PPT《第9章 计算机安全经济学》

第9章 计算机安全经济学 本章要点 安全方面的经济学案例 测定和量化经济学价值 计算机安全的经济学建模 这一章,我们将关注涉及计算机安全中稀有经济资源分配方面的决策.

也就是说,作为一个从业者,基于投资的需求、开支以及与其它投资(也许与安全无关)的平衡等诸多方面的考虑,必须决定对哪些类型的安全控制进行投资.我们将从一个商业案例开始,描述一个用于表示关于 为什么我们认为一个特别的安全投资是必要的 的信息框架.接着,为了给安全投资一个有说服力的支持,我们将概述对安全专家有帮助的数据收集种类.一旦有了好的数据,就能建模并做出预测.我们还将研究对计算机安全投资影响进行建模的许多方式. 9.1 商业案例 公司怎样决定在计算机安全上的投资金额和投资方式?典型的方法是,使用一些基准值,也就是参考其他相似的公司.这种方法只是对开支的合适水平方面的决策有帮助.然后,应制定关于特定开支的细节决策,如需要哪些能力,哪些产品应该被购买和支持,哪些培训是有帮助的,等等.这些投资决策并不是凭空决定的,因为计算机安全资源的要求通常不得不与其他要求竞争,最终决策的制定是基于哪些要求对商业经营最有利.一个给定开支的商业案例是一个方案,证明资源使用的正当性.包括以下部分: 9.1 商业案例(续) (1) 问题或开支需求的描述.(2) 可能的解决方法列表.(3) 解决问题的限制.(4) 潜在的假设列表.(5) 分析每一个选择,包括风险、花费和收益.(6) 投资建议对公司有利的一个理由总结. 9.1 商业案例(续) 关于技术投资,任何对现有或建议的技术投资的评估,应一次用多种形式汇报以构成一个 平衡的记分牌 : (1) 从客户的角度,提出诸如顾客满意度的问题. (2) 从运转角度,考察一个公司的核心竞争力. (3) 从经济角度,考虑诸如投资回报或分享价格的措施. (4) 从改进角度,评估投资怎样影响市场领导能力和增加的价值. 确定经济价值 经济价值可以作为一个统一的法则来考察任何商业机会.也就是说,我们可以根据它的潜在经济价值来研究每一个投资选择.从一个高水平的公司角度,管理层必须决定如何将一个建议性的技术投资与简单地把钱存入银行获得利息相比较.公司应把注意力转到通过优化他们的信息安全投资水平,来选择利润目标. 9.1 商业案例(续) 确定经济价值(续) 纯的当前价值(NPV) 当建议一项技术时,你就必须确保考虑到所有的花费.NPV是收益的当前价值减去原始投资的价值.NPV根据整个工程的生命周期表达了经济学的价值.如果一个有前途的工程的NPV是正的,它就应该被接受.然而,如果NPV是负的,这个工程应该被放弃;

负的NPV意味着工程的货币流通不如安全、更传统的投资. 9.1 商业案例(续) 确定经济价值(续) 通常,NPV的计算使用一个折扣率或机会成本,即一个相等投资期待从资本市场获得的回报率.换句话说,折扣率反映了如果一个组织将投资到银行或其他经济事务而不是软件技术,它能从中得到多少钱.计算NPV的常规方程是: Bt和Ct 是在每个时间阶段t内投资预期的收益和开支,C0是原始投资,折扣率(期待从投资中获得的回报率)是k,n是投资的开支和收益被考虑的时间段数字. 9.1 商业案例(续) 确定经济价值(续) 利用NPV来评估安全工程的优势是,它对提出的投资的评估效果贯穿工程的整个生命周期.NPV提供了一个对可在将来不同时段改变利润的工程的公平比较,但困难的是如何确定在多久的将来进行计算.NPV方法对资金流动的时间段很敏感;