认购热线:
文字| 方滨兴 中国工程院院士、广州大学网络空间安全学院
2023年7月,工业和信息化部、国家金融监督管理局联合发布《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),为网络安全保险规范健康发展提供指导。网络安全保险市场进一步走向规范健康发展。 明确的指导。 本文根据《意见》的指导,以“蜜点”网络安全保险制度为基础,重新梳理网络安全与网络安全保险的关系,探讨如何促进网络安全保险行业健康有序发展。推动企业加强网络安全风险管控和降低网络安全事件发生概率,构建网络安全新生态,构建网络安全社会化服务体系,协调部署网络安全保险领域相关力量、资源和技术、科学精准布局网络安全保险产业,高效全面发展网络安全保险生态具有非常重要的借鉴意义。
一、网络安全保险的重要性
随着我国数字经济蓬勃发展和各领域网络化、智能化转型不断推进,网络空间安全威胁和风险日益凸显,网络安全风险成为数字时代最大的风险之一。 网络安全保险作为风险转移的重要手段,可以在转移剩余风险、优化资源配置、保障组织财务稳定和业务连续性等方面发挥重要作用。 能够有效汇聚各方力量,共同提升网络安全风险治理水平,为数字经济发展、网络强国建设提供重要支撑。 事实表明,网络安全保险的重要性可以体现在风险管理、社会成本、安全指标、社会责任和品牌赋能五个方面。
(一)提高企业网络安全风险管理水平
网络安全保险帮助企业提升战略、业务、战术层面的网络安全风险防范能力。 与其他险种不同,网络安全保险的投保门槛较高,要求投保企业加强风险管控,通过保险公司要求的安全检查后方可投保。 投保后,投保公司需要按照相关标准和要求进行日常主动防御和网络安全风险管理,而不是被动应对。 这种主动防御模式对保险企业提出了更高的安全要求,需要主动发现问题并及时改进,不断提升安全能力。 因此,投保企业参与网络安全保险的过程本质上是提高网络安全管理意识、强化网络安全保障能力的体现。
(二)降低网络安全社会总成本
网络安全保险不仅有助于降低网络安全事件发生的概率,还可以让企业以保险的形式选择和采用更有效的保护方式,避免企业单打独斗造成资源浪费。 随着企业数字化转型的深入,网络安全风险也随之增加。 如果企业单独解决安全问题,可能会导致方法多样、缺乏交互,造成资源浪费。 通过网络安全保险,企业可以将风险转移给保险公司,由保险公司统一承保、加固,选择最优、通用的解决方案,提高企业的安全防御能力。 此外,网络安全保险提供的经济补偿和风险管理服务还可用于降低企业管理边际成本,降低社会总成本。
(3)构建安全指数,为用户的安全状态背书
保险公司在进行风险评估时,会深入了解投保企业的安全状况,综合考虑技术和管理控制措施,综合评估网络安全状况,构建企业安全指标。 安全指标能够准确反映企业网络安全防御水平,为用户的安全状况背书。 此外,保险公司将持续关注被保险企业的网络安全状况,确保风险评估结果与实际发生风险的概率一致。 如果企业网络安全状况发生变化,如出现新的安全漏洞,保险公司将及时调整评估结果和安全指标。 这种动态调整机制可以保证安全指标的准确性和有效性。 安全指标作为投保企业网络安全能力的体现,可以成为企业在市场竞争中的重要优势。 客户在选择合作伙伴或产品时,会更倾向于选择网络安全能力更强的企业。 因此,企业通过网络安全保险,构建安全指数来背书用户的安全状况,可以增强用户的信任度,增强企业的市场竞争力。
(四)帮助企业更好履行社会责任
企业的社会责任不仅体现在其产品或服务上,还体现在其风险管理能力上。 网络安全风险是当前企业面临的主要风险之一。 网络安全保险可以帮助企业有效管理这一风险,从而更好地履行对社会和客户的责任。 尤其对于拥有大量个人信息数据但不具备网络安全应对能力的企业来说,网络安全保险是一种有效的风险转移工具。 网络安全事件发生后,网络安全保险可以为企业提供资金支持,并赔偿事件造成的第三方损失,例如数据泄露或业务中断造成的损失。 这种经济补偿可以保证企业有足够的能力应对网络安全事件的后果,减轻企业的经济压力,从而更好地履行社会责任,形成良好的社会形象。
