1、信息技術(shù)的廣泛和深入運用使得企業(yè)的效率和效益快速提升，競爭力顯著增強，但也帶來了黑客的網(wǎng)絡(luò)攻擊等信息系統(tǒng)安全問題。面對越來越嚴(yán)峻的信息系統(tǒng)安全形勢，企業(yè)常規(guī)的做法是大量購買和運用防火墻、入侵檢測系統(tǒng)和虛擬專用網(wǎng)絡(luò)等安全技術(shù)，以提升安全水平。然而，大量事實表明，信息系統(tǒng)安全不是一個簡單的技術(shù)問題，而是一個需要綜合考慮技術(shù)、管理和經(jīng)濟的復(fù)雜管理問題，當(dāng)前國際上信息管理與信息系統(tǒng)學(xué)科出現(xiàn)了一個新的前沿性研究領(lǐng)域——信息安全經(jīng)濟學(xué)。作為信息安全

2、經(jīng)濟學(xué)的熱點問題之一，信息系統(tǒng)安全資源優(yōu)化配置策略研究備受關(guān)注。本文以企業(yè)為背景，在定義信息系統(tǒng)安全管理等相關(guān)概念基礎(chǔ)上，引入信息系統(tǒng)安全資源優(yōu)化配置涵蓋的內(nèi)容，構(gòu)建安全資源優(yōu)化配置決策過程，并綜合運用信息系統(tǒng)管理、博弈論等理論，對信息系統(tǒng)安全資源優(yōu)化配置問題進行了多方面的研究:
　　(1)針對企業(yè)內(nèi)部信息系統(tǒng)安全資源優(yōu)化配置問題。首先，構(gòu)建了IT總投入中信息系統(tǒng)安全投入優(yōu)化模型，分析得出:信息系統(tǒng)安全投入與信息系統(tǒng)原始脆弱性無關(guān)

3、，企業(yè)IT投入在信息資產(chǎn)和信息系統(tǒng)安全兩者間的分配取決于信息資產(chǎn)投入經(jīng)濟效率和信息系統(tǒng)安全威脅指數(shù)之比，而信息系統(tǒng)安全收益隨信息系統(tǒng)安全投入呈凸形關(guān)系。其次，研究了企業(yè)內(nèi)信息系統(tǒng)安全投入在多防御節(jié)點中的配置問題，得出:無論信息系統(tǒng)安全資源是否存在約束，在多節(jié)點安全資源配置時，各節(jié)點均存在判斷該節(jié)點是否需要配置安全資源的閾值，低于閾值時，不再配置安全資源，反之則進一步配置安全資源。
　　(2)針對縱向跨組織信息系統(tǒng)中的安全資源優(yōu)化配

4、置問題。在信息系統(tǒng)安全知識共享情況下，分別構(gòu)建Stackberg和Cournot博弈模型研究安全投入和安全知識共享，分析表明:安全投入方面，核心企業(yè)隨網(wǎng)絡(luò)脆弱性的增強而增加，伙伴企業(yè)則是減少。進一步對比Stackelberg和Cournot博弈決策結(jié)果發(fā)現(xiàn):核心企業(yè)在Stackelberg博弈決策中的安全投入和安全知識共享水平均要低于在Cournot博弈中的額度，伙伴企業(yè)在兩種博弈決策中安全投入的比較則取決于信息系統(tǒng)原始脆弱性水平。在信

5、息資產(chǎn)共享情況下，基于獨立決策和聯(lián)合決策兩種方式建模分析發(fā)現(xiàn):信息資產(chǎn)共享比例較高時，若獨立決策，核心企業(yè)安全資源投入相對較多，伙伴企業(yè)則相反;信息資產(chǎn)共享比例較低時，若獨立決策，核心企業(yè)安全資源投入相對較少，伙伴企業(yè)則相反。
　　(3)針對網(wǎng)絡(luò)跨組織信息系統(tǒng)中的信息系統(tǒng)安全資源優(yōu)化配置問題。首先，基于從眾行為理論構(gòu)建了網(wǎng)絡(luò)跨組織信息系統(tǒng)中的安全投入決策模型，分析表明:受網(wǎng)絡(luò)跨組織信息系統(tǒng)中企業(yè)信息系統(tǒng)安全初始水平、安全損失、企業(yè)

6、群體規(guī)模、從眾效應(yīng)等因素影響，企業(yè)可能采用積極安全策略、保守安全策略或消極安全策略，但隨著群體規(guī)模的增加，企業(yè)采用積極安全策略的概率下降。其次，針對企業(yè)群體中的信息系統(tǒng)安全知識共享問題，運用演化博弈模型分析得:除了信息系統(tǒng)安全知識共享成本、安全網(wǎng)絡(luò)效應(yīng)等因素外，信息資產(chǎn)價值關(guān)系影響著企業(yè)群體間信息系統(tǒng)安全知識共享的演化博弈的均衡，信息資產(chǎn)價值互補的企業(yè)間實施共享策略的意愿較高，信息資產(chǎn)價值競爭或獨立的企業(yè)間實施共享策略的意愿較低，共享的

7、意愿隨著互補關(guān)系的緊密程度及初始選擇共享策略企業(yè)的比例增加而增加。最后，為了抑制信息系統(tǒng)安全知識共享過程中的“搭便車”行為，運用重復(fù)博弈理論構(gòu)建共享激勵機制，分析發(fā)現(xiàn):孤立期越長、理性企業(yè)的比例和共享的效率越高，激勵機制效果越顯著。
　　(4)針對信息系統(tǒng)安全外包中委托代理問題，設(shè)計由固定報酬和補償系數(shù)兩部分組成激勵機制，分析表明:固定報酬隨外包信息資產(chǎn)價值的增加和黑客入侵概率的增加而增加;補償系數(shù)與企業(yè)信息系統(tǒng)安全環(huán)境的不確定性

8、、信息系統(tǒng)安全服務(wù)商的努力成本系數(shù)以及其風(fēng)險規(guī)避系數(shù)呈反比。其次，針對信息系統(tǒng)安全保險投入和安全投入優(yōu)化配置決策問題，分別基于完全競爭市場和不完全競爭市場進行分析，研究發(fā)現(xiàn):在投保企業(yè)間安全依賴性較強環(huán)境下，信息系統(tǒng)安全投入和保單保額均隨保險市場的加載因子增加而減少;在安全依賴較弱環(huán)境下，信息系統(tǒng)安全投入隨加載因子增加而增加。對于信息系統(tǒng)安全保額則存在加載因子的閾值，高于閾值保額則隨加載因子的增長而增長，低于閾值保額則隨加載因子的增長而