□潘崇霞 周 瑋 李立望 謝吉剛

一、引言

信息安全包括網(wǎng)絡(luò)安全和數(shù)據(jù)安全。數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)繼資本、土地、勞動力和技術(shù)之后成為又一新的重要生產(chǎn)要素。銳觀產(chǎn)業(yè)研究院發(fā)布的《2023-2028 年中國數(shù)據(jù)安全產(chǎn)業(yè)投資規(guī)劃及前景預(yù)測報告》顯示，2021 年，我國數(shù)據(jù)安全產(chǎn)業(yè)市場規(guī)模達(dá)到88 億元，同比增長91%；預(yù)計2025 年，數(shù)據(jù)安全產(chǎn)業(yè)有望達(dá)到478 億元。信息安全涉及銀行、醫(yī)療、物聯(lián)網(wǎng)等各個行業(yè)，企業(yè)之間通過信息平臺實現(xiàn)協(xié)同合作和信息共享，進(jìn)行產(chǎn)品數(shù)據(jù)交換、訂單數(shù)據(jù)交換和需求信息交換等，信息平臺成為企業(yè)商務(wù)大數(shù)據(jù)的來源。同時，企業(yè)信息平臺也面臨各種信息安全風(fēng)險，如容易遭受攻擊者攻擊導(dǎo)致客戶信息泄露、業(yè)務(wù)數(shù)據(jù)竊取與篡改等。近年來，國內(nèi)外重大網(wǎng)絡(luò)安全事件頻頻，信息安全形勢嚴(yán)峻。國內(nèi)某官方網(wǎng)站盤點了2022 年全球重大網(wǎng)絡(luò)安全事件，其中遭受攻擊的包括各種類型的企業(yè)，主要有國內(nèi)科創(chuàng)板上市企業(yè)、國內(nèi)外電子企業(yè)、汽車制造企業(yè)的供應(yīng)商和制造商等。[1]

為保證信息及其運行平臺安全，企業(yè)需要進(jìn)行信息安全投資以實現(xiàn)企業(yè)信息系統(tǒng)穩(wěn)定運行。隨著網(wǎng)絡(luò)安全事件的增加，越來越多的企業(yè)重視信息安全投資。來自物聯(lián)中國網(wǎng)中研普華產(chǎn)業(yè)研究院發(fā)布的《2023-2028 年中國信息安全行業(yè)發(fā)展趨勢及現(xiàn)狀分析》顯示，2022 年，信息安全產(chǎn)品和服務(wù)收入2038 億元，同比增長10.4%。[2]

企業(yè)信息安全投資是信息安全經(jīng)濟(jì)學(xué)中的一個重要組成部分。以往的企業(yè)信息安全投資研究，側(cè)重于對單個企業(yè)的信息系統(tǒng)安全投資、信息安全中的攻防博弈、供應(yīng)鏈中各方信息共享等相關(guān)問題進(jìn)行研究。本文采用演化博弈理論對企業(yè)群體信息安全投資策略進(jìn)行研究，主要有以下幾個方面創(chuàng)新：一是分析定向攻擊相關(guān)因素如網(wǎng)絡(luò)對外聯(lián)接度、企業(yè)投資效率、攻擊概率、攻擊者投資成本等對企業(yè)信息系統(tǒng)安全投資策略的影響；二是建立演化博弈模型對企業(yè)與攻擊者的動態(tài)投資博弈進(jìn)行分析，企業(yè)群體與攻擊者群體的投資博弈是一個動態(tài)過程，要通過不斷交互、調(diào)整才能達(dá)到一個穩(wěn)定的狀態(tài)，采用演化博弈模型對信息系統(tǒng)安全投資策略進(jìn)行分析，增強(qiáng)了預(yù)測分析的可靠性和準(zhǔn)確性；三是建立企業(yè)群體與攻擊者群體的多對多演化博弈模型，互聯(lián)網(wǎng)環(huán)境下多個企業(yè)常常要面對多個攻擊者的攻擊，尤其是處于供應(yīng)鏈上下游、因頻繁的數(shù)據(jù)交換和業(yè)務(wù)往來而具有利益和風(fēng)險關(guān)聯(lián)的企業(yè)群體，更容易引發(fā)多個攻擊者的攻擊，因此研究企業(yè)群體與攻擊者群體的多對多演化博弈更具有現(xiàn)實意義。

