基于真实盈余计量模型的网络安全服务费用估算分析

郭晨晨， 许相东

(中国神华国际工程有限公司， 北京 100002)

0 引言

随着信息化和网络化的迅猛发展，网络安全问题日益严重。网络病毒、数据泄露等网络安全事件层出不穷[1-3]。网络安全事件的规模越来越大，影响越来越广，波及了政府、金融、教育、能源、制造业等各个领域。恶意程序及安全漏洞数量持续走高，安全态势日益复杂。根据RiskIQ发布的年度报告，2018年全球因网络犯罪造成的损失达15 000亿美元，较2014年的4 450亿美元增长了237%[4-5]。

全球网络安全市场以安全服务为主，我国网络安全市场暂以安全硬件为主。2018年全球网络安全市场结构中，安全服务占比达到64.4%，安全厂商提供的安全服务以订阅化服务为主。而同期我国网络安全市场结构中安全硬件占比接近一半，安全服务占比仅为14%，但占比逐年提升。当前严峻的安全态势以及新兴技术的普及使得企业安全架构和管理变得更加复杂，风险评估、安全管理咨询等越发受重视[6-8]。

随着云计算、物联网、移动互联、工业控制和大数据等新兴技术的出现，网络安全内涵不断丰富，企事业单位对于持续性的网络安全服务需求逐渐增加，安全服务占比将逐步增长。赛迪顾问在《中国网络安全发展白皮书(2019)》报告中表示，2018年我国网络安全行业的市场规模为495.2亿元，同比增长20.9%，而同期全球网络安全市场规模为1 269.8亿美元，同比增速为8.5%。相较于全球市场，我国网络安全行业的市场规模占比较小，但增速更快，未来具有巨大的发展空间，预计2021年我国网络安全的市场规模超过900亿元[9-10]。

在庞大的网络安全市场下，如何对网络安全项目建设费用进行科学地估算显得越来越重要，这样才可以有效控制建设资金的投入，提高项目的预算能力。

1 真实盈余管理计量模型

Roychowdhury(2006)[11]在其研究中将真实盈余管理进行量化，分为经营现金流量、产品成本和酌量性费用。按照Roychowdhury提供的思路，用以下模型对真实盈余管理进行衡量。

(1) 经营现金流量模型

(2) 产品成本模型

其中，COGSi,t为i公司t期的销售成本，ΔINVi,t表示i公司t期存货变动额。

(3) 费用模型

(4) 真实盈余管理模型

对于以上三种模型用最小二乘法分年度分行业进行回归，并估计出各式的回归系数，算出异常估计值，最后用各年度的实际值与估计值相减就可得出各项异常值。三类异常值的总和即为真实盈余管理程度，用公式表示为REM=R_PROD-R_CFO-R_DISX。

2 研究方法和模型

2.1 研究概述

规模估算方法是一种更加客观的估算方法，因为规模是事物相对恒定的一种属性，不会因不同实施单位采取不同技术或平台而变化。规模估算方法在网络安全服务领域目前还没有被研究和应用，本文的研究目标就是建立网络安全服务规模估算模型，模型的整体结构,如图1所示。

图1 模型整体结构示意图

2.2 规模估算方法

规模估算方法在软件领域已经很成熟，有相应的国际标准和国内标准。软件规模估算的度量角度是功能规模，度量单位是功能点。通过功能点方法得出功能点数量，功能点数量代表着软件功能规模的大小，是软件的相对固有属性，不会因软件开发人员的能力或采用的技术方案而变化。有了功能点数量，就可以按照单位功能点的价格估算出项目费用。

这种基于功能规模的估算方法独立于具体实现的技术和平台，它只关注最终交付给用户的软件功能并对其进行度量，因此进行费用估算的结果是非常稳定和比较准确的，而且对估算人员的能力要求也比较低，不需要懂技术的软件专业人员就能开展估算工作。另外这种方法，不同人员估算的结果差异也比较小，所以比较稳定。甲方人员可以自己进行评估，在早期规划和预算阶段就可以自行估算项目的费用。

在网络安全服务领域，要应用规模估算方法进行费用估算，首先要找到网络安全服务规模的特点，从特点中进行分析和抽象找出关键因素。常见的网络安全服务类型有等级保护测评、风险评估、漏洞扫描、渗透测试、安全加固、安全维保、安全测评、安全监测、代码安全、密码安全、攻防演练和应急演练等，经过数据分析，影响这些安全服务和规模有关的因素主要集中在两个方面：一是实施对象的数量，另一个是实施资源的数量。

实施对象指的是网络安全服务具体开展工作的对象，比如等级保护测评的对象是定级对象(包括信息系统，通信网络设施，计算环境等)，风险评估、漏洞扫描、渗透测试和安全加固等服务的对象是信息系统。

实施资源指的是开展网络安全服务时，没有特定的实施对象，但有特定的资源(人员)要求。比如攻防演练，要求一定数量攻击队伍和防守队伍。

3 结果分析

为了获得不同网络安全服务的费用估算取值，从政府采购网公开的网络安全服务项目中标数据中采集了300条相应的安全服务类型、中标价格以及服务规模数据。

经过大量数据的分析整理，得出下面的网络安全服务费用估算取值矩阵，如表1所示。

每类网络安全服务的规模单价通过百分位数据(P10,P25,P50,P75,P90)来表示。

其中攻防演练的规模是用实施资源(每2支攻防队伍)来衡量的。应急演练的规模是用应急预案的数量来衡量的，其他的安全服务基本上是用信息系统的数量来衡量。

如何选取不同百分位的规模单价数据，取决于复杂度因子。复杂度因子和规模单价取值范围的对照,如表2所示。

4 实例应用

为了更好的验证网络安全服务费用估算的研究成果，在国家能源集团内部选取了部分项目进行了应用。在集团公司2019年护网咨询与服务项目中涉及到了很多网络安全服务的内容，以下从攻防演练、渗透测试和等级保护三方面进行实例应用。

(1) 攻防演练的需求是“采购第三方攻防演练服务，护网前模拟真实攻防进行攻防预演习，聘请攻击队伍和防守队伍对集团进行攻击防守演练(每支攻防队伍35人，共聘请4支攻防队伍)”

该项网络安全服务的规模为4支攻防队伍，复杂度因子为25～50，对应的百分位取值P90=769 316元/每2支队伍，因此攻防演练费用估算为769 316×2=1 538 632元。

(2) 渗透测试的需求是“采购第三方渗透测试服务，对集团70套对外发布的重点系统进行渗透测试，找出其中漏洞进行整改修复”

表1 网络安全服务规模单价和费用估算取值矩阵

表2 复杂度因子和规模单价取值范围对照表

该项网络安全服务的规模为系统数量，系统造价平均每套300万左右，复杂度因子为对应的百分位取值P50～P75，规模单价取值范围为18 000～43 025元/系统，因此渗透测试费用估算为(20 000+43 025)/2×70=2 205 875元。

(3) 等级保护的需求是“采购第三方等级保护服务，对集团10套对外发布的保护系统进行等级保护测试，找出其中漏洞进行保护修复”

该项网络安全服务的规模为10套等级系统，复杂度因子为30～60，规模单价取值范围为62 500～73 600元/系统，因此渗透测试费用估算为73 600/2×10=368 000元。

5 总结

基于真实盈余计量模型的网络安全服务费用估算方法还需要在实践中不断完善，目前的研究只是覆盖了大部分的网络安全服务类型，还有一些安全服务类型需要继续研究。另外复杂度因子和规模单价数据的准确度受限于采集的样本数量，后期需要加大数据量不断完善。