论文部分内容阅读
在我国大力推进国民经济和社会发展信息化的背景下,信息安全与国民经济和社会发展的各个方面都前所未有的紧密相关,信息安全问题也因此超越了狭隘的技术层面,发展成为一个关系重大的社会问题。
由于信息安全问题的广泛性和重要性,它已经引起了各界的关注,并出现了一些热烈的讨论。值得注意的是,这些讨论表现出明显的泛政治化倾向;争论背后也隐含着特定的“政治正确”的假设。这种局面使讨论很难深入下去,也不利于尽快达成一致意见。更糟糕的是,这还会影响到政府决策的连续性和一致性。
比如说,在推进信息化的过程中,各级政府采用了大量的优惠政策,扶持信息技术研究开发、信息产业以及信息技术业务应用;但与此同时,国家又从信息安全的角度对信息技术的业务应用施加了非常严格的管制。这两类政策存在严重的冲突,而且都可能诱发竞争性寻租行为。但由于有关信息安全的讨论是在政治化的氛围中展开的,这两类政策之间的矛盾就几乎无法化解。
本文意在指出,围绕信息安全的讨论泛政治化的根本原因是背后经济利益的驱动。要摆脱这种泛政治化困境,必须求助于经济学研究工具,并努力将争论建立在经验研究的基础上。
本文分三部分。第一部分讨论利益与信息安全投资的关系;第二部分讨论科斯命题与安全责任的配置;第三部分讨论网络效应与安全基投资风险。
一、利益和信息安全投资
自利是经济学的一个根本性假定。这一假定是否可以用来分析信息安全问题呢?答案是肯定的。
世界著名的密码学家、英国剑桥大学教授Ross Anderson(2002)指出,安全工程研究领域在近年出现了一次重要的分化。20世纪90年代,政府试图引入密钥托管并加强对信息安全的管制,这导致研究群体的分化,一部分研究者积极研究数字权利管理系统,另外一部分研究者则致力于隐私权保护,并往往支持自由源代码或开放源代码运动。两个群体并未直接争论,但其潜在客户显然不同。无论哪一个群体,他们是否都高估或过分强调了信息安全问题呢?信息安全投资真的象信息安全专家所说的那样存在投资过低的问题吗?是否存在相反的可能性?他所提的一个问题为讨论经济利益与信息安全之间的关系提供了一个出发点。
从政治经济学角度看,安全专家有夸大信息安全问题的动因。所以,信息安全投资过度的危险确实存在的。教授信息安全的研究者希望用存在网络攻击威胁这一理由获得研究资助,警察则希望用信息安全的名义建立一个计算机犯罪管理机构,推销商为了实现其安全产品销售计划,也有必要大谈信息安全的重要性。
一些彼此矛盾的说法为这种可能提供了印证。安全专家今天说电子邮件截取如此简单,用户使用网络必须小心信用卡号码被盗取;明天联邦调查局告诉我们检查电子邮件太困难了,每个网络服务商都有必要安装一个特制的盒子来为他们的工作创造条件。Anderson说,如果电子邮件检查真的比打开普通信箱还要困难,那些加密公司所卖的产品还有什么价值吗?
