信息安全经济学外文翻译资料

英语原文共 5 页，剩余内容已隐藏，支付完成后下载完整资料

信息安全经济学

Ross Anderson, Tyler Moore

摘要：当前，信息安全经济学已成为一门蓬勃发展的学科。由于分布式系统由属于不同利益主体的机器组装而成，研究发现激励在实现可靠性方面与技术设计一样重要。信息安全经济学不仅提供了对“安全”主题（如程序错误，垃圾邮件，网络钓鱼和执法策略）的宝贵见解，还涉及设计点对点系统、程序员和测试员的最佳工作平衡、隐私被侵蚀原因以及数字版权管理的政策等更广泛的领域。

在过去的6年中，人们已经意识到安全漏洞通常是由于不当的激励引起的。 当系统监管者无需为自己的疏忽付出代价时，系统尤其容易出现故障。安全机制允许一个系统用户打压另一个用户，而不是排除不应该成为用户的人，这类机制的日益增加导致了许多战略和政策问题。对于安全工程师而言，博弈论和微观经济理论的工具和概念正变得与密码学数学一样重要。

本文回顾了信息安全经济学的近期成果和研究挑战。由于该学科还很年轻，回顾分析的主要目标是针对实际的信息安全问题提出一些有益的经济理论和思想应用，而不是列举许多既定的结果。本文首先考虑在计算机系统的设计和部署中存在的错位激励。其次研究外部性的影响：网络的不安全性类似于空气污染或交通堵塞，将存在风险的机器连接到互联网的人无需为其行为承担全部后果。

衡量信息安全风险的难度带来了另一个挑战：只有更好地衡量这些风险，才能更好地管理这些风险。由于大多数用户无法辨别软件的安全性,导致不安全软件占据了市场的主导地位，开发人员不会因增强代码的安全性而得到奖励。但是，漏洞市场可用于量化软件安全性，从而奖励良好的编程实践并惩罚不良的编程实践。防范攻击还可以通过建立一组评估风险的数据来提供度量标准。然而，不同攻击类型所表现出的局部和全球相关性在很大程度上决定了哪种保险市场是可行的。信息安全机制或故障可能会造成、破坏或扭曲其他市场；在线音乐和商品软件市场中的数字版权管理（DRM）就是一个典型例子。

经济因素也解释了许多对个人隐私的挑战。歧视性定价是一种经济有效但具有社会争议的产品，同时也对商家更具吸引力，而且由于技术进步更容易实施。通过讨论一项新兴的研究工作：检查网络结构对交互、可靠性和健壮性的安全影响，最后得出结论。

错位激励

银行业最先对信息安全经济学产生研究兴趣。在美国，银行通常需要承担信用卡欺诈的费用。当客户对交易提出异议时，银行必须证明客户正在试图欺骗，否则必须提供退款。在英国，银行避免承担费用容易得多，因为他们通常声称其自动取款机（ATM）系统是“安全”的，抱怨的客户一定是弄错了或在撒谎。人们可能认为这是“幸运的银行家”。然而，英国银行在安全方面花费更多，并遭受更多欺诈。这似乎是经济学家所说的道德风险效应：英国银行职员知道客户的投诉不会被认真对待，所以他们变得懒惰和粗心。这种情况导致了大量欺诈的出现(R. J. Anderson, 1994)。

2000年，Varian(2000)对杀毒软件市场进行了类似观察。用户并没有花太多的钱来保护他们的电脑。那时，典型的病毒有效载荷是针对微软等公司的网站的恶意攻击。尽管理性的消费者可能花费20美元来防止病毒摧毁他的硬盘，但他们可能不会仅仅为了防止对其他人的攻击而这样做。

法律理论家一直认为应该将责任分配给能够最好地管理风险的一方。 然而，在线风险分配不合理将导致隐私风险和长期的监管冲突。例如，医疗记录系统是由医院董事和保险公司购买的，其在账户管理、成本控制和研究方面的利益与患者的隐私利益并不完全一致。 激励也可以影响攻击和防御策略。 在经济理论中，当双方希望进行交易但一方采取不可观察的行动来影响结果，此时出现隐藏的行动问题。典型的例子来自保险，因为保险公司可能无法观察到投保人的行为，投保人可能会鲁莽行事以增加索赔的可能性。

我们可以使用这些经济概念对计算机安全问题进行分类(T. Moore, 2005)。路由器可以悄悄地丢弃选定的数据包或伪造对路由请求的响应；des不能将网络通信重定向到窃听对话；文件共享系统中的玩家可以隐藏他们是否与他人共享的选择，所以一些人可以“搭便车”而不是帮助维持系统。在这种隐藏行为攻击中，一些节点可以隐藏恶意或反社会行为。一旦出现此问题，设计者就可以构建交互以最小化隐藏动作的能力，或者使执行适当合同变得容易。

