李長連，王娜，賀譯冊，劉果，楊飛（.中訊郵電咨詢設計院有限公司，北京 00048；.中國聯(lián)合網絡通信集團有限公司，北京 00033）

0 引言

隨著信息化和網絡化不斷深入，網絡安全的重要性日益凸顯，而僅僅依靠技術手段難以完全消除網絡風險。因此，保險作為風險轉移的主要手段以及企業(yè)和個人進行風險管理的方式之一，理應發(fā)揮重要作用［1］。

國際上，1977 年，美國AIG 保險公司推出了“黑客保險”，該產品僅針對第三方責任，承保范圍為美國以外地區(qū)。20世紀90年代，美國Chubb保險公司推出了第1份“網絡安全保險”，2000年以后，美國市場開始發(fā)展［2］。2019年，全球網絡安全保險市場達到了55.73億美元，預計將保持10 年26.3%的復合增長率，到2030年將達到706.72 億美元［3］。

在國內，2019 年9 月，工信部《關于促進網絡安全產業(yè)發(fā)展的指導意見（征求意見稿）》中在“積極創(chuàng)新網絡安全服務模式”任務中提出“探索開展網絡安全保險服務”。2020年9月，網絡安全等級保護和關鍵信息基礎設施安全保護工作宣貫會提出在網絡安全領域引入保險機制，并圍繞頂層設計、機制落地、服務模式探索等方面明確了重點工作。

我國網絡安全保險市場目前總體規(guī)模偏低，滯后于我國數(shù)字經濟的發(fā)展程度，還處于探索期。據瑞士再保估計，我國網絡安全保險的總保費規(guī)模僅為約7 000 萬元人民幣，到2025 年，中國市場保費規(guī)模將增至5 億元人民幣且持續(xù)維持高增長率，年均增速達30%以上［4］。隨著我國網絡安全產業(yè)的持續(xù)發(fā)展和網絡安全法律法規(guī)框架的不斷完善，我國網絡安全保險市場具有巨大的增長空間［5］。

1 網絡安全保險內涵分析

在傳統(tǒng)的風險控制模型里，應對風險共有4 種手段：消除、降低、轉移和接受。保險是風險轉移的基本手段，網絡安全保險作為有效轉移網絡安全風險的工具，能夠幫助企業(yè)建立全面的網絡安全風險應對方案［4］。美國國土安全部將網絡安全保險定義為“減輕各種網絡事件造成的損失的保險”，包括數(shù)據泄露、業(yè)務中斷和網絡損害［6］。

相比于傳統(tǒng)保險險種，網絡安全保險更加強調服務屬性，采用網絡安全服務+保險機制［7］，投保人投保的時候，安全服務公司通過提供專業(yè)的安全檢測評估服務，保險公司可以了解投保人信息系統(tǒng)的風險情況，方便保險公司進行定價和風險控制。當保單生效后，安全公司為投保人提供日常安全服務，如信息系統(tǒng)監(jiān)測、漏洞掃描等，盡可能降低投保人出現(xiàn)風險的概率。如果出現(xiàn)了安全事件，投保人可以第一時間撥打理賠電話，會有專業(yè)的技術團隊對安全問題進行定位和恢復，安全事件會給投保人造成一定的經濟損失，如第一方損失和第三方索賠，安全服務公司會配合保險公司進行專業(yè)的取證、定損。

2 網絡安全保險業(yè)務模型設計

2.1 產品設計

網絡安全保險產品設計需要考慮以下幾個因素。

a）險種分類：作為一個獨立險種還是從屬于其他險種。

b）保險對象：網絡安全保險對象是企業(yè)客戶還是個人客戶。

c）承保范圍與責任免除：僅承保第一方損失還是連帶第三方賠償責任，分別包括哪些費用，如何進行清晰的范圍限定，哪些情況下免除保險責任。

d）投保系統(tǒng)特征：投保系統(tǒng)的網絡架構（純內網系統(tǒng)、互聯(lián)網服務系統(tǒng)、混合型等）、部署類型（傳統(tǒng)物理部署、虛擬化、容器化、云化、多分支混合部署等）、系統(tǒng)業(yè)務重要性（等保備案等級、是否屬于關鍵基礎設施等）。

