信息安全经济学

在过去6年，人们意识到安全事故的原因中，不安全的设计与出于不好的动机同样频繁出现。尤其是当系统的运营者不是系统事故的受害者时，系统尤其容易出现事故。安全机制越来越多的被用来进行控制用户使用，不是简单地将非用户排除出去，而是通过很多策略和规则进行访问控制。博弈分析和微观经济理论的工具和概念对于信息安全来说正变得像密码学一样重要。

我们回顾了有关信息安全经济学的最近的研究成果和正在进行的研究。由于学科还不成熟，我们回顾的目标是列出几个对现实信息安全问题有前景的经济学理论和想法的应用，而不是简单的罗列研究结论。我们首先考虑了在设计和部署信息系统时的错误的激励机制，接下来，我们研究了外部的影响，网络的不安全性有些像是空气污染和交通堵塞，将不安全的主机连接到网路的用户不用承担他们操作的所有后果。

在衡量信息安全风险的时候存在另一个挑战：安全风险想要被更好的管理需要首先被更好的衡量。不安全的软件现在充斥着市场，因为用户无法区分软件是否安全，因此开发者加固软件安全性需要的高昂的成本没有回报。然而，漏洞市场能够衡量出软件安全性，分辨出优秀编程软件和有风险的。攻击的保险也应该提供基于定值漏洞的数据库的度量标准。然而，局部和全局相关性分析显示，不同的攻击方式就很大程度上决定了哪种保险市场是可行的。信息安全机制，或是事故可以产生、毁坏或是扭曲其他市场规则，在线音乐和商用软件市场中的的数字版权管理（DRM）就是一个典型的例子。

经济因素也可以解释很多用户隐私挑战。差异化计价对于商人来说更有吸引力，在技术上也更好实现。最后，我们将讨论一些研究方向：网络架构在安全性、可靠性和鲁棒性三个方面的安全影响。

错误的激励机制

激发人们对于信息安全经济学的兴趣的最初来自银行业。在美国，银行通常承担信用卡诈骗的责任，让一个客户对一笔交易提出异议，银行必须证明这名客户实在诈骗或者就要支付这笔费用。在英国，银行就轻松的多，他们声称ATM是安全的来逃避责任。你一定觉得英国银行家很幸运，然而他们遭受更多的欺诈和安全事件。因为他们不会认真对待用户抱怨，因此变得懒惰和粗心，导致了大量欺诈行为。

在2000年，Varian对防病毒软件市场也做了相似的观察。人们不会花费很多用来保护他们的计算机。为什么呢，当时有一种典型的病毒是针对类似微软这样的公司网站的拒绝服务攻击。尽管一个用户愿意花费20美元保护自己的硬盘，但是他可能不会花费这么多去保护别人的主机。

法律理论家早就知道要将法律责任分配给能够更好的管理这些风险的人。可是我们却看到在线风险被不合理的分配，导致隐私泄露和管理压力。例如，医院的病例系统购买者是医院领导和保险公司，对账户管理和成本很关心，而不关注病人的隐私问题。激励机制也会影响攻击和防范的策略。在经济学理论中，当一方通过隐藏行为对结果施加影响，经典例子来自保险业，因为保险公司无法时时监控当事人行为，则当事人可能会做出一些危险的事情。

我们可以用这些经济学概念对计算机安全问题进行分类。路由器可以悄悄丢弃一些数据包或者对路由请求做出虚假回应；节点能够重定向网络流量来窃听会话；文件共享系统中的用户可以选择不共享文件，只享受搭便车的便利。在这种隐藏行为攻击中，一些节点能够隐藏恶意行为。一旦这样看问题，设计者可以在架构设计是尽量避免隐藏行为攻击，更容易的履行契约。

这也有助于解释在过去十年中p2p系统的变化。最初的系统被学术界提出，要求用户为随机选择的文件提供服务。这些系统一直不被用户接受，之后提出的系统要求用户只需要为下载过的文件提供服务，获得了成功。系统的差别最初集中在技术方面，例如搜索、获取、通信和存储开销。然而，事实证明，激励机制同样重要。

