趙紅漫 趙柳榕 李嬌

【摘 要】 以2011—2020年我國滬深A股上市公司在國家信息安全漏洞共享平臺公開的漏洞信息為樣本，運用事件研究法分析企業(yè)異常收益率在漏洞披露時間附近的變化情況，判斷披露事件對企業(yè)累積異常收益率的負面影響，并闡釋企業(yè)累積異常收益率的影響因素及影響程度。結果表明：漏洞評分、企業(yè)補丁響應行為、企業(yè)規(guī)模和漏洞公布時間對企業(yè)累積異常收益率有顯著正向影響，但隨著漏洞評分的增大，補丁響應行為對企業(yè)的影響效果會減弱；漏洞披露的延誤程度對企業(yè)累積異常收益率有顯著負向影響；企業(yè)所屬產業(yè)對企業(yè)累積異常收益率無顯著影響。最后為企業(yè)和漏洞披露平臺提出信息安全漏洞披露的策略和建議。

【關鍵詞】 信息安全漏洞； 累積異常收益率； 漏洞披露

【中圖分類號】 F832.0；C931? 【文獻標識碼】 A? 【文章編號】 1004-5937（2023）15-0075-08

一、引言

隨著我國數字經濟的高速發(fā)展，信息技術與各行業(yè)深度融合，但漏洞威脅也與日俱增?！吨袊ヂ摼W網絡安全報告》顯示，2020年國家信息安全漏洞共享平臺（CNVD）共收錄通用軟硬件漏洞近兩萬起，較2019年漏洞收錄總數環(huán)比增長24.39%。信息安全事件不僅給企業(yè)造成直接的經濟損失，而且對企業(yè)聲譽和信任度產生無法估計的負面影響。例如，2018年Facebook披露了一個安全漏洞，超過5 000萬用戶受到影響，Facebook股價因此事件下跌超4%，市值減少了245億美元。近年來，政府和企業(yè)愈發(fā)意識到網絡安全是影響數字經濟健康發(fā)展的前提和保障，已成為國際上非傳統(tǒng)安全領域競爭的熱點。網絡安全是總體國家安全觀的重要內容。黨的二十大報告多次提到“安全”，并鮮明提出“要推進國家安全體系和能力現代化，堅決維護國家安全和社會穩(wěn)定”，“以新安全格局保障新發(fā)展格局”。對漏洞的管理，我國一直堅持“統(tǒng)籌發(fā)展與安全”的理念。為了提升網絡安全防護水平，《網絡安全法》新增了漏洞披露等規(guī)定。然而，我國漏洞披露機制起步較晚，大多企業(yè)無法評估漏洞披露信息所帶來的影響。因此，研究企業(yè)信息安全漏洞披露的影響因素和影響程度至關重要。

近年來關于漏洞披露的研究較為豐富。Berkman等[ 1 ]認為漏洞披露與市場價值具有相關性，并拓展了網絡安全意識的衡量標準。Jeong等[ 2 ]發(fā)現企業(yè)所屬行業(yè)的信息化程度不同，股票市場對漏洞披露的反應也不同。然而，關于漏洞對股票市場的影響和安全漏洞披露機制等現有研究較少。Campbell等[ 3 ]較早基于傳統(tǒng)資本資產定價模型開展相關研究，隨后Gordon等[ 4 ]建立改進的Frame-French三因素模型發(fā)現漏洞類型對股票市場有顯著的負面影響。在此基礎上，溫雅欣[ 5 ]以2010—2016年間美國上市企業(yè)為樣本，分析漏洞發(fā)生和公告時滯對股票市場的影響。也有學者研究漏洞披露時間對股票市場的影響。Kannan等[ 6 ]發(fā)現信息安全披露在某些時間窗口沒有顯著的負面影響。Hovav等[ 7 ]研究發(fā)現漏洞對企業(yè)的影響隨時間推移而變化，而市場對攻擊事件持有“觀望”態(tài)度。Rosati等[ 8 ]發(fā)現數據泄露公告僅在當日對企業(yè)股票的買賣價差和交易量產生正面影響，隨后市場活動迅速恢復正常。此外，Rosati等[ 9 ]以2011—2014年美國數據泄露事件為樣本，指出社交媒體的曝光會加劇數據泄露公告對股市的負面影響。在信息安全漏洞披露體制方面，Al-najjar等[ 10 ]分析了自愿披露前瞻性信息對企業(yè)的作用，Wang等[ 11 ]通過設計動態(tài)的獎勵與監(jiān)察政策從長遠角度最小化社會成本，Uldis[ 12 ]分析了拉脫維亞國家披露機制條例建立的過程。還有學者比較我國和西方國家的信息安全漏洞披露政策，設計了更完善的網絡安全披露體系[ 13-14 ]。

