产业观察:发展网络安全保险产业 构建新型网络安全生态

发布时间:2024-11-16 23:00:08 来源: sp20241116

原标题:专题·网络安全保险 | 方滨兴院士:发展网络安全保险产业 构建新型网络安全生态

2023年7月,工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),为网络安全保险市场进一步走向规范健康发展提供了明确指导。根据《意见》指导,本文基于“蜜点”的网络安全保险体系重新梳理了网络安全和网络安全保险之间的关系,探讨了如何推动网络安全保险产业健康有序发展、促进企业加强网络安全风险管理、降低网络安全事件发生概率,构建新型网络安全生态和建设网络安全社会化服务体系,对统筹调配网络安全保险领域相关力量、资源、技术,科学精准布局网络安全保险产业,高效全面发展网络安全保险生态具有十分重要的借鉴意义。

一、网络安全保险的重要意义

随着我国数字经济的蓬勃发展,各领域的网络化、智能化转型持续推进,网络空间安全威胁和风险日益突出,使得网络安全风险成为数字时代最大的风险之一。网络安全保险作为风险转移的重要手段可以在转移残余风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥重要作用,能够有效聚合各方力量,共同提升网络安全风险治理水平,为数字经济发展和网络强国建设提供重要支撑。事实表明,网络安全保险的重要意义可以从风险管理、社会成本、安全指数、社会责任和品牌赋能等五个方面体现出来。

(一)提升企业网络安全风险管理水平网络安全保险有助于企业在战略、业务以及战术层面提升网络安全风险防范能力。与其他险种不同,网络安全保险的投保门槛较高,要求被保企业在投保前加强风险管控并通过保险企业要求的安全体检。投保后,被保企业需要按照相关标准规范和要求开展日常主动防御,进行网络安全风险管理,而非被动响应。这种主动防御模式对被保企业提出了更高的安全要求,需要主动发现问题并及时改进,不断提升安全能力。因此,被保企业参与网络安全保险的过程,实质上就是提升网络安全管理意识、强化网络安全保障能力的一种表现形态。(二)降低网络安全保障社会总成本网络安全保险不仅有助于降低网络安全事件发生概率,还能够通过保险的形式择优采用更为有效的防护手段,避免企业各自为战造成资源浪费。随着企业数字化转型的深入,网络安全风险也随之增加。若企业独自解决安全问题,可能会导致手段多样且缺乏交互,造成资源浪费。通过网络安全保险,企业可以将风险转移至保险公司,由保险公司统一承保、统一加固,选择最优、普适性的方案提升企业的安全防御能力。此外,还可以利用网络安全保险提供的经济赔偿和风险管理服务,减少企业管理的边际成本,降低社会总成本。(三)构建安全指数为用户安全状态背书保险公司在进行风险评估时,会对被保企业的安全状态进行深入了解,同时考虑技术和管理两方面的控制措施,综合评估网络安全状况,构建企业安全指数。安全指数能够精准反映企业的网络安全防御水平,为用户安全状态背书。此外,保险公司会持续关注被保企业的网络安全状况,确保风险评估结果和实际的出险概率保持一致。如果企业的网络安全状况发生变化,比如出现了新的安全漏洞,保险公司会及时调整评估结果和安全指数。这种动态调整的机制可以保证安全指数的准确性和有效性。安全指数作为被保企业网络安全能力的体现,可以成为企业在市场竞争中的重要优势。客户在选择合作伙伴或产品时,会更加倾向于选择那些网络安全保障能力更强的企业。因此,通过网络安全保险,构建安全指数为用户安全状态背书,企业可以增强用户信任,提升自身市场竞争力。(四)助力企业更好履行社会责任企业社会责任不仅体现在其产品或服务上,还体现在其风险治理能力上。网络安全风险是当前企业面临的主要风险之一,网络安全保险可以帮助企业有效地管理这一风险,从而更好地履行其对社会和客户的责任。尤其是拥有大量个人信息数据但不具备网络安全应对能力的企业,网络安全保险是一种有效的风险转移工具。发生网络安全事故后,网络安全保险可以为企业提供经济支持,用于赔偿因事故造成的第三方损失,如数据泄露或营业中断带来的损失。这种经济补偿可以确保企业有足够的能力去应对网络安全事故带来的后果,减轻其经济压力,从而更好地履行其社会责任,形成良好的社会形象。(五)赋能品牌为安全产品及服务背书提供安全服务或产品的企业,通过附赠网络安全保险,可为其服务或产品增加可信度。网络安全保险的作用不仅在于事故发生后的经济补偿,更在于提升了企业对于网络安全风险的防控能力,进而增强了其品牌信誉。如果产品的出险率较高,将会提高该产品的保险费用,进而压缩企业的利润空间,甚至增大被市场淘汰的风险。因此,安全服务商有充足的动力去提高自身的网络安全防御实力,以减少风险,增强竞争力。网络安全保险的存在,不仅为安全服务商的产品和服务提供了可靠的背书,同时也对其品牌价值产生了积极的赋能效果。这体现在它可以增强客户对品牌的信任度,提高产品的市场竞争力。而安全服务商在提升产品和服务网络安全保障水平的过程中,也进一步展示了其专业的网络安全防御实力,从而形成了良性循环,使品牌信誉不断提升。总的来说,网络安全保险不仅可以帮助被保企业提高风险管理能力、降低社会成本、构建安全指数、增强社会责任,还可为安全服务商的安全产品赋能商业价值。以上功能的综合作用将有力推动网络安全产业生态的重构。

