PPT《第9章 计算机安全经济学》

回报来得越晚,对总价值的妨碍就越严重.因此,市场时间对分析和影响支出是最关键的.一个工程的大小和规模也会影响NPV.因为NPV是可累加的,我们可以通过简单地累加个体NPV值来评估工程集合的结果. 9.1 商业案例(续) 确定经济价值(续) 内部回报率 内部回报率(IRR)起源于纯的当前价值;

它等同于使NPV等于零的折扣率.换句话说,它是期待的投资回报率. 投资回报 投资回报(ROI)的计算与IRR和NPV十分相似.ROI的产生是通过最后的账目利润(由收入和支出计算)除以产生这些利润的投资开销. 9.1 商业案例(续) 确定经济价值(续) 公正的开销估计 一个商业案例是一个做某些事的讨论:投资一项新技术、培训员工、增加一项产品的安全能力或维持现状,等等.计算机安全商业案例通常用经济学术语来表达:节约金额、行为回报或可避免的开支.有时将安全影响从更多的、普遍的影响中分离出来是很困难的,比如提高功能或对资产更好的访问.这些讨论常常回避了在计算机安全中怎样获得可靠数据的问题. 9.1 商业案例(续) 9.2 量化安全 量化和估计正是安全官必须做的,以证明安全花费的正当性.在管理层花了钱去阻止一个可能,但没有发生的严重威胁后,他们可能便不愿意再次花钱去对付另一个可能的严重威胁. 一般认为,公司没有必要把投资与对每个资源潜在的影响相匹配.因为非常容易受攻击的信息可能也是保护起来十分昂贵的,公司也可能集中精力去保护不太容易受攻击的信息资源.为了从保护信息的投资中得到最大的利益,公司只应该考虑小的投入可以弥补大的安全损失的情况. 9.2.1 计算机安全的经济学影响 理解计算机安全问题的经济学影响(预防、检测、缓解和恢复),需要能支持好的决策制定的经济学关系模型.然而,实际的模型必须基于从实际的计算机安全投资和真实的攻击结果中获得的数据.理解计算机安全威胁的本质需要至少应明确以下几点: (1) 需要保护的资产的数量和类型. (2) 系统中存在的脆弱点的数量和类型. (3) 可能对系统造成威胁的数量和类型. 理解网络攻击的实际情况,也需要明确可能发生攻击的数量和类型,将系统恢复到攻击前状态所需的花费和和采取行动防止将来的攻击所需的花费. 9.2.2 证明安全行为是正当的数据 数据需要用来支持多层次上的计算机安全决策的制定. (1) 国家和全球数据通过帮助使用者评估工业部门,在国家经济中如何相互作用以及计算机安全如何影响全球经济,来解决国家和国际上所关心的问题. (2) 公司数据帮助我们检查公司如何运用安全技术来阻止攻击以及处理安全破坏的影响. (3) 技术数据描述了对核心基础设施技术的威胁,使建模者能够开发出一套低成本的响应. 9.2.2 证明安全行为是正当的数据(续) 支持经济决策制定的数据必须有以下特征: (1) 准确性:当报告价值与实际价值相等或接近时,数据是准确的. (2) 一致性:一致的报告要求所有报告组织使用相同的计算规则,且要求数据在相同条件下收集.例如,计算规则应该详细说明 入侵 的明确定义,说明一个单独的恶意行为者造成的多次入侵尝试,算一次还是多次. (3) 及时性:依靠老的数据可以使安全人员去解决昨天的问题. (4) 可靠性:可靠数据来自可信的来源,并用通俗易懂的术语表达. 9.2.2 证明安全行为是正当的数据(续) 安全实施 信息安全破坏调查(ISBS)是一个有关计算机安全事件和实施的特别丰富的信息来源,并为捕获计算机安全信息提供了一个好的模型.调查的结果分为4个主要类型:信息技术的依赖、计算机安全的优先性、安全事件的趋势以及计算机安全的支出和意识.他们报告的一些结果包括:几乎所有的回复者的公司都进行常规备份,其中3/4在异地存放备份,这些商家主动与病毒作斗争;