郭晨晨， 許相東

(中國神華國際工程有限公司， 北京 100002)

0 引言

隨著信息化和網(wǎng)絡化的迅猛發(fā)展，網(wǎng)絡安全問題日益嚴重。網(wǎng)絡病毒、數(shù)據(jù)泄露等網(wǎng)絡安全事件層出不窮[1-3]。網(wǎng)絡安全事件的規(guī)模越來越大，影響越來越廣，波及了政府、金融、教育、能源、制造業(yè)等各個領域。惡意程序及安全漏洞數(shù)量持續(xù)走高，安全態(tài)勢日益復雜。根據(jù)RiskIQ發(fā)布的年度報告，2018年全球因網(wǎng)絡犯罪造成的損失達15 000億美元，較2014年的4 450億美元增長了237%[4-5]。

全球網(wǎng)絡安全市場以安全服務為主，我國網(wǎng)絡安全市場暫以安全硬件為主。2018年全球網(wǎng)絡安全市場結構中，安全服務占比達到64.4%，安全廠商提供的安全服務以訂閱化服務為主。而同期我國網(wǎng)絡安全市場結構中安全硬件占比接近一半，安全服務占比僅為14%，但占比逐年提升。當前嚴峻的安全態(tài)勢以及新興技術的普及使得企業(yè)安全架構和管理變得更加復雜，風險評估、安全管理咨詢等越發(fā)受重視[6-8]。

隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制和大數(shù)據(jù)等新興技術的出現(xiàn)，網(wǎng)絡安全內涵不斷豐富，企事業(yè)單位對于持續(xù)性的網(wǎng)絡安全服務需求逐漸增加，安全服務占比將逐步增長。賽迪顧問在《中國網(wǎng)絡安全發(fā)展白皮書(2019)》報告中表示，2018年我國網(wǎng)絡安全行業(yè)的市場規(guī)模為495.2億元，同比增長20.9%，而同期全球網(wǎng)絡安全市場規(guī)模為1 269.8億美元，同比增速為8.5%。相較于全球市場，我國網(wǎng)絡安全行業(yè)的市場規(guī)模占比較小，但增速更快，未來具有巨大的發(fā)展空間，預計2021年我國網(wǎng)絡安全的市場規(guī)模超過900億元[9-10]。

在龐大的網(wǎng)絡安全市場下，如何對網(wǎng)絡安全項目建設費用進行科學地估算顯得越來越重要，這樣才可以有效控制建設資金的投入，提高項目的預算能力。

1 真實盈余管理計量模型

Roychowdhury(2006)[11]在其研究中將真實盈余管理進行量化，分為經營現(xiàn)金流量、產品成本和酌量性費用。按照Roychowdhury提供的思路，用以下模型對真實盈余管理進行衡量。

(1) 經營現(xiàn)金流量模型

(2) 產品成本模型

其中，COGSi,t為i公司t期的銷售成本，ΔINVi,t表示i公司t期存貨變動額。

(3) 費用模型

(4) 真實盈余管理模型

對于以上三種模型用最小二乘法分年度分行業(yè)進行回歸，并估計出各式的回歸系數(shù)，算出異常估計值，最后用各年度的實際值與估計值相減就可得出各項異常值。三類異常值的總和即為真實盈余管理程度，用公式表示為REM=R_PROD-R_CFO-R_DISX。

2 研究方法和模型

2.1 研究概述

規(guī)模估算方法是一種更加客觀的估算方法，因為規(guī)模是事物相對恒定的一種屬性，不會因不同實施單位采取不同技術或平臺而變化。規(guī)模估算方法在網(wǎng)絡安全服務領域目前還沒有被研究和應用，本文的研究目標就是建立網(wǎng)絡安全服務規(guī)模估算模型，模型的整體結構,如圖1所示。

圖1 模型整體結構示意圖

2.2 規(guī)模估算方法

規(guī)模估算方法在軟件領域已經很成熟，有相應的國際標準和國內標準。軟件規(guī)模估算的度量角度是功能規(guī)模，度量單位是功能點。通過功能點方法得出功能點數(shù)量，功能點數(shù)量代表著軟件功能規(guī)模的大小，是軟件的相對固有屬性，不會因軟件開發(fā)人員的能力或采用的技術方案而變化。有了功能點數(shù)量，就可以按照單位功能點的價格估算出項目費用。

這種基于功能規(guī)模的估算方法獨立于具體實現(xiàn)的技術和平臺，它只關注最終交付給用戶的軟件功能并對其進行度量，因此進行費用估算的結果是非常穩(wěn)定和比較準確的，而且對估算人員的能力要求也比較低，不需要懂技術的軟件專業(yè)人員就能開展估算工作。另外這種方法，不同人員估算的結果差異也比較小，所以比較穩(wěn)定。甲方人員可以自己進行評估，在早期規(guī)劃和預算階段就可以自行估算項目的費用。

