也不可能決定結(jié)果代表多少人，也就使得人們很難去下結(jié)論。當(dāng)做法合適時(shí)，好的調(diào)查樣本不但可以覆蓋更大的人群，而且結(jié)果可以與其他年份比較(因?yàn)闃颖敬砹讼嗤娜巳?。9.2.3數(shù)據(jù)意味著什么攻擊類型分類199.2.3數(shù)據(jù)意味著什么(續(xù))

類型的比較在定義、跟蹤和報(bào)道安全事件和攻擊方面沒有統(tǒng)一的標(biāo)準(zhǔn)。例如，(1)“電子攻擊”(澳大利亞計(jì)算機(jī)犯罪和安全調(diào)查)。(2)“電子犯罪和網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)入侵的總數(shù)”和“未授權(quán)的計(jì)算機(jī)系統(tǒng)的使用”(CSI/FBI)。(3)“安全事件”，“偶然的安全事件”，“故意的安全事件”和“嚴(yán)重的安全事件”(信息安全破壞調(diào)查)(4)“任何形式的安全破壞”(Deloitte全球安全調(diào)查)(5)“導(dǎo)致一個(gè)關(guān)鍵商業(yè)系統(tǒng)意外崩潰的事件”(Ernst和Young全球信息安全調(diào)查)不僅數(shù)據(jù)的特征不同，而且許多問題的答案是基于看法、解釋或感覺的，并不是靠捕捉和分析固定的數(shù)據(jù)。9.2.3數(shù)據(jù)意味著什么(續(xù))類型的比較209.2.4攻擊源

攻擊的來源也是有疑問的。當(dāng)然，各種調(diào)查的發(fā)現(xiàn)有一些相同點(diǎn)。病毒、Trojan木馬、蠕蟲和惡意代碼造成一致的、嚴(yán)重的威脅。商業(yè)部門最害怕內(nèi)部攻擊和訪問的濫用。9.2.4攻擊源攻擊的來源也是有疑問的。當(dāng)然，各種調(diào)219.2.5經(jīng)濟(jì)影響

很多調(diào)查獲得了有關(guān)因果的信息。例如，一項(xiàng)2004年由ICSA實(shí)驗(yàn)室進(jìn)行的調(diào)查指出：2003年“病毒災(zāi)難”增加了12%，但是恢復(fù)損失的時(shí)間和被破壞的數(shù)據(jù)增加了25%。目前，還沒有可被廣泛接受的損失的定義，在測(cè)量損失上也沒有標(biāo)準(zhǔn)的方法。實(shí)際上，ICSA在2004年的研究表明，調(diào)查中的回復(fù)者低估了開銷，只估計(jì)了1/7到1/10的開銷。9.2.5經(jīng)濟(jì)影響很多調(diào)查獲得了有關(guān)因果的信息。例如229.2.5經(jīng)濟(jì)影響(續(xù))許多調(diào)查指出：正式的安全政策和事件響應(yīng)計(jì)劃是非常重要的。缺乏教育和培訓(xùn)是進(jìn)一步提高的主要障礙。缺乏“安全文化”(包括安全問題和策略的意識(shí)與理解)也是一個(gè)問題。許多組織并不知道他們?cè)诎踩Ｗo(hù)、預(yù)防和緩解上投資了多少。他們?cè)谥贫ò踩顿Y策略和評(píng)估這些策略的有效性上，沒有一個(gè)清晰的戰(zhàn)略。好的決策需要的投入，還沒有準(zhǔn)確的數(shù)字。9.2.5經(jīng)濟(jì)影響(續(xù))許多調(diào)查指出：正式的安全政策239.2.6結(jié)論調(diào)查作為參考證據(jù)是有用的。但是管理者會(huì)問這些數(shù)字在其他國家是否有效，哪些構(gòu)成一次事件，以及他的公司在那些危害下是比較脆弱的。調(diào)查是一個(gè)好的開始，要想獲得準(zhǔn)確有用的分析，我們需要在一段時(shí)間內(nèi)對(duì)同一類人群進(jìn)行有效的統(tǒng)計(jì)調(diào)查。在這種方式下，我們能夠獲得有用的數(shù)據(jù)和趨勢(shì)信息。理想情況是，在不同國家進(jìn)行可比較的調(diào)查可以證明地域的差異。沒有這些可靠的數(shù)據(jù)，計(jì)算機(jī)安全的經(jīng)濟(jì)學(xué)建模是非常困難的。9.2.6結(jié)論調(diào)查作為參考證據(jù)是有用的。但是管理者會(huì)249.3計(jì)算機(jī)安全建模

