1. 引言

随着数字经济时代的演进，数据成为企业重要的信息资产和战略资源，在助力企业快速发展的同时，也给企业带来了许多的信息安全挑战，愈演愈烈的数据泄露态势，成为企业发展道路上的严重阻碍。《2024年上半年数据泄露风险态势报告》显示[1]，2024年上半年全网监测并分析验证有效的数据泄露事件16,011起，较2023年下半年增长59.58%。数据泄露事件层出不穷，给企业带来了巨额的经济损失。《2024年数据泄露成本报告》指出[2]，70%的受访企业认为数据泄露给他们带来了重大甚至灾难性的损失。

由于信息安全事件的高发性和高危性，近年来，各行各业对信息安全的关注度不断攀升。信息安全在很长一段时间内被认为是一个计算机技术问题，研究者们重点关注的是如何提高安全技术，如更高级的防火墙、完善的入侵检测系统、复杂的加密协议以及访问控制机制等。尽管技术手段在不断更新和完善，但是信息安全事件仍然层出不穷，而且造成的后果越来越严重。这一现象促使研究者们开始反思并逐渐认识到信息安全管理不仅需要提高安全技术，还需要制定经济激励制度，因此，许多研究者将经济因素考虑到信息安全管理领域。Anderson和Moore (2006) [3]在《Science》上发表文章总结了信息安全经济学这一新兴学科的发展历程、学科特色以及研究前景，将其定义为：信息安全经济学将各种经济和社会因素考虑在内，运用经济和管理相关理论，解决信息安全参与者的利益冲突，并最终提供合理的信息安全管理策略。

正如传统经济学中探讨的，价格竞争广泛存在于企业之间。然而，随着消费者越来越关注信息安全，企业竞争已经从单方面的价格竞争扩大到价格和安全的双重竞争。消费者在面对行业中的竞争企业时，不仅会比较两家企业的产品价格，还会评估两家企业的安全水平。当一家企业付出更多的安全努力来保护其信息系统免遭安全漏洞时，消费者与该企业进行交易的焦虑就会减弱，从而增强消费者对该企业产品的信心，提高他们的付费意愿。反之，如果竞争对手加强了安全措施，相比之下，该企业会被认为不那么可靠和安全，最终会导致该企业的消费者流失。

在这样的背景下，本文构建了一个博弈理论模型。在该模型中，两家竞争企业通过决策产品价格和安全努力来进行博弈，并试图回答以下问题：第一，黑客参与下两家竞争企业的均衡价格和安全策略是什么？第二，黑客的变现率和安全损失如何影响企业的安全努力、产品价格和期望收益？第三，企业付出的安全努力是否可以达到社会最优水平，如果不能，是否有合理的激励机制可以协调企业的安全努力？交叉影响和重叠影响如何影响这一机制？第四，黑客参与下，各个博弈主体的均衡决策是什么？核心参数是如何影响博弈主体的均衡决策以及期望收益的？黑客的参与会影响上述研究结论吗？

2. 文献综述

本文的研究领域主要涉及以下两个方面：信息安全经济学、黑客行为和机制设计。

随着信息技术的快速发展，网络安全问题变得越来越严重，数据泄露、黑客攻击等问题时有发生。在首届WEIS论坛上，信息安全大师Bruce Schneier坦言指出“网络安全不是一个技术能够解决的问题”。这促使研究者们开始反思并逐渐认识到信息安全管理不仅需要提高安全技术，还需要制定经济激励制度，经济学的核心思想是资源稀缺性和资源的优化配置，对于信息安全来说，同样存在着资源稀缺和资源有效利用问题[4]。Gordon和Loeb (2002)在他们的开创性研究中，将经济学模型引入到信息安全领域，研究在考虑信息资产脆弱性的情况下，单个企业以最大化自身的期望收益为目标进行的最优安全投资决策，研究发现在给定的潜在损失水平下，由于保护脆弱性中等的信息资产成本较低，因此，企业应将安全投入集中在此类信息资产上[5]。此后很多学者基于Gordon和Loeb提出的模型进行了深入研究。随着商业环境的日益复杂，信息安全经济学被应用于特定的细分领域，如竞争领域[6]-[9]、供应链领域[10]-[12]及其他领域。Gal-Or和Ghose (2005)构建了一个决策模型，研究信息共享组织中两个竞争企业的最优决策问题，并进一步分析了竞争强度和企业规模对最优决策的影响[8]。Cezar等(2017)通过建立分析模型，研究风险相互依赖性和竞争外部性对企业安全决策的影响[6]。Wu等(2022)构建了博弈理论模型，研究在考虑技术相似性的情况下，竞争行业中企业的最优安全决策问题[13]。此外，熊强等(2012)依据供应链上企业关系的非对等性，运用Stackerlberg模型讨论了供应链中的核心企业和伙伴企业在信息安全方面的决策博弈，得出企业信息资产价值、网络脆弱性、共享成本、信息安全互补性等因素对决策结果的影响机制[12]。Luo和Choi (2022)构建了一个博弈理论框架，分析供应链中企业间的互动，并研究政府对企业安全决策的影响[14]。赵柳榕等(2020)考虑声誉、共享效率、信息安全风险等因素，基于演化博弈分析了供应链企业间的信息安全共享行为，并探讨了共享成本和安全风险的变化对双方决策的影响[15]。董坤祥等(2021)研究了强制性约束下企业信息安全投资和网络保险的最优决策问题，并分析了可观测和不可观测企业损失时的最优投资策略[16]。

