定向攻擊下企業信息安全投資策略研究
——基于演化博弈模型

□潘崇霞 周 瑋 李立望 謝吉剛

一、引言

信息安全包括網絡安全和數據安全。數字經濟時代，數據繼資本、土地、勞動力和技術之后成為又一新的重要生產要素。銳觀產業研究院發布的《2023-2028 年中國數據安全產業投資規劃及前景預測報告》顯示，2021 年，我國數據安全產業市場規模達到88 億元，同比增長91%；預計2025 年，數據安全產業有望達到478 億元。信息安全涉及銀行、醫療、物聯網等各個行業，企業之間通過信息平臺實現協同合作和信息共享，進行產品數據交換、訂單數據交換和需求信息交換等，信息平臺成為企業商務大數據的來源。同時，企業信息平臺也面臨各種信息安全風險，如容易遭受攻擊者攻擊導致客戶信息泄露、業務數據竊取與篡改等。近年來，國內外重大網絡安全事件頻頻，信息安全形勢嚴峻。國內某官方網站盤點了2022 年全球重大網絡安全事件，其中遭受攻擊的包括各種類型的企業，主要有國內科創板上市企業、國內外電子企業、汽車制造企業的供應商和制造商等。[1]

為保證信息及其運行平臺安全，企業需要進行信息安全投資以實現企業信息系統穩定運行。隨著網絡安全事件的增加，越來越多的企業重視信息安全投資。來自物聯中國網中研普華產業研究院發布的《2023-2028 年中國信息安全行業發展趨勢及現狀分析》顯示，2022 年，信息安全產品和服務收入2038 億元，同比增長10.4%。[2]

企業信息安全投資是信息安全經濟學中的一個重要組成部分。以往的企業信息安全投資研究，側重于對單個企業的信息系統安全投資、信息安全中的攻防博弈、供應鏈中各方信息共享等相關問題進行研究。本文采用演化博弈理論對企業群體信息安全投資策略進行研究，主要有以下幾個方面創新：一是分析定向攻擊相關因素如網絡對外聯接度、企業投資效率、攻擊概率、攻擊者投資成本等對企業信息系統安全投資策略的影響；二是建立演化博弈模型對企業與攻擊者的動態投資博弈進行分析，企業群體與攻擊者群體的投資博弈是一個動態過程，要通過不斷交互、調整才能達到一個穩定的狀態，采用演化博弈模型對信息系統安全投資策略進行分析，增強了預測分析的可靠性和準確性；三是建立企業群體與攻擊者群體的多對多演化博弈模型，互聯網環境下多個企業常常要面對多個攻擊者的攻擊，尤其是處于供應鏈上下游、因頻繁的數據交換和業務往來而具有利益和風險關聯的企業群體，更容易引發多個攻擊者的攻擊，因此研究企業群體與攻擊者群體的多對多演化博弈更具有現實意義。

二、文獻綜述

隨著網絡金融和電子商務的快速發展，信息安全問題已不再是單純的技術問題，而是一個需要綜合考慮技術、管理、經濟等更為復雜的系統問題。信息安全研究主要包括兩大領域，一個是從技術角度出發的信息安全技術投資研究，另一個是從管理和經濟角度出發的信息安全投資策略研究。[3-5]信息安全技術投資主要是對安全硬件和軟件產品進行投資，如加密算法研究、防火墻配置和入侵檢測系統等。[6-8]從當前的信息安全研究來看，無論是從技術角度還是從管理和經濟角度，業界都更關注以下幾個領域：網絡安全、數據安全、物聯網安全和云安全等。

