資訊安全管理與投資相關研究

由前一節的研究得知，資訊系統的安全性非常重要，導致了大量的相關研究，包括 了提出存取安全模式、找出攻擊的漏洞、非干涉模式等，都是有關資訊安全技術面的研 究。除此之外，還有以不安全流模式分析系統不安全性之機率、找出資訊系統的脆弱性、

提出生產力空間等，這類型的研究都是專注於減少資訊系統的威脅。

除了資訊安全技術性的研究之外，管理層面也應注意，管理人員必頇要具備一些的 相關知識，才能與技術人員溝通。若不注重管理層面，即使有了技術，卻無法發揮應有 的效果。資訊安全管理包括了Rolf Hulthén[18]所提出的研究，在資訊安全的領域中，專 業人員很難將專業的訊息傳達給管理者，原因在於並非每個管理者都有資訊安全等專業 知識的背景，通常管理者接收訊息後，只能了解一點點，或者完全不懂，以致無法做出 有效的決策，Rolf Hulthén的目標是希望專業人員能將正確的訊息傳達給管理者，這些 訊息包括了資訊系統的威脅、脆弱性、安全性以及入侵的損失，因此必頇建立一套安全 投資的決策系統，讓管理者容易理解，並提供給管理者做出有效的決策。Vineet Kumar、

Rahul Telang、Tridas Mukhopadhyay[19]說明資訊中心的規劃人員無法完全了解資訊安 全管理人所部署的資訊系統，他們提供了一個框架幫助企業設計優化的機制，避免規劃 人員不了解資訊系統的可用性和機密性，而造成損失。另外，Sebastian Sowa、Lampros Tsinas、Roland Gabriel[27]提出了一個方法論，使得企業和資訊安全連接在一起，讓資 訊安全的管理者，更容易面對不同的挑戰，這個方法經過許多年的驗證，證明是可靠的、

一致的而且準確的。Gordon、Loeb、Lucyshyn[12][13]分別在2002年及2003年說明，從 一個經濟學的角度，檢視有關資訊安全威脅的問題。做決策的管理者，必頇制定出良好 的政策 ，根 據不 同的 風險和 不同 的敵 人有 著不同 的政 策， Vicki M. Bier 和Vinod Abhichandani[6]提出了一個方法，應用遊戲理論來制定最佳的決策，以避免攻擊者的威 脅，同時提出了一些有用的觀點。Kevin J. Soo Hoo[16]使用量化決策分析，提出一個候 選人塑模方法，明確整合不確定性與可塑性，允許不同程度的塑模細節，以解決許多以

11

前塑模失敗的情況，塑模成功之後，能提供有用的資訊給管理者。

雖有資訊安全管理層面的相關研究，但有關資訊安全投資的研究相對較少，資訊安 全投資的研究屬於經濟面的相關研究，這類的研究是根據資訊系統所遭遇的風險以及可 能獲得的利潤，以傳統的決策來做分析，並找出最佳化的投資。相關的研究包括了Jens Grossklags、Nicolas Christin、John Chuang[14]提出五種資訊安全的經濟模型，並比較同 質性與異質性。在各種經濟模型中，結合遊戲理論，找出最適合的投資方式，包括了保 險、保護、不予理會等不同的方式。在此模型中，也說明政府可能採取的政策，以達到 最小的損失。另外，在一個網路環境裡， Moskowitz與Kang[21]定義了保護域(protection domain)，保護域包含了一組或多組的相關資訊資產，且資訊資產是受到保護的。以企 業為例，這些資訊資產包括了伺服器、資料庫等有關的資源，而保護域是由實體或邏輯 的元件所組成，保護域也可以有階層的關係。這些受到保護的資訊資產本研究統稱為資 源。另外，Yue Chen, Barry Boehm, Luke Sheppard[9]提出T-MAP方法，藉用計算攻擊路 徑的權重，可以量化安全威脅，一般企業對於此方法較敏感，此方法也可用來分析投資 效應。Kjell Hausken[15]提出了四種不同的邊際投資效益，分別是持續減少、先增後減、

持續增加、無變化等四種，相對於Gordon和Loeb[11]所提出的簡單模型，最大的投資效 益是預期損失的37%，這四種不同的分類，不再是最大的投資效益是預期損失的37%，

而是四種不同的投資分類。Jan Willemson[31]提出兩個類似Gordon和Loeb[11]所提出的 威脅函數，他說明投資達到100%是存在的。還有，Julie J.C.H. Ryan, Daniel J. Ryan[24]

同樣提出一個量化的數學方法，說明如何計算脅威機率函數(breach probability function)，

這是以Kaplan Meier和Nelson Aalen 所提出的無母數估計方法，來估計預期損失和投資 之後的安全性。Stuart Edward Schechter [25]提出一個計算平均值的方法，來測量安全性，

並預估系統面對的危險性，他也提供量化的方法來增加安全性和減少威脅。國內亦有資 訊安全投資的相關研究，洪肇蔚[2] 所做之研究企圖指出在各種程度的威脅下最適的資 訊安全投資策略。當威脅程過高的情況下，企業的管理者不適宜將資金集中在資訊安全 產品的再購買及投入，應當從員工使用資訊科技產品的安全教育訓練及資訊科技產品本

身的脆弱性方向進行探討，才能從根本處解決資訊安全問題並使資金投入有效率的發揮。

瞿鴻斌[3]提出企業可藉由資訊安全風險評估的方法論，找出組織營運流程中每項資訊 資產的風險，藉以有效控管與分配資源。定量風險評估是以量化數據評估資訊安全事件 發生的頻率與發生後的影響，因此定量化風險評估提供企業有效率的方法，適當地將資 源分配給需要控管的資產，提供最好的資訊安全投資報酬率。

Gordon 和 Loeb[11]提出一個簡單的模型，在一網路環境裡，這個模型裡包含了一 個攻擊者，一個保護機制，以及一個資源。網路環境有駭客入侵、電腦病毒、木馬程式、

間諜程式、…等，這些以非正常方式存取資源的動作都稱為攻擊者。企業為保護資源，

建立了保護機制，保護機制可以是防毒軟體、防火牆、入侵偵測軟體，或者是阻擋非法 入侵的設備。資源是一個被保護的資訊資產，任何攻擊都會試圖擊破保護機制，造成威 脅，一旦資源被成功攻擊，就會造成損失。每個系統都有脆弱性，企業想投資一些金錢 來降低被入侵的機率，但 Gordon 和 Loeb[11]說具有高脆弱性的系統不值得投資，高脆 弱性的系統必頇花費大量的金錢才能降低被入侵的機率，投資報酬率太低，最適合投資 的資訊系統是中程度的脆弱性，它的投資報酬率是最高的。

由於 Gordon 和 Loeb[11]所提出的架構中，僅有單一攻擊者、單一保護機制以及單 一資源。此研究的目的是在資訊安全中，得到最佳的投資模式。當脆弱性增加時，最佳 的投資金額可能是遞增的或是先遞增後減少，而最適合的投資點不是在高脆弱性或低脆 弱性，而是在中程度的脆弱性時，最適合投資，且最適合投資金額總是小於預期損失的 37% (1/e)。本研究將延伸 Gordon 和 Loeb[11]的研究，詳細探討 Gordon 和 Loeb 所提出 的架構。

13