作为信息安全领域的重要参与者和利益相关方，现有研究中，有关其攻击模式的研究比较广泛，通常分为定向攻击和随机攻击。Gao等(2015)讨论了在面对两种攻击类型的情况下，竞争企业的安全投资策略，研究发现黑客采用定向攻击比采用随机攻击能够获得更高的期望收益[17]。潘崇霞等(2019)构建了期望效用模型，同时考虑了随机攻击与定向攻击两种攻击类型、信息共享、决策者风险偏好、两企业之间的投资博弈等因素，分别对随机攻击与定向攻击情形下的两个风险厌恶型企业的信息安全投资策略进行了研究[18]。然而，现有研究中有关黑客行为的研究较少。Cavusoglu等(2014)运用博弈论模型分析了企业该如何运用IDS进行技术配置，研究发现企业只要根据外部黑客入侵调整IDS技术配置就能够带来收益[19]。Gao等(2014)运用微分博弈论，研究了两家竞争企业在有目标攻击下的安全投资和信息共享的动态策略，即两家企业都可以通过定价的内生决定来影响其信息资产的价值[20]。Hausken (2017)从黑客之间的信息共享的角度出发，探究企业如何防范日益复杂的黑客，研究发现企业对两个黑客的防御增加了黑客的单位成本，降低了黑客的信息共享效率和联合共享的利用，也降低了双方黑客的声誉收益[21]。Wu等(2022)根据黑客的攻击目的，将黑客分为追求收益和追求名誉的黑客，并建立了博弈理论分析模型，研究企业与这两种类型的黑客之间的战略互动，研究发现，不同的攻击目的会产生不同的黑客行为[13]。

为了解决多个企业在互动过程中由于利益不一致产生的安全努力的扭曲问题，需要设计合理的激励机制来协调企业的投资动机。Wu等(2015)建立了一个博弈理论分析模型并设计了责任机制和安全信息共享机制，以协调企业面临不同攻击类型时的安全投资[22]。Qian等(2018)通过构建纳什均衡、部分集中决策和完全集中决策三种模型，研究了企业在不同模型下的信息共享和安全投资策略，并提出了协调企业投资策略的两种补偿机制[10]。Wu等(2021)利用基于努力的机制和基于责任的机制来解决在考虑信息资产性质和技术相似性的情况下企业之间的搭便车问题[23]。刘艺浩等(2023)基于外部性不对称视角研究了安全标准约束下的信息安全部分外包，研究发现，当企业采取核心外包策略时，在较低的强制性安全标准约束下，企业需要设立赔偿机制从而得到最低期望成本[24]。Gao等(2024)通过构建可替代企业与策略黑客之间的博弈理论模型，研究了可替代企业的安全投资和信息共享决策，研究发现，尽管广泛使用的补偿机制可以促使企业在安全损失保持较低水平时增加投资，但由于过度投资，补偿机制会增加企业的预期成本[25]。

3. 问题描述与模型建立

3.1. 问题描述

本章节中，我们研究了两个竞争企业和策略黑客之间的博弈，两家企业记为企业i和企业j。我们假设两家企业提供差异化的产品(或服务)并且消费者依据产品(或服务)的两个维度来做出购买决策：产品价格和安全质量。

我们构建了一个两阶段博弈。第一阶段：企业同时决策信息安全质量，即企业所付出的安全努力，记为 $s_i$ 和 $s_j$ ，同时，策略黑客决策针对这两个竞争企业施加的攻击努力，记为 $z_i$ 和 $z_j$ 。第二阶段：企业同时做出定价决策，记为 $p_i$ 和 $p_j$ 。遵循先前的研究[6] [8]，我们假设企业做出安全努力决策先于定价决策，原因有二：其一，我们的研究聚焦于安全相关的行业，包括智能汽车、电子商务、消费金融、快递物流以及其他消费者相对更加关注信息安全的行业，因此，企业在做出定价决策时需要考虑到自身的信息安全状况。其二，与定价决策相比，企业的安全努力决策更具战略性和长期性，而定价决策则相对灵活多变。

我们引入企业i的产品需求函数，记为 $D_i$ 。请注意，为了便于后文描述，我们将聚焦的企业描述为企业i，其竞争对手描述为企业j。 $D_i$ 取决于产品价格p和安全努力s，于是我们有 $D_i\left(p,s\right)=\alpha -p_i+\omega p_j+g_i\left(s_i,s_j\right)$ 。

