趙紅漫 趙柳榕 李嬌

【摘 要】 以2011—2020年我國(guó)滬深A(yù)股上市公司在國(guó)家信息安全漏洞共享平臺(tái)公開(kāi)的漏洞信息為樣本，運(yùn)用事件研究法分析企業(yè)異常收益率在漏洞披露時(shí)間附近的變化情況，判斷披露事件對(duì)企業(yè)累積異常收益率的負(fù)面影響，并闡釋企業(yè)累積異常收益率的影響因素及影響程度。結(jié)果表明：漏洞評(píng)分、企業(yè)補(bǔ)丁響應(yīng)行為、企業(yè)規(guī)模和漏洞公布時(shí)間對(duì)企業(yè)累積異常收益率有顯著正向影響，但隨著漏洞評(píng)分的增大，補(bǔ)丁響應(yīng)行為對(duì)企業(yè)的影響效果會(huì)減弱；漏洞披露的延誤程度對(duì)企業(yè)累積異常收益率有顯著負(fù)向影響；企業(yè)所屬產(chǎn)業(yè)對(duì)企業(yè)累積異常收益率無(wú)顯著影響。最后為企業(yè)和漏洞披露平臺(tái)提出信息安全漏洞披露的策略和建議。

【關(guān)鍵詞】 信息安全漏洞； 累積異常收益率； 漏洞披露

【中圖分類號(hào)】 F832.0；C931? 【文獻(xiàn)標(biāo)識(shí)碼】 A? 【文章編號(hào)】 1004-5937（2023）15-0075-08

一、引言

隨著我國(guó)數(shù)字經(jīng)濟(jì)的高速發(fā)展，信息技術(shù)與各行業(yè)深度融合，但漏洞威脅也與日俱增。《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，2020年國(guó)家信息安全漏洞共享平臺(tái)（CNVD）共收錄通用軟硬件漏洞近兩萬(wàn)起，較2019年漏洞收錄總數(shù)環(huán)比增長(zhǎng)24.39%。信息安全事件不僅給企業(yè)造成直接的經(jīng)濟(jì)損失，而且對(duì)企業(yè)聲譽(yù)和信任度產(chǎn)生無(wú)法估計(jì)的負(fù)面影響。例如，2018年Facebook披露了一個(gè)安全漏洞，超過(guò)5 000萬(wàn)用戶受到影響，F(xiàn)acebook股價(jià)因此事件下跌超4%，市值減少了245億美元。近年來(lái)，政府和企業(yè)愈發(fā)意識(shí)到網(wǎng)絡(luò)安全是影響數(shù)字經(jīng)濟(jì)健康發(fā)展的前提和保障，已成為國(guó)際上非傳統(tǒng)安全領(lǐng)域競(jìng)爭(zhēng)的熱點(diǎn)。網(wǎng)絡(luò)安全是總體國(guó)家安全觀的重要內(nèi)容。黨的二十大報(bào)告多次提到“安全”，并鮮明提出“要推進(jìn)國(guó)家安全體系和能力現(xiàn)代化，堅(jiān)決維護(hù)國(guó)家安全和社會(huì)穩(wěn)定”，“以新安全格局保障新發(fā)展格局”。對(duì)漏洞的管理，我國(guó)一直堅(jiān)持“統(tǒng)籌發(fā)展與安全”的理念。為了提升網(wǎng)絡(luò)安全防護(hù)水平，《網(wǎng)絡(luò)安全法》新增了漏洞披露等規(guī)定。然而，我國(guó)漏洞披露機(jī)制起步較晚，大多企業(yè)無(wú)法評(píng)估漏洞披露信息所帶來(lái)的影響。因此，研究企業(yè)信息安全漏洞披露的影響因素和影響程度至關(guān)重要。

近年來(lái)關(guān)于漏洞披露的研究較為豐富。Berkman等[ 1 ]認(rèn)為漏洞披露與市場(chǎng)價(jià)值具有相關(guān)性，并拓展了網(wǎng)絡(luò)安全意識(shí)的衡量標(biāo)準(zhǔn)。Jeong等[ 2 ]發(fā)現(xiàn)企業(yè)所屬行業(yè)的信息化程度不同，股票市場(chǎng)對(duì)漏洞披露的反應(yīng)也不同。然而，關(guān)于漏洞對(duì)股票市場(chǎng)的影響和安全漏洞披露機(jī)制等現(xiàn)有研究較少。Campbell等[ 3 ]較早基于傳統(tǒng)資本資產(chǎn)定價(jià)模型開(kāi)展相關(guān)研究，隨后Gordon等[ 4 ]建立改進(jìn)的Frame-French三因素模型發(fā)現(xiàn)漏洞類型對(duì)股票市場(chǎng)有顯著的負(fù)面影響。在此基礎(chǔ)上，溫雅欣[ 5 ]以2010—2016年間美國(guó)上市企業(yè)為樣本，分析漏洞發(fā)生和公告時(shí)滯對(duì)股票市場(chǎng)的影響。也有學(xué)者研究漏洞披露時(shí)間對(duì)股票市場(chǎng)的影響。Kannan等[ 6 ]發(fā)現(xiàn)信息安全披露在某些時(shí)間窗口沒(méi)有顯著的負(fù)面影響。Hovav等[ 7 ]研究發(fā)現(xiàn)漏洞對(duì)企業(yè)的影響隨時(shí)間推移而變化，而市場(chǎng)對(duì)攻擊事件持有“觀望”態(tài)度。Rosati等[ 8 ]發(fā)現(xiàn)數(shù)據(jù)泄露公告僅在當(dāng)日對(duì)企業(yè)股票的買賣價(jià)差和交易量產(chǎn)生正面影響，隨后市場(chǎng)活動(dòng)迅速恢復(fù)正常。此外，Rosati等[ 9 ]以2011—2014年美國(guó)數(shù)據(jù)泄露事件為樣本，指出社交媒體的曝光會(huì)加劇數(shù)據(jù)泄露公告對(duì)股市的負(fù)面影響。在信息安全漏洞披露體制方面，Al-najjar等[ 10 ]分析了自愿披露前瞻性信息對(duì)企業(yè)的作用，Wang等[ 11 ]通過(guò)設(shè)計(jì)動(dòng)態(tài)的獎(jiǎng)勵(lì)與監(jiān)察政策從長(zhǎng)遠(yuǎn)角度最小化社會(huì)成本，Uldis[ 12 ]分析了拉脫維亞國(guó)家披露機(jī)制條例建立的過(guò)程。還有學(xué)者比較我國(guó)和西方國(guó)家的信息安全漏洞披露政策，設(shè)計(jì)了更完善的網(wǎng)絡(luò)安全披露體系[ 13-14 ]。