二、网络安全保险的服务属性

不同于传统财产险,网络安全保险对由于网络安全事件造成的负面影响进行赔偿,赔偿内容包括自身财产损失以及对第三方的赔偿责任。保险公司在各个阶段提供保险合同约定的网络安全保障服务,因此具有很强的服务属性。本章通过对投保前的风险评估、承保中的风险控制和出险后的响应与理赔来阐述网络安全保险的服务。

(一)投保前的风险评估在投保前,风险评估主要是保险公司了解被保企业网络安全健康状况的过程,保险公司根据风险评估结果确定是否承保并制定合适价格和保险方案。投保前风险评估范围和保险标的相关,通常被保险人作为保险标的,包括其所有相关信息系统和资产,如果保险标的是特定系统或资产,则只需对特定资产或系统开展评估。通常被保企业确定保险需求时首要遵循的是“高额损失原则”,即优先投保发生概率不高但可能造成严重损失的网络安全事件;而对于发生概率较高但损失并不严重的网络安全事件,更适宜采取相应的网络安全措施来降低风险。保险公司会根据评估报告判断是否能够承保相关风险,并为被保企业设计满足其需求的保险方案。与传统风险评估不同,网络安全保险的风险评估需要考虑业务场景和需求,因此会带来风险评估方法的创新,例如安全评级与风险量化等技术。安全评级主要基于主动安全探测和大数据分析等技术,对特定目标进行快速安全检查,通过定量的方法对其安全健康状态进行评级。评级结果一方面可以应用于网络安全保险领域进行核保和定价;另一方面也可以应用于供应商安全管理领域,对供应商的安全健康状态进行自动化安全检查和管理,对安全评级较低的供应商采取限制措施,从而防范供应商安全风险。风险量化技术则需要对保单所承保的风险场景进行货币式风险量化,这种技术将来还可以应用于网络安全绩效评估上,帮助管理者更好地评估网络安全投资的回报率。(二)承保中的风险控制在承保中,保险双方需强化风险预防管理,开展防灾防损工作,采取措施减少或消除风险发生的因素,降低安全事件发生概率,从而提高保险公司的经济效益。由于网络安全风险的动态性和复杂性,保险公司需要采取手段对保险标的进行持续的风险监测和管理,了解被保企业的风险变化情况。一旦监测到攻击行为,保险公司会向被保企业发出整改要求,敦促其立即进行安全加固和漏洞修补,以提高企业网络的安全性。此外,保险公司还需要对被保企业开展安全意识培训,从而进一步把风险控制在合理的范围内,这有助于企业在安全事故发生之前提前发现并解决问题。防灾防损是保险领域非常重要的环节,保险的目的不是赔偿,而是通过风险预防管理等措施提高被保企业的安全防御能力。在网络安全保险中,风险控制措施的成本需要由保险公司支付。因此,保险公司从降本增效的角度考虑,需要成本更低、更有效的创新技术。此外,随着业务量的增长,保险公司会为被保企业建设统一的安全监测中心,通过威胁情报或信息共享的技术方式实现风险共担,降低整体累积风险。由此,可大幅提升被保企业的整体安全防御能力,降低保险公司出险率。(三)出险后的响应与理赔在响应过程中,企业一旦发生网络安全事故,网络安全保险的技术服务商会第一时间为被保企业提供应急响应服务,帮助企业开展应急响应工作,以尽量降低企业损失。在理赔过程中,网络安全保险技术服务商需重点评估网络安全事件的起因以及其造成的损失是否在承保范围内,保险公司将根据保险合同条款对企业的经济损失进行赔偿,如业务中断损失、数据恢复成本、法律诉讼费用等。然而,如果网络安全事件是由于在承保期间被保企业未履行安全保护义务所造成的,则属于被保企业因自身因素导致的损失,保险公司可以不予理赔。网络安全保险在理赔环节还需防范道德风险的问题,以防止骗保行为发生。在发生网络安全事件后,保险公司会委托专业机构对事件的威胁源、攻击方法、攻击路径等进行分析,确定事件产生的原因。如果发现存在人为故意等违法行为,保险公司可根据除外责任拒绝理赔。

