Lawrence A. Gordon, Ph.D

高登-洛伯模型

(Gordon-Loeb Model)

信息安全投资之经济分析

俗话说:「居安思危。」信息安全已成为网络经济时代企业必须面对的首要问题之一。仅管目前对信息安全问题的讨论大多从技术面着手，企业普遍存在的迷思却是究竟该投资多少资源于这些信息安全技术上。高登-洛伯模型(Gordon-Loeb Model) 即在运用经济及数学模型解析此一问题。

企业到底该花多少钱来解决信息安全问题呢? 如果你的预算是一百万，又该如何分配到不同的信息安全解决方案上呢? 是该多押宝在防毒软件上，或是押宝在防火墙的建设上呢? 马里兰大学的高登(Gordon)及洛伯(Loeb)教授于2002年发表了一篇研究论文「信息安全投资之经济分析」(The Economics of Information Security Investment)，主要就在探讨上述普遍存在于企业内部的问题。此研究运用数学模型来分析各种不同信息安全漏洞产生函数(Information Security Breach Function)时，企业应如何进行信息安全投资。此项分析成果已被许多信息安全领域的文献正式称为「高登-洛伯模型」(Gordon-Loeb Model)。

听起来深奥难懂吗? 因为看到「经济」和「数学」二个词而让你忘之却步吗? 高登-洛伯模型分析所归纳出的二大最适投资法则可是让你吃惊的简单易行喔!

l 法则一: 信息安全投资的金额不应超过预期从信息安全漏洞而来的损失的37%。举例来说，如果你预期你的公司遭受黑客入侵时的损失大约一百万的话，你的企业投资于防止黑客入侵就是不该超过37万。

l 法则二: 不是愈容易产生漏洞的信息就花愈多钱来保护这项信息，有中等程度弱点的信息才是该花大钱的地方。比方来说，你的公司如果有三套网络：一个是对外公开因特网、一个是专门与供货商联络用、一个是专供企业内部用网络。一般来说你会认为它们的漏洞程度是由高至低，而且如果给你总金额一百万来投资网络安全，你会分配最多的投资在对外公开的因特网。然而高登-洛伯模型却会奉劝你把一百万的大部份投资在与供货商联络用的网络。

高登-洛伯模型化繁为简，且背后有完整的数学经济分析支持，所以目前不但被广为引用，还有许多实证研究的结果直接告诉我们高登-洛伯模型并不是不切实际、高空楼阁的纯理论。例如日本东京大学的塔拿卡(Tanaka)教授等人就利用日本地方政府E化(E-local Government)所产生的一些数据来证明以上法则二的存在。

如果你想亲眼一窥高登-洛伯模型的究竟，请参考以下文章: 文章名称: The Economics of Information Security Investment。作者: Gordon, L.A. and M.P. Loeb。期刊名称: ACM Transactions on Information and System Security。刊登期数: 2002年11月。页码: 438-457。

不管你是想认真的进一步从事高登-洛伯模型相关的研究，亦或只是想闲聊一下这个模型相关的问题，都欢迎联络Larry Gordon，我的电子邮件是 lgordon@rhsmith.umd.edu.

English Translation (英文版翻譯)

Complex Chinese Translation (繁體中文版翻譯)

Lawrence A. Gordon, Ph.D.