信息安全外包領(lǐng)域研究熱點(diǎn)與演化趨勢(shì)分析★

李 嬌，趙柳榕，劉健楠

（南京工業(yè)大學(xué) 經(jīng)濟(jì)與管理學(xué)院，江蘇 南京 211816）

引言

企業(yè)通常將信息安全業(yè)務(wù)外包給安全服務(wù)提供商以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)安全環(huán)境要求。信息安全外包是指企業(yè)將全部或部分信息安全工作指定給MSSP完成的服務(wù)模式，以期降低信息安全風(fēng)險(xiǎn)、節(jié)約成本[1]。近年來，國(guó)內(nèi)外學(xué)者對(duì)該領(lǐng)域相關(guān)成果進(jìn)行了梳理和總結(jié)。例如，Schatz等[2]對(duì)信息安全投資問題的研究方法、研究機(jī)構(gòu)和學(xué)者、現(xiàn)狀和發(fā)展趨勢(shì)等進(jìn)行了系統(tǒng)分析。朱建明等[3]梳理了2004—2014年期間40多篇國(guó)內(nèi)外文獻(xiàn)，總結(jié)應(yīng)用博弈論研究的網(wǎng)絡(luò)攻防行為、密碼協(xié)議設(shè)計(jì)、安全技術(shù)配置等問題。林潤(rùn)輝等[4]總結(jié)了1990—2013年期間30多篇國(guó)內(nèi)外文獻(xiàn)，從功能范式、詮釋范式、激進(jìn)人本范式、基金結(jié)構(gòu)范式對(duì)信息安全管理問題進(jìn)行梳理。然而縱觀已有研究，尚未有學(xué)者系統(tǒng)分析信息安全外包的研究演變。本文利用Citespace軟件對(duì)信息安全外包研究成果進(jìn)行梳理，不僅能夠完善現(xiàn)有的信息安全經(jīng)濟(jì)學(xué)理論結(jié)構(gòu)和知識(shí)體系，更能激活其在新興外包市場(chǎng)中的應(yīng)用價(jià)值。

1 研究熱點(diǎn)與演化

本文研究的中文文獻(xiàn)僅從中國(guó)知網(wǎng)選取核心期刊、CSSCI和CSCD檢索的期刊及博碩學(xué)位論文，共252篇；而英文文獻(xiàn)從Web of Science中選取，共920篇。

1.1 文獻(xiàn)發(fā)文量與階段劃分

近十年信息安全外包領(lǐng)域發(fā)文情況可分為三個(gè)階段。第一階段（2010—2012年）：國(guó)內(nèi)外信息安全外包領(lǐng)域發(fā)文數(shù)量較少。其原因和同時(shí)期信息安全外包市場(chǎng)發(fā)展不完善且各國(guó)缺乏指導(dǎo)行業(yè)發(fā)展的政策文件。因此，信息安全外包領(lǐng)域中的問題未引起各界重視，發(fā)文數(shù)量較低且速度平緩。第二階段（2013—2016年）：國(guó)內(nèi)外信息安全外包領(lǐng)域發(fā)文數(shù)量呈上升趨勢(shì)。在該階段，國(guó)外信息安全服務(wù)企業(yè)處于擴(kuò)充、聯(lián)合、兼并和重組的活躍期，但國(guó)內(nèi)安全企業(yè)規(guī)模仍偏小，市場(chǎng)集中度分散。與此同時(shí)，各國(guó)信息安全政策環(huán)境也明顯改善。市場(chǎng)的發(fā)展和政策的出臺(tái)帶來了新的問題，信息安全外包作為網(wǎng)絡(luò)安全領(lǐng)域重要的分支，其發(fā)文數(shù)量出現(xiàn)攀升趨勢(shì)。第三階段（2017—2020年）：信息安全外包領(lǐng)域英文發(fā)文數(shù)量呈指數(shù)態(tài)勢(shì)增長(zhǎng)。在該階段，全球網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模穩(wěn)步增長(zhǎng)，各國(guó)政府越發(fā)重視網(wǎng)絡(luò)安全，信息安全外包已成為各界關(guān)注的重點(diǎn)，越來越多的學(xué)者投身該問題的研究中。