三、基于“蜜点”的网络安全保险服务体系

(一)“蜜点”提出的背景

主动防御是一种前瞻性的安全策略。2023年5月1日开始实施的国家标准《信息安全技术关键信息基础设施安全保护要求》将主动防御列为新的安全要求。主动防御以对攻击行为的监测发现为基础,采取暴露面收敛、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,以提升对网络威胁与攻击行为的识别、分析和主动防御能力。与遭受到攻击后才进行安全应对的被动防御不同,主动防御的重点在于预防与发现,被称为“护卫模式”;而被动防御的重点在于抗打击和不被攻垮,称之为“自卫模式”。主动防御对于推动网络安全保险行业的发展具有重要意义。一方面,网络安全保险可以推动被保企业中实施主动防御策略来监测被保系统的安全状况,全面评估网络安全风险,提高企业安全管理水平,减少网络安全事故造成的损失,增强企业竞争力。另一方面,网络安全保险可以作为一个统一的抓手,统筹所保护企业之间的攻击情况,及时发现大范围的关联攻击,以最小的代价最大程度地及时发现攻击者存在,从而降低网络安全事故发生概率,推动网络安全产业的发展。“护卫模式”的关键在于“感知—研判—阻断”。其中,感知为基础、研判构核心、阻断是根本。因此,“护卫模式”的基础在于“感知”,即要确切地发现攻击者的存在。为此,我们提出了“蜜点”的概念,旨在及时发现攻击者的身份。(二)“蜜点”的技术思路传统的网络安全保障体系主要遵循防范-检测-响应-恢复(PDRR)模型,即事先防范、事前入侵检测、事中应急响应、事后恢复。在入侵检测方面,一般采用规则检测或异常检测,即便采取了基于“蜜罐”的诱捕策略,也只是规则检测(行为检测)的一种延伸。然而,对于攻击者而言,其攻击手段可以突破已知的各种防御手段。因为大部分防御手段都是公开的,如果攻击者知道自己无法成功攻击,他们通常不会浪费时间和资源去做无用功。对于一些民间黑客而言,他们采取的就是“打哪儿指哪儿”的攻击模式,通过随机寻找存在漏洞的目标进行攻击;而APT攻击则属于“指哪儿打哪儿”的攻击模式,攻击者必定会使用被攻击者未知的攻击的手法。因此,依靠规则检测或异常检测等方式很难发现这些攻击行为的存在,自然就不可能知道攻击者的身份。“蜜点”的思路不再是检测攻击流量,而是假定我们无法检测出未知攻击。因此,“蜜点”的策略是布设陷阱,设置一些内部人员不会或不应访问的IP地址,一旦攻击者成功渗透到内部网络并试图进行横向移动攻击,他们会有很大概率碰撞到这些IP地址。由于我们预先假定正常人员不会访问或者没有超链接等渠道访问这些IP地址,所以只有采取探索技术的横向移动攻击者才会踩到这些“蜜点”。因此,我们不再依赖规则或异常检测来锁定攻击者,而是直接通过“踩蜜点”的行为来判定攻击者是否出现。对于那些路径固定的、对外提供服务的应用服务器而言,可以采取在系统内部署一些不会被普通用户所使用的目录路径、文件等作为“蜜饵”,一旦有人触碰到,就可认定是攻击者。