杭州师范大学，浙江 杭州

收稿日期：2021年6月21日；录用日期：2021年7月11日；发布日期：2021年7月26日

摘要

随着信息技术的大量应用，企业信息系统常常会面临不同种类的网络安全风险问题，对此，本文就巨型公司补贴供应商网络保费问题进行研究，并设计解决方案。通过构建安全投资激励下的供应商投资保险模型与保费激励下的巨型公司投资保险模型，本文考虑供应商脆弱性水平，公司受攻击性水平等因素对于期望效用的相关性影响，分析所需的最优保费补贴情况，并提出合理的网络保险激励策略，进而改善企业自身安全防御水平，提高公司效益。

关键词

期望效用函数，数值仿真法，网络保险激励

Network Insurance Incentive Strategies Based on Analysis of Security Investment and Premium

Yihan Shi, Yaner Yuan, Qingjing Zhang

Hangzhou Normal University, Hangzhou Zhejiang

Received: Jun. 21^st, 2021; accepted: Jul. 11^th, 2021; published: Jul. 26^th, 2021

ABSTRACT

With the large-scale application of information technology, enterprise information systems often face different types of network security risks. In this regard, this article studies the problem of giant companies subsidizing supplier network premiums and designs solutions. By constructing a supplier investment insurance model under security investment incentives and a giant company investment insurance model under premium incentives, we consider the supplier’s vulnerability level, the company’s level of aggressiveness and other factors that affect the expected utility. At the same time, we analyze the required optimal premium subsidies, and put forward reasonable network insurance incentive strategies so as to improve the company’s own security defense level and efficiency.

Keywords:Expected Utility Function, Numerical Simulation Method, Network Insurance Incentive

Copyright © 2021 by author(s) and Hans Publishers Inc.

This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).

http://creativecommons.org/licenses/by/4.0/

1. 引言

随着科学技术的不断发展，信息技术开始大量应用，企业对信息系统的依赖程度逐渐提高，企业之间的联系与沟通在不断增强的同时，各种各样的网络安全风险问题也随之而来，这些风险给企业信息系统带来了严重的安全隐患甚至是巨额损失以及声誉损失。因此，信息安全风险的管理与防范已经成为不少企业关注的重点。如今，不少企业通过利用信息安全投资和网络安全保险两种风险控制手段来减少企业所面临的因网络攻击或不当安全操作引发的信息安全风险损失。为了防止受到合作供应链的网络攻击影响，巨型公司需要通过为供应商支付一定的保费进行补贴，和促进其增加安全投资等方式来进行激励，以降低受网络攻击性水平，同时促进供应商获得更多的市场份额和良好的用户声誉收入，从而减少自己的损失，使得期望效用最大化。

目前，已有不少学者就企业的网络保险策略进行了研究：顾建强 [1] 等通过研究企业非合作个体的选择结果等，得出一定的保险免赔额可以内部化信息系统安全产生的负外部性；董坤祥 [2] 等通过构建安全投资和网络保险的决策模型，对最佳强制约束和网络保险的有效性做出了解释；董新正 [3] 等基于纳什均衡分析，对强相依与弱相依状态下的企业安全投资决策进行研究，发现现有的网络保险并不能对企业的自我防御水平起到良好的激励作用；Kunreuther [4] 等运用博弈论方法研究相互关联企业之间的安全投资问题，并提出需要通过保险与补贴机制影响企业安全投资。这些大部分都是研究企业自身相应的网络保险策略，而未对合作情况下相关企业的网络保险问题进行分析。本文通过建立安全投资和保费激励下的投资保险模型，研究公司对于供应商补贴保费问题，并提出有效的网络保险激励策略。

2. 保费激励下的巨型公司投资保险模型

2.1. 保险补贴效用分析

当一中小型供应商面临网络攻击时，整个供应链网络中的众合作伙伴都会受到严重损害，因此，为保护自己免受供应链影响的网络攻击，巨型公司会为供应商支付的保费按照比例进行补贴，以降低自身受攻击性水平。为促进公司收益最优化，我们考虑巨型公司k受攻击性水平为 $B\left(t_k\right)$，期望效用为 $E\left(U_k^B\right)$，并利用以下公式计算其值。

$B\left(t_k\right)={\text{e}}^{-t_k}={\text{e}}^{-\gamma \theta C_s}$ (1)

$E\left(U_k^B\right)=W_k+\left(P{C}_s\gamma -L_k\right){\text{e}}^{-\theta C_s\gamma }-\theta C_s\gamma +\mu C_s$ (2)

