郭晨晨， 許相東

(中國(guó)神華國(guó)際工程有限公司， 北京 100002)

0 引言

隨著信息化和網(wǎng)絡(luò)化的迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)重。網(wǎng)絡(luò)病毒、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件層出不窮[1-3]。網(wǎng)絡(luò)安全事件的規(guī)模越來越大，影響越來越廣，波及了政府、金融、教育、能源、制造業(yè)等各個(gè)領(lǐng)域。惡意程序及安全漏洞數(shù)量持續(xù)走高，安全態(tài)勢(shì)日益復(fù)雜。根據(jù)RiskIQ發(fā)布的年度報(bào)告，2018年全球因網(wǎng)絡(luò)犯罪造成的損失達(dá)15 000億美元，較2014年的4 450億美元增長(zhǎng)了237%[4-5]。

全球網(wǎng)絡(luò)安全市場(chǎng)以安全服務(wù)為主，我國(guó)網(wǎng)絡(luò)安全市場(chǎng)暫以安全硬件為主。2018年全球網(wǎng)絡(luò)安全市場(chǎng)結(jié)構(gòu)中，安全服務(wù)占比達(dá)到64.4%，安全廠商提供的安全服務(wù)以訂閱化服務(wù)為主。而同期我國(guó)網(wǎng)絡(luò)安全市場(chǎng)結(jié)構(gòu)中安全硬件占比接近一半，安全服務(wù)占比僅為14%，但占比逐年提升。當(dāng)前嚴(yán)峻的安全態(tài)勢(shì)以及新興技術(shù)的普及使得企業(yè)安全架構(gòu)和管理變得更加復(fù)雜，風(fēng)險(xiǎn)評(píng)估、安全管理咨詢等越發(fā)受重視[6-8]。

隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制和大數(shù)據(jù)等新興技術(shù)的出現(xiàn)，網(wǎng)絡(luò)安全內(nèi)涵不斷豐富，企事業(yè)單位對(duì)于持續(xù)性的網(wǎng)絡(luò)安全服務(wù)需求逐漸增加，安全服務(wù)占比將逐步增長(zhǎng)。賽迪顧問在《中國(guó)網(wǎng)絡(luò)安全發(fā)展白皮書(2019)》報(bào)告中表示，2018年我國(guó)網(wǎng)絡(luò)安全行業(yè)的市場(chǎng)規(guī)模為495.2億元，同比增長(zhǎng)20.9%，而同期全球網(wǎng)絡(luò)安全市場(chǎng)規(guī)模為1 269.8億美元，同比增速為8.5%。相較于全球市場(chǎng)，我國(guó)網(wǎng)絡(luò)安全行業(yè)的市場(chǎng)規(guī)模占比較小，但增速更快，未來具有巨大的發(fā)展空間，預(yù)計(jì)2021年我國(guó)網(wǎng)絡(luò)安全的市場(chǎng)規(guī)模超過900億元[9-10]。

在龐大的網(wǎng)絡(luò)安全市場(chǎng)下，如何對(duì)網(wǎng)絡(luò)安全項(xiàng)目建設(shè)費(fèi)用進(jìn)行科學(xué)地估算顯得越來越重要，這樣才可以有效控制建設(shè)資金的投入，提高項(xiàng)目的預(yù)算能力。

1 真實(shí)盈余管理計(jì)量模型

Roychowdhury(2006)[11]在其研究中將真實(shí)盈余管理進(jìn)行量化，分為經(jīng)營(yíng)現(xiàn)金流量、產(chǎn)品成本和酌量性費(fèi)用。按照Roychowdhury提供的思路，用以下模型對(duì)真實(shí)盈余管理進(jìn)行衡量。

(1) 經(jīng)營(yíng)現(xiàn)金流量模型

(2) 產(chǎn)品成本模型

其中，COGSi,t為i公司t期的銷售成本，ΔINVi,t表示i公司t期存貨變動(dòng)額。

(3) 費(fèi)用模型

(4) 真實(shí)盈余管理模型

對(duì)于以上三種模型用最小二乘法分年度分行業(yè)進(jìn)行回歸，并估計(jì)出各式的回歸系數(shù)，算出異常估計(jì)值，最后用各年度的實(shí)際值與估計(jì)值相減就可得出各項(xiàng)異常值。三類異常值的總和即為真實(shí)盈余管理程度，用公式表示為REM=R_PROD-R_CFO-R_DISX。

