李長(zhǎng)連，王娜，賀譯冊(cè)，劉果，楊飛（.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京 00048；.中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 00033）

0 引言

隨著信息化和網(wǎng)絡(luò)化不斷深入，網(wǎng)絡(luò)安全的重要性日益凸顯，而僅僅依靠技術(shù)手段難以完全消除網(wǎng)絡(luò)風(fēng)險(xiǎn)。因此，保險(xiǎn)作為風(fēng)險(xiǎn)轉(zhuǎn)移的主要手段以及企業(yè)和個(gè)人進(jìn)行風(fēng)險(xiǎn)管理的方式之一，理應(yīng)發(fā)揮重要作用［1］。

國(guó)際上，1977 年，美國(guó)AIG 保險(xiǎn)公司推出了“黑客保險(xiǎn)”，該產(chǎn)品僅針對(duì)第三方責(zé)任，承保范圍為美國(guó)以外地區(qū)。20世紀(jì)90年代，美國(guó)Chubb保險(xiǎn)公司推出了第1份“網(wǎng)絡(luò)安全保險(xiǎn)”，2000年以后，美國(guó)市場(chǎng)開(kāi)始發(fā)展［2］。2019年，全球網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)達(dá)到了55.73億美元，預(yù)計(jì)將保持10 年26.3%的復(fù)合增長(zhǎng)率，到2030年將達(dá)到706.72 億美元［3］。

在國(guó)內(nèi)，2019 年9 月，工信部《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》中在“積極創(chuàng)新網(wǎng)絡(luò)安全服務(wù)模式”任務(wù)中提出“探索開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)”。2020年9月，網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作宣貫會(huì)提出在網(wǎng)絡(luò)安全領(lǐng)域引入保險(xiǎn)機(jī)制，并圍繞頂層設(shè)計(jì)、機(jī)制落地、服務(wù)模式探索等方面明確了重點(diǎn)工作。

我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)目前總體規(guī)模偏低，滯后于我國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展程度，還處于探索期。據(jù)瑞士再保估計(jì)，我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)的總保費(fèi)規(guī)模僅為約7 000 萬(wàn)元人民幣，到2025 年，中國(guó)市場(chǎng)保費(fèi)規(guī)模將增至5 億元人民幣且持續(xù)維持高增長(zhǎng)率，年均增速達(dá)30%以上［4］。隨著我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)的持續(xù)發(fā)展和網(wǎng)絡(luò)安全法律法規(guī)框架的不斷完善，我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)具有巨大的增長(zhǎng)空間［5］。

1 網(wǎng)絡(luò)安全保險(xiǎn)內(nèi)涵分析

在傳統(tǒng)的風(fēng)險(xiǎn)控制模型里，應(yīng)對(duì)風(fēng)險(xiǎn)共有4 種手段：消除、降低、轉(zhuǎn)移和接受。保險(xiǎn)是風(fēng)險(xiǎn)轉(zhuǎn)移的基本手段，網(wǎng)絡(luò)安全保險(xiǎn)作為有效轉(zhuǎn)移網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的工具，能夠幫助企業(yè)建立全面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)方案［4］。美國(guó)國(guó)土安全部將網(wǎng)絡(luò)安全保險(xiǎn)定義為“減輕各種網(wǎng)絡(luò)事件造成的損失的保險(xiǎn)”，包括數(shù)據(jù)泄露、業(yè)務(wù)中斷和網(wǎng)絡(luò)損害［6］。

相比于傳統(tǒng)保險(xiǎn)險(xiǎn)種，網(wǎng)絡(luò)安全保險(xiǎn)更加強(qiáng)調(diào)服務(wù)屬性，采用網(wǎng)絡(luò)安全服務(wù)+保險(xiǎn)機(jī)制［7］，投保人投保的時(shí)候，安全服務(wù)公司通過(guò)提供專業(yè)的安全檢測(cè)評(píng)估服務(wù)，保險(xiǎn)公司可以了解投保人信息系統(tǒng)的風(fēng)險(xiǎn)情況，方便保險(xiǎn)公司進(jìn)行定價(jià)和風(fēng)險(xiǎn)控制。當(dāng)保單生效后，安全公司為投保人提供日常安全服務(wù)，如信息系統(tǒng)監(jiān)測(cè)、漏洞掃描等，盡可能降低投保人出現(xiàn)風(fēng)險(xiǎn)的概率。如果出現(xiàn)了安全事件，投保人可以第一時(shí)間撥打理賠電話，會(huì)有專業(yè)的技術(shù)團(tuán)隊(duì)對(duì)安全問(wèn)題進(jìn)行定位和恢復(fù)，安全事件會(huì)給投保人造成一定的經(jīng)濟(jì)損失，如第一方損失和第三方索賠，安全服務(wù)公司會(huì)配合保險(xiǎn)公司進(jìn)行專業(yè)的取證、定損。

