基于博弈理論的等保測評機構監(jiān)管仿真研究

莊 嚴

(中國科學技術大學網絡信息中心，安徽 合肥 230026)

1 引言

隨著網絡安全法的頒布和實施，網絡安全等級保護制度成為我國網絡安全工作的基本制度。等級測評是等級保護工作的重要環(huán)節(jié)，而測評機構作為測評的執(zhí)行者，其客觀公正、測評質量和技術能力直接影響等保工作的推進和開展。作為獨立經濟主體，測評機構目的之一是追求自身收益最大化，因此如果缺乏有效的監(jiān)管，可能為了追求經濟收益而忽視測評質量，甚至出具虛假報告[1]。公安部印發(fā)了《網絡安全等級保護測評機構管理辦法》，強化對測評機構測評質量和能力的要求，明確了監(jiān)督管理的工作責任、內容、方式、處罰等內容[2]，測評機構監(jiān)管成為等級保護工作健康有序發(fā)展的重要部分。

當前，監(jiān)管部門主要采取兩類策略：對測評機構進行監(jiān)督檢查，以發(fā)現測評過程存在的問題，監(jiān)督測評機構公正性和測評質量；舉行各類攻防演練、網絡安全競賽和機構能力比對，引導或強制測評機構參加，檢驗測評機構的技術能力并促進提高。上述策略均起到了不錯的效果，但監(jiān)管部門的工作復雜繁重，時間精力有限，需要合理的分配資源，選擇策略的強度和頻度，以提升監(jiān)管效果。因此對等保測評機構的監(jiān)管進行研究具有重要的理論和現實意義。

2 相關研究綜述

目前，已有專家學者對測評機構監(jiān)管問題進行了研究，主要分為三類，第一類是對監(jiān)管工作責任、模式和管理機制的宏觀研究，黃道麗[3]對監(jiān)管主體理論和監(jiān)管立法現狀進行了研究；王春元等[4]分析測評機構的法律責任，并提出制定和完善法律法規(guī)的建議；張亮[5]從國家和浙江省的監(jiān)管模式出發(fā)，總結其不足并提出解決思路；王大萌等[6]從測評機構在等保中的作用出發(fā)，探討規(guī)范測評機構管理、充分發(fā)揮其技術優(yōu)勢等問題；朱利妍[1]跟蹤測評實施過程，研究目前存在的問題，針對測評機構、監(jiān)管部門、被測單位三種角色提出建議，以完善測評過程。第二類是對監(jiān)管的方法、工具和標準的研究，北京市公安局網絡安全保衛(wèi)處[7]對網絡安全執(zhí)法檢查的工作進行總結，相關經驗也適用于測評機構監(jiān)管工作；王大為[8]提出利用態(tài)勢感知技術構建動態(tài)監(jiān)測和監(jiān)管展示系統(tǒng)，為監(jiān)管提供高效的管理手段；季靜等[9]使用標準化理論構建測評機構服務通用基礎標準體系，以實現監(jiān)管的規(guī)范化、科學化。第三類是對測評機構質量和能力建設的研究，胡東梅[10]基于測評機構能力不均衡、競爭激烈、個性化問題突出等現狀，提出了促進能力提升和工作有序開展的建議；林森等[11]在安徽省測評機構質量檢查實踐基礎上，總結測評機構存在的問題并分析原因，給出了推進測評標準化體系建設等建議；張昊等[12]從測評機構質量、人員管理、測評技術等方面對能力建設進行探討，為規(guī)范化管理提供借鑒；王云麗等[13]依據河北省測評機構的數據建立測評機構能力評估的模糊綜合評價模型，為測評機構能力評估提供量化方法。

博弈論作為研究參與者策略行為的理論，許多專家學者將其運用到安全生產、碳排放、食品、電商信用等多領域的監(jiān)管問題。沈斌[14]結合博弈論和系統(tǒng)動力學對安全生產不同監(jiān)管策略的有效性進行了研究；張凱澤等[15]從第三方監(jiān)督視角出發(fā)運用演化博弈模型分析政府碳排放監(jiān)管問題；羅宏森等[16]通過建立政府與食品企業(yè)之間的博弈模型，分析了食品安全生產中相關主體的決策選擇；楊豐梅等[17]基于博弈理論對電商和消費者雙方交易策略進行了研究。這些研究為相關領域制定和完善監(jiān)管及措施提供了理論支持。