首先，通过俱乐部联盟的方式建立的系统能够减少隐藏行动的风险，成员能够更合理的评价其他成员的贡献。其次，俱乐部可能有不同的兴趣。即使p2p系统被看成共享音乐的机制，早起的系统被设计成具有抵御审查的能力。一个系统可能服务于许多不同的团体，早期的p2p系统被用来服务于其他人的文件，来达到保护他人言论的目的。这里的问题是，人们是否会奋力保护同伴的文件，而不会因为利益而暴露这些文件。

Danzis和Anderson引入了红蓝模型来分析这个现象。每个节点有不同偏好，当一个攻击网络的检查员试图实施一种强制偏好，只能得到一部分节点的认同。在这个模型中，节点在不断调整防御的过程中，影响着攻击者成功的概率。基于合理的假设，作者证明了节点灵活的根据偏好存储资源要好于节点都存储相同的资源。节点的灵活存储使得节点更愿意承担更多防御开销，这个模型对很多一般的问题都有借鉴意义，比如社会政策的多样性和单一性问题。

安全的外部性特征

信息产业有许多外部特征，个体行为会影响其他人。软件产业容易产生具有支配地位的企业，这归功于软件的交互性。经济学家称其为网络外部性：一个大型网络、一个软件用户组成的社区，是对于用户来说更有价值的部分。选择一个操作系统时，除了操作系统本身的性能，还会考虑使用该系统的人数。例如，越是受欢迎的平台有越多的第三方软件。这不仅解释了许多操作系统和音乐平台的风靡，也解释了安全漏洞的典型模式。简单的说，一个平台为了建立支配地位，不仅需要吸引直接访问者，还需要吸引辅助产品的制造商，但是提高安全性会消耗更多资源并且影响辅助产品制造商的热情。所以当平台制造商在建立市场位置时，可能会首先忽略安全性。一旦他们抓住了市场，为了进一步锁定用户，会增加安全的投入。

当我们分析安全性方面的投资时，我们会看到是多方外部原因的作用。在确定投资预算时，通常考虑如何获得回报，而安全性方面的投资不仅仅依赖于投资人自己的决定，更是各个外部原因的决定。

例如一个中世界的城市，如果主要威胁来自城墙，而每个家庭负责维护和守卫其中一段，那么整个城市的安全就取决于最懒惰的家庭。如果争端可以通过两边首领来解决，那么城市的安全就取决于最勇敢的骑士的力量。而如果战争是消耗战，那么就取决于每个市民的努力。

系统的安全性没有什么不同，它可能取决于系统中所有个体的努力总和，也可能取决于系统中最努力或最不努力的个人。程序的正确性取决于最不认真的程序员（因为最不认真的程序员的代码往往会出现漏洞），而软件的测试和验证则却取决于所有人的努力。当然有时安全性也会取决于付出努力最多的人。Varian对此进行了深入的研究并且得到了有趣的结果。假设不同的玩家可以各自选择努力程度，努力程度为成本，预期收益为系统避免故障的概率。当这个概率是所有用户努力总和的函数，那么系统可靠性取决于那个获得最高收益的个体，其他所有个体都是搭便车的人。

随着越来越多个体的加入，那些依赖于所有人努力的情况下系统安全性将提高，而依赖于最小努力的情况下系统安全性则会降低。这将如何应用呢，其中一个就是软件公司将雇佣更多的软件测试，更少的程序员。

这些工作给其他研究相关风险的研究者带来了启发。Kunreuther和Heal最近提出了一个影响模型，采取保护性措施的个体会产生正影响的话，就会减少他们的投资积极性。当公寓主人决定安装一个灭火系统，是的火灾风险降低，就会影响邻居安装灭火系统的决定；航空公司会选择不检查来自很注意安全的客运公司的行李；为了预防传染性疾病，家长会依赖于大众不会轻易传染上而选择不给孩子注射疫苗。每种情况下，平衡解都在不断变化，取决于合作水平，采纳或者拒绝都有可能。

