2020年9月,信息系统顶级期刊《Information Systems Research》刊发了我校经管学院卓百博后张赞在云计算服务安全方面的最新研究成果“Cloud Services vs. On-Premises Software: Competition Under Security Risk and Product Customization”。我校张赞为第一作者,合作者包括天津大学南国芳教授和美国华盛顿大学TanYong教授。
该成果考虑了云计算服务和本地软件产品使用过程中产生的安全外部性及由黑客攻击导致的用户的安全损失,对高安全损失和低安全损失两种环境下提供商的产品定价和投资决策以及顾客的购买行为进行了深入地探讨。在高安全损失环境中,如有黑客攻击,用户会遭受到与业务、声誉和敏感信息等相关的重大损失。一个很好的例子是企业软件,例如ERP、CRM等软件。相对应地,低安全损失环境中,用户受到安全攻击遭受的损失比较低,比如使用媒体播放器软件、游戏应用、办公应用等软件。
高安全损失环境下的研究结果表明,由于存在安全外部性,云服务提供商的产品安全投入水平会受本地软件提供商的安全投入水平的影响,且二者关系呈非单调变化。研究还发现,云服务用户遭受的平均安全损失低于本地软件用户遭受的损失。此外,在高安全损失环境中,相较于产品的定制化功能而言,用户更看重产品的安全性,而产品提供商获得的利润不仅受自身产品受到的攻击水平的影响,还受竞争产品的被攻击概率的影响(如图1所示)。
图1.高安全损失环境中产品提供商的利润
相比之下,在低安全损失环境中,云服务用户遭受的平均安全损失可能低于或高于本地软件用户遭受的损失,这取决于两种产品受到安全攻击的概率大小。研究进一步发现,云服务提供商在低安全损失环境中对提升云计算安全投资的动力不足。
通过分析社会福利最大化下的安全投入水平发现,如果云服务产品与本地软件面临同样的安全攻击水平,在低安全损失环境下,云服务的社会最优安全投入水平要高于本地软件产品,但是在高安全损失环境下,结论相反(如图2所示)。
图2.产品安全的投资水平比较
全文链接:https://pubsonline.informs.org/doi/10.1287/isre.2019.0919