產(chǎn)業(yè)觀察：發(fā)展網(wǎng)絡安全保險產(chǎn)業(yè) 構建新型網(wǎng)絡安全生態(tài)

原標題：專題·網(wǎng)絡安全保險 | 方濱興院士：發(fā)展網(wǎng)絡安全保險產(chǎn)業(yè) 構建新型網(wǎng)絡安全生態(tài)

2023年7月，工業(yè)和信息化部與國家金融監(jiān)督管理總局聯(lián)合印發(fā)《關于促進網(wǎng)絡安全保險規(guī)范健康發(fā)展的意見》（以下簡稱《意見》），為網(wǎng)絡安全保險市場進一步走向規(guī)范健康發(fā)展提供了明確指導。根據(jù)《意見》指導，本文基于“蜜點”的網(wǎng)絡安全保險體系重新梳理了網(wǎng)絡安全和網(wǎng)絡安全保險之間的關系，探討了如何推動網(wǎng)絡安全保險產(chǎn)業(yè)健康有序發(fā)展、促進企業(yè)加強網(wǎng)絡安全風險管理、降低網(wǎng)絡安全事件發(fā)生概率，構建新型網(wǎng)絡安全生態(tài)和建設網(wǎng)絡安全社會化服務體系，對統(tǒng)籌調配網(wǎng)絡安全保險領域相關力量、資源、技術，科學精準布局網(wǎng)絡安全保險產(chǎn)業(yè)，高效全面發(fā)展網(wǎng)絡安全保險生態(tài)具有十分重要的借鑒意義。

一、網(wǎng)絡安全保險的重要意義

隨著我國數(shù)字經(jīng)濟的蓬勃發(fā)展，各領域的網(wǎng)絡化、智能化轉型持續(xù)推進，網(wǎng)絡空間安全威脅和風險日益突出，使得網(wǎng)絡安全風險成為數(shù)字時代最大的風險之一。網(wǎng)絡安全保險作為風險轉移的重要手段可以在轉移殘余風險、優(yōu)化資源配置、保障組織財務穩(wěn)定性和業(yè)務連續(xù)性等方面發(fā)揮重要作用，能夠有效聚合各方力量，共同提升網(wǎng)絡安全風險治理水平，為數(shù)字經(jīng)濟發(fā)展和網(wǎng)絡強國建設提供重要支撐。事實表明，網(wǎng)絡安全保險的重要意義可以從風險管理、社會成本、安全指數(shù)、社會責任和品牌賦能等五個方面體現(xiàn)出來。