二、文獻(xiàn)綜述

隨著網(wǎng)絡(luò)金融和電子商務(wù)的快速發(fā)展，信息安全問題已不再是單純的技術(shù)問題，而是一個需要綜合考慮技術(shù)、管理、經(jīng)濟(jì)等更為復(fù)雜的系統(tǒng)問題。信息安全研究主要包括兩大領(lǐng)域，一個是從技術(shù)角度出發(fā)的信息安全技術(shù)投資研究，另一個是從管理和經(jīng)濟(jì)角度出發(fā)的信息安全投資策略研究。[3-5]信息安全技術(shù)投資主要是對安全硬件和軟件產(chǎn)品進(jìn)行投資，如加密算法研究、防火墻配置和入侵檢測系統(tǒng)等。[6-8]從當(dāng)前的信息安全研究來看，無論是從技術(shù)角度還是從管理和經(jīng)濟(jì)角度，業(yè)界都更關(guān)注以下幾個領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)安全、物聯(lián)網(wǎng)安全和云安全等。

在網(wǎng)絡(luò)安全研究中，首先，信息系統(tǒng)脆弱性對信息安全投資具有重要的影響，Gordon 和Loeb（2002）[9]采用經(jīng)濟(jì)學(xué)模型研究了信息系統(tǒng)脆弱性對信息安全投資策略的影響，指出企業(yè)不應(yīng)該將資金投到脆弱性最差的信息資產(chǎn)上，而應(yīng)該投入到脆弱性中等的信息資產(chǎn)上才能達(dá)到投資效益最大化。其次，攻擊者的攻擊類型一直是影響信息安全投資策略的重要因素，攻擊類型不同對企業(yè)信息資產(chǎn)潛在損失的影響也不同。學(xué)者一般把攻擊類型定義為隨機(jī)攻擊與定向攻擊：定向攻擊主要針對特定目標(biāo)進(jìn)行攻擊，采取的方式主要包括盜取數(shù)據(jù)、拒絕服務(wù)和網(wǎng)站篡改等；隨機(jī)攻擊主要針對容易訪問或容易連接的節(jié)點進(jìn)行攻擊，常見方式為蠕蟲病毒和垃圾郵件等。[10-11]Gao 和Zhong（2015）[12]研究了兩個競爭企業(yè)在一定安全要求下的信息安全投資策略，考慮了黑客攻擊的兩種類型，即隨機(jī)攻擊和定向攻擊，主要結(jié)論包括面對信息資產(chǎn)價值比較高的企業(yè)，黑客為獲得更多收益，往往會采取定向攻擊方式而非隨機(jī)攻擊方式。Peng 等（2015）[13]對持續(xù)定向攻擊下的對等網(wǎng)絡(luò)的抗毀性進(jìn)行了研究，研究結(jié)論對復(fù)雜網(wǎng)絡(luò)設(shè)計具有重要的意義。Mookerjee 等（2011）[14]采用微分博弈方法研究了古諾特和伯川德競爭下的信息系統(tǒng)安全投資策略，黑客通過知識擴(kuò)散可以提高攻擊水平，企業(yè)通過信息安全投資可以減弱黑客知識擴(kuò)散，但并不是安全投資越高就越能有效阻止黑客的知識擴(kuò)散。信息技術(shù)的發(fā)展并沒有使攻擊事件減少，反而有愈演愈烈的趨勢，甚至出現(xiàn)了戰(zhàn)略型攻擊者。Simon 和Omar（2020）[15]的研究中提到了戰(zhàn)略型攻擊者，在進(jìn)行信息平臺安全投資時，為抵御戰(zhàn)略型攻擊者的攻擊和防御企業(yè)之間的關(guān)聯(lián)風(fēng)險，供應(yīng)鏈中各企業(yè)需要進(jìn)行協(xié)作投資。Gao 和Yang（2023）[16]通過建立雙寡頭水平分化模型針對黑客攻擊對信息安全投資和公司利潤的作用進(jìn)行研究后認(rèn)為，當(dāng)市場競爭加劇時，為保持安全差異，企業(yè)在信息安全方面的投入會減少，安全投資成本系數(shù)的增加可能對每個公司都有利。