在已有研究成果中，事件研究法是解決該問題的經典方法，可以分析信息安全事件發(fā)生對企業(yè)股價和收益率的影響，并以此檢驗金融市場對漏洞披露的反應程度。例如Goel等[ 15 ]、王秦等[ 16 ]分別選擇較長的事件窗口評估信息安全事件對上市企業(yè)市值收益的影響，但Pirounias等[ 17 ]指出較長的事件窗口不僅與有效市場假設相反，而且加劇了其他隨機事件影響市場反應的可能性。因此，本文擬選擇較短的事件窗口以避免其他事件的混合效應，從而更好地衡量企業(yè)的累積異常收益率。

綜上，已有研究大多基于美國企業(yè)及其信息安全漏洞披露數據，缺少定量分析市場對我國企業(yè)信息安全漏洞披露的反應，無法結合我國市場情況和相關法律法規(guī)為企業(yè)提供合理的漏洞披露建議以盡可能降低損失。在筆者查詢到的唯一份分析我國信息安全事件對公司價值影響的研究中，王秦等[ 16 ]考慮了公司規(guī)模、所屬行業(yè)、事件的社會回應（通過社交媒體就事件解釋原因）和事件涉及的數據類型、事件發(fā)生的時間等因素，探討信息安全事件發(fā)生的時間、行業(yè)和社會回應與公司價值的相關性，但其研究側重于信息安全事件發(fā)生的視角，沒有從漏洞披露視角分析企業(yè)市值將受到何種程度的影響。目前，我國安全漏洞的披露機制尚不成熟，研究漏洞披露對企業(yè)累積異常收益率的影響及影響因素可為企業(yè)的信息安全投資決策、安全披露應急響應及政府的披露政策等提供科學依據。因此，本文以2011—2020年間信息安全漏洞事件為樣本，采用事件研究法分析企業(yè)特定時間窗口內異常收益率的變化以及漏洞披露對累積異常收益率的顯著性影響，并結合回歸模型探究不同因素對企業(yè)累積異常收益率的影響，并為企業(yè)和漏洞披露平臺提出信息安全漏洞披露策略和建議。

二、研究設計與模型構建

（一）數據獲取與樣本選擇

本文從中國證監(jiān)會指定的上市公司信息披露網站巨潮資訊網獲取相關股票數據，從國家信息安全漏洞共享平臺（CNVD）獲取相關漏洞披露信息。鑒于我國股指期貨合約在2010年才正式上市交易，2011年后股市制度逐漸完善和成熟，因此選擇2011—2020年間的上市公司相關數據進行研究。首先，采集國家信息安全漏洞共享平臺的相關數據共696 306條，通過數據清洗選擇在滬深A股證券市場上交易的上市公司為樣本，采集字段包括企業(yè)名稱、漏洞類型、漏洞解決方案、漏洞報送時間、漏洞公開日期、漏洞收錄時間等。其次按照以下四個標準進一步篩選：（1）剔除樣本事件發(fā)生期間未上市的企業(yè)；（2）剔除樣本事件發(fā)生期間和估計期內存在停復牌的企業(yè)；（3）剔除樣本事件發(fā)生期間內交易數據不可得的企業(yè)；（4）若同一家企業(yè)樣本事件估計期與其他樣本事件發(fā)生期重合，只保留最先發(fā)生的事件。最后篩選出35家企業(yè)的39個樣本事件，共計234條漏洞披露數據和4 953條股票數據。

