随着信息技术和互联网的不断发展,信息安全已经扩展到了国家的政治、经济、社会等各个领域。网络袭击和信息安全问题使人们遭受越来越严重的损失。尤为严重的是,我国广泛使用的计算机硬件产品和主流操作系统等IT(信息技术)产品都是从国外引进的。这些IT产品具有大量的漏洞和安全隐患。而单一的密码和安全技术机制不能根本解决这些信息安全问题,还需要管理和技术运营策略等系统对策和方案。如果要制定出正确的管理对策和技术投资方案,必须对信息安全问题进行经济分析。根据信息安全问题的经济分析结果进行管理策略的设计和选择,是实现信息安全的重要前提。本文的主要内容如下:1.分别从IT产品、在线组织及国家公共管理的角度,对信息安全问题进行经济学理论分析。网络环境下的信息安全问题,主要是由于IT产品(硬件、软件和网络等产品)和信息系统存有大量的漏洞引起。如果没有漏洞,则信息系统就会具有应对内、外部攻击的免疫性。本文以软件产品的漏洞为例,分析发现信息不对称和安全需求不足是IT产品存在大量漏洞的关键动因,即漏洞的产生是IT产品安全性双向逆向选择和信息安全需求不足的结果。在信息技术一定的条件下,在线企业和人的安全行为努力程度决定信息安全结果。由于组织和人员的安全投资和努力行为的不可观察性而形成了双边道德风险问题,组织内部人为的行为和安全投资管理正是组织的信息安全管理重点。目前信息安全已经成为国家安全的重要部分,是我国未来政治、军事、经济发展的重要保障。为提高国家对信息安全管理的效率和水平,需要从宏观层面上证明信息安全的公共物品性质。2.为规避IT产品安全性的双向逆向选择问题,以漏洞报告为信号,根据信号显示原理推理出漏洞市场模型,目的是实现IT产品漏洞的可测试性、可交易性和可管理性。因此,提出漏洞信息交易市场的特点假设,推导出漏洞信息交易的贝耶斯纳什均衡并提出漏洞信息的拍卖定价模型和IT产品的补丁优化管理策略模型,以清除和弥补IT产品的漏洞。3.为定量研究信息安全投资对在线企业的市场竞争行为的影响和解决信息安全道德风险行为的对策,构建了一个双寡头垄断竞争两阶段博弈的信息安全投资收益模型,第一阶段厂商决定最优的信息安全投资及其收益,第二阶段厂商决定竞争价格和市场地位。利用最优化信息投资的决策方法分析了具有较高安全性的厂商具有较高的期望收益,证明了信息安全投资可以扩大市场需求和增加利润,并得出在寡占市场条件下的企业最优信息安全投资和均衡的市场价格,证明了率先进行信息安全投资的厂商可以成为市场的领导者的结论。这一结论对在线企业的信息安全投资决策的制定和克服信息安全行为的道德风险具有积极的指导作用。在分析漏洞类型和信息安全措施的基础上,为企业组织提供一个简单适用的改进的二进制粒子群(particle swarm optimization, PSO)智能化信息安全投资决策方法。4.为定量研究信息安全社会化投资措施的最优化部署和威胁的关系问题。构建了网络中组织的信息安全投资的决策模型。发现信息安全措施的投资与组织信息化规模正相关。在网络中的大多数中小企业因为没有安全投资动力而较少投资安全措施,对整个网络构成巨大的威胁。确定了当企业面对独立性网络攻击时,企业可以自行最优化决策其信息安全措施。当网络攻击为传染性的,大型企业即使部署了信息安全措施,仍会因为网络传染而遭受巨大的损失,这时需要从网络整体分析信息安全的社会投资及优化问题。5.研究国家的信息安全公共管理和技术产业化策略。因为信息安全具有准公共物品的性质,需要国家从战略性高度发展信息安全核心技术并与产业化联系起来,因此,构建了实物期权博弈模型以研究产业化的投资收益和投资时机问题,为我国信息安全技术产业化决策提供理论支持。最后以信息安全管理策略为例,对本文的理论和方法进行了实验和数值验证。