在網絡安全研究中，首先，信息系統脆弱性對信息安全投資具有重要的影響，Gordon 和Loeb（2002）[9]采用經濟學模型研究了信息系統脆弱性對信息安全投資策略的影響，指出企業不應該將資金投到脆弱性最差的信息資產上，而應該投入到脆弱性中等的信息資產上才能達到投資效益最大化。其次，攻擊者的攻擊類型一直是影響信息安全投資策略的重要因素，攻擊類型不同對企業信息資產潛在損失的影響也不同。學者一般把攻擊類型定義為隨機攻擊與定向攻擊：定向攻擊主要針對特定目標進行攻擊，采取的方式主要包括盜取數據、拒絕服務和網站篡改等；隨機攻擊主要針對容易訪問或容易連接的節點進行攻擊，常見方式為蠕蟲病毒和垃圾郵件等。[10-11]Gao 和Zhong（2015）[12]研究了兩個競爭企業在一定安全要求下的信息安全投資策略，考慮了黑客攻擊的兩種類型，即隨機攻擊和定向攻擊，主要結論包括面對信息資產價值比較高的企業，黑客為獲得更多收益，往往會采取定向攻擊方式而非隨機攻擊方式。Peng 等（2015）[13]對持續定向攻擊下的對等網絡的抗毀性進行了研究，研究結論對復雜網絡設計具有重要的意義。Mookerjee 等（2011）[14]采用微分博弈方法研究了古諾特和伯川德競爭下的信息系統安全投資策略，黑客通過知識擴散可以提高攻擊水平，企業通過信息安全投資可以減弱黑客知識擴散，但并不是安全投資越高就越能有效阻止黑客的知識擴散。信息技術的發展并沒有使攻擊事件減少，反而有愈演愈烈的趨勢，甚至出現了戰略型攻擊者。Simon 和Omar（2020）[15]的研究中提到了戰略型攻擊者，在進行信息平臺安全投資時，為抵御戰略型攻擊者的攻擊和防御企業之間的關聯風險，供應鏈中各企業需要進行協作投資。Gao 和Yang（2023）[16]通過建立雙寡頭水平分化模型針對黑客攻擊對信息安全投資和公司利潤的作用進行研究后認為，當市場競爭加劇時，為保持安全差異，企業在信息安全方面的投入會減少，安全投資成本系數的增加可能對每個公司都有利。

在數據安全研究中，鄒純龍等（2023）[17]采用定性比較分析法對中國24 個省及直轄市公共數據安全管理進行了研究，歸納出三種公共數據安全管理模式，可以為公共數據安全管理績效水平的提高提供借鑒。池仁勇等（2023）[18]從企業績效的角度對中小制造企業進行了實證研究，結果表明，數據安全在數字化制造能力與企業績效之間起負向調節作用，而在數字化服務能力與企業績效之間起正向調節作用。梅傲和陳子文（2023）[19]從總體國家安全觀的角度，提出數據安全應該在制度的顆粒度、銜接性方面進行改進，從而達到維護數據安全、促進經濟發展的目的。

在物聯網安全和云安全研究中，多數偏重技術方面的研究，如數據存儲技術、密碼協議、網絡安全模型與算法等。[20，21]而從經濟管理角度研究的文獻則主要集中于互聯網數據安全和隱私保護：Zhang 等（2021）[22]研究了隱私數據安全投資對大數據公司的影響，發現一般情況下，隱私數據安全投資可以明顯減少系統性風險；Sun（2020）[23]對云計算中的數據安全和隱私保護問題進行了研究，對云計算中的隱私風險進行分析，提出一個云計算中的隱私保護框架，包括訪問控制、信任、云聯盟資源管理等內容。

三、企業群體與攻擊者群體演化博弈模型構建

（一）理論分析

一個企業常常面對多個攻擊者，而一個攻擊者的目標也可能是一個企業群體。首先，本文通過構建演化博弈模型對攻擊者群體與企業群體之間的博弈問題進行分析。Mahmoudi 和Rasti-Barzoki（2017）[24]運用演化博弈理論對政府治理污染活動進行了研究，通過建立政府目標和生產者目標之間的博弈模型分別對三種情形下的均衡狀態進行了分析，政府可以通過制定有效的稅收和激勵措施以明顯地影響生產者行為、競爭市場與廢物排放，達到有效治理污染的目的。其次，本文主要分析多種因素對信息安全投資決策的影響，如企業投資成本、信息安全投資效率、攻擊者攻擊類型、攻擊者的攻擊概率、入侵概率、企業之間的關聯關系等對信息安全投資策略的影響，這些因素直接或間接影響到企業決策，從而影響信息安全投資策略。在攻擊者群體與企業群體演化博弈過程中，雙方根據自身既得利益、利用有限信息不斷進行策略調整，用較好的狀態不斷代替不夠好的狀態，逐漸演化達到動態均衡穩定狀態。最后，本文通過數字模擬對相關結論進行了仿真分析。