關(guān)于計(jì)算機(jī)安全投資的問題如下：(1)一個(gè)公司為了保護(hù)一定數(shù)量的資產(chǎn)在計(jì)算機(jī)安全上應(yīng)該投入多少？(2)一次安全破壞可能的影響有多大？(3)信息共享的開銷和收益是多少？9.3計(jì)算機(jī)安全建模關(guān)于計(jì)算機(jī)安全投資的問題如下：259.3.1轉(zhuǎn)移模型為了回答問題(1)，Cordon和Loeb運(yùn)用了簡單的會(huì)計(jì)學(xué)技術(shù)開發(fā)了一個(gè)信息保護(hù)模型。他們用了三個(gè)參數(shù)：破壞發(fā)生條件下的損失、一個(gè)威脅發(fā)生的可能性和易受攻擊性(定義為了一個(gè)威脅被成功實(shí)施的可能性)。用破壞發(fā)生時(shí)公司預(yù)測(cè)的損失來表示其影響。9.3.1轉(zhuǎn)移模型為了回答問題(1)，Cordon和269.3.1轉(zhuǎn)移模型(續(xù))

Campbell等人通過研究報(bào)紙、美國公司的貿(mào)易公告中報(bào)道的信息安全破壞的經(jīng)濟(jì)學(xué)影響，來解決問題(2)。他們指出是破壞的性質(zhì)影響了結(jié)果。對(duì)涉及未授權(quán)訪問機(jī)密數(shù)據(jù)的信息安全破壞，有嚴(yán)重的負(fù)面市場(chǎng)反應(yīng)，但當(dāng)破壞不涉及機(jī)密信息時(shí)，便沒有嚴(yán)重的反應(yīng)。9.3.1轉(zhuǎn)移模型(續(xù))Campbell等人通過研究279.3.1轉(zhuǎn)移模型(續(xù))

Gal-Or和Ghose用Campbell等人的結(jié)論解決問題(3)。他們使用游戲理論，把這種形式描述成兩個(gè)具有競(jìng)爭產(chǎn)品的公司A和公司B沒有合作的游戲。在該游戲中，兩個(gè)公司選擇最佳的安全投資和信息共享的等級(jí)。游戲中包括的是反應(yīng)價(jià)格和競(jìng)爭開銷及需求模型。他們的模型告訴我們以下關(guān)于共享安全破壞方面信息的開銷和收益：9.3.1轉(zhuǎn)移模型(續(xù))Gal-Or和Ghose用C289.3.1轉(zhuǎn)移模型(續(xù))

(1)公司A提供的高水平的安全破壞信息共享，會(huì)引導(dǎo)公司B進(jìn)入一個(gè)高水平的信息共享，也同樣會(huì)使B的安全技術(shù)投資進(jìn)入一個(gè)更高的水平。因此，“技術(shù)投資和信息共享充當(dāng)了平衡中的戰(zhàn)略補(bǔ)充”。(2)有時(shí)公司中有一種可以被其他產(chǎn)品代替的產(chǎn)品。當(dāng)產(chǎn)品的代替度增加，A和B的信息共享和技術(shù)投資也會(huì)增加。(3)安全破壞信息共享和安全投資水平隨著公司規(guī)模和工業(yè)規(guī)模的增大而增大?？傊?，在共享破壞信息上有很強(qiáng)的動(dòng)力，當(dāng)公司規(guī)模、工業(yè)規(guī)模和競(jìng)爭力增長時(shí)，此動(dòng)力也會(huì)變得更強(qiáng)大。9.3.1轉(zhuǎn)移模型(續(xù))(1)公司A提供的高299.3.2決策制定的模型原始模型的范圍正在多方面被擴(kuò)展。例如，一項(xiàng)研究希望擴(kuò)大模型的理解能力，使它們能反映人類思考問題的復(fù)雜想法。這些問題有時(shí)非常難以理解，但卻與制定計(jì)算機(jī)安全投資的決策有關(guān)。9.3.2決策制定的模型原始模型的范圍正在多方面被擴(kuò)309.3.2決策制定的模型(續(xù))