綜上所述，既有文獻探討了測評機構監(jiān)管現狀、問題和解決策略，對工作具有非常有益的指導作用，但有關監(jiān)管策略對測評機構測評質量影響機理和效果的定量或仿真研究較少，致使監(jiān)管部門在策略制定時缺乏理論依據；博弈理論在政府和多行業(yè)監(jiān)管策略研究中取得了廣泛應用，但現階段鮮有研究將其與等保測評工作相結合。鑒于此，本文將數學建模、策略博弈和仿真分析等方法應用于測評機構監(jiān)管研究，豐富了現有的研究視角和方法，通過構建測評機構監(jiān)管模型并仿真分析監(jiān)管部門策略選擇對測評機構測評質量的影響，也為現實工作中監(jiān)管部門的策略選擇提供參考和借鑒，具有一定的理論和實踐意義。

3 基本假設和模型構建

3.1 模型基本假設

目前，測評機構監(jiān)管工作的主體主要包含由各主管單位組成的監(jiān)管部門和作為被監(jiān)管對象的等保測評機構。監(jiān)管部門作為政府機構，主要追求社會正面影響和收益的最大化；測評機構作為市場實體，在為政府和社會提供服務的同時也要追求經濟收益的最大化。因此雙方在監(jiān)管中既是合作伙伴，也是追求各自利益最大化的主體，存在博弈關系。本文選取監(jiān)管部門與測評機構作為博弈的參與者。

假設0 監(jiān)管部門和測評機構都是有限理性的主體，追求各自自身收益的最大化，雙方均不能預知對方的決策策略，而是根據對方的策略和自身收益不斷調整自身選擇的策略。

假設1監(jiān)管部門的策略集合為Sg={監(jiān)督檢查，攻防競賽}，其中采取監(jiān)督檢查和攻防競賽的概率為(x，1-x)，當x=1時代表監(jiān)管部門投入所有資源進行對測評機構的監(jiān)督檢查，當x=0時代表監(jiān)管部門不進行監(jiān)督檢查，而將所有資源投入到進行攻防競賽類工作；測評機構的策略集合為Sc={嚴格測評，低質量測評}，其中采取嚴格測評和低質量測評的概率為(y，1-y)，嚴格測評的概率反應了測評機構的測評質量。

假設2政府監(jiān)管部門采取監(jiān)督檢查時，一定能夠發(fā)現測評機構低質量測評的行為。如果測評機構嚴格測評，監(jiān)管部門雖然進行了監(jiān)督檢查工作，但是因為無明顯成果，收益為0；如果測評機構低質量測評，監(jiān)管部門通過監(jiān)督檢查予以發(fā)現、通報和糾正，可以促進測評機構進行嚴格的測評，提高公眾對監(jiān)管部門的評價，受到上級部門的認可和獎勵，給部門帶來正面效應Fg；反之，監(jiān)管部門放松監(jiān)督檢查，測評機構低質量測評未被發(fā)現造成不良社會影響，給部門帶來負面效應-Fg。當監(jiān)管部門進行攻防競賽等活動時，擴大了網絡安全相關工作的影響，提升了社會對網絡安全的關注度和防護能力，同時通過測評機構參加相關活動，推動測評機構提升技術能力，給監(jiān)管部門帶來正面效應R。由于此處的Fg和R主要為無形收益，較難準確量化，可以理解為監(jiān)管部門對相應策略收益的主觀預期或主觀重視和傾向程度。

假設3測評機構總成本為C，如果所有成本均投入嚴格測評工作，帶來的收益為V，如果測評機構進行低質量測評，由于降低了工作量，會帶來額外收益V′；如果監(jiān)管部門通過監(jiān)督檢查發(fā)現低質量測評，則會對測評機構采取公示、罰款、暫停業(yè)務等處罰，給機構帶來Fc的損失；測評機構會對投入進行分配，所有成本中k的比例用于測評(0

3.2 模型建立

根據以上假設，監(jiān)管部門和測評機構不同策略下的收益矩陣如表1所示。

表1 監(jiān)管部門和測評機構收益矩陣

Eg1=0*y+(1-y)*Fg=(1-y)*Fg

(1)

Eg2=y*R+(1-y)*(R-Fg)=R-Fg*(1-y)

(2)

(3)