（二）模型構建

在信息安全投資策略研究中，攻擊者的攻擊類型是影響企業信息安全投資決策的重要因素。Huang 和Behara（2013）[25]將定向攻擊類型的入侵概率函數定義為。其中，ξ∈[0，1]被定義為攻擊概率，描述企業信息系統遭受攻擊的可能性；隨著攻擊者的頻繁攻擊，企業信息系統可能被攻擊者成功入侵，從而給企業造成信息資產損失L；c 取值范圍為[0，1]，被描述為網絡對外聯接度，反映企業網絡對外聯接的頻繁程度和開放程度，其值的大小一般取決于企業需求和系統安全技術要求，與之聯接的企業網絡結點越多，其取值就越大；z 被描述為信息安全投資水平；k 被描述為企業安全投資效率，是評價信息安全投資效果的指標。

在多個企業與多個攻擊者的博弈過程中，假設攻擊者群體中選擇攻擊策略的比例為x，選擇不攻擊策略的比例為1-x；企業群體中選擇安全投資的比例為y，不選擇安全投資策略的比例為1-y。攻擊者與企業之間的博弈收益矩陣如表1 所示。由此可知，當攻擊者選擇攻擊策略、企業選擇投資策略時，攻擊者總收益為p(ξ,c,z)L-ch，企業總收益為π-p (ξ,c,z)L-z；當攻擊者選擇攻擊策略、企業選擇不投資策略時，攻擊者總收益為p (ξ,c,0)L-ch，企業收益為π-p (ξ,c,0)；當攻擊者選擇不攻擊策略、企業選擇投資策略時，攻擊者的總收益為0，企業的總收益為π-z；當攻擊者選擇不攻擊策略、企業選擇不投資策略時，攻擊者總收益為0，企業總收益為π。根據表1 收益矩陣對企業與攻擊者的演化穩定策略ESS 進行計算與分析。

表1 企業與攻擊者演化博弈收益矩陣

以下將對定向攻擊下企業群體與攻擊者群體的演化博弈過程進行分析和模擬，根據均衡穩定狀態分六種情形進行討論，并假設圖例中參數。

（三）情形一的企業與攻擊者演化博弈過程分析及數字模擬

1.企業與攻擊者演化博弈過程分析

2.企業與攻擊者演化博弈均衡數字模擬

圖1 情形一：攻擊者與企業投資演化關系圖

表2 情形一：企業與攻擊者演化博弈過程數字模擬分析

在滿足第一種情形的條件下進行假設，企業的投資額為z=5000（一般為企業信息資產潛在損失的5%，假設企業潛在損失為L=100000），攻擊者攻擊成本為ch=2500，對外聯結度為c=0.2（一般情況下對外聯結度c

由此可見，在定向攻擊下情形一的條件中，企業與攻擊者都沒有成本優勢，但當企業投資意愿強烈時，攻擊者往往選擇不攻擊策略；當攻擊者攻擊意愿非常強烈時，企業會情況調整投資狀態，企業與攻擊者雙方處于循環博弈狀態。

（四）情形二的企業與攻擊者演化博弈過程分析及數字模擬

1.企業與攻擊者演化博弈過程分析

圖2 情形二：攻擊者與企業投資演化關系圖

圖3 情形三：攻擊者與企業的演化關系圖

2.企業與攻擊者演化博弈均衡狀態數字模擬

表3 情形二：企業與攻擊者演化博弈過程數字模擬分析

參考情形一，增加企業投資成本為6000，此時企業群體投資比例為0.91，進行數字模擬如表3 所示。企業信息系統初始安全水平較高，攻擊者入侵系統比較困難，企業投資意愿開始降低，演化結果企業選擇不投資策略和攻擊者選擇攻擊策略的均衡穩定狀態；由于企業成本過高而造成企業投資意愿降低，最終演變成企業選擇不投資和攻擊者選擇攻擊的均衡穩定狀態。