Katz和Shapiro对网络外部性如何影响技术有过著名分析：他们导出经典的S形接受曲线，从曲线可以看出，技术首先会经历缓慢的接受过程，一旦达到某个临界值，就会快速的部署。网络效应同时也会影响到安全技术最开始的部署。一个保护技术实际带来的好处取决于服务的用户数。在用户低于最小用户值时，成本是大于收益的。如果每个人都在等待别人首先使用，那么这个技术可能永远不会被广泛使用。Ozment和Schechter最近研究了解决启动问题的方法。

因特网的一些核心协议，例如DNS和路由协议，被认为是不安全的。更多的安全协议被提出，难题是如何让这些安全协议被广泛接受。有两个安全协议已经被广泛部署，SSH和IPsec，两个协议都顺利的解决了启动阶段的部署问题，因为它们能够给部署企业带来直接的好处。这样的技术就能够被一个个的企业所接受，而不需要很多组织同时行动。

漏洞经济学

在是否要寻找和公开漏洞上，软件制造商和安全研究者有过激烈的争吵。Rescorl指出，对那些存在许多潜在漏洞的软件，消灭其中一个漏洞对于减少被攻击的可能性没有多大的帮助。由于攻击者常利用安全补丁和安全建议来寻找漏洞，他反对公开披露漏洞或频繁发布补丁，除非类似的漏洞很快被再次发现。Oment发现对于FreeBSD（一款流行的Unix操作系统，也是Apple OS的内核基础）来说，漏洞确实是不断被发现。Ozment和Schechter发现，6年来FreeBSD上所发现的漏洞已经减少。这表明，公开漏洞从长远来看可以提高系统安全性。

公开漏洞也能够激励制造商不断修补这些漏洞。Arora通过量化分析指出公开漏洞使得制造商加快修补漏洞。攻击的数量增加，但是随着时间推移，漏洞会不断减少。

这些讨论引出了一个更加根本的问题：为什么一开始会有这么多漏洞？如果公司生产的都是安全产品，那么安全软件就会成为市场主导，但是经验告诉我们并非如此。大多数商业软件都存在着可以轻松避免的缺陷。尽管制造商们有能力创造更安全的软件，但是软件经济学使得他们缺少这样做的动力。在很多市场中，采用“周二交付，等到第三版在正确使用”是完全理性的行为。消费者通常对增加特性的制造商、首先出现的制造商、以及占有支配地位的制造商给予回报。具有网络外部性的平台尤其如此，这些驱动因素与安全软件的任务是矛盾的，因为安全软件需要费时的测试和对简单性的专注。

软件市场的制造商缺乏动力的另一个原因是由于“柠檬市场”。经济学家George用汽车市场做比喻，研究了非对称信息市场，并因此获得诺贝尔奖。他假设一个城镇有50台好二手车（价值2000美元）和50台破二手车（1000美元）。只有卖者知道车是好是坏，买家无法知晓。那么市场的最后定价多少呢？有人可能一开始会认为是1500美元，但是要知道在这种价格下，好车的主人不会卖，最终市场定价是1000美元左右。因为买家不愿意为不能测量的价格买单，所以只有那些低质量的二手车会出现在市场上。

软件市场也是这样信息不对称的市场。制造商声称他们的产品是安全的，但是买家没有理由相信他们。在很多情况下，软件制造商自己也不知道自己的产品是否安全。所以买家不会为这种保护花费更多，进而也导致制造商不倾向于对此进行投资。怎么来解决这个问题呢？

为了获得软件安全性的准确度量，有两种方法正在研究中：建立买卖漏洞的市场和为漏洞带来的风险提供保险。漏洞市场有助于在买家和卖家之间建立起软件漏洞的真实价值，成为软件安全的合理中介。Schechter建议开放漏洞买卖的市场。有两个公司iDefence和Tipping Point已经开始公开购买漏洞信息，尽管价格还没有公开出来。他们的商业模型是将有关漏洞的数据同时提供给他们的客户和相关软件制造商，这样他们的客户可以抢在别人之前更新防火墙。但是，这个模型的激励机制会产生次优结果：公司可能会通过故意泄露漏洞来损害没有购买的客户，来达到提高他们产品价值的目的。