在已有研究成果中，事件研究法是解決該問(wèn)題的經(jīng)典方法，可以分析信息安全事件發(fā)生對(duì)企業(yè)股價(jià)和收益率的影響，并以此檢驗(yàn)金融市場(chǎng)對(duì)漏洞披露的反應(yīng)程度。例如Goel等[ 15 ]、王秦等[ 16 ]分別選擇較長(zhǎng)的事件窗口評(píng)估信息安全事件對(duì)上市企業(yè)市值收益的影響，但Pirounias等[ 17 ]指出較長(zhǎng)的事件窗口不僅與有效市場(chǎng)假設(shè)相反，而且加劇了其他隨機(jī)事件影響市場(chǎng)反應(yīng)的可能性。因此，本文擬選擇較短的事件窗口以避免其他事件的混合效應(yīng)，從而更好地衡量企業(yè)的累積異常收益率。

綜上，已有研究大多基于美國(guó)企業(yè)及其信息安全漏洞披露數(shù)據(jù)，缺少定量分析市場(chǎng)對(duì)我國(guó)企業(yè)信息安全漏洞披露的反應(yīng)，無(wú)法結(jié)合我國(guó)市場(chǎng)情況和相關(guān)法律法規(guī)為企業(yè)提供合理的漏洞披露建議以盡可能降低損失。在筆者查詢到的唯一份分析我國(guó)信息安全事件對(duì)公司價(jià)值影響的研究中，王秦等[ 16 ]考慮了公司規(guī)模、所屬行業(yè)、事件的社會(huì)回應(yīng)（通過(guò)社交媒體就事件解釋原因）和事件涉及的數(shù)據(jù)類型、事件發(fā)生的時(shí)間等因素，探討信息安全事件發(fā)生的時(shí)間、行業(yè)和社會(huì)回應(yīng)與公司價(jià)值的相關(guān)性，但其研究側(cè)重于信息安全事件發(fā)生的視角，沒(méi)有從漏洞披露視角分析企業(yè)市值將受到何種程度的影響。目前，我國(guó)安全漏洞的披露機(jī)制尚不成熟，研究漏洞披露對(duì)企業(yè)累積異常收益率的影響及影響因素可為企業(yè)的信息安全投資決策、安全披露應(yīng)急響應(yīng)及政府的披露政策等提供科學(xué)依據(jù)。因此，本文以2011—2020年間信息安全漏洞事件為樣本，采用事件研究法分析企業(yè)特定時(shí)間窗口內(nèi)異常收益率的變化以及漏洞披露對(duì)累積異常收益率的顯著性影響，并結(jié)合回歸模型探究不同因素對(duì)企業(yè)累積異常收益率的影響，并為企業(yè)和漏洞披露平臺(tái)提出信息安全漏洞披露策略和建議。

二、研究設(shè)計(jì)與模型構(gòu)建

（一）數(shù)據(jù)獲取與樣本選擇

本文從中國(guó)證監(jiān)會(huì)指定的上市公司信息披露網(wǎng)站巨潮資訊網(wǎng)獲取相關(guān)股票數(shù)據(jù)，從國(guó)家信息安全漏洞共享平臺(tái)（CNVD）獲取相關(guān)漏洞披露信息。鑒于我國(guó)股指期貨合約在2010年才正式上市交易，2011年后股市制度逐漸完善和成熟，因此選擇2011—2020年間的上市公司相關(guān)數(shù)據(jù)進(jìn)行研究。首先，采集國(guó)家信息安全漏洞共享平臺(tái)的相關(guān)數(shù)據(jù)共696 306條，通過(guò)數(shù)據(jù)清洗選擇在滬深A(yù)股證券市場(chǎng)上交易的上市公司為樣本，采集字段包括企業(yè)名稱、漏洞類型、漏洞解決方案、漏洞報(bào)送時(shí)間、漏洞公開(kāi)日期、漏洞收錄時(shí)間等。其次按照以下四個(gè)標(biāo)準(zhǔn)進(jìn)一步篩選：（1）剔除樣本事件發(fā)生期間未上市的企業(yè)；（2）剔除樣本事件發(fā)生期間和估計(jì)期內(nèi)存在停復(fù)牌的企業(yè)；（3）剔除樣本事件發(fā)生期間內(nèi)交易數(shù)據(jù)不可得的企業(yè)；（4）若同一家企業(yè)樣本事件估計(jì)期與其他樣本事件發(fā)生期重合，只保留最先發(fā)生的事件。最后篩選出35家企業(yè)的39個(gè)樣本事件，共計(jì)234條漏洞披露數(shù)據(jù)和4 953條股票數(shù)據(jù)。