由此可見，在情形二中，企業信息系統初始安全水平較高，可以在一定程度上減少攻擊者的入侵，但由于安全投資成本過高，可能造成企業不愿增加投資，攻擊者選擇攻擊策略的后果。在企業信息資產價值一定的情況下，企業可以通過提高安全投資效率的方式以減少安全投資，達到提高信息系統安全水平的目的。

（五）情形三的企業與攻擊者演化博弈過程分析及數字模擬

1.企業與攻擊者演化博弈過程分析

2.企業與攻擊者演化博弈均衡狀態數字模擬

為滿足情形三的條件，需要提高攻擊者的攻擊成本為9000（為潛在損失的9%），攻擊者群體選擇攻擊策略的比例保持不變為0.87，企業與攻擊者的博弈過程數字模擬分析如表4。

表4 情形三：企業與攻擊者演化博弈過程數字模擬分析

由此可見，在情形三中，攻擊者攻擊成本較高，企業投資意愿彈性較大，無論攻擊者攻擊意愿是否強烈，雙方博弈的最終結果都是攻擊者選擇不攻擊策略。

（六）情形四的企業與攻擊者演化博弈過程分析及數字模擬

1.企業與攻擊者演化博弈過程分析

圖4 情形四：攻擊者與企業的演化關系圖

2.企業與攻擊者演化博弈均衡狀態數字模擬

在情形四中，當攻擊者成本較低，無論企業投資意愿是否強烈，形成的均衡穩定狀態是攻擊者始終選擇攻擊策略。博弈將按照其中A 區域箭頭的方向演化，形成均衡穩定狀態x*=1 和y*=0，即均衡狀態E9（1，0），但這個狀態還不穩定。因為企業不可能坐以待斃，所以最終的演化穩定狀態為x*=1 和y*=1，即均衡穩定狀態E10（1，1），攻擊者選擇攻擊策略和企業采取投資策略。

（七）情形五的企業與攻擊者演化博弈過程分析及數字模擬

圖5 情形五：攻擊者與企業的演化關系圖

在情形五中，企業投資成本較高，攻擊者攻擊成本相對較低，最終的演化結果是，攻擊者選擇攻擊策略，企業選擇不投資策略。當前情形企業降低投資成本是最優選擇，由可知，在信息資產一定的情況下，可以通過提高安全投資效率和減小網絡對外聯接度的方法來優化企業最低信息安全投資額。

（八）情形六的企業與攻擊者演化博弈過程分析及數字模擬

圖6 情形六：攻擊者與企業的演化關系圖

在情形六中，雙方成本都比較高，兩者都不能達到收益最大化，博弈的均衡結果就是企業選擇不投資和攻擊者選擇不攻擊。

四、主要結論與對策建議

（一）主要結論

本文采用演化博弈理論對企業信息安全投資策略進行研究，考慮攻擊者攻擊類型、企業投資成本、網絡對外聯接度、潛在損失、企業安全投資效率和攻擊概率等多種因素對企業信息安全投資決策的影響，根據企業群體與攻擊者群體的演化博弈過程，分六種情形對12 個均衡穩定狀態進行分析。主要結論包括：

1.定向攻擊下，在企業與攻擊者都沒有成本優勢的情況下，當企業投資意愿強烈時，攻擊者往往選擇不攻擊策略；

2.當企業信息系統初始安全水平較高，可以在一定程度上減少攻擊者的攻擊概率，但由于安全投資成本過高，可能促使企業后期不愿增加投資，形成企業不投資和攻擊者選擇攻擊策略的狀態；