（二）研究方法

為了探究漏洞披露對企業(yè)市值的影響，本文首先采用事件研究法分析企業(yè)異常收益率的變化情況，判斷漏洞披露是否對企業(yè)的累積異常收益率具有顯著性影響；其次利用回歸模型分析企業(yè)累積異常收益率的影響因素及其影響程度，并提出相關結論。

定義事件為CNVD平臺發(fā)布的信息安全漏洞公告。參考已有研究，以漏洞公告日作為第0天，設事件估計窗口為120天；為避免較長的事件窗口可能會增加其他因素干擾股價市場的風險，將事件窗口的開始日期設定為事件發(fā)生的前3天，結束日期分別設定為漏洞公告日、事件發(fā)生后的第1天、事件發(fā)生后的第2天。企業(yè)i的個股異常收益率為ARi，t=Ri，t-Ri，t'。其中Ri，t= 為企業(yè)i的個股日收益率，Pi，t-1、Pi，t分別為企業(yè)i在第t-1天和第t天的收盤價格，Ri，t'=？琢i+？茁iRmt+？著it為企業(yè)i個股的預期收益率（即正常收益率），？琢i、？茁i分別為市場模型的攔截參數和斜坡參數，Rmt為上海/深圳證券綜合指數計算出的市場日收益率，？著it為干擾項。由此可得，企業(yè)的累積異常收益率為CARi（k）= ARit，平均異常收益率為AARt= ，平均累積異常收益率為ACRt= 。

本文對平均異常收益率和平均累積異常收益率在5%與95%分位點上進行縮尾（Winsorize）處理，控制極端值對結果的影響，并對縮尾前后的累積異常收益率進行t檢驗、秩和檢驗，探索漏洞披露是否對企業(yè)股票收益產生影響，分析其影響程度。

（三）模型建立

通過總結Gordon等[ 4 ]、溫雅欣[ 5 ]、王秦等[ 16 ]的研究成果，提取企業(yè)規(guī)模和漏洞披露的延誤程度等因素作為解釋變量。另外，結合CNVD平臺披露的漏洞描述信息內容及《網絡安全法》的漏洞披露要求，將漏洞評分、漏洞披露日期和企業(yè)補丁響應行為補充考慮到模型中。變量具體說明如下：

1.企業(yè)規(guī)模（scale）。一方面，規(guī)模較大的企業(yè)可以采取更完善的措施應對漏洞披露事件，而小型企業(yè)可能會因應對不當造成較大損失；另一方面，社會媒體對大型企業(yè)的關注度較高，可能會加劇漏洞披露的負面效應。

2.漏洞評分（score）。漏洞對信息的機密性、完整性和可用性造成威脅，具有多維屬性，不同評分的漏洞一般對應不同的漏洞類型，對企業(yè)的威脅程度和可能造成的損失也不同。CNVD平臺的漏洞描述中包含三種屬性的漏洞評分，本文統(tǒng)計了所有事件的漏洞評分用于后續(xù)實證分析。

3.漏洞披露的延誤程度（days）。信息安全漏洞的報送時間和公布時間具有時間差，分析漏洞披露的時間差可判斷披露行為的延誤程度。例如，較短的時間差意味著漏洞披露的延誤程度較小，即披露比較及時，減少了企業(yè)和投資者間的信息不對稱。因此，漏洞披露的延誤程度可能會對企業(yè)股價產生影響。

4.漏洞披露日期（time）。2017年我國正式實施《網絡安全法》，其中第二十二條規(guī)定“網絡產品、服務的提供者發(fā)現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告”，第五十五條規(guī)定“發(fā)生網絡安全事件……及時向社會發(fā)布與公眾有關的警示信息”。因此，本文以《網絡安全法》施行日期為基準，比較法律法規(guī)實施前后股票投資者對漏洞披露的態(tài)度是否發(fā)生變化。