（二）研究方法

為了探究漏洞披露對(duì)企業(yè)市值的影響，本文首先采用事件研究法分析企業(yè)異常收益率的變化情況，判斷漏洞披露是否對(duì)企業(yè)的累積異常收益率具有顯著性影響；其次利用回歸模型分析企業(yè)累積異常收益率的影響因素及其影響程度，并提出相關(guān)結(jié)論。

定義事件為CNVD平臺(tái)發(fā)布的信息安全漏洞公告。參考已有研究，以漏洞公告日作為第0天，設(shè)事件估計(jì)窗口為120天；為避免較長(zhǎng)的事件窗口可能會(huì)增加其他因素干擾股價(jià)市場(chǎng)的風(fēng)險(xiǎn)，將事件窗口的開(kāi)始日期設(shè)定為事件發(fā)生的前3天，結(jié)束日期分別設(shè)定為漏洞公告日、事件發(fā)生后的第1天、事件發(fā)生后的第2天。企業(yè)i的個(gè)股異常收益率為ARi，t=Ri，t-Ri，t'。其中Ri，t= 為企業(yè)i的個(gè)股日收益率，Pi，t-1、Pi，t分別為企業(yè)i在第t-1天和第t天的收盤價(jià)格，Ri，t'=？琢i+？茁iRmt+？著it為企業(yè)i個(gè)股的預(yù)期收益率（即正常收益率），？琢i、？茁i分別為市場(chǎng)模型的攔截參數(shù)和斜坡參數(shù)，Rmt為上海/深圳證券綜合指數(shù)計(jì)算出的市場(chǎng)日收益率，？著it為干擾項(xiàng)。由此可得，企業(yè)的累積異常收益率為CARi（k）= ARit，平均異常收益率為AARt= ，平均累積異常收益率為ACRt= 。

本文對(duì)平均異常收益率和平均累積異常收益率在5%與95%分位點(diǎn)上進(jìn)行縮尾（Winsorize）處理，控制極端值對(duì)結(jié)果的影響，并對(duì)縮尾前后的累積異常收益率進(jìn)行t檢驗(yàn)、秩和檢驗(yàn)，探索漏洞披露是否對(duì)企業(yè)股票收益產(chǎn)生影響，分析其影響程度。

（三）模型建立

通過(guò)總結(jié)Gordon等[ 4 ]、溫雅欣[ 5 ]、王秦等[ 16 ]的研究成果，提取企業(yè)規(guī)模和漏洞披露的延誤程度等因素作為解釋變量。另外，結(jié)合CNVD平臺(tái)披露的漏洞描述信息內(nèi)容及《網(wǎng)絡(luò)安全法》的漏洞披露要求，將漏洞評(píng)分、漏洞披露日期和企業(yè)補(bǔ)丁響應(yīng)行為補(bǔ)充考慮到模型中。變量具體說(shuō)明如下：

1.企業(yè)規(guī)模（scale）。一方面，規(guī)模較大的企業(yè)可以采取更完善的措施應(yīng)對(duì)漏洞披露事件，而小型企業(yè)可能會(huì)因應(yīng)對(duì)不當(dāng)造成較大損失；另一方面，社會(huì)媒體對(duì)大型企業(yè)的關(guān)注度較高，可能會(huì)加劇漏洞披露的負(fù)面效應(yīng)。

2.漏洞評(píng)分（score）。漏洞對(duì)信息的機(jī)密性、完整性和可用性造成威脅，具有多維屬性，不同評(píng)分的漏洞一般對(duì)應(yīng)不同的漏洞類型，對(duì)企業(yè)的威脅程度和可能造成的損失也不同。CNVD平臺(tái)的漏洞描述中包含三種屬性的漏洞評(píng)分，本文統(tǒng)計(jì)了所有事件的漏洞評(píng)分用于后續(xù)實(shí)證分析。

3.漏洞披露的延誤程度（days）。信息安全漏洞的報(bào)送時(shí)間和公布時(shí)間具有時(shí)間差，分析漏洞披露的時(shí)間差可判斷披露行為的延誤程度。例如，較短的時(shí)間差意味著漏洞披露的延誤程度較小，即披露比較及時(shí)，減少了企業(yè)和投資者間的信息不對(duì)稱。因此，漏洞披露的延誤程度可能會(huì)對(duì)企業(yè)股價(jià)產(chǎn)生影響。

