信息安全是当前世界范围内各种机构组织亟待解决的问题之一。与以往只关注信息安全的技术研究不同,信息安全问题实际上是包括技术、管理和法律在内的系统工程,其中的信息安全投资问题就是管理领域的重要问题之一。信息安全投资具有独特的策略依存性的特点,这种策略依存性正是博弈论的基本特征,因而本文利用博弈理论研究组织的信息安全投资问题,为解决组织的信息安全投资难题提供了新的思路。本文首先利用有限策略博弈分析了组织的信息安全投资决策问题,然后利用无限策略博弈分析了组织的信息安全投资的具体额度问题,并且考虑到现实社会中信息安全投资主体的有限理性问题,以及预测信息安全投资的长期稳定趋势的需要,利用演化博弈论研究了防守博弈和攻防博弈两种情况下信息安全投资的演化博弈。本文的主要研究内容及成果如下:1.提出了组织信息安全投资决策的有限策略博弈分析方法,为组织正确制定信息安全投资决策提供决策支持。根据得益矩阵建立的两组织及多组织信息安全投资决策博弈模型全面考虑了信息安全投资所产生的价值效益,不仅包括预防信息安全事故产生的直接价值效益,也考虑了信息安全投资为组织带来的提升品牌价值、增加组织声誉等间接价值效益。对于两组织信息安全投资决策博弈模型,纯策略和混合策略纳什均衡分析的结果显现出两种纳什均衡分析的一致性,当信息安全投资成本较高时,惩罚变量的引入则有助于重新实现理想的纳什均衡,并且,通过算例简要说明了两组织信息安全投资决策的博弈分析。在建立的多组织信息安全投资决策博弈模型中,对影响成本阈值的因素进行详细讨论,提出多组织信息安全投资的两项命题,得出信息安全投资成本对于博弈均衡的影响规律,进一步寻找到促使组织“投资”信息安全成为均衡结果的必要条件,并通过仿真进行验证分析。2.提出了组织信息安全投资额度的无限策略博弈分析方法,为组织合理确定信息安全投资的额度提供科学依据。信息安全投资不足无法保证足够的安全,而投资过多则会造成不必要的浪费,因而必须合理确定信息安全的具体投资额度。根据信息安全投资额度的策略依存性建立信息安全投资额度博弈模型,模型中关系参数的变化反映了两组织间博弈关系的变化。对于模型中关系参数取值的不同情况,根据反应函数法进行博弈的均衡分析。在攻防博弈关系的情况下,推导出防守方均衡成本与关系参数相关关系的命题,并通过仿真进行验证。而且,通过算例简要说明了组织信息安全投资额度的博弈分析。3.提出了防守博弈和攻防博弈两种情况下信息安全投资的演化博弈分析方法,预测了博弈方有限理性下信息安全投资的长期稳定趋势。考虑到现实社会中信息安全投资主体的有限理性问题,以及预测信息安全投资的长期稳定趋势的需要,利用演化博弈论进行防守博弈与攻防博弈两种情况下信息安全投资的研究。在防守博弈下信息安全投资的演化博弈分析中,根据信息安全投资的演化博弈模型,通过复制动态分析防守博弈下信息安全投资演化博弈的进化稳定策略,并且通过REPAST的多agent仿真平台进行演化博弈的仿真验证,实验结果验证了演化博弈的进化稳定策略。对于攻防博弈下信息安全投资的演化博弈问题,首先建立信息安全攻防的博弈模型,分析防守方和攻击方的复制动态及进化稳定策略,进而根据攻防两群体复制动态的关系,得出攻防对抗的规律和长期稳定趋势,既从原理上解释了信息安全攻防循环的问题,也从演化博弈的分析中得出了解决信息安全问题的策略建议。本文从博弈论的全新角度研究信息安全投资问题,为解决组织的信息安全投资难题进行了有益探索,取得了一些创新性的研究成果。本文的研究对这一前沿领域的开拓具有重要的理论意义,同时对于减少组织在信息安全投资问题中的盲目性,指导组织科学合理地进行信息安全投资具有重要的实践意义。