2 研究方法和模型

2.1 研究概述

規(guī)模估算方法是一種更加客觀的估算方法，因?yàn)橐?guī)模是事物相對(duì)恒定的一種屬性，不會(huì)因不同實(shí)施單位采取不同技術(shù)或平臺(tái)而變化。規(guī)模估算方法在網(wǎng)絡(luò)安全服務(wù)領(lǐng)域目前還沒有被研究和應(yīng)用，本文的研究目標(biāo)就是建立網(wǎng)絡(luò)安全服務(wù)規(guī)模估算模型，模型的整體結(jié)構(gòu),如圖1所示。

圖1 模型整體結(jié)構(gòu)示意圖

2.2 規(guī)模估算方法

規(guī)模估算方法在軟件領(lǐng)域已經(jīng)很成熟，有相應(yīng)的國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)標(biāo)準(zhǔn)。軟件規(guī)模估算的度量角度是功能規(guī)模，度量單位是功能點(diǎn)。通過功能點(diǎn)方法得出功能點(diǎn)數(shù)量，功能點(diǎn)數(shù)量代表著軟件功能規(guī)模的大小，是軟件的相對(duì)固有屬性，不會(huì)因軟件開發(fā)人員的能力或采用的技術(shù)方案而變化。有了功能點(diǎn)數(shù)量，就可以按照單位功能點(diǎn)的價(jià)格估算出項(xiàng)目費(fèi)用。

這種基于功能規(guī)模的估算方法獨(dú)立于具體實(shí)現(xiàn)的技術(shù)和平臺(tái)，它只關(guān)注最終交付給用戶的軟件功能并對(duì)其進(jìn)行度量，因此進(jìn)行費(fèi)用估算的結(jié)果是非常穩(wěn)定和比較準(zhǔn)確的，而且對(duì)估算人員的能力要求也比較低，不需要懂技術(shù)的軟件專業(yè)人員就能開展估算工作。另外這種方法，不同人員估算的結(jié)果差異也比較小，所以比較穩(wěn)定。甲方人員可以自己進(jìn)行評(píng)估，在早期規(guī)劃和預(yù)算階段就可以自行估算項(xiàng)目的費(fèi)用。

在網(wǎng)絡(luò)安全服務(wù)領(lǐng)域，要應(yīng)用規(guī)模估算方法進(jìn)行費(fèi)用估算，首先要找到網(wǎng)絡(luò)安全服務(wù)規(guī)模的特點(diǎn)，從特點(diǎn)中進(jìn)行分析和抽象找出關(guān)鍵因素。常見的網(wǎng)絡(luò)安全服務(wù)類型有等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、漏洞掃描、滲透測(cè)試、安全加固、安全維保、安全測(cè)評(píng)、安全監(jiān)測(cè)、代碼安全、密碼安全、攻防演練和應(yīng)急演練等，經(jīng)過數(shù)據(jù)分析，影響這些安全服務(wù)和規(guī)模有關(guān)的因素主要集中在兩個(gè)方面：一是實(shí)施對(duì)象的數(shù)量，另一個(gè)是實(shí)施資源的數(shù)量。

實(shí)施對(duì)象指的是網(wǎng)絡(luò)安全服務(wù)具體開展工作的對(duì)象，比如等級(jí)保護(hù)測(cè)評(píng)的對(duì)象是定級(jí)對(duì)象(包括信息系統(tǒng)，通信網(wǎng)絡(luò)設(shè)施，計(jì)算環(huán)境等)，風(fēng)險(xiǎn)評(píng)估、漏洞掃描、滲透測(cè)試和安全加固等服務(wù)的對(duì)象是信息系統(tǒng)。

實(shí)施資源指的是開展網(wǎng)絡(luò)安全服務(wù)時(shí)，沒有特定的實(shí)施對(duì)象，但有特定的資源(人員)要求。比如攻防演練，要求一定數(shù)量攻擊隊(duì)伍和防守隊(duì)伍。

3 結(jié)果分析

為了獲得不同網(wǎng)絡(luò)安全服務(wù)的費(fèi)用估算取值，從政府采購(gòu)網(wǎng)公開的網(wǎng)絡(luò)安全服務(wù)項(xiàng)目中標(biāo)數(shù)據(jù)中采集了300條相應(yīng)的安全服務(wù)類型、中標(biāo)價(jià)格以及服務(wù)規(guī)模數(shù)據(jù)。