4.漏洞披露日期（time）。2017年我國(guó)正式實(shí)施《網(wǎng)絡(luò)安全法》，其中第二十二條規(guī)定“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”，第五十五條規(guī)定“發(fā)生網(wǎng)絡(luò)安全事件……及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息”。因此，本文以《網(wǎng)絡(luò)安全法》施行日期為基準(zhǔn)，比較法律法規(guī)實(shí)施前后股票投資者對(duì)漏洞披露的態(tài)度是否發(fā)生變化。

5.企業(yè)的補(bǔ)丁響應(yīng)行為（response）。發(fā)生漏洞披露事件時(shí)，若企業(yè)及時(shí)提出解決方案（例如發(fā)布相關(guān)補(bǔ)?。赡苡兄跍p輕漏洞披露事件對(duì)企業(yè)的負(fù)面影響。本文參考CNVD平臺(tái)公布的信息確定企業(yè)是否采取補(bǔ)丁響應(yīng)。

除了上述變量對(duì)企業(yè)累積異常收益率的影響外，已有研究發(fā)現(xiàn)企業(yè)在選擇補(bǔ)丁響應(yīng)策略時(shí)，會(huì)考慮企業(yè)的市場(chǎng)份額和網(wǎng)絡(luò)環(huán)境中發(fā)生安全攻擊的概率兩種因素[ 18 ]。事實(shí)上，企業(yè)所擁有的市場(chǎng)份額可通過(guò)企業(yè)規(guī)模反映[ 19 ]，企業(yè)在網(wǎng)絡(luò)環(huán)境中發(fā)生安全攻擊的概率則取決于系統(tǒng)的脆弱性，可通過(guò)漏洞評(píng)分反映[ 4 ]。企業(yè)規(guī)模、漏洞評(píng)分等變量對(duì)企業(yè)補(bǔ)丁響應(yīng)行為會(huì)產(chǎn)生調(diào)節(jié)效應(yīng)，進(jìn)而影響企業(yè)的累積異常收益率，因此，模型中增加以下兩種效應(yīng)：

一是企業(yè)規(guī)模對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)（response× scale），指在企業(yè)規(guī)模變量的調(diào)節(jié)下，補(bǔ)丁響應(yīng)行為對(duì)企業(yè)累積異常收益率造成的影響。

二是漏洞評(píng)分對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)（response×

score），指在漏洞評(píng)分變量的調(diào)節(jié)下，補(bǔ)丁響應(yīng)行為對(duì)企業(yè)累積異常收益率造成的影響。

基于以上解釋變量和假設(shè)，建立如下回歸模型：

本文對(duì)企業(yè)漏洞披露前最近一個(gè)季度的總市值取自然對(duì)數(shù)，以此衡量企業(yè)規(guī)模（scale）。score表示CNVD平臺(tái)披露的漏洞評(píng)分。同樣地，借鑒相關(guān)文獻(xiàn)的方法對(duì)CNVD平臺(tái)公布的信息安全漏洞報(bào)送和公布的時(shí)間差（days）采用對(duì)數(shù)變換，以衡量漏洞公布的延誤程度。以《網(wǎng)絡(luò)安全法》施行日期2017年6月1日為基準(zhǔn)，若time值為1表示該漏洞公告的日期發(fā)生在《網(wǎng)絡(luò)安全法》實(shí)施之后，否則為0。response值為1表示漏洞披露后企業(yè)發(fā)布相關(guān)補(bǔ)丁，否則為0。response×scale表示企業(yè)規(guī)模對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)，response×score表示漏洞評(píng)分對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)。？茁0為常數(shù)項(xiàng)，？茁i（i≠0）表示各變量的系數(shù)，當(dāng)？茁i為正時(shí)表示該變量對(duì)企業(yè)累積異常收益率有正向影響，反之則對(duì)企業(yè)累積異常收益率有負(fù)向影響。？著表示誤差項(xiàng)。各變量的描述性統(tǒng)計(jì)結(jié)果如表1所示。

三、實(shí)證分析

（一）基于事件研究法的實(shí)證分析

依據(jù)市場(chǎng)模型，樣本企業(yè)市值均值為481.64億元，信息安全漏洞披露前3天市值下滑1.8%，造成的損失近8.67億元。由企業(yè)股票數(shù)據(jù)可以得到事件期內(nèi)樣本的平均異常收益率與平均累積異常收益率。由圖1可知，在整個(gè)事件期內(nèi)，企業(yè)的平均累積異常收益率均為負(fù)值。在漏洞披露事件發(fā)生前，企業(yè)的平均異常收益率均為負(fù)值，且總體趨勢(shì)平緩，這可能是因?yàn)槁┒磁妒录崆靶孤叮蚺锻l(fā)生在信息安全事件報(bào)道45天左右，在這個(gè)階段投資者對(duì)企業(yè)仍持消極態(tài)度，信心不足。特別地，在漏洞披露當(dāng)天，企業(yè)的平均異常收益率出現(xiàn)明顯下降，這可能是由于漏洞披露引發(fā)投資者對(duì)企業(yè)的關(guān)注，產(chǎn)生了負(fù)面預(yù)期。而在漏洞披露事件發(fā)生后，企業(yè)的平均異常收益率由負(fù)轉(zhuǎn)正，且上升趨勢(shì)逐步擴(kuò)大，這可能是因?yàn)榕妒录孤┒搭愋?、安全事件造成的?shí)際損失等信息透明化，企業(yè)對(duì)安全事件的響應(yīng)行為也會(huì)使部分投資者對(duì)企業(yè)信心增強(qiáng)。