在數(shù)據(jù)安全研究中，鄒純龍等（2023）[17]采用定性比較分析法對中國24 個省及直轄市公共數(shù)據(jù)安全管理進(jìn)行了研究，歸納出三種公共數(shù)據(jù)安全管理模式，可以為公共數(shù)據(jù)安全管理績效水平的提高提供借鑒。池仁勇等（2023）[18]從企業(yè)績效的角度對中小制造企業(yè)進(jìn)行了實證研究，結(jié)果表明，數(shù)據(jù)安全在數(shù)字化制造能力與企業(yè)績效之間起負(fù)向調(diào)節(jié)作用，而在數(shù)字化服務(wù)能力與企業(yè)績效之間起正向調(diào)節(jié)作用。梅傲和陳子文（2023）[19]從總體國家安全觀的角度，提出數(shù)據(jù)安全應(yīng)該在制度的顆粒度、銜接性方面進(jìn)行改進(jìn)，從而達(dá)到維護(hù)數(shù)據(jù)安全、促進(jìn)經(jīng)濟(jì)發(fā)展的目的。

在物聯(lián)網(wǎng)安全和云安全研究中，多數(shù)偏重技術(shù)方面的研究，如數(shù)據(jù)存儲技術(shù)、密碼協(xié)議、網(wǎng)絡(luò)安全模型與算法等。[20，21]而從經(jīng)濟(jì)管理角度研究的文獻(xiàn)則主要集中于互聯(lián)網(wǎng)數(shù)據(jù)安全和隱私保護(hù)：Zhang 等（2021）[22]研究了隱私數(shù)據(jù)安全投資對大數(shù)據(jù)公司的影響，發(fā)現(xiàn)一般情況下，隱私數(shù)據(jù)安全投資可以明顯減少系統(tǒng)性風(fēng)險；Sun（2020）[23]對云計算中的數(shù)據(jù)安全和隱私保護(hù)問題進(jìn)行了研究，對云計算中的隱私風(fēng)險進(jìn)行分析，提出一個云計算中的隱私保護(hù)框架，包括訪問控制、信任、云聯(lián)盟資源管理等內(nèi)容。

三、企業(yè)群體與攻擊者群體演化博弈模型構(gòu)建

（一）理論分析

一個企業(yè)常常面對多個攻擊者，而一個攻擊者的目標(biāo)也可能是一個企業(yè)群體。首先，本文通過構(gòu)建演化博弈模型對攻擊者群體與企業(yè)群體之間的博弈問題進(jìn)行分析。Mahmoudi 和Rasti-Barzoki（2017）[24]運用演化博弈理論對政府治理污染活動進(jìn)行了研究，通過建立政府目標(biāo)和生產(chǎn)者目標(biāo)之間的博弈模型分別對三種情形下的均衡狀態(tài)進(jìn)行了分析，政府可以通過制定有效的稅收和激勵措施以明顯地影響生產(chǎn)者行為、競爭市場與廢物排放，達(dá)到有效治理污染的目的。其次，本文主要分析多種因素對信息安全投資決策的影響，如企業(yè)投資成本、信息安全投資效率、攻擊者攻擊類型、攻擊者的攻擊概率、入侵概率、企業(yè)之間的關(guān)聯(lián)關(guān)系等對信息安全投資策略的影響，這些因素直接或間接影響到企業(yè)決策，從而影響信息安全投資策略。在攻擊者群體與企業(yè)群體演化博弈過程中，雙方根據(jù)自身既得利益、利用有限信息不斷進(jìn)行策略調(diào)整，用較好的狀態(tài)不斷代替不夠好的狀態(tài)，逐漸演化達(dá)到動態(tài)均衡穩(wěn)定狀態(tài)。最后，本文通過數(shù)字模擬對相關(guān)結(jié)論進(jìn)行了仿真分析。