我们假设每种产品的需求是关于自身价格 $p_i$ 和竞争对手价格 $p_j$ 的线性函数。为了聚焦研究重点并简化模型符号，我们将企业自身价格 $p_i$ 对产品需求的影响系数归一化为1。此外，由于市场中存在价格竞争，竞争对手的价格 $p_j$ 对企业i的产品需求也有积极的影响。具体而言，模型中参数 $\alpha >0$ 表示潜在的市场需求，而参数 $\omega$ 的大小反映了企业之间价格竞争的程度。我们进一步假设相较于企业自身的定价决策，价格竞争对企业产品需求的影响是次要的，因此，我们有 $0<\omega <1$ 。

$g_i\left(s_i,s_j\right)$ 反映了产品安全质量对需求的影响。下面我们继续阐述 $g_i\left(s_i,s_j\right)$ 是如何依赖于企业自身的安全努力 $s_i$ 的和竞争对手的安全努力 $s_j$ 的。毫无疑问， $g_i\left(s_i,s_j\right)$ 会随着 $s_i$ 的增加而增加。企业增加安全努力，如强化防火墙技术、完善安全策略等，那么信息系统被破坏的可能性就会降低，从而打消消费者与企业进行交易的顾虑，增加企业的市场需求。我们引入参数 $\phi >0$ 来表示企业自身的安全努力 $s_i$ 对产品需求的影响。影响越大，意味着企业自身的安全努力越有利于其产品需求。因此，我们用 $\phi s_i$ 表示企业自身的安全努力 $s_i$ 对产品需求的影响。然而，随着竞争对手的安全努力 $s_j$ 的增加，一方面，由于企业j提供了更高的安全水平，消费者可能更倾向于与企业j进行交易，因此，由于市场中存在安全竞争，企业j的安全努力 $s_j$ 对企业i的产品需求会产生消极影响。我们引入参数 $\epsilon$ 来反映企业之间安全竞争的程度。此外，我们假设相较于企业自身的安全努力，安全竞争对企业产品需求的影响是次要的，因此，我们有 $0<\epsilon <\phi$ 。我们用 $\epsilon s_j$ 表示竞争对手的安全努力 $s_j$ 对产品需求的消极影响。因此，我们有 $g_i\left(s_i,s_j\right)=\phi s_i-\epsilon s_j$ 。

因此，我们将企业i的产品需求函数总结如下：

$D_i=\alpha -p_i+\omega p_j+\phi s_i-\epsilon s_j,i\ne j$

现实中，企业所采取的信息系统安全保护措施一直在不断发展和演化。从一开始的防火墙和防病毒软件等基础的设施技术，到后来的身份验证和访问管理，再到如今的区块链技术，企业在安全配置和管理方面的投入也在不断增加。因此，我们用 $C\left(s_i\right)$ 表示企业i的安全努力成本。遵循先前的研究[26]-[28]，我们假设企业i的安全努力成本 $C\left(s_i\right)$ 具有两种特征：一是 $C\left(s_i\right)$ 随着安全努力 $s_i$ 的增加而增加，二是

$C\left(s_i\right)$ 是关于 $s_i$ 的凹函数，即 $\frac{\partial C\left(s_i\right)}{\partial s_i}\ge 0$ ， $\frac{{\partial }^{2}C\left(s_i\right)}{\partial s_i^2}>0$ 。在本文中，我们给定 $C\left(s_i\right)$ 为 $c{s}_i^2$ ，其中 $c>0$ 表示安全努力成本系数。

当企业i被黑客入侵时，它将遭受一定的安全损失，包括有形损失(如信息资产和劳动力)和无形损失(如品牌声誉和市场价值)。因此，我们用 $L_i$ 表示黑客攻击给企业i造成的安全损失。请注意，安全损失的程度还可以反映企业的规模，因为一旦黑客成功发起攻击，大型企业会遭受更大程度的安全损失[29]。同时，当黑客成功入侵企业i时，黑客会将攻击所得在黑客市场上进行交易，从而获得收入。我们引入参数 $a>0$ 来表示攻击所得在黑客市场上的变现率[17]。为了简化符号，我们将黑客的攻击概率表示如下：

$P_i=z_i\left(1-s_i\right)$

表1总结了本章节涉及的主要符号及含义。

Table 1. Key symbols and meanings

表1. 关键符号及含义

3.2. 模型建立

首先，我们讨论了这两家竞争企业以最大化自身的期望收益为目标，独立进行价格和安全努力决策的情况，此时，企业i的期望收益包括销售收入、安全努力成本和黑客攻击造成的安全损失。因此，我们可以将企业i的期望收益表示如下：

${\pi }_i=p_i{D}_i-c{s}_i^2-P_i{L}_i$

其中， $D_i=\alpha -p_i+\omega p_j+\phi s_i-\epsilon s_j,i\ne j$ 。

我们假设这两家竞争企业具有对称的特征。黑客以最大化自身的期望收益为目标做出攻击努力决策。黑客的期望收益包括将攻击所得在黑市上变现的收入以及发起安全攻击的成本。因此，我们可以将黑客的期望收益表示如下：