3.當攻擊者攻擊成本偏高，無論企業投資意愿是否強烈，最終的均衡穩定狀態都是采取不攻擊策略；

4.當攻擊者攻擊成本較低，無論攻擊者攻擊意愿是否強烈，企業投資意愿是否強烈，最終的均衡穩定狀態都是攻擊者選擇攻擊策略；

5.當企業安全投資成本過高，攻擊者攻擊意愿強烈時，企業最終選擇不投資策略。

綜上所述，定向攻擊下，攻擊者攻擊成本可以明顯影響攻擊者的攻擊意愿：在攻擊成本較低時，無論企業投資意愿是否強烈，最終都會選擇攻擊策略；在攻擊成本較高時，無論企業投資意愿是否強烈，最終都會采取不攻擊策略。而企業只有在安全投資成本過高，并且攻擊者攻擊意愿強烈的情況下，才會采取不投資策略。

（二）對策建議

通過對攻擊者與企業六種情形下的博弈均衡穩定結果分析，給出以下對策建議：

1.定向攻擊下，當企業面對情形一時，在企業與攻擊者都沒有成本優勢的情況下，企業可以采取威懾措施，讓攻擊者看到企業進行安全投資的強烈意愿和決心，讓攻擊者認為如果攻擊企業信息系統就會付出巨大成本，從而選擇不攻擊策略；當企業面對情形二時，如果企業信息系統初始安全水平較高，雖然在一定程度上減少了攻擊者的攻擊，但后期也不能掉以輕心，任何階段都應該根據情況提高安全投資額和提升安全投資效率；當企業面對情形三時，在攻擊者攻擊成本較高而企業成本占優勢的情況下，從企業效益最大化考慮，企業可以適當降低信息安全投資額，采取相對保守的安全投資措施，比如在原有信息安全水平的基礎上進行系統更新、提高安全管理人員的意識、注意信息平臺的日常維護和數據備份等。

2.當企業面對情形四時，在攻擊者具有成本優勢的情況下，無論企業采取什么樣的投資策略，攻擊者都始終選擇攻擊策略，定向攻擊目標非常明確，在這種情況下，企業需要采取積極的防御措施。如果企業信息安全投資預算有限，就要提高安全投資效率；如果信息安全投資預算正常，增加安全投資以提高信息安全技術水平才是唯一可行的措施，如提升信息安全等級和防護策略、增強防護意識、聘用信息安全專家、采用信息安全新技術、優化配置信息安全技術組合或者直接委托安全服務外包商等。

3.當企業面對情形五時，企業投資成本較高，攻擊者攻擊成本較低，企業從利益最大化考慮，一般采取不投資策略。當前情形降低投資成本才是企業首選，在信息資產一定的情況下，企業可以通過減小網絡對外聯接度和提高安全投資效率的方法來達到降低成本的目的，并隨時做好系統備份和數據備份。

4.當企業面對第六種情形時，攻擊者攻擊成本和企業投資成本都比較高，企業信息系統處于暫時的安全狀態，企業信息安全投資也可以采取保守投資策略。

5.在攻擊者成本較低的情況下，無論企業投資意愿是否強烈，雙方博弈的均衡穩定狀態攻擊者都始終選擇攻擊策略，當企業投資成本較高選擇不投資策略時，攻擊者的定向攻擊可能為企業帶來極其嚴重的后果。因此，企業應注意減少自己的投資成本，增加攻擊者的沉沒成本。如增加信息系統的入侵難度和消耗攻擊者的攻擊成本。具體來說就是，面對定向攻擊者，不僅需要初期的信息安全投資，平時還要做好系統維護，優化信息系統安全配置和注意信息系統安全更新，不定期對信息安全人員進行安全培訓等。

綜上所述，企業與攻擊者的博弈是一個循環往復的過程，均衡穩定狀態下的和平只是暫時的。任何情況下，提高信息安全投資效率、提高信息安全水平，使投資效益最大化才是企業信息安全投資的目標。企業應根據與攻擊者博弈過程中的幾種具體情形及時調整投資策略，以最小成本獲得最大化投資收益。