（二）模型構(gòu)建

在信息安全投資策略研究中，攻擊者的攻擊類型是影響企業(yè)信息安全投資決策的重要因素。Huang 和Behara（2013）[25]將定向攻擊類型的入侵概率函數(shù)定義為。其中，ξ∈[0，1]被定義為攻擊概率，描述企業(yè)信息系統(tǒng)遭受攻擊的可能性；隨著攻擊者的頻繁攻擊，企業(yè)信息系統(tǒng)可能被攻擊者成功入侵，從而給企業(yè)造成信息資產(chǎn)損失L；c 取值范圍為[0，1]，被描述為網(wǎng)絡(luò)對外聯(lián)接度，反映企業(yè)網(wǎng)絡(luò)對外聯(lián)接的頻繁程度和開放程度，其值的大小一般取決于企業(yè)需求和系統(tǒng)安全技術(shù)要求，與之聯(lián)接的企業(yè)網(wǎng)絡(luò)結(jié)點越多，其取值就越大；z 被描述為信息安全投資水平；k 被描述為企業(yè)安全投資效率，是評價信息安全投資效果的指標(biāo)。

在多個企業(yè)與多個攻擊者的博弈過程中，假設(shè)攻擊者群體中選擇攻擊策略的比例為x，選擇不攻擊策略的比例為1-x；企業(yè)群體中選擇安全投資的比例為y，不選擇安全投資策略的比例為1-y。攻擊者與企業(yè)之間的博弈收益矩陣如表1 所示。由此可知，當(dāng)攻擊者選擇攻擊策略、企業(yè)選擇投資策略時，攻擊者總收益為p(ξ,c,z)L-ch，企業(yè)總收益為π-p (ξ,c,z)L-z；當(dāng)攻擊者選擇攻擊策略、企業(yè)選擇不投資策略時，攻擊者總收益為p (ξ,c,0)L-ch，企業(yè)收益為π-p (ξ,c,0)；當(dāng)攻擊者選擇不攻擊策略、企業(yè)選擇投資策略時，攻擊者的總收益為0，企業(yè)的總收益為π-z；當(dāng)攻擊者選擇不攻擊策略、企業(yè)選擇不投資策略時，攻擊者總收益為0，企業(yè)總收益為π。根據(jù)表1 收益矩陣對企業(yè)與攻擊者的演化穩(wěn)定策略ESS 進(jìn)行計算與分析。

表1 企業(yè)與攻擊者演化博弈收益矩陣

以下將對定向攻擊下企業(yè)群體與攻擊者群體的演化博弈過程進(jìn)行分析和模擬，根據(jù)均衡穩(wěn)定狀態(tài)分六種情形進(jìn)行討論，并假設(shè)圖例中參數(shù)。

（三）情形一的企業(yè)與攻擊者演化博弈過程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過程分析

2.企業(yè)與攻擊者演化博弈均衡數(shù)字模擬

圖1 情形一：攻擊者與企業(yè)投資演化關(guān)系圖

表2 情形一：企業(yè)與攻擊者演化博弈過程數(shù)字模擬分析

在滿足第一種情形的條件下進(jìn)行假設(shè)，企業(yè)的投資額為z=5000（一般為企業(yè)信息資產(chǎn)潛在損失的5%，假設(shè)企業(yè)潛在損失為L=100000），攻擊者攻擊成本為ch=2500，對外聯(lián)結(jié)度為c=0.2（一般情況下對外聯(lián)結(jié)度c