5.企業(yè)的補丁響應行為（response）。發(fā)生漏洞披露事件時，若企業(yè)及時提出解決方案（例如發(fā)布相關補丁），可能有助于減輕漏洞披露事件對企業(yè)的負面影響。本文參考CNVD平臺公布的信息確定企業(yè)是否采取補丁響應。

除了上述變量對企業(yè)累積異常收益率的影響外，已有研究發(fā)現企業(yè)在選擇補丁響應策略時，會考慮企業(yè)的市場份額和網絡環(huán)境中發(fā)生安全攻擊的概率兩種因素[ 18 ]。事實上，企業(yè)所擁有的市場份額可通過企業(yè)規(guī)模反映[ 19 ]，企業(yè)在網絡環(huán)境中發(fā)生安全攻擊的概率則取決于系統(tǒng)的脆弱性，可通過漏洞評分反映[ 4 ]。企業(yè)規(guī)模、漏洞評分等變量對企業(yè)補丁響應行為會產生調節(jié)效應，進而影響企業(yè)的累積異常收益率，因此，模型中增加以下兩種效應：

一是企業(yè)規(guī)模對補丁響應行為的調節(jié)效應（response× scale），指在企業(yè)規(guī)模變量的調節(jié)下，補丁響應行為對企業(yè)累積異常收益率造成的影響。

二是漏洞評分對補丁響應行為的調節(jié)效應（response×

score），指在漏洞評分變量的調節(jié)下，補丁響應行為對企業(yè)累積異常收益率造成的影響。

基于以上解釋變量和假設，建立如下回歸模型：

本文對企業(yè)漏洞披露前最近一個季度的總市值取自然對數，以此衡量企業(yè)規(guī)模（scale）。score表示CNVD平臺披露的漏洞評分。同樣地，借鑒相關文獻的方法對CNVD平臺公布的信息安全漏洞報送和公布的時間差（days）采用對數變換，以衡量漏洞公布的延誤程度。以《網絡安全法》施行日期2017年6月1日為基準，若time值為1表示該漏洞公告的日期發(fā)生在《網絡安全法》實施之后，否則為0。response值為1表示漏洞披露后企業(yè)發(fā)布相關補丁，否則為0。response×scale表示企業(yè)規(guī)模對補丁響應行為的調節(jié)效應，response×score表示漏洞評分對補丁響應行為的調節(jié)效應。？茁0為常數項，？茁i（i≠0）表示各變量的系數，當？茁i為正時表示該變量對企業(yè)累積異常收益率有正向影響，反之則對企業(yè)累積異常收益率有負向影響。？著表示誤差項。各變量的描述性統(tǒng)計結果如表1所示。

三、實證分析

（一）基于事件研究法的實證分析

依據市場模型，樣本企業(yè)市值均值為481.64億元，信息安全漏洞披露前3天市值下滑1.8%，造成的損失近8.67億元。由企業(yè)股票數據可以得到事件期內樣本的平均異常收益率與平均累積異常收益率。由圖1可知，在整個事件期內，企業(yè)的平均累積異常收益率均為負值。在漏洞披露事件發(fā)生前，企業(yè)的平均異常收益率均為負值，且總體趨勢平緩，這可能是因為漏洞披露事件提前泄露，或披露往往發(fā)生在信息安全事件報道45天左右，在這個階段投資者對企業(yè)仍持消極態(tài)度，信心不足。特別地，在漏洞披露當天，企業(yè)的平均異常收益率出現明顯下降，這可能是由于漏洞披露引發(fā)投資者對企業(yè)的關注，產生了負面預期。而在漏洞披露事件發(fā)生后，企業(yè)的平均異常收益率由負轉正，且上升趨勢逐步擴大，這可能是因為披露事件使漏洞類型、安全事件造成的實際損失等信息透明化，企業(yè)對安全事件的響應行為也會使部分投資者對企業(yè)信心增強。