${\pi }_H=P_i\left(a{L}_i\right)+P_j\left(a{L}_j\right)-\rho z_i^2-\rho z_j^2$

我们假设企业和黑客同时决策。这意味着每个博弈方的决策都是对另一博弈方做出的外生给定策略的最优反应。接下来，我们用逆向归纳法来求解。在第二阶段，对于给定的安全努力 $s_i$ 和攻击努力 $z_i$ ，我们可以刻画出企业的均衡产品价格，这也被称作价格的反应函数。我们在定理3-1中刻画了均衡产品价格随着安全努力的变化情况。在第一阶段，我们可以进一步得到企业的均衡安全努力和黑客的均衡攻击努力。我们在定理3-2中总结了企业在单独决策时各个博弈主体的均衡决策。

定理3-1：(1) 企业的产品价格总是随着自身安全努力的增加而增加，即 $\frac{\partial p_i}{\partial s_i}>0$ ；(2) 当安全竞争程度相对较低时，企业的产品价格随着竞争对手安全努力的增加而增加；当安全竞争程度相对较高时，企业的产品价格随着竞争对手安全努力的增加而减少，即 $\{\begin{array}{l}\frac{\partial p_i}{\partial s_j}>0,0\le \epsilon <\frac{\phi \omega }{2}\\ \frac{\partial p_i}{\partial s_j}<0,\frac{\phi \omega }{2}<\epsilon <\phi \end{array}$ 。

证明：定理3-1的证明包含在定理3-2的证明中。

根据定理3-1(1)，我们发现企业的产品价格总是随着自身安全努力的增加而增加。企业加强安全努力，其市场需求会随之增加，因此，企业会选择提高产品价格( $\frac{\partial p_i}{\partial s_i}>0$ )。定理3-1(2)指出，企业的产品价格随着竞争对手安全努力的变化情况取决于企业之间的安全竞争程度。当安全竞争程度相对较低时( $0\le \epsilon <\frac{\phi \omega }{2}$ )，企业的产品价格随着竞争对手安全努力的增加而增加，原因如下：由于企业之间存在安全竞争，当竞争对手增加安全努力时，企业自身也会增加安全努力以获取竞争优势，根据定理3-1(1)，此时企业会提高产品价格；当安全竞争程度相对较高时( $\frac{\phi \omega }{2}<\epsilon <\phi$ )，企业的产品价格随着竞争对手安全努力的增加而减少，这是由于竞争对手安全努力的增加意味着企业i面临消费者损失的风险( $\epsilon s_j$ )增加，此时企业会选择降低价格以吸引更多需求( $\frac{\partial p_i}{\partial s_j}<0$ )。

定理3-2：单独决策时，企业i的均衡产品价格为 $p^H=\frac{\left(a\left(-\alpha -\phi +\epsilon \right)L^2-4\alpha c\rho \right)\left(\omega -2\right)\left(\omega +2\right)}{\left(-a\left(\omega +2\right){\left(\omega -2\right)}^2\right)L^2-4\rho \left(\left(\left(\omega +2\right){\left(\omega -2\right)}^2\right)c-\left(-\alpha +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)}$ ，均衡安全努力为 $s^H=\frac{\left(-a\left(\omega +2\right){\left(\omega -2\right)}^2\right)L^2+4\alpha \rho \left(\epsilon \omega -2\phi \right)}{\left(-a\left(\omega +2\right){\left(\omega -2\right)}^2\right)L^2-4\rho \left(\left(\left(\omega +2\right){\left(\omega -2\right)}^2\right)c-\left(-\alpha +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)}$ ，黑客的均衡攻击努力为 $z^H=\frac{2a\left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\epsilon \omega -2\phi \right)\left(-\alpha -\phi +\epsilon \right)\right)L}{\left(-a\left(\omega +2\right){\left(\omega -2\right)}^2\right)L^2-4\rho \left(\left(\left(\omega +2\right){\left(\omega -2\right)}^2\right)c-\left(-\alpha +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)}$ 。

证明：两家竞争企业的期望收益函数关于价格的一阶导为： $\{\begin{array}{l}\frac{\partial {\pi }_i}{\partial p_i}=-\epsilon s_j+\omega p_j+\phi s_i+\alpha -2p_i\\ \frac{\partial {\pi }_i}{\partial p_j}=-\epsilon s_j+\omega p_j+\phi s_i+\alpha -2p_i\end{array}$ 。联立求解，我们可以得到给定安全努力 $s_i$ 时企业的均衡产品价格，即价格的反应函数： $\{\begin{array}{l}{p}_i=\frac{\left(\epsilon \omega -2\phi \right)s_j+\left(2\epsilon -\omega \phi \right)s_i-\alpha \omega -2\alpha }{{\omega }^2-4}\\ p_j=\frac{\left(\epsilon \omega -2\phi \right)s_j+\left(2\epsilon -\omega \phi \right)s_i-\alpha \omega -2\alpha }{{\omega }^2-4}\end{array}$ 。价格反应函数的一阶导为： $\{\begin{array}{l}\frac{\partial p_i}{\partial s_i}=\frac{\partial p_j}{\partial s_j}=\frac{\epsilon \omega -2\phi }{{\omega }^2-4}\\ \frac{\partial p_i}{\partial s_j}=\frac{\partial p_j}{\partial s_i}=\frac{2\epsilon -\phi \omega }{{\omega }^2-4}\end{array}$ ，因此，我们有 $\frac{\partial p_i}{\partial s_i}>0$ ； $\{\begin{array}{l}\frac{\partial p_i}{\partial s_j}>0,0\le \epsilon <\frac{\phi \omega }{2}\\ \frac{\partial p_i}{\partial s_j}<0,\frac{\phi \omega }{2}<\epsilon <\phi \end{array}$ 。