e）安全風險與監(jiān)測防護能力：充分考慮投保系統(tǒng)所面臨的安全風險，包括行業(yè)歷史數(shù)據與系統(tǒng)歷史安全數(shù)據分析，對系統(tǒng)目前的安全攻擊風險、脆弱性以及監(jiān)測防護能力進行量化評估。

f）保險額度、免賠額與分項限額：需要綜合考慮客戶需求、承保范圍、投保系統(tǒng)業(yè)務重要性與安全水平，結合歷史數(shù)據，建立保險精算模型，確定保險額度、免賠額與分項限額。

根據以上分析，網絡安全保險產品設計可以歸結為4個要素的權衡（見圖1）。

圖1 網絡安全保險產品設計要素示意圖

進行網絡安全保險產品設計，需首先梳理清楚潛在的網絡安全攻擊風險、損失與賠償責任，結合投保系統(tǒng)的具體情況進行分類。常見的網絡攻擊類型包括DDoS 攻擊、勒索病毒、木馬病毒等，由于攻擊類型多樣、缺乏公認的標準定義與分類、攻擊手段迭代速度快等因素，網絡安全保險產品承保范圍不適合根據網絡攻擊類型確定［8］。客戶遭受網絡攻擊后的損失類型與恢復手段比較明確，契合網絡安全保險量化損失數(shù)據并予以補償?shù)乃悸罚ㄗh可考慮承保的常見賠償責任分類如表1所示。

表1 網絡安全保險產品建議承擔范圍與賠償責任

以上僅為常見賠償責任舉例，網絡安全保險產品確定承保范圍與責任時必須要充分綜合考慮投保系統(tǒng)特征、安全服務廠商能力、保費收入等因素。

2.2 業(yè)務流程設計

2.2.1 投保與服務流程

圖2所示為網絡安全保險產品投保與服務流程示意。相比普通保險產品的投保流程，網絡安全保險產品由于技術復雜性和缺少歷史數(shù)據，需關注網絡安全調研問卷的設計，全面搜集相關數(shù)據，包括系統(tǒng)物理環(huán)境、網絡接入、系統(tǒng)保護等級、等保測評結果與報告、網絡安全管理制度、資產管理等信息，網絡安全風險、監(jiān)測防護能力與歷史網絡安全事件是調研重點，可安排現(xiàn)場檢查與滲透測試，以評估客戶的真實安全監(jiān)測與防護水平，對被保險系統(tǒng)的歷史安全事件進行詳細分析與詢問，以評估客戶的安全風險等級。

圖2 網絡安全保險產品投保與服務流程示意圖

保險公司將所有搜集到的信息輸入到自有或第三方的量化風險評估模型，評估是否可以承?？蛻敉侗Ｏ到y(tǒng)，根據評估結果確定與客戶簽署合同或通知整改加固后再評估。

網絡安全保險一般都會強制配套提供網絡安全檢查、監(jiān)測與防護服務，及時了解客戶的安全風險，參與網絡安全事件應急響應與恢復工作，以避免或降低攻擊所造成的損失。

2.2.2 理賠流程

圖3給出了網絡安全保險產品理賠流程示意。

圖3 網絡安全保險產品理賠流程示意圖

網絡安全保險理賠流程遵循常規(guī)的“客戶報案→現(xiàn)場取證→責任認定→機構鑒定→核對→賠付”流程，但現(xiàn)場應急恢復、攻擊取證與損失評估環(huán)節(jié)需要具備高度專業(yè)技能的安全人員才可以完成，因此保險公司開展網絡安全保險業(yè)務必須首先具備自有或第三方的安全服務團隊，并與具備網絡安全攻擊事件鑒定資質的機構建立合作關系。

3 全生命周期風險管理方案

圖4給出了網絡安全保險全生命周期風險管理示意。保險公司開展網絡安全保險業(yè)務最大的挑戰(zhàn)是為降低網絡安全攻擊所造成的損失，對投保系統(tǒng)安全風險的識別、監(jiān)測、防護和記錄。