这有助于解释过去10年来同类系统的演变。 由Eternity，Freenet，Chord，Pastry和OceanStore等学者提出的早期系统需要用户随机选择整个网络中的文件。这些系统从未被用户广泛采用。后来成功吸引非常多用户的系统（如Gnutella和Kazaa）允许对等节点提供他们下载的用于个人使用的内容，而不会使用其他人的文件加重负担。 这些架构之间的比较最初主要集中在纯技术方面：搜索、检索、通信和存储的成本。然而，事实证明，激励措施也很重要。

首先，由俱乐部组成的系统可以降低潜在的隐藏行为; 俱乐部成员更有可能正确评估哪些成员正在做出贡献。其次，俱乐部可能有相当不同的兴趣。尽管P2P系统现在被认为是共享音乐的机制，但早期的系统是为了抵制审查而设计的。 一个系统可能服务于许多完全不同的群体，可能是中国异议人士，科学教育评论家，或者在加利福尼亚州合法但在田纳西州被禁止的施虐受虐狂影像爱好者。 早期的对等系统要求这些用户为彼此的文件提供服务，以便最终保护彼此的言论自由。需要考虑的一个问题是，这些团体可能不会努力为自己的同事辩护，而是拒绝参与那些他们没有兴趣的斗争，甚至可能会与审查员站在一边。

Danezis et al.(2005)引入了RedBlue模型来分析这种现象。每个节点都有不同的资源类型，例如左倾和右倾政治手稿，而攻击网络的审查员会试图强加特定的偏好，从而满足一些节点的批准，但不符合其他节点。该模型作为一个多方博弈，其中节点设置防御预算，影响它们将被检查员击败的可能性。在合理的假设下，作者表明，多样性（每个节点存储其首选资源组合）的表现要好于团结（每个节点存储相同的资源组合，通常不是其偏好）。多样性使节点愿意分配更高的防御预算；多样性越大，面对攻击时团结的越快就会崩溃。这种模式揭示了多元化与团结之间的平衡问题，以及相关的社会政策问题，即现代社会日益多样化与现代福利体系所建立的团结一致的紧张程度(D. Goodhart, 2004)。

作为外部性的安全

信息产业具有许多不同类型的外部性，其中个人的行为对他人具有副作用。软件行业倾向于占主导地位的公司，这在很大程度上得益于互操作性的好处。经济学家称之为网络外部性：一个更大的网络或软件用户社区对每个成员都更有价值。选择操作系统不仅取决于其功能和性能，还取决于其他人已经做出相同选择的人数；例如，更多第三方软件可用于更流行的平台。这不仅有助于解释从System / 360到Windows到Symbian以及iTunes等音乐平台的操作系统的崛起和主导地位；它也有助于解释安全漏洞的典型模式。简而言之，当平台供应商构建市场主导地位时，它必须吸引补充产品供应商以及直接客户；这不仅会转移可能花费在保护平台上的资源，而且安全投入可能会让投资方的发展变得更加困难。所以平台厂商一开始就会忽视安全性，因为他们正在建立自己的市场地位；之后，一旦他们抓住了一个利润丰厚的市场，他们会增加安全措施，以锁定他们的客户(R. Anderson, 2001)。

当我们分析安全投资时，可以发现进一步的外部性，因为保护通常取决于许多主体的努力。预算一般取决于个人投资转化为结果的方式，但安全投资的影响往往不仅取决于投资者自己的决定，而且还依赖于其他人的决定。

考虑一个中世纪的城市。如果主要威胁是围城，每个家庭都负责维护和守卫一堵墙，那么城市的安全将取决于最懒惰和最胆怯的家庭的努力。然而，如果争议通过冠军之间的单一战斗得到解决，那么其安全性取决于其最勇敢的骑士的实力和勇气。但是，如果战争是耗损的问题，那么这就取决于所有公民努力的总和。

系统可靠性也不例外。它取决于个人努力的总和，任何人做出的最小努力，或者任何人做出的最大努力。程序的正确性取决于最小的努力（最粗心的程序员引入漏洞），而软件验证和漏洞测试取决于每个人的努力总和。 还有一些情况下，安全取决于最佳努力，个人冠军所采取的行动。Varian(2004)的简单模型提供了参与者独立选择努力水平时的有趣结果。每个参与者的成本都是防守上的花费，而预期收益是系统避免失败的概率。当这个概率是个体努力总和的函数时，系统可靠性取决于具有最高收益成本比率的参与者，并且所有其他参与者“搭便车”。

在最小努力情况下，具有最低收益成本比的参与者占主导地位。 随着更多参与者的加入，系统在总体努力情况下变得越来越可靠，但在最薄弱环节中越来越不可靠。 这意味着软件公司应该雇用更多的软件测试人员和更少的（但更有能力的）程序员。

这样的工作激励了其他研究人员考虑相互依存的风险。最近，Kunreuther et al. (2003)的一个有影响力的模型指出，安全投资可以成为战略补充：采取保护措施的个人为其他人创造积极的外部性，但同时可能会阻止他们的投资。这个结果远远超出了信息安全的范围。一间公寓业主决定安装喷水灭火系统，尽量减少火灾危险，这将影响邻居的决定；航空公司可能会决定不屏蔽其他承运人被认为是安全的转运行李；想要给孩子接种传染性疾病的人可能会选择放弃牧群免疫。在每种情况下，取决于委托人之间的协调水平，可能出现几种广泛不同的均衡结果，从完全采用到全面拒绝。