由此可見，在定向攻擊下情形一的條件中，企業(yè)與攻擊者都沒有成本優(yōu)勢，但當(dāng)企業(yè)投資意愿強(qiáng)烈時，攻擊者往往選擇不攻擊策略；當(dāng)攻擊者攻擊意愿非常強(qiáng)烈時，企業(yè)會情況調(diào)整投資狀態(tài)，企業(yè)與攻擊者雙方處于循環(huán)博弈狀態(tài)。

（四）情形二的企業(yè)與攻擊者演化博弈過程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過程分析

圖2 情形二：攻擊者與企業(yè)投資演化關(guān)系圖

圖3 情形三：攻擊者與企業(yè)的演化關(guān)系圖

2.企業(yè)與攻擊者演化博弈均衡狀態(tài)數(shù)字模擬

表3 情形二：企業(yè)與攻擊者演化博弈過程數(shù)字模擬分析

參考情形一，增加企業(yè)投資成本為6000，此時企業(yè)群體投資比例為0.91，進(jìn)行數(shù)字模擬如表3 所示。企業(yè)信息系統(tǒng)初始安全水平較高，攻擊者入侵系統(tǒng)比較困難，企業(yè)投資意愿開始降低，演化結(jié)果企業(yè)選擇不投資策略和攻擊者選擇攻擊策略的均衡穩(wěn)定狀態(tài)；由于企業(yè)成本過高而造成企業(yè)投資意愿降低，最終演變成企業(yè)選擇不投資和攻擊者選擇攻擊的均衡穩(wěn)定狀態(tài)。

由此可見，在情形二中，企業(yè)信息系統(tǒng)初始安全水平較高，可以在一定程度上減少攻擊者的入侵，但由于安全投資成本過高，可能造成企業(yè)不愿增加投資，攻擊者選擇攻擊策略的后果。在企業(yè)信息資產(chǎn)價值一定的情況下，企業(yè)可以通過提高安全投資效率的方式以減少安全投資，達(dá)到提高信息系統(tǒng)安全水平的目的。

（五）情形三的企業(yè)與攻擊者演化博弈過程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過程分析

2.企業(yè)與攻擊者演化博弈均衡狀態(tài)數(shù)字模擬

為滿足情形三的條件，需要提高攻擊者的攻擊成本為9000（為潛在損失的9%），攻擊者群體選擇攻擊策略的比例保持不變?yōu)?.87，企業(yè)與攻擊者的博弈過程數(shù)字模擬分析如表4。

表4 情形三：企業(yè)與攻擊者演化博弈過程數(shù)字模擬分析

由此可見，在情形三中，攻擊者攻擊成本較高，企業(yè)投資意愿彈性較大，無論攻擊者攻擊意愿是否強(qiáng)烈，雙方博弈的最終結(jié)果都是攻擊者選擇不攻擊策略。

（六）情形四的企業(yè)與攻擊者演化博弈過程分析及數(shù)字模擬

1.企業(yè)與攻擊者演化博弈過程分析

圖4 情形四：攻擊者與企業(yè)的演化關(guān)系圖

2.企業(yè)與攻擊者演化博弈均衡狀態(tài)數(shù)字模擬

在情形四中，當(dāng)攻擊者成本較低，無論企業(yè)投資意愿是否強(qiáng)烈，形成的均衡穩(wěn)定狀態(tài)是攻擊者始終選擇攻擊策略。博弈將按照其中A 區(qū)域箭頭的方向演化，形成均衡穩(wěn)定狀態(tài)x*=1 和y*=0，即均衡狀態(tài)E9（1，0），但這個狀態(tài)還不穩(wěn)定。因為企業(yè)不可能坐以待斃，所以最終的演化穩(wěn)定狀態(tài)為x*=1 和y*=1，即均衡穩(wěn)定狀態(tài)E10（1，1），攻擊者選擇攻擊策略和企業(yè)采取投資策略。