（一）提升企業(yè)網(wǎng)絡安全風險管理水平網(wǎng)絡安全保險有助于企業(yè)在戰(zhàn)略、業(yè)務以及戰(zhàn)術層面提升網(wǎng)絡安全風險防范能力。與其他險種不同，網(wǎng)絡安全保險的投保門檻較高，要求被保企業(yè)在投保前加強風險管控并通過保險企業(yè)要求的安全體檢。投保后，被保企業(yè)需要按照相關標準規(guī)范和要求開展日常主動防御，進行網(wǎng)絡安全風險管理，而非被動響應。這種主動防御模式對被保企業(yè)提出了更高的安全要求，需要主動發(fā)現(xiàn)問題并及時改進，不斷提升安全能力。因此，被保企業(yè)參與網(wǎng)絡安全保險的過程，實質上就是提升網(wǎng)絡安全管理意識、強化網(wǎng)絡安全保障能力的一種表現(xiàn)形態(tài)。（二）降低網(wǎng)絡安全保障社會總成本網(wǎng)絡安全保險不僅有助于降低網(wǎng)絡安全事件發(fā)生概率，還能夠通過保險的形式擇優(yōu)采用更為有效的防護手段，避免企業(yè)各自為戰(zhàn)造成資源浪費。隨著企業(yè)數(shù)字化轉型的深入，網(wǎng)絡安全風險也隨之增加。若企業(yè)獨自解決安全問題，可能會導致手段多樣且缺乏交互，造成資源浪費。通過網(wǎng)絡安全保險，企業(yè)可以將風險轉移至保險公司，由保險公司統(tǒng)一承保、統(tǒng)一加固，選擇最優(yōu)、普適性的方案提升企業(yè)的安全防御能力。此外，還可以利用網(wǎng)絡安全保險提供的經(jīng)濟賠償和風險管理服務，減少企業(yè)管理的邊際成本，降低社會總成本。（三）構建安全指數(shù)為用戶安全狀態(tài)背書保險公司在進行風險評估時，會對被保企業(yè)的安全狀態(tài)進行深入了解，同時考慮技術和管理兩方面的控制措施，綜合評估網(wǎng)絡安全狀況，構建企業(yè)安全指數(shù)。安全指數(shù)能夠精準反映企業(yè)的網(wǎng)絡安全防御水平，為用戶安全狀態(tài)背書。此外，保險公司會持續(xù)關注被保企業(yè)的網(wǎng)絡安全狀況，確保風險評估結果和實際的出險概率保持一致。如果企業(yè)的網(wǎng)絡安全狀況發(fā)生變化，比如出現(xiàn)了新的安全漏洞，保險公司會及時調整評估結果和安全指數(shù)。這種動態(tài)調整的機制可以保證安全指數(shù)的準確性和有效性。安全指數(shù)作為被保企業(yè)網(wǎng)絡安全能力的體現(xiàn)，可以成為企業(yè)在市場競爭中的重要優(yōu)勢?？蛻粼谶x擇合作伙伴或產(chǎn)品時，會更加傾向于選擇那些網(wǎng)絡安全保障能力更強的企業(yè)。因此，通過網(wǎng)絡安全保險，構建安全指數(shù)為用戶安全狀態(tài)背書，企業(yè)可以增強用戶信任，提升自身市場競爭力。（四）助力企業(yè)更好履行社會責任企業(yè)社會責任不僅體現(xiàn)在其產(chǎn)品或服務上，還體現(xiàn)在其風險治理能力上。網(wǎng)絡安全風險是當前企業(yè)面臨的主要風險之一，網(wǎng)絡安全保險可以幫助企業(yè)有效地管理這一風險，從而更好地履行其對社會和客戶的責任。尤其是擁有大量個人信息數(shù)據(jù)但不具備網(wǎng)絡安全應對能力的企業(yè)，網(wǎng)絡安全保險是一種有效的風險轉移工具。發(fā)生網(wǎng)絡安全事故后，網(wǎng)絡安全保險可以為企業(yè)提供經(jīng)濟支持，用于賠償因事故造成的第三方損失，如數(shù)據(jù)泄露或營業(yè)中斷帶來的損失。這種經(jīng)濟補償可以確保企業(yè)有足夠的能力去應對網(wǎng)絡安全事故帶來的后果，減輕其經(jīng)濟壓力，從而更好地履行其社會責任，形成良好的社會形象。（五）賦能品牌為安全產(chǎn)品及服務背書提供安全服務或產(chǎn)品的企業(yè)，通過附贈網(wǎng)絡安全保險，可為其服務或產(chǎn)品增加可信度。網(wǎng)絡安全保險的作用不僅在于事故發(fā)生后的經(jīng)濟補償，更在于提升了企業(yè)對于網(wǎng)絡安全風險的防控能力，進而增強了其品牌信譽。如果產(chǎn)品的出險率較高，將會提高該產(chǎn)品的保險費用，進而壓縮企業(yè)的利潤空間，甚至增大被市場淘汰的風險。因此，安全服務商有充足的動力去提高自身的網(wǎng)絡安全防御實力，以減少風險，增強競爭力。網(wǎng)絡安全保險的存在，不僅為安全服務商的產(chǎn)品和服務提供了可靠的背書，同時也對其品牌價值產(chǎn)生了積極的賦能效果。這體現(xiàn)在它可以增強客戶對品牌的信任度，提高產(chǎn)品的市場競爭力。而安全服務商在提升產(chǎn)品和服務網(wǎng)絡安全保障水平的過程中，也進一步展示了其專業(yè)的網(wǎng)絡安全防御實力，從而形成了良性循環(huán)，使品牌信譽不斷提升?？偟膩碚f，網(wǎng)絡安全保險不僅可以幫助被保企業(yè)提高風險管理能力、降低社會成本、構建安全指數(shù)、增強社會責任，還可為安全服務商的安全產(chǎn)品賦能商業(yè)價值。以上功能的綜合作用將有力推動網(wǎng)絡安全產(chǎn)業(yè)生態(tài)的重構。

二、網(wǎng)絡安全保險的服務屬性

不同于傳統(tǒng)財產(chǎn)險，網(wǎng)絡安全保險對由于網(wǎng)絡安全事件造成的負面影響進行賠償，賠償內容包括自身財產(chǎn)損失以及對第三方的賠償責任。保險公司在各個階段提供保險合同約定的網(wǎng)絡安全保障服務，因此具有很強的服務屬性。本章通過對投保前的風險評估、承保中的風險控制和出險后的響應與理賠來闡述網(wǎng)絡安全保險的服務。