設(shè)計(jì)議題當(dāng)提及風(fēng)險(xiǎn)的可能性和花費(fèi)時(shí)，研究者發(fā)現(xiàn)：(1)當(dāng)花費(fèi)很小時(shí)，人們關(guān)注風(fēng)險(xiǎn)。(2)當(dāng)風(fēng)險(xiǎn)很小時(shí)，人們關(guān)注花費(fèi)。許多計(jì)算機(jī)安全風(fēng)險(xiǎn)都只有一個(gè)非常小的發(fā)生概率，但對(duì)花費(fèi)、日程安排、不方便性甚至人類生活都有巨大的影響。一個(gè)問題的表達(dá)方式會(huì)造成人們選擇上的巨大差異。信息的交流會(huì)導(dǎo)致表達(dá)偏愛的多樣性?；谟?jì)算機(jī)安全經(jīng)濟(jì)學(xué)模型的決策支持系統(tǒng)，能夠用這種關(guān)于表達(dá)和風(fēng)險(xiǎn)感知的行為科學(xué)信息來表達(dá)風(fēng)險(xiǎn)，使決策制定者做出最好的選擇。9.3.2決策制定的模型(續(xù))設(shè)計(jì)議題319.3.2決策制定的模型(續(xù))

群體行為

用行為科學(xué)研究經(jīng)濟(jì)行為時(shí)，他們會(huì)質(zhì)疑只有理性的選擇(在很多計(jì)算機(jī)安全的經(jīng)濟(jì)學(xué)模型中被假設(shè))是否足以建模。這些研究顯示的不僅是人們做出的不理智的選擇，還包括用不同但類似的方式提出相同的問題，導(dǎo)致人們做出重大的不同選擇。這些研究結(jié)果，便于更好地理解人類如何使用啟發(fā)性方法來解決問題和做出決策。決策的制定者不是一個(gè)人，而是一個(gè)團(tuán)隊(duì)、組織或商業(yè)部門。大量研究表明在決策制定方面，團(tuán)隊(duì)與個(gè)人存在重大區(qū)別。群體的身份導(dǎo)致了團(tuán)隊(duì)的判斷。9.3.2決策制定的模型(續(xù))群體行為329.3.2決策制定的模型(續(xù))

群體行為每個(gè)團(tuán)隊(duì)的成員都認(rèn)為其他人也包括自己，這種意識(shí)會(huì)影響做出的選擇。通過一個(gè)或多個(gè)給定的行為所得到的尊重，是與環(huán)境相關(guān)的，它的價(jià)值依賴該行為在相似的環(huán)境中如何與別人的行為相比較。9.3.2決策制定的模型(續(xù))群體行為339.3.2決策制定的模型(續(xù))

行話也與規(guī)范期待有關(guān)。共享的含義、特殊的術(shù)語和團(tuán)隊(duì)討論中輔助的假設(shè)，能導(dǎo)致團(tuán)體成員間的相互熟悉和信任。行話能否幫助或損害決策的制定，取決于如何表達(dá)一個(gè)問題。最有優(yōu)勢(shì)的參與者首先發(fā)言并成為臺(tái)上的主角，而團(tuán)隊(duì)的其他成員由于得不到上臺(tái)機(jī)會(huì)而“遠(yuǎn)離了”團(tuán)隊(duì)的想法——一種稱為生產(chǎn)線阻塞的現(xiàn)象。群體行為影響客戶、同事甚至競(jìng)爭者。這些人中的每一個(gè)都會(huì)影響決策的制定者，就像消費(fèi)者在判斷一種商品或一項(xiàng)服務(wù)價(jià)值時(shí)，可能依賴于其他使用者。9.3.2決策制定的模型(續(xù))行話也與規(guī)范期待有關(guān)349.3.2決策制定的模型(續(xù))

可信度和信任人們之間意外相遇的次數(shù)和性質(zhì)也會(huì)影響一個(gè)決策。如果相遇次數(shù)很少，那么每次相遇就會(huì)帶來“顯著的影響”。9.3.2決策制定的模型(續(xù))可信度和信任359.3.3企業(yè)文化的角色