（七）情形五的企業(yè)與攻擊者演化博弈過程分析及數(shù)字模擬

圖5 情形五：攻擊者與企業(yè)的演化關(guān)系圖

在情形五中，企業(yè)投資成本較高，攻擊者攻擊成本相對較低，最終的演化結(jié)果是，攻擊者選擇攻擊策略，企業(yè)選擇不投資策略。當(dāng)前情形企業(yè)降低投資成本是最優(yōu)選擇，由可知，在信息資產(chǎn)一定的情況下，可以通過提高安全投資效率和減小網(wǎng)絡(luò)對外聯(lián)接度的方法來優(yōu)化企業(yè)最低信息安全投資額。

（八）情形六的企業(yè)與攻擊者演化博弈過程分析及數(shù)字模擬

圖6 情形六：攻擊者與企業(yè)的演化關(guān)系圖

在情形六中，雙方成本都比較高，兩者都不能達(dá)到收益最大化，博弈的均衡結(jié)果就是企業(yè)選擇不投資和攻擊者選擇不攻擊。

四、主要結(jié)論與對策建議

（一）主要結(jié)論

本文采用演化博弈理論對企業(yè)信息安全投資策略進(jìn)行研究，考慮攻擊者攻擊類型、企業(yè)投資成本、網(wǎng)絡(luò)對外聯(lián)接度、潛在損失、企業(yè)安全投資效率和攻擊概率等多種因素對企業(yè)信息安全投資決策的影響，根據(jù)企業(yè)群體與攻擊者群體的演化博弈過程，分六種情形對12 個均衡穩(wěn)定狀態(tài)進(jìn)行分析。主要結(jié)論包括：

1.定向攻擊下，在企業(yè)與攻擊者都沒有成本優(yōu)勢的情況下，當(dāng)企業(yè)投資意愿強(qiáng)烈時，攻擊者往往選擇不攻擊策略；

2.當(dāng)企業(yè)信息系統(tǒng)初始安全水平較高，可以在一定程度上減少攻擊者的攻擊概率，但由于安全投資成本過高，可能促使企業(yè)后期不愿增加投資，形成企業(yè)不投資和攻擊者選擇攻擊策略的狀態(tài)；

3.當(dāng)攻擊者攻擊成本偏高，無論企業(yè)投資意愿是否強(qiáng)烈，最終的均衡穩(wěn)定狀態(tài)都是采取不攻擊策略；

4.當(dāng)攻擊者攻擊成本較低，無論攻擊者攻擊意愿是否強(qiáng)烈，企業(yè)投資意愿是否強(qiáng)烈，最終的均衡穩(wěn)定狀態(tài)都是攻擊者選擇攻擊策略；

5.當(dāng)企業(yè)安全投資成本過高，攻擊者攻擊意愿強(qiáng)烈時，企業(yè)最終選擇不投資策略。

綜上所述，定向攻擊下，攻擊者攻擊成本可以明顯影響攻擊者的攻擊意愿：在攻擊成本較低時，無論企業(yè)投資意愿是否強(qiáng)烈，最終都會選擇攻擊策略；在攻擊成本較高時，無論企業(yè)投資意愿是否強(qiáng)烈，最終都會采取不攻擊策略。而企業(yè)只有在安全投資成本過高，并且攻擊者攻擊意愿強(qiáng)烈的情況下，才會采取不投資策略。

