第9章计算机安全经济学.ppt

第9章 计算机安全经济学 本章要点 安全方面的经济学案例 测定和量化经济学价值 计算机安全的经济学建模 这一章，我们将关注涉及计算机安全中稀有经济资源分配方面的决策。也就是说，作为一个从业者，基于投资的需求、开支以及与其它投资(也许与安全无关)的平衡等诸多方面的考虑，必须决定对哪些类型的安全控制进行投资。我们将从一个商业案例开始，描述一个用于表示关于“为什么我们认为一个特别的安全投资是必要的”的信息框架。接着，为了给安全投资一个有说服力的支持，我们将概述对安全专家有帮助的数据收集种类。一旦有了好的数据，就能建模并做出预测。我们还将研究对计算机安全投资影响进行建模的许多方式。 9.1 商业案例 公司怎样决定在计算机安全上的投资金额和投资方式？典型的方法是，使用一些基准值，也就是参考其他相似的公司。这种方法只是对开支的合适水平方面的决策有帮助。然后，应制定关于特定开支的细节决策，如需要哪些能力，哪些产品应该被购买和支持，哪些培训是有帮助的，等等。这些投资决策并不是凭空决定的，因为计算机安全资源的要求通常不得不与其他要求竞争，最终决策的制定是基于哪些要求对商业经营最有利。一个给定开支的商业案例是一个方案，证明资源使用的正当性。包括以下部分： 9.1 商业案例(续) (1) 问题或开支需求的描述。 (2) 可能的解决方法列表。 (3) 解决问题的限制。 (4) 潜在的假设列表。 (5) 分析每一个选择，包括风险、花费和收益。 (6) 投资建议对公司有利的一个理由总结。 9.1 商业案例(续) 关于技术投资，任何对现有或建议的技术投资的评估，应一次用多种形式汇报以构成一个“平衡的记分牌”： (1) 从客户的角度，提出诸如顾客满意度的问题。 (2) 从运转角度，考察一个公司的核心竞争力。 (3) 从经济角度，考虑诸如投资回报或分享价格的措施。 (4) 从改进角度，评估投资怎样影响市场领导能力和增加的价值。 确定经济价值 经济价值可以作为一个统一的法则来考察任何商业机会。也就是说，我们可以根据它的潜在经济价值来研究每一个投资选择。从一个高水平的公司角度，管理层必须决定如何将一个建议性的技术投资与简单地把钱存入银行获得利息相比较。公司应把注意力转到通过优化他们的信息安全投资水平，来选择利润目标。 确定经济价值(续) 纯的当前价值(NPV) 当建议一项技术时，你就必须确保考虑到所有的花费。NPV是收益的当前价值减去原始投资的价值。NPV根据整个工程的生命周期表达了经济学的价值。如果一个有前途的工程的NPV是正的，它就应该被接受。然而，如果NPV是负的，这个工程应该被放弃；负的NPV意味着工程的货币流通不如安全、更传统的投资。 确定经济价值(续) 通常，NPV的计算使用一个折扣率或机会成本，即一个相等投资期待从资本市场获得的回报率。换句话说，折扣率反映了如果一个组织将投资到银行或其他经济事务而不是软件技术，它能从中得到多少钱。计算NPV的常规方程是： 确定经济价值(续) 利用NPV来评估安全工程的优势是，它对提出的投资的评估效果贯穿工程的整个生命周期。NPV提供了一个对可在将来不同时段改变利润的工程的公平比较，但困难的是如何确定在多久的将来进行计算。NPV方法对资金流动的时间段很敏感；回报来得越晚，对总价值的妨碍就越严重。因此，市场时间对分析和影响支出是最关键的。一个工程的大小和规模也会影响NPV。因为NPV是可累加的，我们可以通过简单地累加个体NPV值来评估工程集合的结果。 确定经济价值(续) 内部回报率 内部回报率(IRR)起源于纯的当前价值；它等同于使NPV等于零的折扣率。换句话说，它是期待的投资回报率。 投资回报 投资回报(ROI)的计算与IRR和NPV十分相似。ROI的产生是通过最后的账目利润(由收入和支出计算)除以产生这些利润的投资开销。 确定经济价值(续) 公正的开销估计 一个商业案例是一个做某些事的讨论：投资一项新技术、培训员工、增加一项产品的安全能力或维持现状，等等。计算机安全商业案例通常用经济学术语来表达：节约金额、行为回报或可避免的开支。有时将安全影响从更多的、普遍的影响中分离出来是很困难的，比如提高功能或对资产更好的访问。这些讨论常常回避了在计算机安全中怎样获得可靠数据的问题。 9.2 量化安全 量化和估计正是安全官必须做的，以证明安全花费的正当性。在管理层花了钱去阻止一个可能，但没有发生的严重威胁后，他们可能便不愿意再次花钱去对付另一个可能的严重威胁。 一般认为，公司没有必要把投资与对每个资源潜在的影响相匹配。因为非常容易受攻击的信息可能也是保护起来十分昂贵的，公司也可能集中精力去保护不