構(gòu)建文化實(shí)施的三個(gè)特征是：符號(hào)、英雄和儀式。(1)符號(hào)是一群人用以交流的、含有特殊意義的字母、手勢(shì)、圖片和物體。(2)一個(gè)文化中的英雄是表現(xiàn)出眾且可以作為團(tuán)隊(duì)中其他人楷模的那些人。(3)儀式是團(tuán)隊(duì)所有成員參與的活動(dòng)，它是社會(huì)必須的，但對(duì)商業(yè)卻不是必須的。關(guān)鍵是構(gòu)建一種計(jì)算機(jī)安全文化——包括能夠增加開發(fā)人員安全意識(shí)的措施和能夠使產(chǎn)品更加安全的舉措。9.3.3企業(yè)文化的角色構(gòu)建文化實(shí)施的三個(gè)特征是：符369.3.3企業(yè)文化的角色(續(xù))圖9.1文化的展現(xiàn)9.3.3企業(yè)文化的角色(續(xù))圖9.1文化的展現(xiàn)379.3.3企業(yè)文化的角色(續(xù))我們可以認(rèn)為價(jià)值是“偏愛事物的某些狀態(tài)甚于其他狀態(tài)的普遍傾向”。如果開發(fā)者、管理者或客戶沒有重視安全，他們既不會(huì)采用安全措施也不會(huì)購買安全產(chǎn)品。從計(jì)算機(jī)安全角度，提高計(jì)算機(jī)安全價(jià)值最好的方法是專注于工作，特別是企業(yè)文化。9.3.3企業(yè)文化的角色(續(xù))我們可以認(rèn)為價(jià)值是“偏389.3.3企業(yè)文化的角色(續(xù))表9.2企業(yè)文化的各方面觀點(diǎn)1觀點(diǎn)2解釋面向過程面向結(jié)果方法對(duì)目標(biāo)面向雇員面向工作關(guān)注人對(duì)關(guān)注完成工作狹隘的專業(yè)的公司的身份對(duì)專家的身份開放系統(tǒng)封閉系統(tǒng)關(guān)于新來者松散控制嚴(yán)格控制關(guān)于雇員主權(quán)規(guī)范性實(shí)效性基于規(guī)范對(duì)工作驅(qū)動(dòng)9.3.3企業(yè)文化的角色(續(xù))表9.2企業(yè)文化的各方面觀399.3.3企業(yè)文化的角色(續(xù))

(1)過程對(duì)結(jié)果：一個(gè)面向過程的組織認(rèn)為如果好的措施被合理使用，自然會(huì)有滿意的結(jié)果。面向結(jié)果的組織需要用最后結(jié)果來證明它的質(zhì)量。(2)員工對(duì)工作：一個(gè)關(guān)注于員工的機(jī)構(gòu)擔(dān)心的是員工的滿意度和工作動(dòng)力。相反，關(guān)注工作的機(jī)構(gòu)通常使用諸如完成工作所需的主要階段等尺度來決定是否有進(jìn)步。(3)地方對(duì)專業(yè)：一個(gè)地方的機(jī)構(gòu)因按計(jì)劃完成了由機(jī)構(gòu)、部門或公司內(nèi)部設(shè)置的目標(biāo)而獎(jiǎng)勵(lì)它的員工。一個(gè)專業(yè)的機(jī)構(gòu)尋求機(jī)構(gòu)外的、專業(yè)的獎(jiǎng)勵(lì)和認(rèn)證機(jī)關(guān)來考評(píng)和獎(jiǎng)勵(lì)它的員工。9.3.3企業(yè)文化的角色(續(xù))(1)過程對(duì)結(jié)果：409.3.3企業(yè)文化的角色(續(xù))

(4)開放對(duì)封閉：一個(gè)開放的公司，它歡迎外界的能人加盟，也不惜在培訓(xùn)上投資，以幫助新人理解企業(yè)文化的各個(gè)方面。一個(gè)封閉的公司傾向于內(nèi)部用人，使文化的價(jià)值和實(shí)施待以保存和鞏固。(5)松對(duì)緊的控制：一個(gè)管理松散的公司通常允許團(tuán)隊(duì)按自己的方式工作。在一個(gè)管理嚴(yán)格的機(jī)構(gòu)中，管理人員組建團(tuán)隊(duì)并對(duì)團(tuán)隊(duì)提出嚴(yán)格的進(jìn)度要求，以保證不斷地進(jìn)步。(6)規(guī)范性對(duì)實(shí)效性：規(guī)范的機(jī)構(gòu)通常關(guān)注最佳的事實(shí)。相反，實(shí)效的機(jī)構(gòu)更多的是工作驅(qū)動(dòng)，關(guān)注的是怎樣把工作完成，而使用非傳統(tǒng)的或未經(jīng)測(cè)試的方法去解決問題。9.3.3企業(yè)文化的角色(續(xù))(4)開放對(duì)封閉：419.3.3企業(yè)文化的角色(續(xù))