Anderson说,他目睹了几种信息安全潮流的兴起与衰退。他的直觉是,厂商不把资金和精力集中在信息安全问题上有其合理性,其信息安全投资大体适度,也许还有些偏高,而不是如专家们说的那样,投资太低。
Soo Hoo的研究报告(2002)为Anderson的判断提供了系统的证据。根据他的研究,信息安全的投资回报率在20%左右,低于所研究时段内的IT投资所要求的30%这一投资回报率。中国的信息安全投资收益率是怎样的呢?是否存在同样的投资过度问题呢?不研究这些问题,围绕信息安全的讨论就缺少必要的经验基础。
二、科斯命题与安全责任配置
除了信息安全投资的总量问题,Soo Hoo(2002)还对安全投资的配置方向进行了研究,指出那些更为简单、廉价的信息安全措施(如屏幕显示锁)投资回报高于那些大型项目(如PKI)投资。这显然是一个需要深入调查的课题。因为安全投资配置不当意味着不能有效实现信息安全这一目标。而市场经济条件下的投资配置是与激励紧密相关的;恰当的激励来自恰当的制度。这就与科斯的命题联系在一起了。
著名新制度经济学家科斯曾经提出一个被称为科斯定理的著名命题,该命题的核心内容是,在交易成本为零的条件下,产权界定与经济效率无关,市场机制总会使资源配置达到最优状态;但是,在交易成本为正的条件下,产权界定就变得至关重要。比如,如果交易很容易达成,不管山洞的使用权是界定给糖果制造商还是仓储商,市场总是可以把山洞的使用权转移到利用水平最高的人手里(收益最大);但如果交易成本很高,那就不能保证这一点了。产权界定给利用水平最高的人和利用水平较低的人,其经济结果是不一样的(科斯,1996)。法和经济学研究者将这种分析应用到法律责任的配置问题,将不可抗力导致的违约责任分配给能够最有效地防范和处理意外情况的一方来承担(尤伦、库特,1994)。
对信息安全问题来说,安全责任的划分(一种产权形式)也是至关重要的。Anderson(1994)曾经对英国自动提款机欺诈案件进行了研究,结论令人惊讶,所有的提款机加密技术都足以保证交易安全,而所有的欺诈事件都与人为错误有关;产生安全问题只是因为银行没有正确地安装加密系统。
银行为什么没有正确利用加密系统呢?答案在于,英国特殊的安全责任配置。在美国,如果消费者与银行出现争议,举证责任在银行,也就是说,除非银行能够证明消费者的错误,否则,法律保护消费者的利益。英国的情况则相反,出现争议时,举证责任在消费者而不是银行,除非消费者能够证明银行的错误,否则,法律保护银行的利益。两种不同的责任界定产生了不同的结果。美国的银行积极投资于风险管理技术,在容易产生欺诈的地区安装摄像镜头,并组织员工进行安全操作方面的培训;尽管英国银行的安全支出高于美国的银行,但因为对这些方面漠不关心,导致了自动提款机的不当利用,并出现了一个自动提款机诈骗高峰。
从经济学角度看,如果安全责任的转移机制不完善,不同的安全责任配置条件下效率是不同的。在自动提款机的例子中,最能胜任风险管理任务的显然是银行而非消费者,因此,将更多的安全责任配置给银行是合理的。这一结果与科斯命题的预期是一致的。
尽管在分配安全责任时必须考虑交易成本的影响,但我们不能希望恰当的安全责任配置必定出现(知识、决策能力等方面的约束)。因此,建立风险责任的转移机制是必要的。经典的经济学解决方案是开办信息安全保险,并开发相应的保险品种。在这种机制下,保险公司愿意向采用良好安全实践的机构提供保险,因此,他们有动力教育客户如何改进其网络安全。问题只是,现有的大部分保险公司都缺乏信息安全方面的知识,难以对有关的风险作出判断。不过,一旦开办这种业务,保险公司会有强大动力去处理这类问题,并有望向客户提供更好的建议。
范里安指出,解决计算机犯罪问题的第一步,就是要分配那些最能够管理这种风险的法律责任。只有这样,信息安全保险业务才能够逐步发展起来(范里安,2000)。
三、网络效应与安全基投资
安全基指的是网络与信息安全的最基础层次问题,国内通常将操作系统软件与CPU芯片的安全性纳入这一范围的讨论。人们倾向于认为,没有本土的操作系统和CPU芯片的技术能力,信息安全最终无法保证。因此,国内扶植和研究开发操作系统和CPU芯片是必要的。
其实,操作系统软件和CPU在国外也是一个争论多年而没有解决的问题。在这两个领域,微软和英特尔分别占据市场的支配性地位,并且两家公司谨慎地使公司之间的联盟持续了20年。人们将其近乎垄断的地位称做“Wintel”(Windows和Intel两个词连在一起的缩写)。然而,在国外,人们不是从安全的角度来研究,更多的是对微软和英特尔在这两个领域持续20年的强大联盟感到不安,担心这会对市场的健康发展带来损害。因此,微软多次受到起诉,认为其诸多做法微软反垄断法,涉嫌不正当竞争。
国内信息产业界的有关人士对微软和英特尔在国内市场的强大地位也深表不安,并指出这种地位使信息安全问题缺乏根本保证,因此,主张支持操作系统软件和CPU的自主研发,并促进其产业化。这种看法有其合理之处,但并没有严谨地对待对两家公司达到并维持目前市场地位的机理。
著名经济学家夏皮罗和范里安指出,信息经济的网络外部性特征是形成两家公司目前地位的基本原因。对于具有网络效应的行业,如电话、航运、传真,网络的价值与用户的多少密切相关。有时,人们将这一点称做梅特卡夫定律(Metcalf‘s Law)。而网络经济受到网络外部性的深刻影响。