定理3-1得证。

将均衡价格代入期望收益函数中，联立企业的期望收益函数关于安全努力的一阶导和黑客的期望收益函数关于攻击努力的一阶导，最终我们可以得单独决策时企业以及黑客的均衡决策。

定理3-2得证。

为了衡量企业所付出的安全努力的程度，我们将这两家竞争企业作为一个整体，进一步讨论企业以最大化整体的期望收益为目标，联合进行价格和安全努力决策的情况。在联合决策的情况下，我们可以将企业 $i$ 的期望收益表示如下：

$\pi =p_i{D}_i-c{s}_i^2-P_i{L}_i+p_j{D}_j-c{s}_j^2-P_j{L}_j$

其中， $D_i=D_j=\alpha -p_i+\omega p_j+\phi s_i-\epsilon s_j,i\ne j$ 。

同样，我们在定理3-3中展示了联合决策下企业以及黑客的均衡决策。

定理3-3：在联合决策下，企业i的均衡产品价格为 $p^B=\frac{-a{L}^2\left(-\alpha -\phi +\omega \right)-4\alpha c\rho }{2a{L}^2\left(\omega -1\right)+2\rho \left(4c\left(\omega -1\right)+{\left(-\phi +\epsilon \right)}^2\right)}$ ，均衡安全努力为 $s^B=\frac{\alpha \rho \left(-\phi +\epsilon \right)+a{L}^2\left(\omega -1\right)}{a{L}^2\left(\omega -1\right)+\rho \left(4c\left(\omega -1\right)+{\left(-\phi +\epsilon \right)}^2\right)}$ ，黑客的均衡攻击努力为 $z^B=\frac{aL\left(4c\left(\omega -1\right)+\left(-\alpha -\phi +\epsilon \right)\left(-\phi +\epsilon \right)\right)}{8\rho c\left(\omega -1\right)+2\rho {\left(-\alpha +\epsilon \right)}^2+2a{L}^2\left(\omega -1\right)}$ 。

证明：定理3-3的证明与定理3-2类似，因此，这里我们不再赘述。

通过比较单独决策和联合决策下的企业的均衡决策，我们可以得到以下命题。

命题3-1：当安全竞争相对较高时，单独决策时企业的安全努力高于联合决策。

证明：根据定理3-1和定理3-2，我们有 $\{\begin{array}{l}{s}^H-s^B<0,0\le \epsilon <{\epsilon }_1\\ s^H-s^B>0,{\epsilon }_1<\epsilon <\phi \end{array}$ ，即 $\{\begin{array}{l}{s}^H<s^B,0\le \epsilon <{\epsilon }_1\\ s^H>s^B,{\epsilon }_1<\epsilon <\phi \end{array}$ ，其中， ${\epsilon }_1=\frac{\omega \alpha \left({\omega }^2-2\omega +4\right)}{{\omega }^3+2{\omega }^2-8\omega +8}$ 。

命题3-1得证。

命题3-1表明，在黑客参与的情况下，与联合决策相比，当安全竞争程度不同时，企业倾向于投资不足或投资过度。直觉上，我们认为企业在联合决策下的安全努力总是高于单独决策[30]。在一定的安全竞争程度下( $0\le \epsilon <{\epsilon }_1$ )，正如预期的那样，我们确实发现联合决策下的均衡安全努力高于单独决策。回顾定理3-1(2)，当安全竞争程度不太高时，企业的均衡产品价格随着竞争对手安全努力的增加而增加，企业会减小安全努力。然而，当安全竞争程度相对较高时( ${\epsilon }_1<\epsilon <\phi$ )，我们发现了与直觉相反的结论：与单独决策相比，联合决策下的安全努力反而更低。这是因为过高的安全竞争程度意味着一旦竞争对手增加安全努力，那么企业面临的消费者流失风险( $\epsilon s_j$ )增加，因此，企业会为了获得竞争优势而过度投资。而联合决策的内部化效应有效地抑制了竞争企业的过度投资，因此呈现出更低但更理性的安全努力。

4. 比较静态分析

首先我们讨论了黑客变现率a对企业均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客均衡攻击努力 $z^H$ 的影响。

命题4-1：企业的均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客的均衡攻击努力 $z^H$ 总是随着黑客变现率的增加而增加，即 $\frac{\partial s^H}{\partial a}>0$ ， $\frac{\partial p^H}{\partial a}>0$ ， $\frac{\partial z^H}{\partial a}>0$ 。

