李 娇,赵柳榕,刘健楠
(南京工业大学 经济与管理学院,江苏 南京 211816)
企业通常将信息安全业务外包给安全服务提供商以应对复杂的网络安全环境要求。信息安全外包是指企业将全部或部分信息安全工作指定给MSSP完成的服务模式,以期降低信息安全风险、节约成本[1]。近年来,国内外学者对该领域相关成果进行了梳理和总结。例如,Schatz等[2]对信息安全投资问题的研究方法、研究机构和学者、现状和发展趋势等进行了系统分析。朱建明等[3]梳理了2004—2014年期间40多篇国内外文献,总结应用博弈论研究的网络攻防行为、密码协议设计、安全技术配置等问题。林润辉等[4]总结了1990—2013年期间30多篇国内外文献,从功能范式、诠释范式、激进人本范式、基金结构范式对信息安全管理问题进行梳理。然而纵观已有研究,尚未有学者系统分析信息安全外包的研究演变。本文利用Citespace软件对信息安全外包研究成果进行梳理,不仅能够完善现有的信息安全经济学理论结构和知识体系,更能激活其在新兴外包市场中的应用价值。
本文研究的中文文献仅从中国知网选取核心期刊、CSSCI和CSCD检索的期刊及博硕学位论文,共252篇;
而英文文献从Web of Science中选取,共920篇。
1.1 文献发文量与阶段划分
近十年信息安全外包领域发文情况可分为三个阶段。第一阶段(2010—2012年):国内外信息安全外包领域发文数量较少。其原因和同时期信息安全外包市场发展不完善且各国缺乏指导行业发展的政策文件。因此,信息安全外包领域中的问题未引起各界重视,发文数量较低且速度平缓。第二阶段(2013—2016年):国内外信息安全外包领域发文数量呈上升趋势。在该阶段,国外信息安全服务企业处于扩充、联合、兼并和重组的活跃期,但国内安全企业规模仍偏小,市场集中度分散。与此同时,各国信息安全政策环境也明显改善。市场的发展和政策的出台带来了新的问题,信息安全外包作为网络安全领域重要的分支,其发文数量出现攀升趋势。第三阶段(2017—2020年):信息安全外包领域英文发文数量呈指数态势增长。在该阶段,全球网络安全产业规模稳步增长,各国政府越发重视网络安全,信息安全外包已成为各界关注的重点,越来越多的学者投身该问题的研究中。
1.2 高频关键词共现分析
如下页图1所示,从中文文献关键词词频看,学者们期望从“服务外包”“网络安全保险”等问题出发,进一步探究“风险管理”和“外包风险”等内容。同时,信息安全外包领域的研究热点既同IT外包服务、IT风险等传统外包问题有交叉,又具有其独特性,其研究更侧重在云计算、大数据、人工智能等新兴技术发展的背景下,银行业、保险业、电子政务等行业中的信息安全风险控制问题。如下页图2所示,从英文文献关键词词频看,“Cloud Computing”出现频次最高,说明“云计算”是该领域的热点主题;
其次是“Security”和“Privacy”,说明英文文献的研究热点不仅包括云计算下的信息安全外包技术实现,对用户的信息安全和隐私等问题也非常关注。另外,“encryption”“algorithm”“scheme”同“management”“efficient”“secure”等关键词交互性较强,反映其研究更侧重于安全技术实现过程中的信息安全管理和安全保障等问题。比较发现,中文文献侧重风险管理问题,英文文献还包括技术实现、管理效率和安全保障等问题;
中文文献着重分析银行业、电子政务等行业主体,而英文文献则没有明显的行业倾向;
中文文献主要依托管理学解决信息安全外包问题,而英文文献还包括算法优化、密码学等方法理论。
图1 CNKI高频关键词共现网络图
图2 WOS高频关键词共现网络图
1.3 高频关键词演化路径分析
由图3可知,该领域的中文文献演化路径为“信息安全—风险管理和网络安全—云计算—IT外包—银行业—互联网保险—网络安全保险”,是一条从提出信息安全风险管理问题到制定网络安全保险策略探索解决该问题的路径,研究主题同云计算和IT外包中的已有研究具有相关性,涉及行业包括银行业、互联网保险等。由图4可知,该领域的英文文献演化路径为“Security and Privacy—Cloud Computing—Business process outsourcing—Encryption—Secure,Privacy Preserving and access control—Efficient—Cloud Security—Service—Scheme”,是围绕安全(云安全)、隐私及访问控制等问题,聚焦云计算、加密等安全技术,通过业务流程外包等途径制定高效的服务和方案。对比发现,中文文献最初以解决信息安全风险管理和网络安全问题为主,英文文献则以解决隐私保护和访问控制问题为主;
中文文献近年来以“网络安全保险”作为主要的信息安全外包策略,英文文献则未限定某一种特定的外包形式,而是侧重对“信息安全服务和方案”的综合研究。
图3 CNKI突现词变化时区视图
图4 WOS突现词变化时区视图
从领域的总体特征来看,随着时间的变化,信息安全外包产业规模化、市场成熟化、服务专业化,各国对信息安全的政策支持力度加大。信息安全外包的发文量逐年攀升,但中英文关键文献发表数量仍有较大差距;
从领域的热点与演化来看,中英文文献都聚焦研究新兴技术背景下信息安全外包的风险管理,但也存在差异:中文关键文献关注行业领域间信息安全外包的风险控制,例如网络安全保险的应用,并从政治、经济等宏观视角探索信息安全外包行业的落地应用;
英文关键文献除了行业层面的研究外,还关注企业、用户层面的信息安全外包服务和方案,探究信息安全外包技术、服务、管理、隐私等问题。未来可从两方面拓展该领域的研究:第一,关注最新技术动态和发展,将信息安全外包与大数据、云计算、工业互联网安全等技术相结合,解决信息泄露、隐私保护、存储安全等问题。第二,未来除了研究用户隐私保护外,还可以重点探索不同类型、不同行业用户的信息安全外包决策及其技术使用行为对信息安全外包的影响。