基于真實盈余計量模型的網絡安全服務費用估算分析

郭晨晨， 許相東

(中國神華國際工程有限公司， 北京 100002)

0 引言

隨著信息化和網絡化的迅猛發展，網絡安全問題日益嚴重。網絡病毒、數據泄露等網絡安全事件層出不窮[1-3]。網絡安全事件的規模越來越大，影響越來越廣，波及了政府、金融、教育、能源、制造業等各個領域。惡意程序及安全漏洞數量持續走高，安全態勢日益復雜。根據RiskIQ發布的年度報告，2018年全球因網絡犯罪造成的損失達15 000億美元，較2014年的4 450億美元增長了237%[4-5]。

全球網絡安全市場以安全服務為主，我國網絡安全市場暫以安全硬件為主。2018年全球網絡安全市場結構中，安全服務占比達到64.4%，安全廠商提供的安全服務以訂閱化服務為主。而同期我國網絡安全市場結構中安全硬件占比接近一半，安全服務占比僅為14%，但占比逐年提升。當前嚴峻的安全態勢以及新興技術的普及使得企業安全架構和管理變得更加復雜，風險評估、安全管理咨詢等越發受重視[6-8]。

隨著云計算、物聯網、移動互聯、工業控制和大數據等新興技術的出現，網絡安全內涵不斷豐富，企事業單位對于持續性的網絡安全服務需求逐漸增加，安全服務占比將逐步增長。賽迪顧問在《中國網絡安全發展白皮書(2019)》報告中表示，2018年我國網絡安全行業的市場規模為495.2億元，同比增長20.9%，而同期全球網絡安全市場規模為1 269.8億美元，同比增速為8.5%。相較于全球市場，我國網絡安全行業的市場規模占比較小，但增速更快，未來具有巨大的發展空間，預計2021年我國網絡安全的市場規模超過900億元[9-10]。

在龐大的網絡安全市場下，如何對網絡安全項目建設費用進行科學地估算顯得越來越重要，這樣才可以有效控制建設資金的投入，提高項目的預算能力。

1 真實盈余管理計量模型

Roychowdhury(2006)[11]在其研究中將真實盈余管理進行量化，分為經營現金流量、產品成本和酌量性費用。按照Roychowdhury提供的思路，用以下模型對真實盈余管理進行衡量。

(1) 經營現金流量模型

(2) 產品成本模型

其中，COGSi,t為i公司t期的銷售成本，ΔINVi,t表示i公司t期存貨變動額。

(3) 費用模型

(4) 真實盈余管理模型

對于以上三種模型用最小二乘法分年度分行業進行回歸，并估計出各式的回歸系數，算出異常估計值，最后用各年度的實際值與估計值相減就可得出各項異常值。三類異常值的總和即為真實盈余管理程度，用公式表示為REM=R_PROD-R_CFO-R_DISX。

2 研究方法和模型

2.1 研究概述

規模估算方法是一種更加客觀的估算方法，因為規模是事物相對恒定的一種屬性，不會因不同實施單位采取不同技術或平臺而變化。規模估算方法在網絡安全服務領域目前還沒有被研究和應用，本文的研究目標就是建立網絡安全服務規模估算模型，模型的整體結構,如圖1所示。

圖1 模型整體結構示意圖

2.2 規模估算方法

規模估算方法在軟件領域已經很成熟，有相應的國際標準和國內標準。軟件規模估算的度量角度是功能規模，度量單位是功能點。通過功能點方法得出功能點數量，功能點數量代表著軟件功能規模的大小，是軟件的相對固有屬性，不會因軟件開發人員的能力或采用的技術方案而變化。有了功能點數量，就可以按照單位功能點的價格估算出項目費用。

這種基于功能規模的估算方法獨立于具體實現的技術和平臺，它只關注最終交付給用戶的軟件功能并對其進行度量，因此進行費用估算的結果是非常穩定和比較準確的，而且對估算人員的能力要求也比較低，不需要懂技術的軟件專業人員就能開展估算工作。另外這種方法，不同人員估算的結果差異也比較小，所以比較穩定。甲方人員可以自己進行評估，在早期規劃和預算階段就可以自行估算項目的費用。