其中 $\gamma$ 表示巨型公司为供应商补贴的保费比例， $\theta$ 表示保费与投保额的比例， $t_k$ 表示巨型公司的补贴保费， $C_s$ 表示同类型的供应商投保的索赔金额， $W_k$ 表示巨型公司的初始财富， $L_k$ 表示巨型公司的损失，P表示损失被预估的概率且 $0<P<1$，$\mu >0$ 且为常系数。

为进一步分析保费补贴效用，根据(1)式和(2)式，通过求导得到结果如下。

$\frac{\text{d}B\left(t_k\right)}{\text{d}\gamma }=-\theta C_s{\text{e}}^{-\theta C_s\gamma }$ (3)

$\frac{\text{d}E\left(U_k^B\right)}{\text{d}\gamma }=\left(-\theta P{C}_s^2\gamma +P{C}_s+\theta C_s{L}_k\right){\text{e}}^{-\theta C_s\gamma }-\theta C_s$ (4)

$\frac{{\text{d}}^{2}E\left(U_k^B\right)}{\text{d}{\gamma }^2}=\left(P{\theta }^2{C}_s^3\gamma -2P\theta C_s^2-{\theta }^2{C}_s^2{L}_k\right){\text{e}}^{-\theta C_s\gamma }$ (5)

由此，我们可以发现：(1) 巨型公司的受攻击性水平与保费补贴呈负相关；(2) 在巨型公司的保费补贴下，通过激励供应商购买保费产生供应收益关系，可以得到唯一最优保费补贴比例 ${\gamma }^{\text{*}}$。此外，随着补贴比例增加，巨型公司的收益具有负效应，为了实现效用最大化，公司应选择实施最高效的保险激励策略，而不是支付大量的保费补贴。

2.2. 数值分析

根据以上分析，我们对模型的相关参数进行具体设置，采用数值仿真法探究各参数与变量之间的关系，并得到巨型公司的受攻击性水平、期望效用一阶导数、期望效用与其保费补贴比例的关系如图1~3所示。

图1. 巨型公司受攻击性水平分析

通过比较分析各因素之间存在的关系，我们发现受供应链的影响，巨型公司存在最优的补贴保费比例。

2.3. 模型的求解

基于保费激励下的巨型公司投资保险模型的构建，我们最终得出在不同的经济损失与安全投资条件下，公司的期望效用分析情况如下图4、图5所示。

图2. 巨型公司期望效用一阶导数分析

图3. 巨型公司期望效用分析

图4. 不同经济损失下巨型公司期望效用分析

图5. 不同安全投资下巨型公司期望效用分析

从图中我们可以发现，在经济损失不同的条件下，当 $L_k=0,1,2$ 时，期望效用呈递减趋势，最大值均为保费补贴取零情况；而当 $L_k=3$ 时，期望效用呈增大后减小趋势，在极值点 $t_k^{*}=0.6$ 处存在期望效用极大值 $E\left(U_k^B\right)=49.2121$。在经济损失一定的条件下，针对不同类型的供应商其网络安全保险投保额不同时，供应商的投保额越大，巨型公司的期望效用则越高。因此，我们建议巨型公司应最大化考虑自己的受攻击性水平，并在经济条件允许范围内选择可承担投保额更多的供应商作为合作对象。

3. 安全投资激励下的供应商投资保险模型

3.1. 安全投资效用分析

在安全投资激励条件下，供应商保费会受到安全投资的限制，此时保险公司会采取公平保费策略，即企业所缴纳的保费等于保险公司的赔付额。对于巨型公司而言，为降低整体的风险，既需要中小型企业有一定安全投资，也需要激励其购买足量的保险。为此，我们从供应商自身出发，建立其安全投资与保险相结合的期望效用函数模型，分析得出企业i的脆弱性水平 $T_i\left(m_i,m_j\right)$ 和期望效用 $E\left(U_i\right)$ 与各项指标之间的模型：

$T_i\left(m_i,m_j\right)=\left(q+1\right){\text{e}}^{-r{m}_i}-q{\text{e}}^{-2r{m}_i}$ (6)

$E\left(U_i\right)=T_i\left(m_i,m_j\right)P{X}_i+T_i\left(m_i,m_j\right)\left(1-P\right)Y_i+\left[1-T_i\left(m_i,m_j\right)\right]N_i$ (7)

其中r表示投资系数， $m_i$ 表示企业的安全投资额， $N_i$ 表示企业未发生信息安全事件时所拥有财富， $X_i$ 表示发生信息安全事件且获得保险公司赔付时所拥有财富， $Y_i$ 表示发生信息安全事件但未在保险范围内时所拥有财富，q表示企业间的风险相依系数且 $0<q<1$，P表示损失可被观测的概率且 $0<P<1$。