（一）投保前的風險評估在投保前，風險評估主要是保險公司了解被保企業(yè)網(wǎng)絡安全健康狀況的過程，保險公司根據(jù)風險評估結果確定是否承保并制定合適價格和保險方案。投保前風險評估范圍和保險標的相關，通常被保險人作為保險標的，包括其所有相關信息系統(tǒng)和資產(chǎn)，如果保險標的是特定系統(tǒng)或資產(chǎn)，則只需對特定資產(chǎn)或系統(tǒng)開展評估。通常被保企業(yè)確定保險需求時首要遵循的是“高額損失原則”，即優(yōu)先投保發(fā)生概率不高但可能造成嚴重損失的網(wǎng)絡安全事件；而對于發(fā)生概率較高但損失并不嚴重的網(wǎng)絡安全事件，更適宜采取相應的網(wǎng)絡安全措施來降低風險。保險公司會根據(jù)評估報告判斷是否能夠承保相關風險，并為被保企業(yè)設計滿足其需求的保險方案。與傳統(tǒng)風險評估不同，網(wǎng)絡安全保險的風險評估需要考慮業(yè)務場景和需求，因此會帶來風險評估方法的創(chuàng)新，例如安全評級與風險量化等技術。安全評級主要基于主動安全探測和大數(shù)據(jù)分析等技術，對特定目標進行快速安全檢查，通過定量的方法對其安全健康狀態(tài)進行評級。評級結果一方面可以應用于網(wǎng)絡安全保險領域進行核保和定價；另一方面也可以應用于供應商安全管理領域，對供應商的安全健康狀態(tài)進行自動化安全檢查和管理，對安全評級較低的供應商采取限制措施，從而防范供應商安全風險。風險量化技術則需要對保單所承保的風險場景進行貨幣式風險量化，這種技術將來還可以應用于網(wǎng)絡安全績效評估上，幫助管理者更好地評估網(wǎng)絡安全投資的回報率。（二）承保中的風險控制在承保中，保險雙方需強化風險預防管理，開展防災防損工作，采取措施減少或消除風險發(fā)生的因素，降低安全事件發(fā)生概率，從而提高保險公司的經(jīng)濟效益。由于網(wǎng)絡安全風險的動態(tài)性和復雜性，保險公司需要采取手段對保險標的進行持續(xù)的風險監(jiān)測和管理，了解被保企業(yè)的風險變化情況。一旦監(jiān)測到攻擊行為，保險公司會向被保企業(yè)發(fā)出整改要求，敦促其立即進行安全加固和漏洞修補，以提高企業(yè)網(wǎng)絡的安全性。此外，保險公司還需要對被保企業(yè)開展安全意識培訓，從而進一步把風險控制在合理的范圍內，這有助于企業(yè)在安全事故發(fā)生之前提前發(fā)現(xiàn)并解決問題。防災防損是保險領域非常重要的環(huán)節(jié)，保險的目的不是賠償，而是通過風險預防管理等措施提高被保企業(yè)的安全防御能力。在網(wǎng)絡安全保險中，風險控制措施的成本需要由保險公司支付。因此，保險公司從降本增效的角度考慮，需要成本更低、更有效的創(chuàng)新技術。此外，隨著業(yè)務量的增長，保險公司會為被保企業(yè)建設統(tǒng)一的安全監(jiān)測中心，通過威脅情報或信息共享的技術方式實現(xiàn)風險共擔，降低整體累積風險。由此，可大幅提升被保企業(yè)的整體安全防御能力，降低保險公司出險率。（三）出險后的響應與理賠在響應過程中，企業(yè)一旦發(fā)生網(wǎng)絡安全事故，網(wǎng)絡安全保險的技術服務商會第一時間為被保企業(yè)提供應急響應服務，幫助企業(yè)開展應急響應工作，以盡量降低企業(yè)損失。在理賠過程中，網(wǎng)絡安全保險技術服務商需重點評估網(wǎng)絡安全事件的起因以及其造成的損失是否在承保范圍內，保險公司將根據(jù)保險合同條款對企業(yè)的經(jīng)濟損失進行賠償，如業(yè)務中斷損失、數(shù)據(jù)恢復成本、法律訴訟費用等。然而，如果網(wǎng)絡安全事件是由于在承保期間被保企業(yè)未履行安全保護義務所造成的，則屬于被保企業(yè)因自身因素導致的損失，保險公司可以不予理賠。網(wǎng)絡安全保險在理賠環(huán)節(jié)還需防范道德風險的問題，以防止騙保行為發(fā)生。在發(fā)生網(wǎng)絡安全事件后，保險公司會委托專業(yè)機構對事件的威脅源、攻擊方法、攻擊路徑等進行分析，確定事件產(chǎn)生的原因。如果發(fā)現(xiàn)存在人為故意等違法行為，保險公司可根據(jù)除外責任拒絕理賠。