有一些变种的漏洞市场也被提出。Bohme提出，使用软件衍生物而不是对软件安全直接测量更加有效。首先安全专家对产品安全等级达成一个价格上的共识。软件合同可以成对颁布。在给定的时日之前没有发现漏洞是一个价格，发现漏洞是另一个价格。如果这些合同可以交易，那么他们的价格就反映了大家对程序安全性方面的共识。这样，软件制造商和软件公司的投资人，以及保险公司就能够用这些衍生品来抵御风险。Ozment提出第三种可能，为漏洞市场设计一个拍卖机制。

对所有的基于市场的解决方法都有一个批评：他们因为补偿了那些寻找漏洞的人，可能会增加被发现的漏洞个数。所以，具体设计过程中需要加倍小心。

另一种方法是依靠保险公司。承保人根据公司的信息技术架构和管理过程确定保险额度。他们的评估会产生相应的最佳方案，从长远来看，通过维护一个数据池，他们能够对风险进行更精确的评估。然而到目前为止，保险市场并没有得到很好的发展和使用，为什么会这样呢？

Bohme和kataria认为问题出在风险的相互依赖上，这最少有两种表现形式。当一个公司的IT基础设施和其他公司互联时，他在安全方面的努力可能由于其他公司的错误而失效。攻击者常利用在很多公司广泛存在的漏洞进行攻击。这种相互依赖性使得这种风险对保险公司没有吸引力，特别是许多风险是全局而不是局部相关的。很多承保人呼吁由制造商来承担软件风险。如果真是这样，微软恐怕不会购买保险。到目前为止，制造商已经成功丢弃了大多数的软件风险，但是这样的结果也远远不是最优的。即便是在客户的公司里，风险的相关性使得公司在安全技术和保险方面的投入都过低。保险公司必须收取高额的保费，这就导致保险市场在量和流动性方面不能实现充分发展。

保险并不是唯一受信息安全影响的市场。围绕着数字版权管理也存在许多的争议。唱片公司多年来在计算机和消费电子产品中推广DRM，但是数字权利的拥护者却一直反对。信息安全的经济学理论对此能有什么想法呢？

Varian在2005年发布了一个令人惊讶的结果。DRM越强，为系统制造商带来的好处要高于给音乐产业带来的好处。因为计算机行业更加集中，为DRM提供平台的只有微软、索尼和苹果。内容产业开始对此嗤之以鼻，但是到了2005年底，音乐出版商就开始抗议苹果公司在在线音乐销售上取得过大的收入份额。随着整个供应链的权利由大的音乐公司转向了平台商，音乐产业的权利也从大公司分散到了小的独立公司，就像随着航空管制的消失，飞机制造和低成本航线因此得以繁荣。这也是经济学分析具有预测能力的有力例子。

还有一些市场失效的有趣案例。例如，最近有许多组织建立了授权服务，为软件和Web站点提供质量保证。这里包括两个方面：一是为了克服公众对电子商务的焦虑，而是为了抢在政府实施更昂贵的管制之前进行自我管制。但是授权服务市场很容易被竞争所摧毁，可疑的公司比拥有声誉的公司更会购买证书，普通公司也在为交易简单化而忙碌。Eldlman已经证明这样的逆向选择正在发生。一方面所有的被抽样的网站中3%是恶意的，而把抽样集中在获得授权的网站中比例却是8%。他同时还发现在Web搜索中排名靠前的公司中2.73%是恶意的，而购买了广告的公司中比例为4.44%。他的结论是，不要轻易相信广告。

隐私经济学

随着科技的进步，个人隐私不断被侵蚀，这使很多人赶到困扰。有人开始出售隐私保护技术，但是在市场中多半以失败告终。经济学对此的解释比起纯粹从技术上解释要容易的多。

Odlyzko认为是因为为相似的服务收取不同的费用的希望所驱使的。技术不仅激励也提高了区别定价的机会。公司为了获取反映个人购买意愿的信息不惜对在线购买和交互的信息不断挖掘，结果是像航班座位这样的商品的复杂和不断变化的定价现状。这种区别定价从经济上来看是必然的，但是却不断遭到仇恨。Acquisti和Varian分析了价格歧视确实能获益的市场条件：那些客户对服务的估计有很大不同的产业中，可通过较低成本提供个性化服务的产业中，以及可能发生重复购买的产业中，价格区别会很大。