证明：企业的均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客的均衡攻击努力 $z^H$ 分别对a求导，我们有 $\frac{\partial s^H}{\partial a}=\frac{-\rho \left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\alpha -\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)\left(\omega +2\right){\left(\omega -2\right)}^2{L}^2}{4M^2}>0$ ， $\frac{\partial p^H}{\partial a}=\frac{-\rho \left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\alpha -\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)\left(\omega +2\right)\left(\omega -2\right)\left(-\phi +\epsilon \right)L^2}{4M^2}>0$ ， $\frac{\partial z^H}{\partial a}=\frac{\rho \left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\alpha -\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)L\left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)}{2M^2}>0$ ，其中， $M=\left(-\rho \left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\frac{-a\left(\omega +2\right){\left(\omega -2\right)}^2}{4}\right)L^2+\rho \left(-\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)$ 。

命题4-1得证。

命题4-1表明，企业的均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客的均衡攻击努力 $z^H$ 总是随着黑客变现率的增加而增加。对于黑客来说，加强攻击努力一方面会带来更高的收入，这是积极影响；另一方面也会导致更高的攻击成本，这是消极影响。随着黑客变现率的增加，黑客将攻击所得在黑客市场上变

现的收入增加，由此产生的积极影响占主导地位。因此，黑客有动机增加攻击努力( $\frac{\partial z^H}{\partial a}>0$ )。面对黑客攻击，企业不得不增加安全努力来保护其信息系统( $\frac{\partial s^H}{\partial a}>0$ )，同时，企业会提高产品价格来支撑安全方面的投入( $\frac{\partial p^H}{\partial a}>0$ )。

接下来，我们分析了攻击损失L对企业均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客均衡攻击努力 $z^H$ 的影响。

命题4-2：企业的均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客的均衡攻击努力 $z^H$ 总是随着攻击损失的增加而增加，即 $\frac{\partial s^H}{\partial L}>0$ ， $\frac{\partial p^H}{\partial L}>0$ ， $\frac{\partial z^H}{\partial L}>0$ 。

证明：企业的均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客的均衡攻击努力 $z^H$ 分别对L求导，我们有 $\frac{\partial s^H}{\partial L}=\frac{-a\rho \left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\alpha -\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)\left(\omega +2\right){\left(\omega -2\right)}^{2}L}{2M^2}>0$ ， $\frac{\partial p^H}{\partial L}=\frac{-a\rho \left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\alpha -\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)\left(\omega +2\right)\left(\omega -2\right)\left(-\phi +\epsilon \right)L}{2M^2}>0$ ， $\frac{\partial z^H}{\partial L}=\frac{a\left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(-\alpha -\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)\left(\left(-\rho \left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\frac{a\left(\omega +2\right){\left(\omega -2\right)}^2}{4}\right)L^2+\rho \left(-\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)}{2M^2}>0$ 其中， $M=\left(-\rho \left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\frac{-a\left(\omega +2\right){\left(\omega -2\right)}^2}{4}\right)L^2+\rho \left(-\phi +\epsilon \right)\left(\epsilon \omega -2\phi \right)$ 。

命题4-2得证。

如前所述，L不仅可以衡量企业规模，还反映了黑客攻击给企业i造成的安全损失。正如预期的那样，命题4-2表明，随着安全损失的增加，企业将不遗余力地加强安全努力以免遭受黑客入侵给企业带

来灾难性的损失( $\frac{\partial s^H}{\partial L}>0$ )，同时，企业会提高产品价格来维持收益稳定( $\frac{\partial p^H}{\partial L}>0$ )。对于黑客来说，一方

面由于企业加强安全努力，安全水平得到了提高，这意味着黑客需要付出更高的攻击成本，这是消极影响；另一方面，黑客一旦成功入侵，将获得可观的收入，这是积极影响。随着安全损失的增加，黑客通过

发起攻击获得的收入不断增加，积极影响占主导地位，因此，黑客有动机加强攻击努力( $\frac{\partial z^H}{\partial L}>0$ )。

接下来，我们详细探讨了上述关键因素分别对企业和黑客期望收益的影响。

命题4-3：黑客的期望收益总是随着变现率和安全损失的增加而增加，即 $\frac{\partial {\pi }_H}{\partial a}>0$ ， $\frac{\partial {\pi }_H}{\partial L}>0$ 。

证明：黑客的期望收益函数分别对a，L求导，我们有 $\frac{\partial {\pi }_H}{\partial a}=\frac{a{L}^2{\rho }^2{\left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\epsilon \omega -2\phi \right)\left(-\alpha -\phi +\epsilon \right)\right)}^2\left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\epsilon \omega -2\phi \right)\left(-\phi +\epsilon \right)\right)}{R^3}>0$ ， $\frac{\partial {\pi }_H}{\partial L}=\frac{a^{2}L\rho {\left(\left(-\left(\omega +2\right){\left(\omega -2\right)}^2\right)c+\left(\epsilon \omega -2\phi \right)\left(-\alpha -\phi +\epsilon \right)\right)}^2\left(\left(\left(-4\left(\omega +2\right){\left(\omega -2\right)}^2\right)c-4\left(\alpha -\epsilon \right)\left(\epsilon \omega -2\phi \right)\right)\rho +a{L}^2\left(\omega +2\right){\left(\omega -2\right)}^2\right)}{R^3}>0$

