×
Jomon A.保罗。;张敏娇

网络安全风险规划的决策支持模型:以企业、政府和攻击者为特征的两阶段随机规划框架。 (英语) Zbl 1487.90663号

欧洲药典。物件。 291,第1号,349-364(2021).
摘要:我们研究了网络安全风险规划中政府和企业资源配置策略的决策问题。为了尽量减少网络攻击造成的社会成本,我们不仅考虑了货币投资成本,还考虑了检测和遏制延迟造成的剥夺成本。我们还考虑了整体网络安全投资的正外部性对单个公司资源配置态度的影响。最优决策指导企业应对组合组合(检测、预防和遏制)和政府情报投资,同时考虑战略攻击者的行动和企业预算限制。我们通过一个两阶段随机规划模型来实现这一点。在第一阶段,企业决定通过政府情报投资来帮助预防和检测投资,以提高检测效率。在第二阶段,一旦攻击者的行为被意识到,公司会在评估网络攻击后决定遏制投资。我们通过一个案例研究证明了我们模型的适用性。我们发现,外部性可以减少政府的情报投资,公司的检测投资优先于遏制。我们还注意到,虽然预防有效性对情报的影响在减少,但鉴于情报在减少网络安全相关社会成本方面的回报越来越高,因此增加在情报上的支出是有益的。

引用于2文件

MSC公司:

90 C90 数学规划的应用
68层35 人工智能的语言和软件系统理论(基于知识的系统、专家系统等)
90立方厘米 随机规划
91B06型 决策理论

关键词:

决策分析;网络安全;随机规划;智力投资;社会成本;保障措施;外部性

软件:

CPLEX公司
PDF格式BibTeX公司 XML格式引用
\textit{J.A.Paul}和textit{M.Zhang},Eur.J.Oper。第291号决议,第1号,349--364(2021;Zbl 1487.90663)
全文: 内政部

参考文献:

[1] Bagchi,A。;Bandyopadhyay,T.,《情报输入在防御网络战和网络恐怖主义中的作用》,《决策分析》,第15、3、133-194页(2018年)
[2] Bagchi,A。;Paul,J.,《机场安全资源的优化配置:分析与筛选》,《运营研究》,第62、2、219-233页(2014年)·Zbl 1298.91097号
[3] Bagchi,A。;Paul,J.,《海上安全中的间谍与反恐海关贸易伙伴关系(c-TPAT)计划的最佳标准》,《欧洲运筹学杂志》,262,1,89-107(2017)·兹比尔1403.91078
[4] Bandyopadhyay,T。;雅各布,V。;Raghunathan,S.,《网络供应链中的信息安全:网络脆弱性和供应链整合对投资激励的影响》,《信息技术与管理》,11,1,7-23(2010)
[5] Baryshnikov,Y.,《IT安全投资和Gordon-Loeb的1/e规则》,第25-26页(2012年),《经济与信息安全研讨会:柏林经济与信息安全研讨会》
[6] 布雷克,C。;Bonami,P。;Lodi,A.,《用IBM-CPLEX解决混合整数二次规划问题:进展报告》,第二十六届RAMP研讨会论文集(2014年)
[7] 坎贝尔,K。;洛杉矶Gordon。;勒布,M.P。;周,L.,公开宣布的信息安全漏洞的经济成本:来自股票市场的经验证据,《计算机安全杂志》,11,3,431-448(2003)
[8] 乔拉斯,M。;科齐克,R。;弗利齐科夫斯基,A。;Holubowicz,W。;Renk,R。;Setola,R.,《影响关键基础设施的网络威胁》(Rosato,V.;Kyriakides,E.;Rome,E.,《管理关键基础设施复杂性》,《系统、决策和控制研究》,第90卷(2016年),Springer,Cham)
[9] Gal-Or,E。;Ghose,A.,共享安全信息的经济激励,信息系统研究,16,2,186-208(2005)
[10] 德国联邦信息安全局(2013)。IT-grundschutz-catalogues:第13版。
[11] 洛杉矶Gordon。;勒布,M。;Lucyshyn,W.,《共享计算机系统安全信息:经济分析》,《会计与公共政策杂志》,22,6,461-485(2003)
[12] 洛杉矶Gordon。;Loeb,M.P.,《网络安全投资经济学》,《ACM信息系统安全交易》,第5438-457页(2002年)
[13] 洛杉矶Gordon。;勒布,M.P。;Lucyshyn,W。;周,L.,《增加对私营企业的网络安全投资》,《网络安全杂志》,2015年第1期,第3-17页
[14] 戈登,洛杉矶。;勒布,M.P。;周,L.,《信息安全漏洞的影响:成本是否发生了下降?》?,《计算机安全杂志》,19,33-56(2011)
[15] 政府问责办公室(GAO)(2006年)。关键基础设施保护:协调政府和私营部门工作的进展因部门特点而异。https://www.gao.gov/products/gao-07-39。2018年6月13日查阅。
[16] 政府问责局(GAO)(2018)。关键基础设施保护:其他行动对于评估网络安全框架的采用至关重要。https://www.gao.gov/assets/700/690112.pdf。2019年2月5日访问。
[17] 2006
[18] Hoang,D.T.、Niyato,D.、Wang,P.、Wang、S.S.、Nguyen,D.和Dutkiewicz,E.(2017)。移动云计算风险管理的随机规划方法。ArXiv:1712.05913。
[19] Holguín-Veras,J。;佩雷斯,N。;贾勒,M。;Van Wassenhove,L.N。;Aros-Vera,F.,《关于灾后人道主义物流模型的适当目标函数》,《运营管理杂志》,31,5,262-280(2013)
[20] Hua,J。;Bapna,S.,《网络恐怖主义的经济影响》,《战略信息系统杂志》,22,2,175-186(2013)
[21] Lee,J。;美国帕勒卡尔。;Qualls,W.,《供应链效率与安全:技术合作投资的协调》,《欧洲运筹学杂志》,210,3568-578(2011)·Zbl 1213.90065号
[22] LeLarge,M.,《网络安全游戏中的协调:单调比较静力学方法》,IEEE通讯选定领域期刊,30,2210-2219(2012)
[23] 纳格尼,A。;Shukla,S.,《网络安全投资竞争与合作以及网络脆弱性的多公司模型》,《欧洲运筹学杂志》,260,2588-600(2017)·Zbl 1403.91217号
[24] Obama,B.(2013)。白宫第13636号总统行政命令:改善关键基础设施网络安全。https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity。2018年6月13日查阅。
[25] 新闻界。
[26] Png、I.P.L。;Wang,Q.H.,《信息安全:促进用户预防措施对抗攻击者》,《管理信息系统杂志》,2009年第26期,第2期,第97-121页
[27] 波尼蒙研究所(2016)。网络犯罪研究的成本和商业创新的风险。https://www.ponemon.org/blog/2016-cost-of-cyber-crime-study-the-risk-of-business-innovation。2018年4月3日查阅。
[28] 波尼蒙研究所(2017)。数据泄露成本研究:全球概览。https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03130WWEN。2018年4月3日查阅。
[29] 1-23
[30] Rakes,T.R。;迪恩,J.K。;Rees,P.L.,高影响事件不确定性下的IT安全规划,Omega,40,1,79-88(2012)
[31] 兰斯波坦,S。;Mitra,S.,《选择与机会:信息安全妥协途径的概念模型》,《信息系统研究》,第20、1、121-139页(2009年)
[32] 里斯,L.P。;迪恩,J.K。;Rakes,T.R。;Baker,W.H.,《网络安全风险规划的决策支持》,《决策支持系统》,第51、3、493-505页(2011年)
[33] Romanosky,S.,《检查网络事件的成本和原因》,《网络安全杂志》,1-15(2016)
[34] Sawik,T.,《IT安全规划中最佳应对措施组合的选择》,决策支持系统,55,1,156-164(2013)
[35] Schilling,A.,《在不确定和不断变化的环境中安全IT运营的框架》,《计算机与运营研究》,85,139-153(2017)·Zbl 1458.90400号
[36] 席林,A。;Werners,B.,《从现有知识库中优化选择IT安全保障措施》,《欧洲运筹学杂志》,248,1,318-327(2016)·Zbl 1346.90860号
[37] 证券交易委员会(SEC)(2011年)。企业融资披露指南:主题2。https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm。2018年6月13日访问。
[38] 西蒙,J。;Omar,A.,《供应链中的网络安全投资:协调与战略攻击者》,《欧洲运筹学杂志》,282,1,161-171(2020)·Zbl 1430.90132号
[39] Varian,H.,《系统可靠性和搭便车》(Camp,L.J.;Lewis,S.,《信息安全经济学》(2004),美国:施普林格出版社),1-15
[40] 维图托,V。;Maple,C。;黄,W。;Lpez-Perz,D.,多目标网络安全对策选择问题的新型风险评估和优化模型,决策支持系统,53,3,599-610(2012)
[41] 世界经济论坛(2014)。超互联世界中的风险和责任。http://reports.weforum.org/hyperconnected-world-2014/wp-content/blogs.dir/37/mp/files/pages/files/final-15-01-revisibility-in-a-hyperconnected-world-report.pdf。2018年6月13日查阅。
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。