為了降低異常值對顯著性檢驗的影響，本文對各事件窗口內的企業(yè)累積異常收益率進行縮尾處理。在此基礎上，為了驗證漏洞披露對企業(yè)累積異常收益率的影響具有統(tǒng)計學意義，且避免個別樣本的方差偏態(tài)對檢驗結果的影響，本文分別采用t檢驗、秩和（Wilcoxon）檢驗法對縮尾前后各事件窗口的企業(yè)累積異常收益率進行顯著性檢驗，結果如表2和表3所示。可以發(fā)現，在t檢驗、秩和檢驗中各事件窗口內的企業(yè)累積異常收益率均為負，且除縮尾前事件窗口[-3，+2]外，其余各事件窗口內的企業(yè)累積異常收益均在5%的統(tǒng)計水平上顯著為負。以上結果表明，漏洞披露事件對企業(yè)的累積異常收益率有顯著的負面影響，這與Gordon[ 4 ]的研究一致。

比較表2和表3中t檢驗、秩和檢驗的統(tǒng)計結果還可發(fā)現，表3中除了事件窗口[-3，0]的秩和檢驗結果外，其余各事件窗口內的Pt值和Pwilcoxon值均比表2中的低，這說明企業(yè)的累積異常收益率存在異常值，縮尾處理降低了異常值對顯著性檢驗的影響，但不影響顯著性結果。特別地，比較兩種顯著性檢驗結果發(fā)現，發(fā)生漏洞披露事件后Pt值和Pwilcoxon值逐漸增大，這說明漏洞披露事件對企業(yè)的累積異常收益率顯著性影響減弱。

（二）基于回歸模型的實證分析

本文研究對象為2011—2020年發(fā)生漏洞披露事件的35家上市公司數據，因此回歸模型采用的是面板數據?；陉悘奫 20 ]的方法，利用Hausman檢驗來判斷采用固定效應模型還是隨機效應模型。Hausman檢驗結果表明，隨機效應模型比固定效應模型更有效。同時，為了控制時間效應對回歸結果的偏差，在隨機效應模型中控制了時間效應。因此，本文回歸模型選擇控制時間效應的隨機效應模型。作為參照，進行了OLS回歸和固定效應模型回歸，相關結果如表4所示。

由回歸結果可知，漏洞評分（score）、漏洞披露日期（time）、補丁響應行為（response）和企業(yè)規(guī)模（scale）對企業(yè)累積異常收益率有顯著的正向影響。其一，漏洞評分（score）對累積異常收益率有顯著的正向影響，可能是因為企業(yè)較重視高危漏洞的處理，當企業(yè)披露高危漏洞時往往更積極地控制輿論、提出漏洞響應方案，從而穩(wěn)定股票投資者對企業(yè)信息安全的信心；而低危漏洞容易被企業(yè)忽視，但若干低危漏洞的組合將容易被黑客利用導致攻擊，給企業(yè)造成難以挽回的損失。如2018年因特爾芯片級漏洞披露事件波及數以億計的終端設備，雖然漏洞代碼低級，但披露事件發(fā)生后使因特爾公司股票下跌5%。其二，漏洞披露日期（time）對累積異常收益率有顯著的正向影響，這說明股票投資者對《網絡安全法》頒布實施較為敏感，他們更加信賴遵守國家披露要求的企業(yè)。其三，企業(yè)補丁響應行為（response）對累積異常收益率有顯著的正向影響，這可能是發(fā)布相關補丁、采取修復措施體現了企業(yè)對信息安全的重視和較強的社會責任，能極大程度避免黑客利用該漏洞入侵系統(tǒng)，從而營造良好的企業(yè)聲譽，增強股票市場對企業(yè)的信心。其四，企業(yè)規(guī)模（scale）對累計異常收益率有顯著的正向影響，這與王秦等[ 16 ]關于信息安全事件披露的研究結果不一致。其原因可能是與小型企業(yè)相比，盡管大型企業(yè)發(fā)生安全漏洞披露事件社會關注度更高，但其應對信息安全風險的能力和輿論公關能力更強，這給企業(yè)的信譽和口碑帶來積極作用，因此，投資者對大型企業(yè)信心更強。