為了降低異常值對(duì)顯著性檢驗(yàn)的影響，本文對(duì)各事件窗口內(nèi)的企業(yè)累積異常收益率進(jìn)行縮尾處理。在此基礎(chǔ)上，為了驗(yàn)證漏洞披露對(duì)企業(yè)累積異常收益率的影響具有統(tǒng)計(jì)學(xué)意義，且避免個(gè)別樣本的方差偏態(tài)對(duì)檢驗(yàn)結(jié)果的影響，本文分別采用t檢驗(yàn)、秩和（Wilcoxon）檢驗(yàn)法對(duì)縮尾前后各事件窗口的企業(yè)累積異常收益率進(jìn)行顯著性檢驗(yàn)，結(jié)果如表2和表3所示?？梢园l(fā)現(xiàn)，在t檢驗(yàn)、秩和檢驗(yàn)中各事件窗口內(nèi)的企業(yè)累積異常收益率均為負(fù)，且除縮尾前事件窗口[-3，+2]外，其余各事件窗口內(nèi)的企業(yè)累積異常收益均在5%的統(tǒng)計(jì)水平上顯著為負(fù)。以上結(jié)果表明，漏洞披露事件對(duì)企業(yè)的累積異常收益率有顯著的負(fù)面影響，這與Gordon[ 4 ]的研究一致。

比較表2和表3中t檢驗(yàn)、秩和檢驗(yàn)的統(tǒng)計(jì)結(jié)果還可發(fā)現(xiàn)，表3中除了事件窗口[-3，0]的秩和檢驗(yàn)結(jié)果外，其余各事件窗口內(nèi)的Pt值和Pwilcoxon值均比表2中的低，這說(shuō)明企業(yè)的累積異常收益率存在異常值，縮尾處理降低了異常值對(duì)顯著性檢驗(yàn)的影響，但不影響顯著性結(jié)果。特別地，比較兩種顯著性檢驗(yàn)結(jié)果發(fā)現(xiàn)，發(fā)生漏洞披露事件后Pt值和Pwilcoxon值逐漸增大，這說(shuō)明漏洞披露事件對(duì)企業(yè)的累積異常收益率顯著性影響減弱。

（二）基于回歸模型的實(shí)證分析

本文研究對(duì)象為2011—2020年發(fā)生漏洞披露事件的35家上市公司數(shù)據(jù)，因此回歸模型采用的是面板數(shù)據(jù)?；陉悘?qiáng)[ 20 ]的方法，利用Hausman檢驗(yàn)來(lái)判斷采用固定效應(yīng)模型還是隨機(jī)效應(yīng)模型。Hausman檢驗(yàn)結(jié)果表明，隨機(jī)效應(yīng)模型比固定效應(yīng)模型更有效。同時(shí)，為了控制時(shí)間效應(yīng)對(duì)回歸結(jié)果的偏差，在隨機(jī)效應(yīng)模型中控制了時(shí)間效應(yīng)。因此，本文回歸模型選擇控制時(shí)間效應(yīng)的隨機(jī)效應(yīng)模型。作為參照，進(jìn)行了OLS回歸和固定效應(yīng)模型回歸，相關(guān)結(jié)果如表4所示。

由回歸結(jié)果可知，漏洞評(píng)分（score）、漏洞披露日期（time）、補(bǔ)丁響應(yīng)行為（response）和企業(yè)規(guī)模（scale）對(duì)企業(yè)累積異常收益率有顯著的正向影響。其一，漏洞評(píng)分（score）對(duì)累積異常收益率有顯著的正向影響，可能是因?yàn)槠髽I(yè)較重視高危漏洞的處理，當(dāng)企業(yè)披露高危漏洞時(shí)往往更積極地控制輿論、提出漏洞響應(yīng)方案，從而穩(wěn)定股票投資者對(duì)企業(yè)信息安全的信心；而低危漏洞容易被企業(yè)忽視，但若干低危漏洞的組合將容易被黑客利用導(dǎo)致攻擊，給企業(yè)造成難以挽回的損失。如2018年因特爾芯片級(jí)漏洞披露事件波及數(shù)以億計(jì)的終端設(shè)備，雖然漏洞代碼低級(jí)，但披露事件發(fā)生后使因特爾公司股票下跌5%。其二，漏洞披露日期（time）對(duì)累積異常收益率有顯著的正向影響，這說(shuō)明股票投資者對(duì)《網(wǎng)絡(luò)安全法》頒布實(shí)施較為敏感，他們更加信賴遵守國(guó)家披露要求的企業(yè)。其三，企業(yè)補(bǔ)丁響應(yīng)行為（response）對(duì)累積異常收益率有顯著的正向影響，這可能是發(fā)布相關(guān)補(bǔ)丁、采取修復(fù)措施體現(xiàn)了企業(yè)對(duì)信息安全的重視和較強(qiáng)的社會(huì)責(zé)任，能極大程度避免黑客利用該漏洞入侵系統(tǒng)，從而營(yíng)造良好的企業(yè)聲譽(yù)，增強(qiáng)股票市場(chǎng)對(duì)企業(yè)的信心。其四，企業(yè)規(guī)模（scale）對(duì)累計(jì)異常收益率有顯著的正向影響，這與王秦等[ 16 ]關(guān)于信息安全事件披露的研究結(jié)果不一致。其原因可能是與小型企業(yè)相比，盡管大型企業(yè)發(fā)生安全漏洞披露事件社會(huì)關(guān)注度更高，但其應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的能力和輿論公關(guān)能力更強(qiáng)，這給企業(yè)的信譽(yù)和口碑帶來(lái)積極作用，因此，投資者對(duì)大型企業(yè)信心更強(qiáng)。