根據假設0，監(jiān)管部門會不斷根據雙方的策略和自身收益調整自己的決策，為表示監(jiān)管部門策略隨時間的變化，構建監(jiān)管部門的策略概率變化率方程

=x*(1-x)*(2Fg-2Fg*y-R)

(4)

Ec1=(k*V-C)+(1-x)*(1-k)*G

(5)

Ec2=k*(V+V′)-x*Fc+(1-x)*(1-k)*G-C

(6)

(7)

測評機構的策略概率變化率方程

(8)

雙方策略概率變化率可以通過聯(lián)立式(4)和(8)組成

F(z)=[F(x)，F(y)]T

(9)

當F(z)=0時，雙方的策略達到均衡狀態(tài)，因此監(jiān)管部門和測評機構的策略均衡點為：z1=(0，0)T，z2=(0，1)T，z3=(1，0)T，z4=(1，1)T，z5=(k*V′/Fc，1-R/2Fg)T。根據博弈理論，還需對均衡點的穩(wěn)定性進行判斷，即分析雙方是否會隨著時間的發(fā)展逐步逼近并最終穩(wěn)定在某個策略。為此將計算機仿真和上述模型相結合，通過模擬仿真的方式分析不同條件下雙方策略的穩(wěn)定性，并對比不同參數值對監(jiān)管雙方策略選擇的影響。

4 模型仿真分析

首先對模型中各變量初始值進行預設置：Fg=3，R=2，V=4，V′=4，C=3，G=1，Fc=4，k=0.8。受條件所限，變量初始值在邏輯分析基礎上模擬賦值，數值不含量綱單位。

4.1 模型穩(wěn)定狀態(tài)分析

結合政策和規(guī)范要求，監(jiān)管部門當前采取監(jiān)督檢查和攻防競賽相結合的方式，不會采取純粹的單一方式，因此策略均衡點z1至z4不具有現實意義。

根據預設變量值可知z5=(0.8，2/3)T，對z5狀態(tài)進行仿真獲得結果圖1(a)，雙方策略處于均衡狀態(tài)，但是當監(jiān)管策略監(jiān)督檢查概率由0.8變?yōu)?.85后，由仿真結果圖1(b)可知，原有的均衡被打破，并呈現雙方策略波動的狀態(tài)，因此z5也不是一個穩(wěn)定的策略均衡狀態(tài)。

圖1 z5=(0.8，2/3)T點穩(wěn)定性分析

對于更一般的初始非均衡策略狀態(tài)進行仿真結果如圖2，可發(fā)現雙方策略均存在隨著時間的波動變化。

圖2 一般初始策略點穩(wěn)定性分析

圖2情景說明：初期測評機構測評質量較低，監(jiān)管部門通過監(jiān)督檢查來獲得社會影響和收益的意愿相對較高，當監(jiān)管部門增加監(jiān)督檢查的力度時，測評機構低質量測評導致的損失預期增加，測評機構加大嚴格測評比例提升測評質量，而隨著機構測評質量提升，監(jiān)管部門監(jiān)督檢查的動力又會降低，而將資源分配至攻防競賽等其它方面，導致監(jiān)督檢查的力度下降，進而引發(fā)測評機構調整策略增加低質量測評的比例，最終造成雙方策略選擇的上下波動。綜上，當前模型在現實下不存在雙方策略選擇的穩(wěn)定均衡狀態(tài)，較難實現有效的監(jiān)管。

4.2 模型參數影響分析

結合現實情況，通過仿真分析研究監(jiān)管機構策略參數對測評機構測評質量的影響，給監(jiān)管部門監(jiān)管策略的選擇和制定提供參考。

4.2.1 監(jiān)管部門策略收益預期的影響

在其它參數不變的條件下分別對Fg和R為2， 4，6，8的情況進行仿真，測評機構選擇嚴格測評策略的概率如圖3。從圖中對比可以發(fā)現，監(jiān)管部門采取監(jiān)督檢查策略的主觀預期收益Fg提高時，雖然測評機構嚴格測評的概率仍然存在波動，但是概率的最大值和波動的中心值均隨Fg的提高而增加；而當監(jiān)管部門采取攻防競賽策略的主觀預期收益R提高時，測評機構嚴格測評的概率呈下降趨勢，并最終趨近于0，即選擇低質量測評的策略，與監(jiān)管的目標相悖。