經(jīng)過大量數(shù)據(jù)的分析整理，得出下面的網(wǎng)絡(luò)安全服務(wù)費(fèi)用估算取值矩陣，如表1所示。

每類網(wǎng)絡(luò)安全服務(wù)的規(guī)模單價(jià)通過百分位數(shù)據(jù)(P10,P25,P50,P75,P90)來表示。

其中攻防演練的規(guī)模是用實(shí)施資源(每2支攻防隊(duì)伍)來衡量的。應(yīng)急演練的規(guī)模是用應(yīng)急預(yù)案的數(shù)量來衡量的，其他的安全服務(wù)基本上是用信息系統(tǒng)的數(shù)量來衡量。

如何選取不同百分位的規(guī)模單價(jià)數(shù)據(jù)，取決于復(fù)雜度因子。復(fù)雜度因子和規(guī)模單價(jià)取值范圍的對(duì)照,如表2所示。

4 實(shí)例應(yīng)用

為了更好的驗(yàn)證網(wǎng)絡(luò)安全服務(wù)費(fèi)用估算的研究成果，在國(guó)家能源集團(tuán)內(nèi)部選取了部分項(xiàng)目進(jìn)行了應(yīng)用。在集團(tuán)公司2019年護(hù)網(wǎng)咨詢與服務(wù)項(xiàng)目中涉及到了很多網(wǎng)絡(luò)安全服務(wù)的內(nèi)容，以下從攻防演練、滲透測(cè)試和等級(jí)保護(hù)三方面進(jìn)行實(shí)例應(yīng)用。

(1) 攻防演練的需求是“采購(gòu)第三方攻防演練服務(wù)，護(hù)網(wǎng)前模擬真實(shí)攻防進(jìn)行攻防預(yù)演習(xí)，聘請(qǐng)攻擊隊(duì)伍和防守隊(duì)伍對(duì)集團(tuán)進(jìn)行攻擊防守演練(每支攻防隊(duì)伍35人，共聘請(qǐng)4支攻防隊(duì)伍)”

該項(xiàng)網(wǎng)絡(luò)安全服務(wù)的規(guī)模為4支攻防隊(duì)伍，復(fù)雜度因子為25～50，對(duì)應(yīng)的百分位取值P90=769 316元/每2支隊(duì)伍，因此攻防演練費(fèi)用估算為769 316×2=1 538 632元。

(2) 滲透測(cè)試的需求是“采購(gòu)第三方滲透測(cè)試服務(wù)，對(duì)集團(tuán)70套對(duì)外發(fā)布的重點(diǎn)系統(tǒng)進(jìn)行滲透測(cè)試，找出其中漏洞進(jìn)行整改修復(fù)”

表1 網(wǎng)絡(luò)安全服務(wù)規(guī)模單價(jià)和費(fèi)用估算取值矩陣

表2 復(fù)雜度因子和規(guī)模單價(jià)取值范圍對(duì)照表

該項(xiàng)網(wǎng)絡(luò)安全服務(wù)的規(guī)模為系統(tǒng)數(shù)量，系統(tǒng)造價(jià)平均每套300萬左右，復(fù)雜度因子為對(duì)應(yīng)的百分位取值P50～P75，規(guī)模單價(jià)取值范圍為18 000～43 025元/系統(tǒng)，因此滲透測(cè)試費(fèi)用估算為(20 000+43 025)/2×70=2 205 875元。

(3) 等級(jí)保護(hù)的需求是“采購(gòu)第三方等級(jí)保護(hù)服務(wù)，對(duì)集團(tuán)10套對(duì)外發(fā)布的保護(hù)系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)試，找出其中漏洞進(jìn)行保護(hù)修復(fù)”

該項(xiàng)網(wǎng)絡(luò)安全服務(wù)的規(guī)模為10套等級(jí)系統(tǒng)，復(fù)雜度因子為30～60，規(guī)模單價(jià)取值范圍為62 500～73 600元/系統(tǒng)，因此滲透測(cè)試費(fèi)用估算為73 600/2×10=368 000元。

5 總結(jié)

基于真實(shí)盈余計(jì)量模型的網(wǎng)絡(luò)安全服務(wù)費(fèi)用估算方法還需要在實(shí)踐中不斷完善，目前的研究只是覆蓋了大部分的網(wǎng)絡(luò)安全服務(wù)類型，還有一些安全服務(wù)類型需要繼續(xù)研究。另外復(fù)雜度因子和規(guī)模單價(jià)數(shù)據(jù)的準(zhǔn)確度受限于采集的樣本數(shù)量，后期需要加大數(shù)據(jù)量不斷完善。