1.2 高頻關(guān)鍵詞共現(xiàn)分析

如下頁圖1所示，從中文文獻(xiàn)關(guān)鍵詞詞頻看，學(xué)者們期望從“服務(wù)外包”“網(wǎng)絡(luò)安全保險(xiǎn)”等問題出發(fā)，進(jìn)一步探究“風(fēng)險(xiǎn)管理”和“外包風(fēng)險(xiǎn)”等內(nèi)容。同時(shí)，信息安全外包領(lǐng)域的研究熱點(diǎn)既同IT外包服務(wù)、IT風(fēng)險(xiǎn)等傳統(tǒng)外包問題有交叉，又具有其獨(dú)特性，其研究更側(cè)重在云計(jì)算、大數(shù)據(jù)、人工智能等新興技術(shù)發(fā)展的背景下，銀行業(yè)、保險(xiǎn)業(yè)、電子政務(wù)等行業(yè)中的信息安全風(fēng)險(xiǎn)控制問題。如下頁圖2所示，從英文文獻(xiàn)關(guān)鍵詞詞頻看，“Cloud Computing”出現(xiàn)頻次最高，說明“云計(jì)算”是該領(lǐng)域的熱點(diǎn)主題；其次是“Security”和“Privacy”，說明英文文獻(xiàn)的研究熱點(diǎn)不僅包括云計(jì)算下的信息安全外包技術(shù)實(shí)現(xiàn)，對(duì)用戶的信息安全和隱私等問題也非常關(guān)注。另外，“encryption”“algorithm”“scheme”同“management”“efficient”“secure”等關(guān)鍵詞交互性較強(qiáng)，反映其研究更側(cè)重于安全技術(shù)實(shí)現(xiàn)過程中的信息安全管理和安全保障等問題。比較發(fā)現(xiàn)，中文文獻(xiàn)側(cè)重風(fēng)險(xiǎn)管理問題，英文文獻(xiàn)還包括技術(shù)實(shí)現(xiàn)、管理效率和安全保障等問題；中文文獻(xiàn)著重分析銀行業(yè)、電子政務(wù)等行業(yè)主體，而英文文獻(xiàn)則沒有明顯的行業(yè)傾向；中文文獻(xiàn)主要依托管理學(xué)解決信息安全外包問題，而英文文獻(xiàn)還包括算法優(yōu)化、密碼學(xué)等方法理論。

圖1 CNKI高頻關(guān)鍵詞共現(xiàn)網(wǎng)絡(luò)圖

圖2 WOS高頻關(guān)鍵詞共現(xiàn)網(wǎng)絡(luò)圖

1.3 高頻關(guān)鍵詞演化路徑分析

由圖3可知，該領(lǐng)域的中文文獻(xiàn)演化路徑為“信息安全—風(fēng)險(xiǎn)管理和網(wǎng)絡(luò)安全—云計(jì)算—IT外包—銀行業(yè)—互聯(lián)網(wǎng)保險(xiǎn)—網(wǎng)絡(luò)安全保險(xiǎn)”，是一條從提出信息安全風(fēng)險(xiǎn)管理問題到制定網(wǎng)絡(luò)安全保險(xiǎn)策略探索解決該問題的路徑，研究主題同云計(jì)算和IT外包中的已有研究具有相關(guān)性，涉及行業(yè)包括銀行業(yè)、互聯(lián)網(wǎng)保險(xiǎn)等。由圖4可知，該領(lǐng)域的英文文獻(xiàn)演化路徑為“Security and Privacy—Cloud Computing—Business process outsourcing—Encryption—Secure，Privacy Preserving and access control—Efficient—Cloud Security—Service—Scheme”，是圍繞安全（云安全）、隱私及訪問控制等問題，聚焦云計(jì)算、加密等安全技術(shù)，通過業(yè)務(wù)流程外包等途徑制定高效的服務(wù)和方案。對(duì)比發(fā)現(xiàn)，中文文獻(xiàn)最初以解決信息安全風(fēng)險(xiǎn)管理和網(wǎng)絡(luò)安全問題為主，英文文獻(xiàn)則以解決隱私保護(hù)和訪問控制問題為主；中文文獻(xiàn)近年來以“網(wǎng)絡(luò)安全保險(xiǎn)”作為主要的信息安全外包策略，英文文獻(xiàn)則未限定某一種特定的外包形式，而是側(cè)重對(duì)“信息安全服務(wù)和方案”的綜合研究。

圖3 CNKI突現(xiàn)詞變化時(shí)區(qū)視圖

圖4 WOS突現(xiàn)詞變化時(shí)區(qū)視圖

2 研究結(jié)論與展望

從領(lǐng)域的總體特征來看，隨著時(shí)間的變化，信息安全外包產(chǎn)業(yè)規(guī)模化、市場(chǎng)成熟化、服務(wù)專業(yè)化，各國(guó)對(duì)信息安全的政策支持力度加大。信息安全外包的發(fā)文量逐年攀升，但中英文關(guān)鍵文獻(xiàn)發(fā)表數(shù)量仍有較大差距；從領(lǐng)域的熱點(diǎn)與演化來看，中英文文獻(xiàn)都聚焦研究新興技術(shù)背景下信息安全外包的風(fēng)險(xiǎn)管理，但也存在差異：中文關(guān)鍵文獻(xiàn)關(guān)注行業(yè)領(lǐng)域間信息安全外包的風(fēng)險(xiǎn)控制，例如網(wǎng)絡(luò)安全保險(xiǎn)的應(yīng)用，并從政治、經(jīng)濟(jì)等宏觀視角探索信息安全外包行業(yè)的落地應(yīng)用；英文關(guān)鍵文獻(xiàn)除了行業(yè)層面的研究外，還關(guān)注企業(yè)、用戶層面的信息安全外包服務(wù)和方案，探究信息安全外包技術(shù)、服務(wù)、管理、隱私等問題。未來可從兩方面拓展該領(lǐng)域的研究：第一，關(guān)注最新技術(shù)動(dòng)態(tài)和發(fā)展，將信息安全外包與大數(shù)據(jù)、云計(jì)算、工業(yè)互聯(lián)網(wǎng)安全等技術(shù)相結(jié)合，解決信息泄露、隱私保護(hù)、存儲(chǔ)安全等問題。第二，未來除了研究用戶隱私保護(hù)外，還可以重點(diǎn)探索不同類型、不同行業(yè)用戶的信息安全外包決策及其技術(shù)使用行為對(duì)信息安全外包的影響。