在網(wǎng)絡安全服務領域，要應用規(guī)模估算方法進行費用估算，首先要找到網(wǎng)絡安全服務規(guī)模的特點，從特點中進行分析和抽象找出關鍵因素。常見的網(wǎng)絡安全服務類型有等級保護測評、風險評估、漏洞掃描、滲透測試、安全加固、安全維保、安全測評、安全監(jiān)測、代碼安全、密碼安全、攻防演練和應急演練等，經過數(shù)據(jù)分析，影響這些安全服務和規(guī)模有關的因素主要集中在兩個方面：一是實施對象的數(shù)量，另一個是實施資源的數(shù)量。

實施對象指的是網(wǎng)絡安全服務具體開展工作的對象，比如等級保護測評的對象是定級對象(包括信息系統(tǒng)，通信網(wǎng)絡設施，計算環(huán)境等)，風險評估、漏洞掃描、滲透測試和安全加固等服務的對象是信息系統(tǒng)。

實施資源指的是開展網(wǎng)絡安全服務時，沒有特定的實施對象，但有特定的資源(人員)要求。比如攻防演練，要求一定數(shù)量攻擊隊伍和防守隊伍。

3 結果分析

為了獲得不同網(wǎng)絡安全服務的費用估算取值，從政府采購網(wǎng)公開的網(wǎng)絡安全服務項目中標數(shù)據(jù)中采集了300條相應的安全服務類型、中標價格以及服務規(guī)模數(shù)據(jù)。

經過大量數(shù)據(jù)的分析整理，得出下面的網(wǎng)絡安全服務費用估算取值矩陣，如表1所示。

每類網(wǎng)絡安全服務的規(guī)模單價通過百分位數(shù)據(jù)(P10,P25,P50,P75,P90)來表示。

其中攻防演練的規(guī)模是用實施資源(每2支攻防隊伍)來衡量的。應急演練的規(guī)模是用應急預案的數(shù)量來衡量的，其他的安全服務基本上是用信息系統(tǒng)的數(shù)量來衡量。

如何選取不同百分位的規(guī)模單價數(shù)據(jù)，取決于復雜度因子。復雜度因子和規(guī)模單價取值范圍的對照,如表2所示。

4 實例應用

為了更好的驗證網(wǎng)絡安全服務費用估算的研究成果，在國家能源集團內部選取了部分項目進行了應用。在集團公司2019年護網(wǎng)咨詢與服務項目中涉及到了很多網(wǎng)絡安全服務的內容，以下從攻防演練、滲透測試和等級保護三方面進行實例應用。

(1) 攻防演練的需求是“采購第三方攻防演練服務，護網(wǎng)前模擬真實攻防進行攻防預演習，聘請攻擊隊伍和防守隊伍對集團進行攻擊防守演練(每支攻防隊伍35人，共聘請4支攻防隊伍)”

該項網(wǎng)絡安全服務的規(guī)模為4支攻防隊伍，復雜度因子為25～50，對應的百分位取值P90=769 316元/每2支隊伍，因此攻防演練費用估算為769 316×2=1 538 632元。

(2) 滲透測試的需求是“采購第三方滲透測試服務，對集團70套對外發(fā)布的重點系統(tǒng)進行滲透測試，找出其中漏洞進行整改修復”

表1 網(wǎng)絡安全服務規(guī)模單價和費用估算取值矩陣

表2 復雜度因子和規(guī)模單價取值范圍對照表

該項網(wǎng)絡安全服務的規(guī)模為系統(tǒng)數(shù)量，系統(tǒng)造價平均每套300萬左右，復雜度因子為對應的百分位取值P50～P75，規(guī)模單價取值范圍為18 000～43 025元/系統(tǒng)，因此滲透測試費用估算為(20 000+43 025)/2×70=2 205 875元。

(3) 等級保護的需求是“采購第三方等級保護服務，對集團10套對外發(fā)布的保護系統(tǒng)進行等級保護測試，找出其中漏洞進行保護修復”

該項網(wǎng)絡安全服務的規(guī)模為10套等級系統(tǒng)，復雜度因子為30～60，規(guī)模單價取值范圍為62 500～73 600元/系統(tǒng)，因此滲透測試費用估算為73 600/2×10=368 000元。

5 總結

基于真實盈余計量模型的網(wǎng)絡安全服務費用估算方法還需要在實踐中不斷完善，目前的研究只是覆蓋了大部分的網(wǎng)絡安全服務類型，還有一些安全服務類型需要繼續(xù)研究。另外復雜度因子和規(guī)模單價數(shù)據(jù)的準確度受限于采集的樣本數(shù)量，后期需要加大數(shù)據(jù)量不斷完善。