大數據背景下信息安全外包策略的新思考

摘 要：在大數據的時代背景下，信息系統的廣泛運用在為市場及企業發展帶來紅利的同時也帶來許多安全隱患。將安全業務外包給管理安全服務供應商（MSSP）已成為應對不斷變化的安全挑戰的關鍵策略。本文通過研究大數據背景下信息安全外包的問題和特征，進一步分析將保險機制引入到企業信息安全外包策略體系中的可行性，為企業乃至政府部門和事業單位制定信息安全外包策略、設計合理的信息安全外包契約提供指導。

關鍵詞：信息安全策略;外包;保險機制

1.基于大數據背景的信息安全市場

大數據技術的高速成長推動產生了海量非結構化數據，如果不通過大數據分析及時挖掘其價值，本身沒有關聯性的非結構化數據便會隨著周期延遲而失去時效性。非結構化數據隱藏的巨大價值使得信息安全問題頻頻發生，數據信息的泄露和非法使用往往會給國家和人民群眾造成較大的經濟損失。數據顯示，全球 20個國家大約有 9.78 億人在 2020 年遭受網絡攻擊，經濟損失高達 1720 億美元。其中中國作為遭受網絡犯罪最嚴重的國家，大約3.52億的中國消費者曾是網絡犯罪的受害者，經濟損失達到 663 億美元，過去 4 年復合增長率為15.7%。層出不窮的互聯網信息安全問題引起了政府的關注，例如2017年我國出臺了《中國網絡安全法》，信息安全行業面臨空前的發展機遇。據Frost and Sullivan調查顯示，2016年全球MSSP市場達到147億美元，預計年均上升18.5%。伴隨信息安全產業爆發式增長機遇，我國信息安全外包服務市場規模迅速擴張。

2.大數據背景下信息安全外包風險控制的影響因素

信息安全外包服務市場呈現快速崛起的趨勢。但在大數據背景下信息安全外包服務不一定總是最佳選擇，一方面復雜又動態變化的信息系統不總那么安全，MSSP的操作不當可能會導致海量數據泄露，企業將產生巨大的損失;另一方面存在因信息及利益不對稱導致的委托代理問題[1];在動態變化的信息系統環境中信息安全外包策略的一大重要影響因素是黑客的攻擊，在信息安全投資策略中，通常把黑客攻擊按模式差異劃分成針對性攻擊與大規模攻擊。針對性攻擊指的是黑客以效益最大化為原則針對不同用戶或者企業實施不同的攻擊手段;而大規模攻擊則是黑客忽略攻擊對象的差異化隨機分配攻擊資源[2]。

隨著信息安全外包服務供應商（MSSP）的出現促進了企業將信息系統被黑客攻擊的風險轉移給MSSP。企業和MSSP之間極可能因為信息不對稱產生雙邊道德風險。因為企業和MSSP都無法準確知曉對方安全投資的績效，很難在外包過程中評估服務質量，所以會導致雙方做出低于社會最優水平的努力[3]，此時有效的信息安全外包策略能夠最大程度規避雙邊道德風險，引導企業和MSSP做出最高水平努力。因此，怎樣結合信息安全外包的特點和要求解決契約設計和風險控制問題;怎樣更好降低存在的風險都十分值得研究。

3.基于保險機制的信息安全外包服務選擇分析

鑒于信息安全復雜及動態變化的特點和前人已有的研究基礎，本文將保險機制引入到信息安全契約設計中進行分析，發現當企業和MSSP均為風險中性時，企業和MSSP在不引入保險機制與引入保險機制時的收益均相同;當企業和MSSP均為風險厭惡時，一定條件下，引入保險機制時企業和MSSP的效益大于不引入保險機制時雙方的效益，此時保險公司要求雙方繳納的保險費應隨著企業檢測能力和MSSP提供的服務質量達標率的提高而減少[4]。一方面可以根據企業和MSSP雙方的風險偏好選擇是否在信息安全外包策略中引入保險機制;另一方面，保險公司的保險費設置與企業及MSSP的努力水平成負相關。可以激勵雙方發揮其最大努力水平來降低其信息安全投資成本，有效解決委托代理問題并增加企業效益。

參考文獻：

[1]Koh C， Soon A， Straub D W. IT outsourcing success： a psychological contract perspective[J]. Information Systems Research， 2004， 15（4）： 356-373.

[2]顧建強. 信息系統安全投資策略及風險管理研究[D]. 2016.

[3]Bandyopadhyay T， Mookerjee V， Rao R C. Why IT managers dont go for ?cyber insurance products[J]. Communications of the ACM， 2009， 52（11）： 68-73.

[4]解慧慧， 廖貅武， 陳剛. 引入保險機制的IT外包合同設計及分析[J]. 系統工程學報， 2012， 27（3）： 18-26.

作者簡介：

康飛宇（2000-），女，漢族，本科。