圖3情景說明，測評質量水平與監(jiān)督檢查的力度呈正相關；攻防競賽雖然可以提高測評機構的技術能力，但在沒有其它配套措施的情況下，并不能顯著提升測評機構的收益，而且會占用人力等成本，增加測評機構低質量測評的意愿；而監(jiān)管部門的資源和精力有限，過度關注攻防競賽等方式，會導致監(jiān)督檢查工作的缺失，進一步對測評質量造成負面影響。

圖3 監(jiān)管部門策略收益預期影響仿真

4.2.2 低質量測評處罰力度的影響

在其它參數不變的條件下分別對Fc為2， 4，6，8的情況進行仿真，測評機構選擇嚴格測評策略的概率如圖4，可以看出，當監(jiān)管部門處罰力度較小(Fc=2)時，測評機構嚴格測評的概率趨向于0，隨著處罰力度增加(Fc=4)，測評機構嚴格測評的概率有所提高，但是當處罰力度過大(Fc=6，8)時，雖然測評機構嚴格測評的最大概率有所增加，但是整體波動的幅度明顯增大。

圖4情景說明，監(jiān)督檢查發(fā)現問題需要有實質的處罰力度，如果處罰僅流于形式，低于測評機構低質量測評的額外收益預期，測評機構從利益出發(fā)傾向于選擇低質量測評，無法起到監(jiān)管的效果；但是如果單純的增加處罰力度，隨著處罰力度的加大，測評機構嚴格測評比例上升也越快，但是只能在短期內達到效果，同時監(jiān)督檢查強度也會隨之較快降低，會導致測評質量預期波動性增加，進而也會增加監(jiān)管的難度。

圖4 監(jiān)管部門處罰力度影響仿真

4.3 模型穩(wěn)定性控制優(yōu)化

綜上分析可以發(fā)現，現實狀態(tài)下模型不存在穩(wěn)定的雙方策略選擇狀態(tài)，監(jiān)管部門通過調整監(jiān)管參數也無法解決測評機構策略選擇的波動性，這使監(jiān)管部門較難維持穩(wěn)定一致的監(jiān)管政策，以實現增加測評機構嚴格測評概率、提高測評質量的目標。

為解決策略選擇的波動性問題，嘗試引入動態(tài)處罰力度，將原假設3中Fc修改為Fc=Fcb*(1-y)，其中Fcb為處罰力度基數，即假設監(jiān)管部門根據掌握的測評機構信息，隨著測評機構低質量測評的概率同步調整處罰的力度。依據此假設對模型進行修改后，在其它參數不變的情況下分別對Fcb為3，5， 7， 9， 100的情況進行仿真，測評機構選擇嚴格測評策略的概率如圖5所示。

圖5 動態(tài)處罰力度模型參數影響仿真

圖5情景說明，引入動態(tài)處罰后，測評機構質量策略選擇的波動性被抑制，最終趨向于收斂，形成了穩(wěn)定的策略決策，監(jiān)管部門可以同步據此形成穩(wěn)定的監(jiān)管策略；與靜態(tài)處罰力度情景類似，測評機構最終質量策略概率受監(jiān)管部門處罰力度參數的影響，但即使處罰力度再大仍存在一定的低質量測評概率，因此想要達到監(jiān)管的理想狀態(tài)，仍需要引入更多的管理機制。

5 結論

本文將數學建模、策略博弈和仿真分析等方法應用于測評機構監(jiān)管策略研究，在模型框架的假設下，得到仿真結論如下：監(jiān)管部門和測評機構之間難以形成穩(wěn)定的策略選擇狀態(tài)，決策呈波動性；測評機構的測評質量與監(jiān)管部門采取攻防競賽類監(jiān)管措施的預期收益呈負相關，過度強調攻防競賽類工作的重要性而缺乏其它配套措施可能會對測評質量造成負面影響；測評機構的測評質量與監(jiān)管部門的處罰力度呈正相關，但單純增加處罰力度會擴大測評機構策略選擇的波動性，增加監(jiān)管部門的管控難度；在當前模型中引入動態(tài)的處罰力度可以抑制測評機構策略的波動性，達到監(jiān)管的穩(wěn)定狀態(tài)。上述結論對于監(jiān)管部門合理分配資源、選擇監(jiān)管措施和策略可以提供借鑒作用。