特別地，由漏洞評分對補丁響應行為調節(jié)效應（response×score）的回歸結果可知，漏洞評分對補丁響應行為與企業(yè)累積異常收益率之間的關系有顯著的負向調節(jié)作用，這表明漏洞評分的增大減弱了補丁響應行為對累積異常收益率的影響。盡管企業(yè)補丁響應行為對累積異常收益率有顯著的正向影響，但隨著漏洞評分的增大，企業(yè)須付出更大的努力解決漏洞問題，此時補丁響應行為對企業(yè)的影響效果會減弱。另外，漏洞披露的延誤程度（days）對企業(yè)累積異常收益率有顯著的負向影響，這是因為股票投資者希望及時了解企業(yè)相關信息以減少披露滯后造成的損失，因此漏洞報送和公布的時間差越大（即漏洞延誤程度越大），漏洞披露對企業(yè)的負向影響越大。這一結論同信息安全事件披露的結果相異。根據溫雅欣[ 5 ]的研究，信息安全事件披露的延誤程度對企業(yè)股票市場影響并不顯著，究其原因企業(yè)實施信息安全事件披露往往由企業(yè)自己決定，且會選擇對自身利益損害最小的時間公布，及時披露不一定是其最優(yōu)選擇，而本文研究的安全漏洞披露策略由CNVD平臺制定，該平臺秉持對國家整體網絡安全負責的態(tài)度選擇漏洞公布時間，而非單獨考慮企業(yè)的利益。

由企業(yè)規(guī)模對補丁響應行為的調節(jié)效應（response× scale）的回歸結果可知，企業(yè)規(guī)模對補丁響應行為與累積異常收益率之間的關系沒有顯著的調節(jié)作用。這表明股市投資者對企業(yè)補丁響應策略的反應不受企業(yè)規(guī)模的影響，即無論大型企業(yè)還是小型企業(yè)都應該積極提出補丁響應方案，減少企業(yè)的損失。

（三）穩(wěn)健性檢驗

鑒于產業(yè)間信息化程度不同，漏洞披露對信息化程度不同的產業(yè)影響也可能不同。以國家企業(yè)信用信息公示系統(tǒng)登記的企業(yè)經營范圍和國家統(tǒng)計局發(fā)布的行業(yè)標準為依據，查詢樣本企業(yè)所屬行業(yè)，經統(tǒng)計，樣本企業(yè)主要涉及的行業(yè)類型包括IT業(yè)、制造業(yè)（manufacture）、金融業(yè)（finance）、交通運輸業(yè)（transportation）、銷售業(yè)（sale）和傳媒業(yè)（media）。進一步按照國家統(tǒng)計局出臺的《三次產業(yè)劃分規(guī)定》對企業(yè)進行產業(yè)劃分，將制造業(yè)劃分為第二產業(yè)，將IT業(yè)、金融業(yè)、交通運輸業(yè)、銷售業(yè)和傳媒業(yè)劃分為第三產業(yè)，將第二產業(yè)（secondary_industry）、第三產業(yè)（tertiary_industry）作為控制變量納入回歸模型，具體分布如表5所示。并構建回歸模型（2），最終檢驗結果如表6所示。

由表6的結果可知，加入第二產業(yè)和第三產業(yè)這兩個控制變量后，解釋變量對累積異常收益率的顯著性影響及影響的正負性并未發(fā)生改變，表明回歸模型較為穩(wěn)健。另外，模型（2）的結果表明，無論企業(yè)屬于第二產業(yè)還是第三產業(yè)，對累積異常收益率的影響均不顯著；第三產業(yè)的行業(yè)雖然在不同程度上實現信息化，但市場對其漏洞披露并不敏感。進一步分析回歸系數可知，第三產業(yè)的系數為正，這可能是因為這些行業(yè)信息化程度比較高，企業(yè)掌握的信息技術水平相對較高，漏洞發(fā)生后能夠及時提出解決方案降低披露的負面影響。相對而言，第二產業(yè)中的制造業(yè)掌握信息技術的水平較低，漏洞發(fā)生后企業(yè)不一定能及時解決問題。