为进一步分析保费补贴效用，根据(6)式和(7)式，通过求导得到结果如下。

$\frac{\text{d}{T}_i\left(m_i,m_j\right)}{\text{d}{m}_i}=-\left(q+1\right)r{\text{e}}^{-r{m}_i}+2rq{\text{e}}^{-2r{m}_i}=-r\left(T-q{\text{e}}^{-2r{m}_i}\right)$ (8)

$\frac{{\text{d}}^2{T}_i\left(m_i,m_j\right)}{\text{d}{m}_i^2}=r^2\left(q+1\right){\text{e}}^{-r{m}_i}-4r^{2}q{\text{e}}^{-2r{m}_i}$ (9)

$\frac{\text{d}E\left(U_i\right)}{\text{d}{m}_i}=r\left(L-sP{C}_i\right)\left[\left(q+1\right){\text{e}}^{-r{m}_i}-2q{\text{e}}^{-2r{m}_i}\right]+\lambda -1$ (10)

$\frac{{\text{d}}^{2}E\left(U_i\right)}{\text{d}{m}_i^2}=r^2\left(sP{C}_i-L\right)\left[\left(q+1\right){\text{e}}^{-r{m}_i}-4q{\text{e}}^{-2r{m}_i}\right]$ (11)

其中s表示公司补贴系数，L表示企业发生信息安全事件时的损失， $\lambda$ 表示常系数， $C_i$ 表示索赔金额。

由此，我们发现：1) 企业的脆弱性水平与企业安全投资呈负相关，并且在企业间风险相依系数 $q=1/3$ 处存在脆弱性水平的驻点；2) 当中小型企业间风险较弱处于 $0<q<1/3$ 时，企业为获取最大期望效用可有两个最优投资额选择。因此，巨型公司可以通过制定一定的安全脆弱性标准，并进行适量保费补贴，来激励供应商增加安全投资，增强自身安全防御水平。

3.2. 数值分析

为了对构建的模型进行深入分析，我们设定具体模型参数，数值分析各参数与变量之间的关系，得到企业期望效用与安全投资额的关系如下图6所示。

图6. 企业期望效用与安全投资额的关系

观测图表，我们发现，在一定投资额约束下企业期望效用存在最优情况，当最佳安全投资为 $m^{*}=2.182$ 时，对应的最大期望效用为 $E\left(U_i\right)=6.909$。可见，在考虑安全投资约束要求时，企业的安全投资并非越多越好，企业应尽可能的观测信息安全损失，并据此计算最优安全投资额，即此时可用最小的安全投资获得尽可能大的期望效用。

3.3. 灵敏度分析

企业的安全损失情况往往会受到多种因素的影响，因此我们选取相关性较大的风险相依系数和安全投资系数这两项因素进行灵敏度分析，得到分析结果如下图7、图8所示。

从图中我们可以发现，随着企业间风险相依系数的增加，企业的脆弱性水平与安全投资均呈平缓增加的趋势；而随着企业安全投资系数的增加，企业的脆弱性水平与安全投资分别呈递减、递增趋势。因此我们建议在受到巨型公司补贴保费的激励下，供应商可以适当增大安全投资，获取最优效益。

图7. 风险相依系数的灵敏度分析

图8. 企业安全投资系数的灵敏度分析

4. 结论

通过研究不同情况下的巨型公司补贴供应商网络保费问题，本文分别建立安全投资激励下的供应商投资保险模型与保费激励下的巨型公司投资保险模型，基于期望效用函数模型，分析供应商脆弱性水平，公司受攻击性水平等因素对于期望效用的相关性影响。而后设定具体模型参数，运用数值仿真法探究各参数与变量之间的关系，从而得到所需情况的最优补贴保费额与安全投资额，并提出合理的网络保险激励策略：1) 巨型公司应最大化考虑自己的受攻击性水平，在经济条件允许范围内选择可承担投保额更多的供应商作为合作对象，并制定安全脆弱性标准，适量补贴保费，激励供应商增加安全投资，增强自身安全防御水平；2) 供应商应在达到最低安全投资标准的前提下，尽可能地观测信息安全损失并增大安全投资，获取最优效益。

文章引用

史一涵,袁燕尔,张青菁. 安全投资和保费分析下的网络保险激励策略
Network Insurance Incentive Strategies Based on Analysis of Security Investment and Premium[J]. 应用数学进展, 2021, 10(07): 2553-2560. https://doi.org/10.12677/AAM.2021.107265

参考文献