随着互联网技术及信息产业化的发展,信息安全事件呈大幅增长趋势。据2009年统计,每年中国因遭受网络攻击造成的损失就多达70多亿元,其中银行、金融机构尤为突出。尽管企业不断增加信息安全投资预算,然而效果并不明显。如何确定安全投资水平是当今企业和学术界面临的重点和难点问题。实践中大多数企业在分析信息安全投资问题时都是采用传统的分析方法如决策树方法等,这些方法的不足之处就在于忽略了企业和黑客之间的战略对抗性,由此造成投资决策的失误。本文考虑了企业和黑客决策的相互依赖性,引入博弈论方法分析信息安全投资问题,并分析了企业和黑客的行动次序对安全投资决策的影响。本文首先介绍了决策树模型、静态模型、企业先行动的动态模型及企业后行动的动态模型。然后将各种模型的结果进行了比较,发现企业在静态博弈模型中安全投资收益最低,企业后行动时安全投资水平最低但投资收益最高。另外,当采用决策树方法时,企业的安全投资水平和收益取决于其对黑客攻击成本估计值的大小,只有当估计的偏差足够小时其安全投资水平和收益才与博弈结果相同。最后本文还对脆弱性、预期损失和黑客收益这三个参数进行了比较静态分析。结果表明,安全投资水平分别是这三个参数的增函数;但安全投资水平占预期损失的比例却是预期损失的减函数。这些结论可以为实践中企业的安全投资决策提供参考。