首先,产品对某一用户的价值依赖多少用户使用它;
其次,该技术的固定成本高昂。第一个软件或芯片可能耗资数百万美元,但制造商随后的拷贝成本可能非常低廉。在这种情况下,纯粹的价格竞争倾向于使企业收入按照边际成本定价(对软件来说,复制的边际成本几乎为零)。因此,厂商倾向于采用非价格手段争取产品按照产品对用户的价值定价。
第三,用户采用替代技术的转折成本高昂,从而引起锁定效应。即使竞争者的产品非常廉价,但用户仍然采用占据优势地位的产品。最终,客户基础的现值等于用户转移的总成本(夏皮罗、范里安,2000)。
在这种情况下,从安全基础的角度对本土操作系统软件和CPU的支持必须考虑支持的成本和成功的机会。
由于网络效应的存在,微软和英特尔得以在竞争压力下维持现有的强大市场地位,尚未产生出对其市场地位形成根本挑战的公司。在这一背景下,希望能够通过扶植政策实现操作系统软件和CPU的国产化,并解决信息安全的基础问题,实在是不容乐观的。在安全基政策出台之前,谨慎地对风险与机会进行研究评估恐怕是非常必要的。这也正是经济学最为擅长的地方。
(作者单位:中国电子信息产业发展研究信息化研究中心)
参考文献:
1.罗纳德·科斯《论生产的制度结构》,上海三联书店、上海人民出版社,1996年
2.尤伦、库特《法和经济学》,张军等译,上海三联书店,1994年
3.卡尔·夏皮罗、哈尔·范里安《信息规则:网络经济的战略指导》,张帆译,中国人民大学出版社,2000年
4.Hal. R. Varian,Managing Online Security Risks, The New Nork Times, June 1,2000.
5.Ross Anderson, Why Cryptography Fail, Communications of the ACM,vol.37(11), 1994,pp32-40
————,Unsettling Parallels Between Security and the Environment, 2002, http://www.sims.Berkeley.edu/resources/affiliates/workshops/eco.../37.tx
6.Kevin Soo Hoo, How Much is Enough? A Risk Management Approch to Computer Security, 2002, http://cisac.Stanford .edu./docs/soohoo.pdf
由于信息安全问题的广泛性和重要性,它已经引起了各界的关注,并出现了一些热烈的讨论。值得注意的是,这些讨论表现出明显的泛政治化倾向;争论背后也隐含着特定的“政治正确”的假设。这种局面使讨论很难深入下去,也不利于尽快达成一致意见。更糟糕的是,这还会影响到政府决策的连续性和一致性。
比如说,在推进信息化的过程中,各级政府采用了大量的优惠政策,扶持信息技术研究开发、信息产业以及信息技术业务应用;但与此同时,国家又从信息安全的角度对信息技术的业务应用施加了非常严格的管制。这两类政策存在严重的冲突,而且都可能诱发竞争性寻租行为。但由于有关信息安全的讨论是在政治化的氛围中展开的,这两类政策之间的矛盾就几乎无法化解。
本文意在指出,围绕信息安全的讨论泛政治化的根本原因是背后经济利益的驱动。要摆脱这种泛政治化困境,必须求助于经济学研究工具,并努力将争论建立在经验研究的基础上。
本文分三部分。第一部分讨论利益与信息安全投资的关系;第二部分讨论科斯命题与安全责任的配置;第三部分讨论网络效应与安全基投资风险。
一、利益和信息安全投资
自利是经济学的一个根本性假定。这一假定是否可以用来分析信息安全问题呢?答案是肯定的。
世界著名的密码学家、英国剑桥大学教授Ross Anderson(2002)指出,安全工程研究领域在近年出现了一次重要的分化。20世纪90年代,政府试图引入密钥托管并加强对信息安全的管制,这导致研究群体的分化,一部分研究者积极研究数字权利管理系统,另外一部分研究者则致力于隐私权保护,并往往支持自由源代码或开放源代码运动。两个群体并未直接争论,但其潜在客户显然不同。无论哪一个群体,他们是否都高估或过分强调了信息安全问题呢?信息安全投资真的象信息安全专家所说的那样存在投资过低的问题吗?是否存在相反的可能性?他所提的一个问题为讨论经济利益与信息安全之间的关系提供了一个出发点。
从政治经济学角度看,安全专家有夸大信息安全问题的动因。所以,信息安全投资过度的危险确实存在的。教授信息安全的研究者希望用存在网络攻击威胁这一理由获得研究资助,警察则希望用信息安全的名义建立一个计算机犯罪管理机构,推销商为了实现其安全产品销售计划,也有必要大谈信息安全的重要性。
一些彼此矛盾的说法为这种可能提供了印证。安全专家今天说电子邮件截取如此简单,用户使用网络必须小心信用卡号码被盗取;明天联邦调查局告诉我们检查电子邮件太困难了,每个网络服务商都有必要安装一个特制的盒子来为他们的工作创造条件。Anderson说,如果电子邮件检查真的比打开普通信箱还要困难,那些加密公司所卖的产品还有什么价值吗?