四、結論與啟示

本文基于巨潮資訊網獲取的上市公司相關股票數據和CNVD獲取的相關漏洞披露信息，從信息安全漏洞披露視角，采用事件研究法分析漏洞披露事件對企業(yè)累積異常收益率的影響，并結合回歸模型探究企業(yè)規(guī)模、漏洞評分、漏洞披露延誤程度、漏洞披露時間、補丁響應行為及企業(yè)規(guī)模對補丁響應行為的調節(jié)效應、漏洞評分對補丁響應行為的調節(jié)效應和企業(yè)所屬行業(yè)等因素對累積異常收益率的影響程度，為企業(yè)評估漏洞公開披露對其市值的影響提供理論依據，豐富了信息安全漏洞管理的理論研究。本文主要結論如下：

一是漏洞披露對企業(yè)的累積異常收益率有顯著的負面影響，而且隨著時間的推移這種顯著的負面影響會減弱。二是漏洞評分對企業(yè)的累積異常收益率有顯著的正向影響，漏洞評分增大時，企業(yè)投入的人力、物力、財力增大，從而增加了股票投資者的信心；漏洞公布日期對累積異常收益率有顯著的正向影響，企業(yè)按照國家的法律法規(guī)進行漏洞披露可以贏得股票投資者的好感；企業(yè)的補丁響應行為對累積異常收益率有顯著的正向影響，企業(yè)積極做出補丁響應會避免今后黑客利用該漏洞入侵企業(yè)相關產品，從而贏得市場的信賴。三是企業(yè)規(guī)模對累積異常收益率有顯著的正向影響，投資者更看重大型企業(yè)漏洞事件的處理能力。四是股票投資者對漏洞披露的延誤程度較為敏感，漏洞披露的延遲時間越長，對企業(yè)的負向影響越大；漏洞評分對補丁響應行為與累積異常收益率的關系有顯著的負向調節(jié)作用，即漏洞評分越高，補丁響應行為對企業(yè)的影響效果越弱。五是企業(yè)規(guī)模對補丁響應行為與累積異常收益率的關系沒有顯著的調節(jié)作用。六是企業(yè)所屬產業(yè)對累積異常收益率沒有顯著影響，即市場對企業(yè)所屬產業(yè)并不敏感，但與包括制造業(yè)的第二產業(yè)相比，信息化程度較高的第三產業(yè)應對漏洞風險的能力更強，企業(yè)的損失更小。我國“十四五”規(guī)劃明確指出，要積極推動傳統(tǒng)制造業(yè)向數字化轉型，因此制造業(yè)在數字化轉型過程中要高度重視安全漏洞威脅，提高應對漏洞風險的能力。

本文的研究結論對企業(yè)和漏洞披露相關平臺均有重要啟示：

“十四五”規(guī)劃第十八章中明確指出，要加強網絡安全保護，加強網絡安全風險評估和審查；《中華人民共和國數據安全法》第四章中提到，要采取相應的技術措施保障數據安全……開展數據處理活動應當加強風險監(jiān)測。因此，為了避免漏洞披露對企業(yè)市值的顯著負面影響，保障自身經濟利益以及符合國家政策標準，企業(yè)應在安全漏洞披露前加大對信息安全的投資力度，降低信息系統(tǒng)的脆弱性，并定期進行安全風險評估和審查，盡量減少信息安全漏洞威脅的發(fā)生。同時，企業(yè)應制定合理的漏洞應急響應機制，不要只重視高危漏洞而忽視低危漏洞的管理，當發(fā)生信息安全漏洞威脅時，企業(yè)應遵守相關法律法規(guī)，及時向有關部門報送漏洞，減少股票投資者由于信息不對稱導致的信心動搖。此外，根據《中華人民共和國數據安全法》第四章“發(fā)現數據安全缺陷、漏洞等風險時，應當立即采取補救措施”的要求，企業(yè)應積極做出補丁回應，這不僅符合國家政策標準，而且挽回了企業(yè)聲譽，降低了漏洞披露造成的負面影響。