特別地，由漏洞評(píng)分對(duì)補(bǔ)丁響應(yīng)行為調(diào)節(jié)效應(yīng)（response×score）的回歸結(jié)果可知，漏洞評(píng)分對(duì)補(bǔ)丁響應(yīng)行為與企業(yè)累積異常收益率之間的關(guān)系有顯著的負(fù)向調(diào)節(jié)作用，這表明漏洞評(píng)分的增大減弱了補(bǔ)丁響應(yīng)行為對(duì)累積異常收益率的影響。盡管企業(yè)補(bǔ)丁響應(yīng)行為對(duì)累積異常收益率有顯著的正向影響，但隨著漏洞評(píng)分的增大，企業(yè)須付出更大的努力解決漏洞問(wèn)題，此時(shí)補(bǔ)丁響應(yīng)行為對(duì)企業(yè)的影響效果會(huì)減弱。另外，漏洞披露的延誤程度（days）對(duì)企業(yè)累積異常收益率有顯著的負(fù)向影響，這是因?yàn)楣善蓖顿Y者希望及時(shí)了解企業(yè)相關(guān)信息以減少披露滯后造成的損失，因此漏洞報(bào)送和公布的時(shí)間差越大（即漏洞延誤程度越大），漏洞披露對(duì)企業(yè)的負(fù)向影響越大。這一結(jié)論同信息安全事件披露的結(jié)果相異。根據(jù)溫雅欣[ 5 ]的研究，信息安全事件披露的延誤程度對(duì)企業(yè)股票市場(chǎng)影響并不顯著，究其原因企業(yè)實(shí)施信息安全事件披露往往由企業(yè)自己決定，且會(huì)選擇對(duì)自身利益損害最小的時(shí)間公布，及時(shí)披露不一定是其最優(yōu)選擇，而本文研究的安全漏洞披露策略由CNVD平臺(tái)制定，該平臺(tái)秉持對(duì)國(guó)家整體網(wǎng)絡(luò)安全負(fù)責(zé)的態(tài)度選擇漏洞公布時(shí)間，而非單獨(dú)考慮企業(yè)的利益。

由企業(yè)規(guī)模對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)（response× scale）的回歸結(jié)果可知，企業(yè)規(guī)模對(duì)補(bǔ)丁響應(yīng)行為與累積異常收益率之間的關(guān)系沒(méi)有顯著的調(diào)節(jié)作用。這表明股市投資者對(duì)企業(yè)補(bǔ)丁響應(yīng)策略的反應(yīng)不受企業(yè)規(guī)模的影響，即無(wú)論大型企業(yè)還是小型企業(yè)都應(yīng)該積極提出補(bǔ)丁響應(yīng)方案，減少企業(yè)的損失。

（三）穩(wěn)健性檢驗(yàn)

鑒于產(chǎn)業(yè)間信息化程度不同，漏洞披露對(duì)信息化程度不同的產(chǎn)業(yè)影響也可能不同。以國(guó)家企業(yè)信用信息公示系統(tǒng)登記的企業(yè)經(jīng)營(yíng)范圍和國(guó)家統(tǒng)計(jì)局發(fā)布的行業(yè)標(biāo)準(zhǔn)為依據(jù)，查詢樣本企業(yè)所屬行業(yè)，經(jīng)統(tǒng)計(jì)，樣本企業(yè)主要涉及的行業(yè)類型包括IT業(yè)、制造業(yè)（manufacture）、金融業(yè)（finance）、交通運(yùn)輸業(yè)（transportation）、銷售業(yè)（sale）和傳媒業(yè)（media）。進(jìn)一步按照國(guó)家統(tǒng)計(jì)局出臺(tái)的《三次產(chǎn)業(yè)劃分規(guī)定》對(duì)企業(yè)進(jìn)行產(chǎn)業(yè)劃分，將制造業(yè)劃分為第二產(chǎn)業(yè)，將IT業(yè)、金融業(yè)、交通運(yùn)輸業(yè)、銷售業(yè)和傳媒業(yè)劃分為第三產(chǎn)業(yè)，將第二產(chǎn)業(yè)（secondary_industry）、第三產(chǎn)業(yè)（tertiary_industry）作為控制變量納入回歸模型，具體分布如表5所示。并構(gòu)建回歸模型（2），最終檢驗(yàn)結(jié)果如表6所示。