Anderson说,他目睹了几种信息安全潮流的兴起与衰退。他的直觉是,厂商不把资金和精力集中在信息安全问题上有其合理性,其信息安全投资大体适度,也许还有些偏高,而不是如专家们说的那样,投资太低。
Soo Hoo的研究报告(2002)为Anderson的判断提供了系统的证据。根据他的研究,信息安全的投资回报率在20%左右,低于所研究时段内的IT投资所要求的30%这一投资回报率。中国的信息安全投资收益率是怎样的呢?是否存在同样的投资过度问题呢?不研究这些问题,围绕信息安全的讨论就缺少必要的经验基础。
二、科斯命题与安全责任配置
除了信息安全投资的总量问题,Soo Hoo(2002)还对安全投资的配置方向进行了研究,指出那些更为简单、廉价的信息安全措施(如屏幕显示锁)投资回报高于那些大型项目(如PKI)投资。这显然是一个需要深入调查的课题。因为安全投资配置不当意味着不能有效实现信息安全这一目标。而市场经济条件下的投资配置是与激励紧密相关的;恰当的激励来自恰当的制度。这就与科斯的命题联系在一起了。
著名新制度经济学家科斯曾经提出一个被称为科斯定理的著名命题,该命题的核心内容是,在交易成本为零的条件下,产权界定与经济效率无关,市场机制总会使资源配置达到最优状态;但是,在交易成本为正的条件下,产权界定就变得至关重要。比如,如果交易很容易达成,不管山洞的使用权是界定给糖果制造商还是仓储商,市场总是可以把山洞的使用权转移到利用水平最高的人手里(收益最大);但如果交易成本很高,那就不能保证这一点了。产权界定给利用水平最高的人和利用水平较低的人,其经济结果是不一样的(科斯,1996)。法和经济学研究者将这种分析应用到法律责任的配置问题,将不可抗力导致的违约责任分配给能够最有效地防范和处理意外情况的一方来承担(尤伦、库特,1994)。
对信息安全问题来说,安全责任的划分(一种产权形式)也是至关重要的。Anderson(1994)曾经对英国自动提款机欺诈案件进行了研究,结论令人惊讶,所有的提款机加密技术都足以保证交易安全,而所有的欺诈事件都与人为错误有关;产生安全问题只是因为银行没有正确地安装加密系统。
银行为什么没有正确利用加密系统呢?答案在于,英国特殊的安全责任配置。在美国,如果消费者与银行出现争议,举证责任在银行,也就是说,除非银行能够证明消费者的错误,否则,法律保护消费者的利益。英国的情况则相反,出现争议时,举证责任在消费者而不是银行,除非消费者能够证明银行的错误,否则,法律保护银行的利益。两种不同的责任界定产生了不同的结果。美国的银行积极投资于风险管理技术,在容易产生欺诈的地区安装摄像镜头,并组织员工进行安全操作方面的培训;尽管英国银行的安全支出高于美国的银行,但因为对这些方面漠不关心,导致了自动提款机的不当利用,并出现了一个自动提款机诈骗高峰。
从经济学角度看,如果安全责任的转移机制不完善,不同的安全责任配置条件下效率是不同的。在自动提款机的例子中,最能胜任风险管理任务的显然是银行而非消费者,因此,将更多的安全责任配置给银行是合理的。这一结果与科斯命题的预期是一致的。
尽管在分配安全责任时必须考虑交易成本的影响,但我们不能希望恰当的安全责任配置必定出现(知识、决策能力等方面的约束)。因此,建立风险责任的转移机制是必要的。经典的经济学解决方案是开办信息安全保险,并开发相应的保险品种。在这种机制下,保险公司愿意向采用良好安全实践的机构提供保险,因此,他们有动力教育客户如何改进其网络安全。问题只是,现有的大部分保险公司都缺乏信息安全方面的知识,难以对有关的风险作出判断。不过,一旦开办这种业务,保险公司会有强大动力去处理这类问题,并有望向客户提供更好的建议。
范里安指出,解决计算机犯罪问题的第一步,就是要分配那些最能够管理这种风险的法律责任。只有这样,信息安全保险业务才能够逐步发展起来(范里安,2000)。
三、网络效应与安全基投资