三、基于“蜜點”的網(wǎng)絡安全保險服務體系

（一）“蜜點”提出的背景

主動防御是一種前瞻性的安全策略。2023年5月1日開始實施的國家標準《信息安全技術關鍵信息基礎設施安全保護要求》將主動防御列為新的安全要求。主動防御以對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎，采取暴露面收斂、誘捕、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，以提升對網(wǎng)絡威脅與攻擊行為的識別、分析和主動防御能力。與遭受到攻擊后才進行安全應對的被動防御不同，主動防御的重點在于預防與發(fā)現(xiàn)，被稱為“護衛(wèi)模式”；而被動防御的重點在于抗打擊和不被攻垮，稱之為“自衛(wèi)模式”。主動防御對于推動網(wǎng)絡安全保險行業(yè)的發(fā)展具有重要意義。一方面，網(wǎng)絡安全保險可以推動被保企業(yè)中實施主動防御策略來監(jiān)測被保系統(tǒng)的安全狀況，全面評估網(wǎng)絡安全風險，提高企業(yè)安全管理水平，減少網(wǎng)絡安全事故造成的損失，增強企業(yè)競爭力。另一方面，網(wǎng)絡安全保險可以作為一個統(tǒng)一的抓手，統(tǒng)籌所保護企業(yè)之間的攻擊情況，及時發(fā)現(xiàn)大范圍的關聯(lián)攻擊，以最小的代價最大程度地及時發(fā)現(xiàn)攻擊者存在，從而降低網(wǎng)絡安全事故發(fā)生概率，推動網(wǎng)絡安全產(chǎn)業(yè)的發(fā)展。“護衛(wèi)模式”的關鍵在于“感知—研判—阻斷”。其中，感知為基礎、研判構核心、阻斷是根本。因此，“護衛(wèi)模式”的基礎在于“感知”，即要確切地發(fā)現(xiàn)攻擊者的存在。為此，我們提出了“蜜點”的概念，旨在及時發(fā)現(xiàn)攻擊者的身份。（二）“蜜點”的技術思路傳統(tǒng)的網(wǎng)絡安全保障體系主要遵循防范-檢測-響應-恢復（PDRR）模型，即事先防范、事前入侵檢測、事中應急響應、事后恢復。在入侵檢測方面，一般采用規(guī)則檢測或異常檢測，即便采取了基于“蜜罐”的誘捕策略，也只是規(guī)則檢測（行為檢測）的一種延伸。然而，對于攻擊者而言，其攻擊手段可以突破已知的各種防御手段。因為大部分防御手段都是公開的，如果攻擊者知道自己無法成功攻擊，他們通常不會浪費時間和資源去做無用功。對于一些民間黑客而言，他們采取的就是“打哪兒指哪兒”的攻擊模式，通過隨機尋找存在漏洞的目標進行攻擊；而APT攻擊則屬于“指哪兒打哪兒”的攻擊模式，攻擊者必定會使用被攻擊者未知的攻擊的手法。因此，依靠規(guī)則檢測或異常檢測等方式很難發(fā)現(xiàn)這些攻擊行為的存在，自然就不可能知道攻擊者的身份?！懊埸c”的思路不再是檢測攻擊流量，而是假定我們無法檢測出未知攻擊。因此，“蜜點”的策略是布設陷阱，設置一些內部人員不會或不應訪問的IP地址，一旦攻擊者成功滲透到內部網(wǎng)絡并試圖進行橫向移動攻擊，他們會有很大概率碰撞到這些IP地址。由于我們預先假定正常人員不會訪問或者沒有超鏈接等渠道訪問這些IP地址，所以只有采取探索技術的橫向移動攻擊者才會踩到這些“蜜點”。因此，我們不再依賴規(guī)則或異常檢測來鎖定攻擊者，而是直接通過“踩蜜點”的行為來判定攻擊者是否出現(xiàn)。對于那些路徑固定的、對外提供服務的應用服務器而言，可以采取在系統(tǒng)內部署一些不會被普通用戶所使用的目錄路徑、文件等作為“蜜餌”，一旦有人觸碰到，就可認定是攻擊者。由于攻擊者無法事先了解哪些是路徑蜜點、哪些是誘餌蜜點，在他們嘗試攻擊的過程中，會有很大概率觸碰蜜點，從而暴露其身份。盡管此時防御者尚不清楚攻擊者的具體攻擊手法，但已經(jīng)知道了誰是攻擊者，讓攻擊者處于明處，自然就可以對其進行防御。所以，“蜜點”的基本邏輯是“以未知應對未知”，既以攻擊者對“蜜點”的未知，來應對防御者對攻擊者的未知。當前，“蜜點”的理念已在冬奧會、廣交會、大運會、亞運會等活動中得到了成功實踐，發(fā)現(xiàn)了大量傳統(tǒng)入侵檢測和異常檢測無法發(fā)現(xiàn)的攻擊行為。（三）“蜜點”與網(wǎng)絡安全保險在網(wǎng)絡安全保險服務的三個階段中，“蜜點”都有很好的應用。首先是投保前的風險評估階段。這個階段的關鍵在于研判被保企業(yè)是否具備攻擊感知能力，可以建議企業(yè)通過設置“蜜點”的方式來提升其對網(wǎng)絡攻擊的感知能力。其次是承保中的風險控制。保險企業(yè)可以委托相應的安全支撐企業(yè)以低成本的方式在被保企業(yè)中廣泛布設“蜜點”，并將其匯總到專門為保企業(yè)構建的安全監(jiān)測中心來。這樣做有三個好處：一是“蜜點”的設置不同于在企業(yè)網(wǎng)關上進行監(jiān)測的傳統(tǒng)方式，不會觀察企業(yè)自身的網(wǎng)絡流量，從而不會侵犯企業(yè)的隱私，這種做法容易被企業(yè)所接受；二是一旦發(fā)現(xiàn)“踩蜜”行為，可以及時通知被保企業(yè)進行整改。如果“踩蜜”者來自外部，則需要核查該來源還訪問過哪些系統(tǒng)，需要立即排查；如果“踩蜜者”來自內部，則說明攻擊者已經(jīng)控制了內網(wǎng)的結點，需要對之立即清除，并進行溯源，以了解攻擊發(fā)生的時間、入侵途徑和方法。由于攻擊者的身份已經(jīng)確定，這種核查就變得易如反掌，其能力的大小僅取決于被保企業(yè)的日志記錄的詳細程度以及記錄周期的長短。三是由于所有被保企業(yè)是共用一個安全監(jiān)測中心，因此，如果一個被保企業(yè)監(jiān)測到了“踩蜜點”的攻擊者，可以將它同步到其他所有被保企業(yè)，從而實現(xiàn)主動協(xié)同防御。最后是出險后的響應與理賠。在理賠過程中，首先要確定攻擊者的“采蜜者”身份是否在承保過程中已通知給了被保企業(yè)，如果是，則需要深入研究為何在知曉攻擊者身份的情況下讓其得逞？這將為是否理賠以及理賠額度的判定提供依據(jù)。