（二）對策建議

通過對攻擊者與企業(yè)六種情形下的博弈均衡穩(wěn)定結(jié)果分析，給出以下對策建議：

1.定向攻擊下，當(dāng)企業(yè)面對情形一時，在企業(yè)與攻擊者都沒有成本優(yōu)勢的情況下，企業(yè)可以采取威懾措施，讓攻擊者看到企業(yè)進(jìn)行安全投資的強(qiáng)烈意愿和決心，讓攻擊者認(rèn)為如果攻擊企業(yè)信息系統(tǒng)就會付出巨大成本，從而選擇不攻擊策略；當(dāng)企業(yè)面對情形二時，如果企業(yè)信息系統(tǒng)初始安全水平較高，雖然在一定程度上減少了攻擊者的攻擊，但后期也不能掉以輕心，任何階段都應(yīng)該根據(jù)情況提高安全投資額和提升安全投資效率；當(dāng)企業(yè)面對情形三時，在攻擊者攻擊成本較高而企業(yè)成本占優(yōu)勢的情況下，從企業(yè)效益最大化考慮，企業(yè)可以適當(dāng)降低信息安全投資額，采取相對保守的安全投資措施，比如在原有信息安全水平的基礎(chǔ)上進(jìn)行系統(tǒng)更新、提高安全管理人員的意識、注意信息平臺的日常維護(hù)和數(shù)據(jù)備份等。

2.當(dāng)企業(yè)面對情形四時，在攻擊者具有成本優(yōu)勢的情況下，無論企業(yè)采取什么樣的投資策略，攻擊者都始終選擇攻擊策略，定向攻擊目標(biāo)非常明確，在這種情況下，企業(yè)需要采取積極的防御措施。如果企業(yè)信息安全投資預(yù)算有限，就要提高安全投資效率；如果信息安全投資預(yù)算正常，增加安全投資以提高信息安全技術(shù)水平才是唯一可行的措施，如提升信息安全等級和防護(hù)策略、增強(qiáng)防護(hù)意識、聘用信息安全專家、采用信息安全新技術(shù)、優(yōu)化配置信息安全技術(shù)組合或者直接委托安全服務(wù)外包商等。

3.當(dāng)企業(yè)面對情形五時，企業(yè)投資成本較高，攻擊者攻擊成本較低，企業(yè)從利益最大化考慮，一般采取不投資策略。當(dāng)前情形降低投資成本才是企業(yè)首選，在信息資產(chǎn)一定的情況下，企業(yè)可以通過減小網(wǎng)絡(luò)對外聯(lián)接度和提高安全投資效率的方法來達(dá)到降低成本的目的，并隨時做好系統(tǒng)備份和數(shù)據(jù)備份。

4.當(dāng)企業(yè)面對第六種情形時，攻擊者攻擊成本和企業(yè)投資成本都比較高，企業(yè)信息系統(tǒng)處于暫時的安全狀態(tài)，企業(yè)信息安全投資也可以采取保守投資策略。

5.在攻擊者成本較低的情況下，無論企業(yè)投資意愿是否強(qiáng)烈，雙方博弈的均衡穩(wěn)定狀態(tài)攻擊者都始終選擇攻擊策略，當(dāng)企業(yè)投資成本較高選擇不投資策略時，攻擊者的定向攻擊可能為企業(yè)帶來極其嚴(yán)重的后果。因此，企業(yè)應(yīng)注意減少自己的投資成本，增加攻擊者的沉沒成本。如增加信息系統(tǒng)的入侵難度和消耗攻擊者的攻擊成本。具體來說就是，面對定向攻擊者，不僅需要初期的信息安全投資，平時還要做好系統(tǒng)維護(hù)，優(yōu)化信息系統(tǒng)安全配置和注意信息系統(tǒng)安全更新，不定期對信息安全人員進(jìn)行安全培訓(xùn)等。

綜上所述，企業(yè)與攻擊者的博弈是一個循環(huán)往復(fù)的過程，均衡穩(wěn)定狀態(tài)下的和平只是暫時的。任何情況下，提高信息安全投資效率、提高信息安全水平，使投資效益最大化才是企業(yè)信息安全投資的目標(biāo)。企業(yè)應(yīng)根據(jù)與攻擊者博弈過程中的幾種具體情形及時調(diào)整投資策略，以最小成本獲得最大化投資收益。