李 嬌，趙柳榕，劉健楠

（南京工業(yè)大學(xué) 經(jīng)濟與管理學(xué)院，江蘇 南京 211816）

引言

企業(yè)通常將信息安全業(yè)務(wù)外包給安全服務(wù)提供商以應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全環(huán)境要求。信息安全外包是指企業(yè)將全部或部分信息安全工作指定給MSSP完成的服務(wù)模式，以期降低信息安全風(fēng)險、節(jié)約成本[1]。近年來，國內(nèi)外學(xué)者對該領(lǐng)域相關(guān)成果進行了梳理和總結(jié)。例如，Schatz等[2]對信息安全投資問題的研究方法、研究機構(gòu)和學(xué)者、現(xiàn)狀和發(fā)展趨勢等進行了系統(tǒng)分析。朱建明等[3]梳理了2004—2014年期間40多篇國內(nèi)外文獻，總結(jié)應(yīng)用博弈論研究的網(wǎng)絡(luò)攻防行為、密碼協(xié)議設(shè)計、安全技術(shù)配置等問題。林潤輝等[4]總結(jié)了1990—2013年期間30多篇國內(nèi)外文獻，從功能范式、詮釋范式、激進人本范式、基金結(jié)構(gòu)范式對信息安全管理問題進行梳理。然而縱觀已有研究，尚未有學(xué)者系統(tǒng)分析信息安全外包的研究演變。本文利用Citespace軟件對信息安全外包研究成果進行梳理，不僅能夠完善現(xiàn)有的信息安全經(jīng)濟學(xué)理論結(jié)構(gòu)和知識體系，更能激活其在新興外包市場中的應(yīng)用價值。

1 研究熱點與演化

本文研究的中文文獻僅從中國知網(wǎng)選取核心期刊、CSSCI和CSCD檢索的期刊及博碩學(xué)位論文，共252篇；而英文文獻從Web of Science中選取，共920篇。

1.1 文獻發(fā)文量與階段劃分

近十年信息安全外包領(lǐng)域發(fā)文情況可分為三個階段。第一階段（2010—2012年）：國內(nèi)外信息安全外包領(lǐng)域發(fā)文數(shù)量較少。其原因和同時期信息安全外包市場發(fā)展不完善且各國缺乏指導(dǎo)行業(yè)發(fā)展的政策文件。因此，信息安全外包領(lǐng)域中的問題未引起各界重視，發(fā)文數(shù)量較低且速度平緩。第二階段（2013—2016年）：國內(nèi)外信息安全外包領(lǐng)域發(fā)文數(shù)量呈上升趨勢。在該階段，國外信息安全服務(wù)企業(yè)處于擴充、聯(lián)合、兼并和重組的活躍期，但國內(nèi)安全企業(yè)規(guī)模仍偏小，市場集中度分散。與此同時，各國信息安全政策環(huán)境也明顯改善。市場的發(fā)展和政策的出臺帶來了新的問題，信息安全外包作為網(wǎng)絡(luò)安全領(lǐng)域重要的分支，其發(fā)文數(shù)量出現(xiàn)攀升趨勢。第三階段（2017—2020年）：信息安全外包領(lǐng)域英文發(fā)文數(shù)量呈指數(shù)態(tài)勢增長。在該階段，全球網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模穩(wěn)步增長，各國政府越發(fā)重視網(wǎng)絡(luò)安全，信息安全外包已成為各界關(guān)注的重點，越來越多的學(xué)者投身該問題的研究中。

1.2 高頻關(guān)鍵詞共現(xiàn)分析

如下頁圖1所示，從中文文獻關(guān)鍵詞詞頻看，學(xué)者們期望從“服務(wù)外包”“網(wǎng)絡(luò)安全保險”等問題出發(fā)，進一步探究“風(fēng)險管理”和“外包風(fēng)險”等內(nèi)容。同時，信息安全外包領(lǐng)域的研究熱點既同IT外包服務(wù)、IT風(fēng)險等傳統(tǒng)外包問題有交叉，又具有其獨特性，其研究更側(cè)重在云計算、大數(shù)據(jù)、人工智能等新興技術(shù)發(fā)展的背景下，銀行業(yè)、保險業(yè)、電子政務(wù)等行業(yè)中的信息安全風(fēng)險控制問題。如下頁圖2所示，從英文文獻關(guān)鍵詞詞頻看，“Cloud Computing”出現(xiàn)頻次最高，說明“云計算”是該領(lǐng)域的熱點主題；其次是“Security”和“Privacy”，說明英文文獻的研究熱點不僅包括云計算下的信息安全外包技術(shù)實現(xiàn)，對用戶的信息安全和隱私等問題也非常關(guān)注。另外，“encryption”“algorithm”“scheme”同“management”“efficient”“secure”等關(guān)鍵詞交互性較強，反映其研究更側(cè)重于安全技術(shù)實現(xiàn)過程中的信息安全管理和安全保障等問題。比較發(fā)現(xiàn)，中文文獻側(cè)重風(fēng)險管理問題，英文文獻還包括技術(shù)實現(xiàn)、管理效率和安全保障等問題；中文文獻著重分析銀行業(yè)、電子政務(wù)等行業(yè)主體，而英文文獻則沒有明顯的行業(yè)傾向；中文文獻主要依托管理學(xué)解決信息安全外包問題，而英文文獻還包括算法優(yōu)化、密碼學(xué)等方法理論。