Katz et al. (1985)分析了网络外部性如何影响技术的采用：他们得出了传统的S形采用曲线，在用户数量达到一定的临界质量后，早期的缓慢采用就可以实现快速部署。网络效应也会影响安全技术的初始部署。保护技术提供的好处可能取决于采用它的用户数量。在最少数量的球员采用之前，成本可能大于收益；如果每个人都等待其他人先行，那么技术永远不会被部署。Ozment et al. (2006)最近分析了克服这种引导问题的不同方法。

这是一个特别热门的话题。许多核心互联网协议，例如DNS和路由，都被认为是不安全的。存在更安全的协议（例如，DNSSEC，S-BGP）；问题在于让他们被采纳。已经广泛部署的两个安全协议SSH和IPsec通过为采用公司提供内部优势来克服引导问题。因此，采用一次可以由一家公司完成，而不需要大多数组织一次搬迁。传真机的部署也通过这种机制完成：公司最初购买传真机来连接自己的办公室。

经济学的脆弱性

软件供应商和安全研究人员之间就积极寻求和披露漏洞是否符合社会需求展开了激烈的争论。Rescorla(2004)认为，对于具有许多潜在漏洞（例如Windows）的软件来说，删除一个bug对于攻击者稍后发现另一个漏洞的可能性几乎没有什么影响。由于漏洞利用通常基于从补丁或安全公告中推断出的漏洞，因此他反对披露和频繁打补丁，除非相同的漏洞可能稍后会被重新发现。Ozment(2005)发现，FreeBSD是一种流行的UNIX操作系统，它构成了Apple OS X的核心，确实有可能重新发现漏洞。Ozment et al.（2006）还发现，在6年内，FreeBSD操作系统的核心和未改变的漏洞被披露的速度有所下降。这些发现表明，漏洞披露可以长期提高系统安全性。

漏洞披露还有助于为供应商提供修复后续产品发布漏洞的动机（A. Arora et al., 2004）。 Arora et al.（2004）等人通过定量分析发现，公开披露使供应商更迅速地做出反应并加以修复；攻击次数增加，但报告的漏洞数量随着时间的推移而下降。

这个讨论提出了一个更基本的问题：为什么首先存在这么多的漏洞？当然，如果公司需要安全产品，那么安全软件将主导市场。但经验告诉我们，情况并非如此；大多数商业软件都包含易于防止的设计和实施缺陷。尽管供应商能够创建更安全的软件，但软件行业的经济效益使他们几乎没有动力去做（R. Anderson, 2001）。消费者通常会奖励供应商添加功能，首先是在市场，或者在现有市场占主导地位，尤其是在具有网络外部性的平台市场。这些动机与编写更安全软件的任务相冲突，这需要耗时的测试并关注简单性。

供应商缺乏动力的另一方面是软件市场是“柠檬市场”（R. Anderson, 2001）。 在获得诺贝尔奖的作品中，经济学家George Akerlof(1970）用二手车市场作为隐喻信息不对称的市场。他假设一个镇上有50辆二手车（价值2000美元）出售，还有50个“柠檬”（价值1000美元）。卖家知道差异，但买家不知道。市场清算价格是多少？人们可能最初认为1500美元，但是在该价格下，没有一辆好车会出售它，所以市场价格很快会达到1000美元左右。由于买家不愿意支付他们无法衡量的质量溢价，所以只有低质量的二手车可供销售。

软件市场遭受同样的信息不对称。供应商可能会声称其产品的安全性，但买方没有理由相信他们。在很多情况下，即使供应商也不知道它的软件有多安全。 所以购买者没有理由为保护支付更多的费用，厂商也不愿意投资。

有两种方法可获得软件安全的准确度量：脆弱性市场和保险。漏洞市场帮助买家和卖家确定发现软件漏洞的实际成本，这是软件安全的合理代理。最初，一些标准规定了各种技术折衷的最低成本，一个例子是销售点终端的银行业务标准（17）。随后，Schechter（2004）提出了公开市场以报告以前未发现的漏洞。两家公司iDefense和Tipping Point现在公开购买漏洞，因此市场确实存在（遗憾的是，价格未公布）。他们的商业模式是同时向客户和受影响产品的供应商提供漏洞数据，以便他们的客户能够在其他人之前更新防火墙。但是，这种模式中的激励措施并不理想：Bug市场组织可能通过泄露漏洞信息来伤害非订阅用户以增加产品的价值（K. Kannan et al., 2004）。

对脆弱性市场变化提出了建议。Bouml;hme（2006）认为，软件衍生产品比测量软件安全的市场更好。在这里，安全专业人员可以就产品的安全级别达成价格共识。 软件合同可以成对发行；如果某个程序在特定日期没有

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[24022]，资料为PDF文档或Word文档，PDF文档可免费转换为Word