由于攻击者无法事先了解哪些是路径蜜点、哪些是诱饵蜜点,在他们尝试攻击的过程中,会有很大概率触碰蜜点,从而暴露其身份。尽管此时防御者尚不清楚攻击者的具体攻击手法,但已经知道了谁是攻击者,让攻击者处于明处,自然就可以对其进行防御。所以,“蜜点”的基本逻辑是“以未知应对未知”,既以攻击者对“蜜点”的未知,来应对防御者对攻击者的未知。当前,“蜜点”的理念已在冬奥会、广交会、大运会、亚运会等活动中得到了成功实践,发现了大量传统入侵检测和异常检测无法发现的攻击行为。(三)“蜜点”与网络安全保险在网络安全保险服务的三个阶段中,“蜜点”都有很好的应用。首先是投保前的风险评估阶段。这个阶段的关键在于研判被保企业是否具备攻击感知能力,可以建议企业通过设置“蜜点”的方式来提升其对网络攻击的感知能力。其次是承保中的风险控制。保险企业可以委托相应的安全支撑企业以低成本的方式在被保企业中广泛布设“蜜点”,并将其汇总到专门为保企业构建的安全监测中心来。这样做有三个好处:一是“蜜点”的设置不同于在企业网关上进行监测的传统方式,不会观察企业自身的网络流量,从而不会侵犯企业的隐私,这种做法容易被企业所接受;二是一旦发现“踩蜜”行为,可以及时通知被保企业进行整改。如果“踩蜜”者来自外部,则需要核查该来源还访问过哪些系统,需要立即排查;如果“踩蜜者”来自内部,则说明攻击者已经控制了内网的结点,需要对之立即清除,并进行溯源,以了解攻击发生的时间、入侵途径和方法。由于攻击者的身份已经确定,这种核查就变得易如反掌,其能力的大小仅取决于被保企业的日志记录的详细程度以及记录周期的长短。三是由于所有被保企业是共用一个安全监测中心,因此,如果一个被保企业监测到了“踩蜜点”的攻击者,可以将它同步到其他所有被保企业,从而实现主动协同防御。最后是出险后的响应与理赔。在理赔过程中,首先要确定攻击者的“采蜜者”身份是否在承保过程中已通知给了被保企业,如果是,则需要深入研究为何在知晓攻击者身份的情况下让其得逞?这将为是否理赔以及理赔额度的判定提供依据。

四、结语

随着数字经济与实体经济的深度融合,无人驾驶汽车、AI大模型等技术快速发展。新技术在带来便利的同时必然会带来新的安全问题,维护企业系统的安全稳定也将付出更多成本。从伴生效应角度来看,任何技术、任何领域都没有绝对的安全。在这种情况下,攻击者是未知的,何时发起攻击也是未知的。网络安全保险正是针对网络空间的这种不确定性进行保障的一种方式,发展由“蜜点”加持的网络安全保险产业,不仅有助于被保企业构建并完善网络安全风险管理体系,强化网络安全风险应对能力,合理规划企业的网络安全预算,降低企业面临的网络安全压力,而且还有助于降低网络安全保险的出险率,提升网络安全保险企业的效益,这对构建新型的网络安全生态,促进数字经济的健康有序发展具有重大的利好作用。

(作者为中国工程院院士、广州大学网络空间安全学院名誉院长)

(责编:申佳平、陈键)