命题4-3得证。

命题4-3表明，黑客的期望收益总是随着变现率和安全损失的增加而增加。根据黑客的期望收益函数可知，对于黑客来说，一方面变现率和安全损失的增加给黑客带来了更高的收入，这是积极影响；另一方面结合命题4-1和命题4-2，黑客的均衡攻击努力随着变现率和安全损失的增加而增加，因此，变现率和安全损失的增加同时还给黑客带来了更高的成本，这是消极影响。随着变现率和安全损失的增加，黑客主动加强攻击努力，由此带来的积极影响更加突出，因此，黑客的期望收益会增加。

接下来，我们使用以下参数对企业的期望收益函数 ${\pi }_i$ 随着变现率a和安全损失L的变化情况进行数值分析： $\epsilon =5$ ， $\phi =10$ ， $\omega =0.2$ ， $\alpha =20$ ， $c=100$ ， $\rho =70$ (改变这些参数取值仍然可以得到类似的结果)。

图1表明，企业的期望收益总是随着变现率和安全损失的增加而减少。回顾命题4-1、命题4-2，企业的均衡安全努力 $s^H$ 、均衡产品价格 $p^H$ 和黑客的均衡攻击努力 $z^H$ 随着变现率和安全损失的增加而增加，因此，对于企业来说，价格增加带来的收入增加效应和安全努力增加带来的成本上涨效应对企业的期望收益构成相反的影响。变现率和安全损失的增加诱使黑客加强攻击努力，因此，企业不得不增加安全努力来保护其信息系统，由此带来的成本上涨效应更加突出，因此，企业的期望收益会减少。

(a) ${\pi }_i$ 随着a的变化情况 (b) ${\pi }_i$ 随着L的变化情况

Figure 1. The variation of ${\pi }_i$ with respect to changes in a and L

图1. ${\pi }_i$ 随着a和L的变化情况

5. 机制设计

首先，我们将联合决策下企业的安全努力定义为社会最优安全努力。命题3-1表明，在黑客参与的情况下，当两家竞争企业独立进行安全决策时，会产生安全努力的扭曲问题。为了解决这一问题，本节提出了基于企业安全努力的合作机制来协调企业的投资动机。合作机制允许付出安全努力的一方从对方企业获得一定数量的奖励，反之亦然。也就是说，如果企业i付出了安全努力 $s_i$ ，那么企业i在付出安全成本 $c{s}_i^2$ 的同时会获得企业j的投资回报 ${\xi }_j{s}_i$ 。我们用 ${\xi }_i\left({\xi }_j\right)$ 来表示在黑客参与的情况下，企业付出安全努力的奖励率。在期望收益函数中引入奖励后，我们将期望收益函数重写为：

${\pi }_i=p_i{D}_i-c{s}_i^2-P_i{L}_i+{\xi }_j{s}_i-{\xi }_i{s}_j$

其中， $D_i=\alpha -p_i+\omega p_j+\phi s_i-\epsilon s_j,i\ne j$ 。

为了能够准确观察到对方企业的安全努力，企业通常需要引入第三方机构的监测。我们假设安全努力可以被监测，也就意味着可以被第三方验证。互联网促进了跨组织对信息的实时访问[31]。在实践中，IT支持的服务和跨区域人员主要负责监测企业的安全努力。RosettaNet和GS1是全球标准组织，它们为企业之间的通信开发通用平台，以实现跨组织(甚至在全球范围内)的协作和交易自动化。这些标准和其他IT支持的服务有助于实时数据传输和自动化通信[32]。此外，合作各方通常会组织跨区域的人员定期举行会议、电话会议、演讲等[33]。因此，实践表明各方的安全努力可以被监测和验证。

显然，监测对方企业的安全努力会给企业带来相关的成本。我们将监测成本记为 $\Phi$ 。在某些情况下，如果安全努力增加，那么相应的监测成本也会更高。换句话说，如果企业付出的安全努力较低，那么就

更容易被监测到。因此，我们分析了监测成本 $\Phi$ 随着安全努力的增加而增加(即 $\frac{\partial \Phi }{\partial s_i}\ge 0$ )的情况。研究发