那些有可能会使隐私受到更多侵犯的因素就讨论到这里。哪些因素会使得隐私受到较少的侵犯呢？Campbell发现那些汇报安全缺口的公司的股价更可能下跌。Acquisti对隐私泄露进行了类似的研究，他们的初步结果缺乏结论性质，但是仍然指出了隐私暴露对股票的负面影响。

激励机制影响到隐私技术的具体设计。匿名系统很大程度上依赖于网络外部性：在匿名系统中，别的用户为希望隐藏自己行动的用户提供了必要的保护流量。这一事实已经被一些研究匿名系统的人应用，例如TOR，能够使网络流量匿名化，该系统通过强调可用性使用户接受。

网络技术和信息安全

复杂的网络拓扑正成为分析信息安全的工具。从P2P到Internet，计算机网络中个体之间的简单交互变得更加复杂。这种复杂性使得计算机网络更像是社会网络，甚至类似人体组织。最近，一门分析网络的学科正从社会学和凝聚态物理学之中诞生。它吸取了其他学科的知识，例如图论等，并提供了分析这类网络的工具。网络科学和信息安全的相互作用提供了通向进化论的桥梁。进化博弈论是经济学的一个分支，在人类和动物行为研究中非常有影响。

网络拓扑会强烈的影响到冲突的动态过程。攻击者试图通过摧毁节点和边来切断网络或增加传输路径，防御者通过各种适应性机制来对付攻击者。例如，唱片产业希望关闭文件共享网络，警察试图抓住恐怖分子头目，集权政府试图监视政治活跃分子。

不同的拓扑在不同的攻击面前有不同的鲁棒性。Albert证明具有无尺度特性的网络在面对随机攻击时比面对目标性攻击更强的鲁棒性。这是因为在无尺度特性的网络中，一小部分节点有很高的节点度，这种适应性使得他们对随机的破坏表现出很高的鲁棒性，但是节点移除会使连接性收到破坏。

这个模型的另一个静态例子是，警察发现了恐怖组织或犯罪网络后，会想办法逮捕头目来消灭他们。Nagaraja和Anerson最近将这个模型扩展到动态，其中攻击者每轮可以移除定量节点，防御者可以通过训练其他节点来替代被移除的节点。通过多轮仿真，他们发现在关键节点局部生成团结构是一种很有效的方法。这也解释了具有环结构的P2P系统会比较脆弱，也解释了后来人们试图将P2P网络变革成团状。

在过去的几年中，关于信息安全的经济学建立了很多学科，并产生很多有价值的想法。信息安全中有许多不符合常规的方面，通过研究激励机制和市场失效机制，这些现象都可以变得可以解释。

关于未来，这个领域的数百位研究人员已经分成了两个新领域，第一个是关于安全性的经济学，和研究犯罪和战争的经济学靠近，研究产生叛乱的原因以及分析叛乱网络。第二个是关于依赖性的经济学。例如为什么大型IT项目为什么会失败，其中原因应该不只是系统的内在复杂性，更与组织行为和激励机制有关。

随着系统之间日益紧密的联系，系统的主人也越来越倾向于将可靠性的问题抛给其他人。网络协议设计正在寻找一种方法，考虑当事者的激励，并且使欺骗不会给欺骗者带来收益，最开始就将坏行为排除远比在之后再试图控制要容易。

 

个人总结：

在信息安全产业中，影响产业发展的不仅仅是技术和资金的限制，在设计安全产品时，也要考虑激励机制和外部特征。既要考虑开发商的利益，同时也要考虑使用者的利益，更要考虑系统中各个机制甚至系统之间能够相互配合，减少逻辑冲突。在设计一个安全产品时，不仅仅是考虑产品本身能够做到怎样的安全性，同样也要考虑产品从部署到使用是否能够做到对用户友好。在设计隐私保护等安全框架时，应该首先分析哪些用户数据需要被保护，哪些数据无法提供隐私保护，分析数据的保护是否依赖于系统机制、用户操作以及交互协议，然后构造适合场景的保护框架。