四、結語

隨著數(shù)字經(jīng)濟與實體經(jīng)濟的深度融合，無人駕駛汽車、AI大模型等技術快速發(fā)展。新技術在帶來便利的同時必然會帶來新的安全問題，維護企業(yè)系統(tǒng)的安全穩(wěn)定也將付出更多成本。從伴生效應角度來看，任何技術、任何領域都沒有絕對的安全。在這種情況下，攻擊者是未知的，何時發(fā)起攻擊也是未知的。網(wǎng)絡安全保險正是針對網(wǎng)絡空間的這種不確定性進行保障的一種方式，發(fā)展由“蜜點”加持的網(wǎng)絡安全保險產(chǎn)業(yè)，不僅有助于被保企業(yè)構建并完善網(wǎng)絡安全風險管理體系，強化網(wǎng)絡安全風險應對能力，合理規(guī)劃企業(yè)的網(wǎng)絡安全預算，降低企業(yè)面臨的網(wǎng)絡安全壓力，而且還有助于降低網(wǎng)絡安全保險的出險率，提升網(wǎng)絡安全保險企業(yè)的效益，這對構建新型的網(wǎng)絡安全生態(tài)，促進數(shù)字經(jīng)濟的健康有序發(fā)展具有重大的利好作用。

（作者為中國工程院院士、廣州大學網(wǎng)絡空間安全學院名譽院長）