现，将 $\Phi$ 视为常数还是变量并不会改变本文的主要见解。因此，本文将 $\Phi$ 视为常数。在期望收益函数中引入监测成本后，我们将期望收益函数重写为：

${\pi }_i=p_i{D}_i-c{s}_i^2-P_i{L}_i+{\xi }_j{s}_i-{\xi }_i{s}_j-\Phi$

其中， $D_i=\alpha -p_i+\omega p_j+\phi s_i-\epsilon s_j,i\ne j$ 。

通过求解一阶导，令合作机制下的安全努力与社会最优安全努力相等，我们发现 ${\xi }_i={\xi }_j=\xi$ 。定理5-1总结了我们的研究发现。

定理5-1：合作机制下，当奖励率为 $\xi ={\xi }^{\text{*}}$ 时，企业将达到社会最优安全努力。

证明：合作机制下，企业的期望收益函数关于价格的一阶导为 $\{\begin{array}{l}\frac{\partial {\pi }_i}{\partial p_i}=-\epsilon s_j+\omega p_j+\phi s_i+\alpha -2p_i\\ \frac{\partial {\pi }_i}{\partial p_j}=-\epsilon s_i+\omega p_i+\phi s_j+\alpha -2p_j\end{array}$ 。对于给定的安全努力 $s_i$ ，企业的均衡产品价格为 $\{\begin{array}{l}{p}_i=\frac{\left(\epsilon \omega -2\phi \right)s_i+\left(2\epsilon -\omega \phi \right)s_j-\alpha b-2\alpha }{b^2-4}\\ p_j=\frac{\left(\epsilon \omega -2\phi \right)s_i+\left(2\epsilon -\omega \phi \right)s_j-\alpha b-2\alpha }{b^2-4}\end{array}$ 。将 $p_i$ 和 $p_j$ 代入 ${\pi }_i$ ，通过最大化均衡产品价格下企业的期望收益函数，我们得到均衡安全努力 $s_i=s_j=s^{\text{*}}$ 。根据定理3-3可知，社会最优安全努力为 $s^B=\frac{\alpha \rho \left(-\phi +\epsilon \right)+a{L}^2\left(\omega -1\right)}{a{L}^2\left(\omega -1\right)+\rho \left(4c\left(\omega -1\right)+{\left(-\phi +\epsilon \right)}^2\right)}$ 。令 $s^{\text{*}}=s^B$ ，于是我们有 ${\theta }_i={\theta }_j=\theta ={\theta }^{\text{*}}$ 。此外，我们发现 $\{\begin{array}{l}{\xi }^{\text{*}}>0,0\le \epsilon <{\epsilon }_1\\ {\xi }^{\text{*}}<0,{\epsilon }_1\le \epsilon <\phi \end{array}$ ，其中 ${\epsilon }_1=\frac{\omega \phi \left({\omega }^2-2\omega +4\right)}{{\omega }^3+2{\omega }^2-8\omega +8}$ 。

定理5-1得证。

命题4-4：当重叠程度相对较低时，奖励率为正，当重叠程度相对较高时，奖励率为负，即 $\{\begin{array}{l}{\xi }^{\text{*}}>0,0\le \epsilon <{\epsilon }_1\\ {\xi }^{\text{*}}<0,{\epsilon }_1\le \epsilon <\phi \end{array}$ 。

证明：命题4-4的证明包含在定理5-1的证明中。

Figure 2. The variation of ${\theta }^{\text{*}}$ with respect to changes in ${\theta }^{\text{*}}$

图2. 奖励率 ${\theta }^{\text{*}}$ 随着 ${\theta }^{\text{*}}$ 的变化情况

定理5-1表明，在黑客参与的情况下，合作机制可以引导企业达到社会最优安全努力，从而解决安全努力的扭曲问题。此外，命题4-4表明，当安全竞争程度相对较低时，奖励率为正，反之，奖励率为负。回顾命题3-1，当安全竞争程度相对较低时，企业在联合决策下的安全努力低于单独决策，此时，为了达到社会最优安全努力，企业会获得投资回报，从而增加企业的投资动机。反之，当安全竞争程度相对较高时，企业在单独决策下的安全努力高于联合决策，此时，为了达到社会最优安全努力，企业会获得投资惩罚，从而减少企业的投资动机。

接下来，我们通过数值仿真进一步验证上述结论的稳健性。图2展示了奖励率 ${\xi }^{\text{*}}$ 随着安全竞争程度 $\epsilon$ 的变化情况，其中 $\phi =10$ ， $\omega =0.2$ ， $\alpha =20$ ， $c=100$ ， $\rho =70$ ， $a=0.1$ (改变这些参数取值仍然可以得到类似的结果)。

6. 结论与展望

随着信息网络通信技术的发展，企业面临着越来越多的信息安全挑战。由于市场规模有限，商业环境的日渐复杂，企业之间往往存在一定程度的竞争。随着消费者对信息安全的关注度不断攀升，企业之间的竞争已经由单方面的价格竞争发展为价格和安全的双重竞争。因此，本文引入策略黑客，构建了价格安全双重竞争的企业和黑客之间的博弈理论模型，研究了各个博弈主体以最大化自身的期望收益为目标的均衡决策，并进一步探讨了黑客变现率、安全损失等核心要素对于企业均衡决策和期望收益的影响。此外，通过将企业在单独决策和联合决策时的均衡决策进行对比，我们发现黑客参与下，企业在单独决策时存在安全努力的扭曲问题。因此，本文提出了基于安全努力的合作机制来协调企业的安全努力，从而达到社会最优安全水平。此外，本文获得了一些管理启示，可以帮助企业在实践中做出科学合理的安全决策。

本文研究了在黑客参与下价格和安全双重竞争的企业和黑客之间的战略互动。尽管上述研究结论确实值得关注，但本文仍存在一些局限性。例如，我们假设每家企业的产品类型都是单一的，但实践中企业通常会根据产品价值来实施安全措施。为了获得更多的见解，未来的研究可以进一步探讨产品价值与安全努力之间的关系，从而获得更多有趣的见解。

参考文献