由表6的結(jié)果可知，加入第二產(chǎn)業(yè)和第三產(chǎn)業(yè)這兩個(gè)控制變量后，解釋變量對(duì)累積異常收益率的顯著性影響及影響的正負(fù)性并未發(fā)生改變，表明回歸模型較為穩(wěn)健。另外，模型（2）的結(jié)果表明，無(wú)論企業(yè)屬于第二產(chǎn)業(yè)還是第三產(chǎn)業(yè)，對(duì)累積異常收益率的影響均不顯著；第三產(chǎn)業(yè)的行業(yè)雖然在不同程度上實(shí)現(xiàn)信息化，但市場(chǎng)對(duì)其漏洞披露并不敏感。進(jìn)一步分析回歸系數(shù)可知，第三產(chǎn)業(yè)的系數(shù)為正，這可能是因?yàn)檫@些行業(yè)信息化程度比較高，企業(yè)掌握的信息技術(shù)水平相對(duì)較高，漏洞發(fā)生后能夠及時(shí)提出解決方案降低披露的負(fù)面影響。相對(duì)而言，第二產(chǎn)業(yè)中的制造業(yè)掌握信息技術(shù)的水平較低，漏洞發(fā)生后企業(yè)不一定能及時(shí)解決問(wèn)題。

四、結(jié)論與啟示

本文基于巨潮資訊網(wǎng)獲取的上市公司相關(guān)股票數(shù)據(jù)和CNVD獲取的相關(guān)漏洞披露信息，從信息安全漏洞披露視角，采用事件研究法分析漏洞披露事件對(duì)企業(yè)累積異常收益率的影響，并結(jié)合回歸模型探究企業(yè)規(guī)模、漏洞評(píng)分、漏洞披露延誤程度、漏洞披露時(shí)間、補(bǔ)丁響應(yīng)行為及企業(yè)規(guī)模對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)、漏洞評(píng)分對(duì)補(bǔ)丁響應(yīng)行為的調(diào)節(jié)效應(yīng)和企業(yè)所屬行業(yè)等因素對(duì)累積異常收益率的影響程度，為企業(yè)評(píng)估漏洞公開(kāi)披露對(duì)其市值的影響提供理論依據(jù)，豐富了信息安全漏洞管理的理論研究。本文主要結(jié)論如下：

一是漏洞披露對(duì)企業(yè)的累積異常收益率有顯著的負(fù)面影響，而且隨著時(shí)間的推移這種顯著的負(fù)面影響會(huì)減弱。二是漏洞評(píng)分對(duì)企業(yè)的累積異常收益率有顯著的正向影響，漏洞評(píng)分增大時(shí)，企業(yè)投入的人力、物力、財(cái)力增大，從而增加了股票投資者的信心；漏洞公布日期對(duì)累積異常收益率有顯著的正向影響，企業(yè)按照國(guó)家的法律法規(guī)進(jìn)行漏洞披露可以贏得股票投資者的好感；企業(yè)的補(bǔ)丁響應(yīng)行為對(duì)累積異常收益率有顯著的正向影響，企業(yè)積極做出補(bǔ)丁響應(yīng)會(huì)避免今后黑客利用該漏洞入侵企業(yè)相關(guān)產(chǎn)品，從而贏得市場(chǎng)的信賴。三是企業(yè)規(guī)模對(duì)累積異常收益率有顯著的正向影響，投資者更看重大型企業(yè)漏洞事件的處理能力。四是股票投資者對(duì)漏洞披露的延誤程度較為敏感，漏洞披露的延遲時(shí)間越長(zhǎng)，對(duì)企業(yè)的負(fù)向影響越大；漏洞評(píng)分對(duì)補(bǔ)丁響應(yīng)行為與累積異常收益率的關(guān)系有顯著的負(fù)向調(diào)節(jié)作用，即漏洞評(píng)分越高，補(bǔ)丁響應(yīng)行為對(duì)企業(yè)的影響效果越弱。五是企業(yè)規(guī)模對(duì)補(bǔ)丁響應(yīng)行為與累積異常收益率的關(guān)系沒(méi)有顯著的調(diào)節(jié)作用。六是企業(yè)所屬產(chǎn)業(yè)對(duì)累積異常收益率沒(méi)有顯著影響，即市場(chǎng)對(duì)企業(yè)所屬產(chǎn)業(yè)并不敏感，但與包括制造業(yè)的第二產(chǎn)業(yè)相比，信息化程度較高的第三產(chǎn)業(yè)應(yīng)對(duì)漏洞風(fēng)險(xiǎn)的能力更強(qiáng)，企業(yè)的損失更小。我國(guó)“十四五”規(guī)劃明確指出，要積極推動(dòng)傳統(tǒng)制造業(yè)向數(shù)字化轉(zhuǎn)型，因此制造業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中要高度重視安全漏洞威脅，提高應(yīng)對(duì)漏洞風(fēng)險(xiǎn)的能力。

本文的研究結(jié)論對(duì)企業(yè)和漏洞披露相關(guān)平臺(tái)均有重要啟示：

“十四五”規(guī)劃第十八章中明確指出，要加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和審查；《中華人民共和國(guó)數(shù)據(jù)安全法》第四章中提到，要采取相應(yīng)的技術(shù)措施保障數(shù)據(jù)安全……開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)。因此，為了避免漏洞披露對(duì)企業(yè)市值的顯著負(fù)面影響，保障自身經(jīng)濟(jì)利益以及符合國(guó)家政策標(biāo)準(zhǔn)，企業(yè)應(yīng)在安全漏洞披露前加大對(duì)信息安全的投資力度，降低信息系統(tǒng)的脆弱性，并定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和審查，盡量減少信息安全漏洞威脅的發(fā)生。同時(shí)，企業(yè)應(yīng)制定合理的漏洞應(yīng)急響應(yīng)機(jī)制，不要只重視高危漏洞而忽視低危漏洞的管理，當(dāng)發(fā)生信息安全漏洞威脅時(shí)，企業(yè)應(yīng)遵守相關(guān)法律法規(guī)，及時(shí)向有關(guān)部門報(bào)送漏洞，減少股票投資者由于信息不對(duì)稱導(dǎo)致的信心動(dòng)搖。此外，根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第四章“發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施”的要求，企業(yè)應(yīng)積極做出補(bǔ)丁回應(yīng)，這不僅符合國(guó)家政策標(biāo)準(zhǔn)，而且挽回了企業(yè)聲譽(yù)，降低了漏洞披露造成的負(fù)面影響。