安全基指的是网络与信息安全的最基础层次问题,国内通常将操作系统软件与CPU芯片的安全性纳入这一范围的讨论。人们倾向于认为,没有本土的操作系统和CPU芯片的技术能力,信息安全最终无法保证。因此,国内扶植和研究开发操作系统和CPU芯片是必要的。
其实,操作系统软件和CPU在国外也是一个争论多年而没有解决的问题。在这两个领域,微软和英特尔分别占据市场的支配性地位,并且两家公司谨慎地使公司之间的联盟持续了20年。人们将其近乎垄断的地位称做“Wintel”(Windows和Intel两个词连在一起的缩写)。然而,在国外,人们不是从安全的角度来研究,更多的是对微软和英特尔在这两个领域持续20年的强大联盟感到不安,担心这会对市场的健康发展带来损害。因此,微软多次受到起诉,认为其诸多做法微软反垄断法,涉嫌不正当竞争。
国内信息产业界的有关人士对微软和英特尔在国内市场的强大地位也深表不安,并指出这种地位使信息安全问题缺乏根本保证,因此,主张支持操作系统软件和CPU的自主研发,并促进其产业化。这种看法有其合理之处,但并没有严谨地对待对两家公司达到并维持目前市场地位的机理。
著名经济学家夏皮罗和范里安指出,信息经济的网络外部性特征是形成两家公司目前地位的基本原因。对于具有网络效应的行业,如电话、航运、传真,网络的价值与用户的多少密切相关。有时,人们将这一点称做梅特卡夫定律(Metcalf‘s Law)。而网络经济受到网络外部性的深刻影响。
首先,产品对某一用户的价值依赖多少用户使用它;
其次,该技术的固定成本高昂。第一个软件或芯片可能耗资数百万美元,但制造商随后的拷贝成本可能非常低廉。在这种情况下,纯粹的价格竞争倾向于使企业收入按照边际成本定价(对软件来说,复制的边际成本几乎为零)。因此,厂商倾向于采用非价格手段争取产品按照产品对用户的价值定价。
第三,用户采用替代技术的转折成本高昂,从而引起锁定效应。即使竞争者的产品非常廉价,但用户仍然采用占据优势地位的产品。最终,客户基础的现值等于用户转移的总成本(夏皮罗、范里安,2000)。
在这种情况下,从安全基础的角度对本土操作系统软件和CPU的支持必须考虑支持的成本和成功的机会。
由于网络效应的存在,微软和英特尔得以在竞争压力下维持现有的强大市场地位,尚未产生出对其市场地位形成根本挑战的公司。在这一背景下,希望能够通过扶植政策实现操作系统软件和CPU的国产化,并解决信息安全的基础问题,实在是不容乐观的。在安全基政策出台之前,谨慎地对风险与机会进行研究评估恐怕是非常必要的。这也正是经济学最为擅长的地方。
(作者单位:中国电子信息产业发展研究信息化研究中心)
参考文献:
1.罗纳德·科斯《论生产的制度结构》,上海三联书店、上海人民出版社,1996年
2.尤伦、库特《法和经济学》,张军等译,上海三联书店,1994年
3.卡尔·夏皮罗、哈尔·范里安《信息规则:网络经济的战略指导》,张帆译,中国人民大学出版社,2000年
4.Hal. R. Varian,Managing Online Security Risks, The New Nork Times, June 1,2000.
5.Ross Anderson, Why Cryptography Fail, Communications of the ACM,vol.37(11), 1994,pp32-40
————,Unsettling Parallels Between Security and the Environment, 2002, http://www.sims.Berkeley.edu/resources/affiliates/workshops/eco.../37.tx
6.Kevin Soo Hoo, How Much is Enough? A Risk Management Approch to Computer Security, 2002, http://cisac.Stanford .edu./docs/soohoo.pdf