對國家信息安全漏洞共享平臺而言，作為由國家互聯網應急中心建立的網絡安全漏洞庫，必須健全其漏洞披露機制。一方面，該平臺應建立合理的漏洞報送激勵機制，鼓勵企業(yè)和“白帽子”積極報送漏洞；另一方面，由于漏洞披露延遲較大會對企業(yè)產生負面影響，因此該平臺應該遵循適時披露原則，優(yōu)化漏洞審核過程，選擇合適的漏洞公告時間。

【參考文獻】

［1］ BERKMAN H，JONA J，LEE G，et al.Cybersecurity awareness and market valuations ［J］. Journal of Accounting and Public Policy，2018，37（6）：508-526.

［2］ JEONG C Y，LEE T，LIM J H.Information security breaches and IT security investments：impacts on competitors［J］.Information & Management，2019，56（5）：681-695.

［3］ CAMPBELL K，GORDON L A，LOEB M P，et al. The economic cost of publicly announced information security breaches：empirical evidence from the stock market［J］.Journal of Computer Security，2003，11（3）：431-448.

［4］ GORDON L A，LOEB M P，ZHOU L.The impact of information security breaches：has there been a downward shift in costs？［J］.Journal of Computer Security，2011，19（1）：33-56.

［5］ 溫雅欣.信息安全事件公告對公司市值的影響［D］.哈爾濱：哈爾濱工業(yè)大學碩士學位論文，2017.

［6］ KANNAN K，REES J，SRIDHAR S.Market reactions to information security breach announcements：an empirical analysis［J］.International Journal of Electronic Commerce，2007，12（1）：69-91.

［7］ HOVAV A，GRAY P.The ripple effect of an information security breach event：a stakeholder analysis［J］.Communications of the Association for Information Systems，2014，34：893-912.

［8］ ROSATI P，CUMMINS M，DEENEY P，et al. The effect of data breach announcements beyond the stock price：empirical evidence on market activity［J］.International Review of Financial Analysis，2017，49：146-154.

［9］ ROSATI P，DEENEY P，CUMMINS M，et al. Social media and stock price reaction to data breach announcements：evidence from US listed companies［J］.Research in International Business and Finance，2019，47：458-469.

［10］ Al-NAJJAR B，ABED S.The association between disclosure of forward-looking information and corporate governance mechanisms ［J］.Managerial Auditing Journal，2014，29（7）：578-595.

［11］ WANG S Q，SUN P，VERICOURT F D.Inducing environmental disclosures：a dynamic mechanism design approach［J］.Operations Research，2016，64（2）：371-389.

［12］ UIDIS K.From responsible disclosure policy （RDP） towards state regulated responsible vulnerability disclosure procedure （hereinafter RVDP）：the Latvian approach［J］.Computer Law & Security Review，2018，34（3）：508-522.

［13］ 朱靜，張玉清，高有行.一種更加完善的安全漏洞發(fā)布機制［J］.計算機工程，2005（23）：129-131.

［14］ 黃道麗.網絡安全漏洞披露規(guī)則及其體系設計［J］.暨南學報（哲學社會科學版），2018，40（1）：94-106.

［15］ GOEL S，SHAWKY H A.Estimating the market impact of security breach announcements on firm values［J］.Information & Management，2009，46（7）：404- 410.

［16］ 王秦，朱建明.信息安全事件對公司價值的影響［J］.技術經濟，2018，37（2）：77-84.

［17］ PIROUNIAS S，MERMIGAS D，PATSAKIS C. The relation between information security events and firm market value empirical evidence on recent disclosures：an extension of the GLZ study［J］.Journal of Information Security and Applications，2014，19（4/5）：257-271.

［18］ 張晗悅.綜合考慮網絡與安全外部性的免費增值軟件補丁策略研究［D］.天津：天津大學碩士學位論文，2018.

［19］ WU Y，FENG G Z，FUNG R K.Comparison of information security decisions under different security and business environments［J］.Journal of the Operational Research Society，2018，69（5）：747-761.

［20］ 陳強.高級計量經濟學及Stata應用［M］.北京：高等教育出版社，2014.