2 網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)模型設(shè)計(jì)

2.1 產(chǎn)品設(shè)計(jì)

網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品設(shè)計(jì)需要考慮以下幾個(gè)因素。

a）險(xiǎn)種分類：作為一個(gè)獨(dú)立險(xiǎn)種還是從屬于其他險(xiǎn)種。

b）保險(xiǎn)對(duì)象：網(wǎng)絡(luò)安全保險(xiǎn)對(duì)象是企業(yè)客戶還是個(gè)人客戶。

c）承保范圍與責(zé)任免除：僅承保第一方損失還是連帶第三方賠償責(zé)任，分別包括哪些費(fèi)用，如何進(jìn)行清晰的范圍限定，哪些情況下免除保險(xiǎn)責(zé)任。

d）投保系統(tǒng)特征：投保系統(tǒng)的網(wǎng)絡(luò)架構(gòu)（純內(nèi)網(wǎng)系統(tǒng)、互聯(lián)網(wǎng)服務(wù)系統(tǒng)、混合型等）、部署類型（傳統(tǒng)物理部署、虛擬化、容器化、云化、多分支混合部署等）、系統(tǒng)業(yè)務(wù)重要性（等保備案等級(jí)、是否屬于關(guān)鍵基礎(chǔ)設(shè)施等）。

e）安全風(fēng)險(xiǎn)與監(jiān)測(cè)防護(hù)能力：充分考慮投保系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，包括行業(yè)歷史數(shù)據(jù)與系統(tǒng)歷史安全數(shù)據(jù)分析，對(duì)系統(tǒng)目前的安全攻擊風(fēng)險(xiǎn)、脆弱性以及監(jiān)測(cè)防護(hù)能力進(jìn)行量化評(píng)估。

f）保險(xiǎn)額度、免賠額與分項(xiàng)限額：需要綜合考慮客戶需求、承保范圍、投保系統(tǒng)業(yè)務(wù)重要性與安全水平，結(jié)合歷史數(shù)據(jù)，建立保險(xiǎn)精算模型，確定保險(xiǎn)額度、免賠額與分項(xiàng)限額。

根據(jù)以上分析，網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品設(shè)計(jì)可以歸結(jié)為4個(gè)要素的權(quán)衡（見(jiàn)圖1）。

圖1 網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品設(shè)計(jì)要素示意圖

進(jìn)行網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品設(shè)計(jì)，需首先梳理清楚潛在的網(wǎng)絡(luò)安全攻擊風(fēng)險(xiǎn)、損失與賠償責(zé)任，結(jié)合投保系統(tǒng)的具體情況進(jìn)行分類。常見(jiàn)的網(wǎng)絡(luò)攻擊類型包括DDoS 攻擊、勒索病毒、木馬病毒等，由于攻擊類型多樣、缺乏公認(rèn)的標(biāo)準(zhǔn)定義與分類、攻擊手段迭代速度快等因素，網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品承保范圍不適合根據(jù)網(wǎng)絡(luò)攻擊類型確定［8］。客戶遭受網(wǎng)絡(luò)攻擊后的損失類型與恢復(fù)手段比較明確，契合網(wǎng)絡(luò)安全保險(xiǎn)量化損失數(shù)據(jù)并予以補(bǔ)償?shù)乃悸?，建議可考慮承保的常見(jiàn)賠償責(zé)任分類如表1所示。

表1 網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品建議承擔(dān)范圍與賠償責(zé)任

以上僅為常見(jiàn)賠償責(zé)任舉例，網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品確定承保范圍與責(zé)任時(shí)必須要充分綜合考慮投保系統(tǒng)特征、安全服務(wù)廠商能力、保費(fèi)收入等因素。

2.2 業(yè)務(wù)流程設(shè)計(jì)