圖4 網絡安全保險全生命周期風險管理示意圖

3.1 安全測評

定期對承保系統(tǒng)進行安全風險評估，獲取并分析投保系統(tǒng)網絡安全等級測評報告，其具有強制性、覆蓋面全、權威性高的特點，可展示客戶網絡安全全貌。

3.2 安全加固

根據安全測評報告的結果，要求客戶對系統(tǒng)脆弱環(huán)節(jié)進行加固，技術手段包括但不限于網絡拓撲調整、新增或替換安全設備、服務器加固、網絡設備加固、數(shù)據庫加固、中間件加固、應用軟件加固等。

3.3 安全監(jiān)測

對客戶系統(tǒng)進行定期/實時安全監(jiān)測，全面掌握潛在的安全漏洞與攻擊風險，技術手段包括但不限于漏洞掃描、全流量高級威脅分析APT、攻擊入侵監(jiān)測IDS、DDoS攻擊監(jiān)測、網站安全監(jiān)測（Web掃描、掛馬監(jiān)測、篡改監(jiān)測、敏感詞監(jiān)測、黑鏈監(jiān)測等）、日志審計、蜜罐。

3.4 風險預警

接收各類安全設備、服務器設備、網絡設備的監(jiān)測結果，經過分析之后生成預警信息，并采取處置手段（包括但不限于自動關聯(lián)防護設備進行防護），推給相應的人員進行加固，預警信息通知方式包括頁面告警、郵件、短信、微信等社交軟件、電話等。

3.5 安全防護

在遭受攻擊后采取實時安全防護手段，包括但不限于防火墻、入侵防御IPS、DDoS 防護服務或設備、高防、Web應用防火墻、上網行為管理等。

3.6 應急處置

在發(fā)生安全事件之后，應急處置一般包括：

a）保險報案：當用戶投保的系統(tǒng)發(fā)生了安全事件后，用戶在第一時間撥打保險公司客服電話；保險客服核實情況并登記，呼叫轉移到安全服務公司的技術支持電話。

b）應急響應：安全服務公司技術人員和用戶溝通安全事件，執(zhí)行針對性安全應急預案；在規(guī)定時間內，安排安全服務團隊為客戶提供應急響應服務。

c）事件檢測：安全服務團隊在客戶的配合下對出險的系統(tǒng)進行初步分析，確認信息安全事件的真實性，制定進一步的響應策略，并保留證據。

d）問題抑制：安全服務團隊及時采取行動限制事件擴散和影響范圍，避免潛在損失與破壞，同時采取封鎖措施以減少對相關涉及業(yè)務的影響。

e）問題根除：安全服務團隊對安全事件進行抑制后，通過對有關事件或行為的分析結果，找出事件根源，查明原因并明確相應的補救措施。

3.7 系統(tǒng)恢復

配合客戶事先做好完善的恢復計劃，在發(fā)生安全事件之后，安全服務團隊需要遵照恢復計劃盡快恢復安全事件所涉及到的系統(tǒng)，并使其還原到正常狀態(tài)，恢復工作需要客戶配合完成。

3.8 數(shù)字取證

在發(fā)生安全事件之后，及時進行數(shù)字取證，作為索賠與定損依據，需要第三方權威專業(yè)機構完成。

4 未來發(fā)展展望

我國網絡安全保險剛剛起步，客戶對于網絡安全保險的接受度正在逐步增強，市場前景被廣泛看好，但在產品落地和發(fā)展過程中也面臨著多重的阻力和挑戰(zhàn)，如行業(yè)缺乏統(tǒng)一的風險評估模型與定損模型、新網絡安全攻擊類型層出不窮、危害程度日趨嚴重、監(jiān)測防護手段日新月異等［9］，這些難題都需要保險行業(yè)與網絡安全行業(yè)專家聯(lián)合進行研究并解決，踐行網絡強國戰(zhàn)略，促進網絡安全保險在中國的蓬勃發(fā)展。