對(duì)國(guó)家信息安全漏洞共享平臺(tái)而言，作為由國(guó)家互聯(lián)網(wǎng)應(yīng)急中心建立的網(wǎng)絡(luò)安全漏洞庫(kù)，必須健全其漏洞披露機(jī)制。一方面，該平臺(tái)應(yīng)建立合理的漏洞報(bào)送激勵(lì)機(jī)制，鼓勵(lì)企業(yè)和“白帽子”積極報(bào)送漏洞；另一方面，由于漏洞披露延遲較大會(huì)對(duì)企業(yè)產(chǎn)生負(fù)面影響，因此該平臺(tái)應(yīng)該遵循適時(shí)披露原則，優(yōu)化漏洞審核過(guò)程，選擇合適的漏洞公告時(shí)間。

【參考文獻(xiàn)】

［1］ BERKMAN H，JONA J，LEE G，et al.Cybersecurity awareness and market valuations ［J］. Journal of Accounting and Public Policy，2018，37（6）：508-526.

［2］ JEONG C Y，LEE T，LIM J H.Information security breaches and IT security investments：impacts on competitors［J］.Information & Management，2019，56（5）：681-695.

［3］ CAMPBELL K，GORDON L A，LOEB M P，et al. The economic cost of publicly announced information security breaches：empirical evidence from the stock market［J］.Journal of Computer Security，2003，11（3）：431-448.

［4］ GORDON L A，LOEB M P，ZHOU L.The impact of information security breaches：has there been a downward shift in costs？［J］.Journal of Computer Security，2011，19（1）：33-56.

［5］ 溫雅欣.信息安全事件公告對(duì)公司市值的影響［D］.哈爾濱：哈爾濱工業(yè)大學(xué)碩士學(xué)位論文，2017.

［6］ KANNAN K，REES J，SRIDHAR S.Market reactions to information security breach announcements：an empirical analysis［J］.International Journal of Electronic Commerce，2007，12（1）：69-91.

［7］ HOVAV A，GRAY P.The ripple effect of an information security breach event：a stakeholder analysis［J］.Communications of the Association for Information Systems，2014，34：893-912.

［8］ ROSATI P，CUMMINS M，DEENEY P，et al. The effect of data breach announcements beyond the stock price：empirical evidence on market activity［J］.International Review of Financial Analysis，2017，49：146-154.

［9］ ROSATI P，DEENEY P，CUMMINS M，et al. Social media and stock price reaction to data breach announcements：evidence from US listed companies［J］.Research in International Business and Finance，2019，47：458-469.

［10］ Al-NAJJAR B，ABED S.The association between disclosure of forward-looking information and corporate governance mechanisms ［J］.Managerial Auditing Journal，2014，29（7）：578-595.

［11］ WANG S Q，SUN P，VERICOURT F D.Inducing environmental disclosures：a dynamic mechanism design approach［J］.Operations Research，2016，64（2）：371-389.

［12］ UIDIS K.From responsible disclosure policy （RDP） towards state regulated responsible vulnerability disclosure procedure （hereinafter RVDP）：the Latvian approach［J］.Computer Law & Security Review，2018，34（3）：508-522.

［13］ 朱靜，張玉清，高有行.一種更加完善的安全漏洞發(fā)布機(jī)制［J］.計(jì)算機(jī)工程，2005（23）：129-131.

［14］ 黃道麗.網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)［J］.暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2018，40（1）：94-106.

［15］ GOEL S，SHAWKY H A.Estimating the market impact of security breach announcements on firm values［J］.Information & Management，2009，46（7）：404- 410.

［16］ 王秦，朱建明.信息安全事件對(duì)公司價(jià)值的影響［J］.技術(shù)經(jīng)濟(jì)，2018，37（2）：77-84.

［17］ PIROUNIAS S，MERMIGAS D，PATSAKIS C. The relation between information security events and firm market value empirical evidence on recent disclosures：an extension of the GLZ study［J］.Journal of Information Security and Applications，2014，19（4/5）：257-271.

［18］ 張晗悅.綜合考慮網(wǎng)絡(luò)與安全外部性的免費(fèi)增值軟件補(bǔ)丁策略研究［D］.天津：天津大學(xué)碩士學(xué)位論文，2018.

［19］ WU Y，F(xiàn)ENG G Z，F(xiàn)UNG R K.Comparison of information security decisions under different security and business environments［J］.Journal of the Operational Research Society，2018，69（5）：747-761.

［20］ 陳強(qiáng).高級(jí)計(jì)量經(jīng)濟(jì)學(xué)及Stata應(yīng)用［M］.北京：高等教育出版社，2014.