2.2.1 投保與服務(wù)流程

圖2所示為網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品投保與服務(wù)流程示意。相比普通保險(xiǎn)產(chǎn)品的投保流程，網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品由于技術(shù)復(fù)雜性和缺少歷史數(shù)據(jù)，需關(guān)注網(wǎng)絡(luò)安全調(diào)研問(wèn)卷的設(shè)計(jì)，全面搜集相關(guān)數(shù)據(jù)，包括系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)接入、系統(tǒng)保護(hù)等級(jí)、等保測(cè)評(píng)結(jié)果與報(bào)告、網(wǎng)絡(luò)安全管理制度、資產(chǎn)管理等信息，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、監(jiān)測(cè)防護(hù)能力與歷史網(wǎng)絡(luò)安全事件是調(diào)研重點(diǎn)，可安排現(xiàn)場(chǎng)檢查與滲透測(cè)試，以評(píng)估客戶的真實(shí)安全監(jiān)測(cè)與防護(hù)水平，對(duì)被保險(xiǎn)系統(tǒng)的歷史安全事件進(jìn)行詳細(xì)分析與詢問(wèn)，以評(píng)估客戶的安全風(fēng)險(xiǎn)等級(jí)。

圖2 網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品投保與服務(wù)流程示意圖

保險(xiǎn)公司將所有搜集到的信息輸入到自有或第三方的量化風(fēng)險(xiǎn)評(píng)估模型，評(píng)估是否可以承?？蛻敉侗Ｏ到y(tǒng)，根據(jù)評(píng)估結(jié)果確定與客戶簽署合同或通知整改加固后再評(píng)估。

網(wǎng)絡(luò)安全保險(xiǎn)一般都會(huì)強(qiáng)制配套提供網(wǎng)絡(luò)安全檢查、監(jiān)測(cè)與防護(hù)服務(wù)，及時(shí)了解客戶的安全風(fēng)險(xiǎn)，參與網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)與恢復(fù)工作，以避免或降低攻擊所造成的損失。

2.2.2 理賠流程

圖3給出了網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品理賠流程示意。

圖3 網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品理賠流程示意圖

網(wǎng)絡(luò)安全保險(xiǎn)理賠流程遵循常規(guī)的“客戶報(bào)案→現(xiàn)場(chǎng)取證→責(zé)任認(rèn)定→機(jī)構(gòu)鑒定→核對(duì)→賠付”流程，但現(xiàn)場(chǎng)應(yīng)急恢復(fù)、攻擊取證與損失評(píng)估環(huán)節(jié)需要具備高度專業(yè)技能的安全人員才可以完成，因此保險(xiǎn)公司開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)必須首先具備自有或第三方的安全服務(wù)團(tuán)隊(duì)，并與具備網(wǎng)絡(luò)安全攻擊事件鑒定資質(zhì)的機(jī)構(gòu)建立合作關(guān)系。

3 全生命周期風(fēng)險(xiǎn)管理方案

圖4給出了網(wǎng)絡(luò)安全保險(xiǎn)全生命周期風(fēng)險(xiǎn)管理示意。保險(xiǎn)公司開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)最大的挑戰(zhàn)是為降低網(wǎng)絡(luò)安全攻擊所造成的損失，對(duì)投保系統(tǒng)安全風(fēng)險(xiǎn)的識(shí)別、監(jiān)測(cè)、防護(hù)和記錄。

圖4 網(wǎng)絡(luò)安全保險(xiǎn)全生命周期風(fēng)險(xiǎn)管理示意圖

3.1 安全測(cè)評(píng)

定期對(duì)承保系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，獲取并分析投保系統(tǒng)網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告，其具有強(qiáng)制性、覆蓋面全、權(quán)威性高的特點(diǎn)，可展示客戶網(wǎng)絡(luò)安全全貌。

3.2 安全加固

根據(jù)安全測(cè)評(píng)報(bào)告的結(jié)果，要求客戶對(duì)系統(tǒng)脆弱環(huán)節(jié)進(jìn)行加固，技術(shù)手段包括但不限于網(wǎng)絡(luò)拓?fù)湔{(diào)整、新增或替換安全設(shè)備、服務(wù)器加固、網(wǎng)絡(luò)設(shè)備加固、數(shù)據(jù)庫(kù)加固、中間件加固、應(yīng)用軟件加固等。

3.3 安全監(jiān)測(cè)

對(duì)客戶系統(tǒng)進(jìn)行定期/實(shí)時(shí)安全監(jiān)測(cè)，全面掌握潛在的安全漏洞與攻擊風(fēng)險(xiǎn)，技術(shù)手段包括但不限于漏洞掃描、全流量高級(jí)威脅分析APT、攻擊入侵監(jiān)測(cè)IDS、DDoS攻擊監(jiān)測(cè)、網(wǎng)站安全監(jiān)測(cè)（Web掃描、掛馬監(jiān)測(cè)、篡改監(jiān)測(cè)、敏感詞監(jiān)測(cè)、黑鏈監(jiān)測(cè)等）、日志審計(jì)、蜜罐。