在網絡安全服務領域，要應用規模估算方法進行費用估算，首先要找到網絡安全服務規模的特點，從特點中進行分析和抽象找出關鍵因素。常見的網絡安全服務類型有等級保護測評、風險評估、漏洞掃描、滲透測試、安全加固、安全維保、安全測評、安全監測、代碼安全、密碼安全、攻防演練和應急演練等，經過數據分析，影響這些安全服務和規模有關的因素主要集中在兩個方面：一是實施對象的數量，另一個是實施資源的數量。

實施對象指的是網絡安全服務具體開展工作的對象，比如等級保護測評的對象是定級對象(包括信息系統，通信網絡設施，計算環境等)，風險評估、漏洞掃描、滲透測試和安全加固等服務的對象是信息系統。

實施資源指的是開展網絡安全服務時，沒有特定的實施對象，但有特定的資源(人員)要求。比如攻防演練，要求一定數量攻擊隊伍和防守隊伍。

3 結果分析

為了獲得不同網絡安全服務的費用估算取值，從政府采購網公開的網絡安全服務項目中標數據中采集了300條相應的安全服務類型、中標價格以及服務規模數據。

經過大量數據的分析整理，得出下面的網絡安全服務費用估算取值矩陣，如表1所示。

每類網絡安全服務的規模單價通過百分位數據(P10,P25,P50,P75,P90)來表示。

其中攻防演練的規模是用實施資源(每2支攻防隊伍)來衡量的。應急演練的規模是用應急預案的數量來衡量的，其他的安全服務基本上是用信息系統的數量來衡量。

如何選取不同百分位的規模單價數據，取決于復雜度因子。復雜度因子和規模單價取值范圍的對照,如表2所示。

4 實例應用

為了更好的驗證網絡安全服務費用估算的研究成果，在國家能源集團內部選取了部分項目進行了應用。在集團公司2019年護網咨詢與服務項目中涉及到了很多網絡安全服務的內容，以下從攻防演練、滲透測試和等級保護三方面進行實例應用。

(1) 攻防演練的需求是“采購第三方攻防演練服務，護網前模擬真實攻防進行攻防預演習，聘請攻擊隊伍和防守隊伍對集團進行攻擊防守演練(每支攻防隊伍35人，共聘請4支攻防隊伍)”

該項網絡安全服務的規模為4支攻防隊伍，復雜度因子為25～50，對應的百分位取值P90=769 316元/每2支隊伍，因此攻防演練費用估算為769 316×2=1 538 632元。

(2) 滲透測試的需求是“采購第三方滲透測試服務，對集團70套對外發布的重點系統進行滲透測試，找出其中漏洞進行整改修復”

表1 網絡安全服務規模單價和費用估算取值矩陣

表2 復雜度因子和規模單價取值范圍對照表

該項網絡安全服務的規模為系統數量，系統造價平均每套300萬左右，復雜度因子為對應的百分位取值P50～P75，規模單價取值范圍為18 000～43 025元/系統，因此滲透測試費用估算為(20 000+43 025)/2×70=2 205 875元。

(3) 等級保護的需求是“采購第三方等級保護服務，對集團10套對外發布的保護系統進行等級保護測試，找出其中漏洞進行保護修復”

該項網絡安全服務的規模為10套等級系統，復雜度因子為30～60，規模單價取值范圍為62 500～73 600元/系統，因此滲透測試費用估算為73 600/2×10=368 000元。

5 總結

基于真實盈余計量模型的網絡安全服務費用估算方法還需要在實踐中不斷完善，目前的研究只是覆蓋了大部分的網絡安全服務類型，還有一些安全服務類型需要繼續研究。另外復雜度因子和規模單價數據的準確度受限于采集的樣本數量，后期需要加大數據量不斷完善。