发布时间:2019-12-30
近日,天津大学管理与经济学部南国芳教授作为通讯作者的文章Cloud Services vs. On-Premises Software: Competition Under Security Risk and Product Customization被Information Systems Research(UTD24种商学院顶级期刊)录用。
文章简介
云服务,作为一种新型的信息产品,已经成为传统本地软件的非常具有吸引力的替代方案。相比于传统的本地软件,基于云的解决方案在敏捷性,产品实施和成本方面有非常突出的优势。云服务的按需特征和灵活的“随买随用”定价模式,能够显著降低用户的IT费用,特别是前期费用。尽管云服务有很多的优势,但其也具有非常明显的劣势,主要体现在安全性和产品定制化能力上。与云服务相关的安全风险及其有限的产品定制化能力对云服务的市场渗透提出了极大挑战。云服务的多租户系统导致了云安全问题的复杂性。在多租户的云架构中,数以百计的用户数据托管在同一个服务器中。通过攻击目标服务器,黑客就能够控制和窃取存储在服务器中的大量的信息。例如,2016年6月,勒索病毒Cerber攻击了57%的微软Office 365邮件用户。除了安全风险之外,云服务的多租户结构也决定了云解决方案的定制化能力的局限性。
基于此,本文研究了云服务提供商和传统本地软件提供商最优的软件安全性投入,并研究了市场特征如何影响提供商的投入水平。本文构建了在网络安全外部性存在环境下,本地软件提供商和云服务提供商的博弈理论模型,探讨了安全风险与软件定制化能力对消费者购买决策以及软件提供商的定价和投入决策的影响。理论分析结果对消费者、软件提供商和社会规划者有以下启示。首先,在某些条件下,相较于本地软件,使用云服务的平均安全损失更低。因此,对攻击导致的安全损失非常敏感的消费者最好选择购买云服务。其次,在低安全损失环境中,云服务提供商最好不要进行安全投入,但是在高安全损失环境中,如果间接攻击相对于直接攻击的可能性很高时,随着安全风险增加,云服务提供商应该加大安全投入以降低风险。第三,在低安全损失环境中,社会规划者应该要求云服务提供商投入更多以降低云服务的安全风险,而在高安全损失环境中,社会规划者应该要求本地软件提供商进行更多的安全投入以降低本地软件的风险。
本文从选题、建模、分析、写作、修改各个环节,张赞博士、谭勇教授、李敏强教授都付出很大的努力,在此一并感谢他们!