3.4 風(fēng)險(xiǎn)預(yù)警

接收各類安全設(shè)備、服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備的監(jiān)測(cè)結(jié)果，經(jīng)過(guò)分析之后生成預(yù)警信息，并采取處置手段（包括但不限于自動(dòng)關(guān)聯(lián)防護(hù)設(shè)備進(jìn)行防護(hù)），推給相應(yīng)的人員進(jìn)行加固，預(yù)警信息通知方式包括頁(yè)面告警、郵件、短信、微信等社交軟件、電話等。

3.5 安全防護(hù)

在遭受攻擊后采取實(shí)時(shí)安全防護(hù)手段，包括但不限于防火墻、入侵防御IPS、DDoS 防護(hù)服務(wù)或設(shè)備、高防、Web應(yīng)用防火墻、上網(wǎng)行為管理等。

3.6 應(yīng)急處置

在發(fā)生安全事件之后，應(yīng)急處置一般包括：

a）保險(xiǎn)報(bào)案：當(dāng)用戶投保的系統(tǒng)發(fā)生了安全事件后，用戶在第一時(shí)間撥打保險(xiǎn)公司客服電話；保險(xiǎn)客服核實(shí)情況并登記，呼叫轉(zhuǎn)移到安全服務(wù)公司的技術(shù)支持電話。

b）應(yīng)急響應(yīng)：安全服務(wù)公司技術(shù)人員和用戶溝通安全事件，執(zhí)行針對(duì)性安全應(yīng)急預(yù)案；在規(guī)定時(shí)間內(nèi)，安排安全服務(wù)團(tuán)隊(duì)為客戶提供應(yīng)急響應(yīng)服務(wù)。

c）事件檢測(cè)：安全服務(wù)團(tuán)隊(duì)在客戶的配合下對(duì)出險(xiǎn)的系統(tǒng)進(jìn)行初步分析，確認(rèn)信息安全事件的真實(shí)性，制定進(jìn)一步的響應(yīng)策略，并保留證據(jù)。

d）問(wèn)題抑制：安全服務(wù)團(tuán)隊(duì)及時(shí)采取行動(dòng)限制事件擴(kuò)散和影響范圍，避免潛在損失與破壞，同時(shí)采取封鎖措施以減少對(duì)相關(guān)涉及業(yè)務(wù)的影響。

e）問(wèn)題根除：安全服務(wù)團(tuán)隊(duì)對(duì)安全事件進(jìn)行抑制后，通過(guò)對(duì)有關(guān)事件或行為的分析結(jié)果，找出事件根源，查明原因并明確相應(yīng)的補(bǔ)救措施。

3.7 系統(tǒng)恢復(fù)

配合客戶事先做好完善的恢復(fù)計(jì)劃，在發(fā)生安全事件之后，安全服務(wù)團(tuán)隊(duì)需要遵照恢復(fù)計(jì)劃盡快恢復(fù)安全事件所涉及到的系統(tǒng)，并使其還原到正常狀態(tài)，恢復(fù)工作需要客戶配合完成。

3.8 數(shù)字取證

在發(fā)生安全事件之后，及時(shí)進(jìn)行數(shù)字取證，作為索賠與定損依據(jù)，需要第三方權(quán)威專業(yè)機(jī)構(gòu)完成。

4 未來(lái)發(fā)展展望

我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)剛剛起步，客戶對(duì)于網(wǎng)絡(luò)安全保險(xiǎn)的接受度正在逐步增強(qiáng)，市場(chǎng)前景被廣泛看好，但在產(chǎn)品落地和發(fā)展過(guò)程中也面臨著多重的阻力和挑戰(zhàn)，如行業(yè)缺乏統(tǒng)一的風(fēng)險(xiǎn)評(píng)估模型與定損模型、新網(wǎng)絡(luò)安全攻擊類型層出不窮、危害程度日趨嚴(yán)重、監(jiān)測(cè)防護(hù)手段日新月異等［9］，這些難題都需要保險(xiǎn)行業(yè)與網(wǎng)絡(luò)安全行業(yè)專家聯(lián)合進(jìn)行研究并解決，踐行網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，促進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)在中國(guó)的蓬勃發(fā)展。