企業(yè)文化會(huì)顯示有關(guān)計(jì)算機(jī)安全投資行為的各種可能選擇。例如：(1)一個(gè)面向結(jié)果的機(jī)構(gòu)會(huì)選擇投資于“刺穿然后修補(bǔ)的行為”，而不是最佳實(shí)施培訓(xùn)。(2)一個(gè)專業(yè)的機(jī)構(gòu)會(huì)對(duì)所有它的安全專家進(jìn)行認(rèn)證；但一個(gè)狹隘的機(jī)構(gòu)更愿意獎(jiǎng)勵(lì)那些產(chǎn)品幾乎沒有安全漏洞的開發(fā)人員。(3)一個(gè)規(guī)范性的機(jī)構(gòu)可能開發(fā)一個(gè)安全工程方法，然后運(yùn)用到所有的工程上；而實(shí)效性的機(jī)構(gòu)偏愛于一個(gè)接一個(gè)的工程開發(fā)它自己的安全策略。9.3.3企業(yè)文化的角色(續(xù))企業(yè)文化會(huì)顯示有關(guān)計(jì)算429.3.3企業(yè)文化的角色(續(xù))理解工程和團(tuán)隊(duì)中人的因素能夠使投資決策更有效率。首先，明確人際交流怎樣影響可信度和信任，使決策制定者投資于能夠增加這些交流的方面。其次，計(jì)算機(jī)安全決策的制定，包括了根據(jù)影響和風(fēng)險(xiǎn)去定量和對(duì)比可能的安全漏洞。支持計(jì)算機(jī)安全投資決策的工具能夠考慮這種多樣性，并用使用者能夠理解的方式來溝通選擇。最后，企業(yè)文化基本能夠揭示一個(gè)公司如何使用安全信息，如何選擇合適的安全實(shí)施，如何重視尊重和信任等。此外，與行為、文化和組織有關(guān)的事務(wù)還會(huì)影響到公司外部。9.3.3企業(yè)文化的角色(續(xù))理解工程和團(tuán)隊(duì)中人的因439.4領(lǐng)域前沿計(jì)算機(jī)安全經(jīng)濟(jì)學(xué)的研究關(guān)注信息技術(shù)和市場(chǎng)機(jī)制間的互動(dòng)。我們購買軟件會(huì)涉及許多方面。首先，購買軟件的價(jià)格依賴于我們對(duì)它的信任度。第二，一些公司使用軟件的“軟的方面”進(jìn)行收費(fèi)，取決于其中包含的個(gè)人信息的多少。第三，市場(chǎng)機(jī)制可以用來鼓勵(lì)銷售商減少其他產(chǎn)品中的漏洞。9.4領(lǐng)域前沿計(jì)算機(jī)安全經(jīng)濟(jì)學(xué)的研究關(guān)注信息技術(shù)和市場(chǎng)449.4.1經(jīng)濟(jì)學(xué)與隱私研究經(jīng)濟(jì)學(xué)和隱私，與日益增長的差別定價(jià)的使用之間的關(guān)系是一個(gè)方向。隨著數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析的開銷逐漸下降，商家能夠很容易地獲得有關(guān)消費(fèi)者行為的數(shù)據(jù)，差別定價(jià)的行為鼓勵(lì)消費(fèi)者放棄個(gè)人信息以獲取更低的價(jià)格。通過使用隱私/定價(jià)間的折中，能為公司創(chuàng)造利潤的市場(chǎng)條件。許多研究者對(duì)個(gè)人、商業(yè)和社會(huì)間的開支和收益的折中很感興趣。9.4.1經(jīng)濟(jì)學(xué)與隱私研究經(jīng)濟(jì)