圖1 CNKI高頻關(guān)鍵詞共現(xiàn)網(wǎng)絡(luò)圖

圖2 WOS高頻關(guān)鍵詞共現(xiàn)網(wǎng)絡(luò)圖

1.3 高頻關(guān)鍵詞演化路徑分析

由圖3可知，該領(lǐng)域的中文文獻演化路徑為“信息安全—風(fēng)險管理和網(wǎng)絡(luò)安全—云計算—IT外包—銀行業(yè)—互聯(lián)網(wǎng)保險—網(wǎng)絡(luò)安全保險”，是一條從提出信息安全風(fēng)險管理問題到制定網(wǎng)絡(luò)安全保險策略探索解決該問題的路徑，研究主題同云計算和IT外包中的已有研究具有相關(guān)性，涉及行業(yè)包括銀行業(yè)、互聯(lián)網(wǎng)保險等。由圖4可知，該領(lǐng)域的英文文獻演化路徑為“Security and Privacy—Cloud Computing—Business process outsourcing—Encryption—Secure，Privacy Preserving and access control—Efficient—Cloud Security—Service—Scheme”，是圍繞安全（云安全）、隱私及訪問控制等問題，聚焦云計算、加密等安全技術(shù)，通過業(yè)務(wù)流程外包等途徑制定高效的服務(wù)和方案。對比發(fā)現(xiàn)，中文文獻最初以解決信息安全風(fēng)險管理和網(wǎng)絡(luò)安全問題為主，英文文獻則以解決隱私保護和訪問控制問題為主；中文文獻近年來以“網(wǎng)絡(luò)安全保險”作為主要的信息安全外包策略，英文文獻則未限定某一種特定的外包形式，而是側(cè)重對“信息安全服務(wù)和方案”的綜合研究。

圖3 CNKI突現(xiàn)詞變化時區(qū)視圖

圖4 WOS突現(xiàn)詞變化時區(qū)視圖

2 研究結(jié)論與展望

從領(lǐng)域的總體特征來看，隨著時間的變化，信息安全外包產(chǎn)業(yè)規(guī)模化、市場成熟化、服務(wù)專業(yè)化，各國對信息安全的政策支持力度加大。信息安全外包的發(fā)文量逐年攀升，但中英文關(guān)鍵文獻發(fā)表數(shù)量仍有較大差距；從領(lǐng)域的熱點與演化來看，中英文文獻都聚焦研究新興技術(shù)背景下信息安全外包的風(fēng)險管理，但也存在差異：中文關(guān)鍵文獻關(guān)注行業(yè)領(lǐng)域間信息安全外包的風(fēng)險控制，例如網(wǎng)絡(luò)安全保險的應(yīng)用，并從政治、經(jīng)濟等宏觀視角探索信息安全外包行業(yè)的落地應(yīng)用；英文關(guān)鍵文獻除了行業(yè)層面的研究外，還關(guān)注企業(yè)、用戶層面的信息安全外包服務(wù)和方案，探究信息安全外包技術(shù)、服務(wù)、管理、隱私等問題。未來可從兩方面拓展該領(lǐng)域的研究：第一，關(guān)注最新技術(shù)動態(tài)和發(fā)展，將信息安全外包與大數(shù)據(jù)、云計算、工業(yè)互聯(lián)網(wǎng)安全等技術(shù)相結(jié)合，解決信息泄露、隱私保護、存儲安全等問題。第二，未來除了研究用戶隱私保護外，還可以重點探索不同類型、不同行業(yè)用戶的信息安全外包決策及其技術(shù)使用行為對信息安全外包的影響。