(五)赋能品牌代言安全产品和服务
提供安全服务或产品的公司可以通过加入网络安全保险来增加其服务或产品的可信度。 网络安全保险的作用不仅仅是在发生事故后提供经济赔偿,更重要的是提高企业防范和控制网络安全风险的能力,从而提升企业的品牌美誉度。 如果产品的事故率较高,该产品的保费就会增加,从而压缩公司的利润空间,甚至增加被市场淘汰的风险。 因此,安全服务提供商有足够的动力提升网络安全防御能力,以降低风险、增强竞争力。 网络安全保险的存在不仅为安全服务商的产品和服务提供了可靠的背书,也对其品牌价值产生了积极的赋能效应。 这体现在可以增强顾客对品牌的信任度,提高产品的市场竞争力。 安全服务商在提升产品和服务的网络安全水平的过程中,进一步展现了专业的网络安全防御能力,从而形成良性循环,不断提升品牌美誉度。
总体而言,网络安全保险不仅可以帮助被保险企业提升风险管理能力、降低社会成本、构建安全指标、增强社会责任,还可以为安全服务商的安全产品赋能商业价值。 上述功能的综合作用将有效推动网络安全产业生态的重构。
2、网络安全保险的服务属性
与传统财产保险不同,网络安全保险弥补网络安全事件造成的负面影响。 赔偿包括自身财产损失和对第三方的责任。 保险公司提供各阶段保险合同约定的网络安全服务,具有较强的服务属性。 本章从投保前的风险评估、承保时的风险控制、事故后的应对与理赔等方面阐述了网络安全保险的服务内容。
(一)投保前风险评估
在投保前,风险评估主要是保险公司了解投保企业网络安全和健康状况的过程。 保险公司根据风险评估结果决定是否投保并制定合适的价格和保险方案。 保前风险评估的范围与保险标的相关。 通常被保险人作为保险的主体,包括与其相关的所有信息系统和资产。 如果保险标的是特定系统或资产,则仅需要对特定资产或系统进行评估。 通常保险公司在确定保险需求时首先遵循“高赔原则”,即优先承保发生概率较低但可能造成严重损失的网络安全事件; 而对于发生概率较高但损失并不严重的网络安全事件,一旦发生,更适宜采取相应的网络安全措施来降低风险。 保险公司将根据评估报告判断是否能够承保相关风险,并为被保险公司设计符合其需求的保险方案。
与传统风险评估不同,网络安全保险的风险评估需要考虑业务场景和需求,因此会带来风险评估方法的创新,如安全评级、风险量化技术等。 安全评级主要基于主动安全检测、大数据分析等技术,对特定目标进行快速安全检查,通过量化的方法对其安全健康状况进行评级。 一方面,评级结果可用于网络安全保险领域的承保和定价; 另一方面,也可应用于供应商安全管理领域,对供应商的安全健康状况进行自动化安全检查和管理,对安全等级较低的供应商进行自动化安全检查和管理。 供应商采取限制性措施来防范供应商安全风险。 风险量化技术需要对政策所涵盖的风险场景进行货币风险量化。 该技术未来还可以应用于网络安全绩效评估,帮助管理者更好地评估网络安全投资的回报率。
(二)承保风险控制
在承保中,保险双方需要加强风险防范管理,开展防灾防损工作,采取措施减少或消除风险因素,降低安全事故发生的概率,从而提高保险公司的经济效益。 由于网络安全风险的动态性和复杂性,保险公司需要采取措施对保险标的的风险进行持续监控和管理,了解投保企业的风险变化情况。 一旦发现攻击行为,保险公司将向被保险企业发出整改要求,督促其立即进行安全加固和漏洞修补,提高企业网络的安全性。 此外,保险公司还需要对被保险企业进行安全意识培训,进一步将风险控制在合理范围内,这可以帮助企业在安全事故发生之前提前发现并解决问题。
防灾防损是保险领域非常重要的方面。 保险的目的不是补偿,而是通过风险防范管理等措施,提高被保险企业的安全防御能力。 在网络安全保险中,风险控制措施的成本需要由保险公司支付。 因此,保险公司从降本增效的角度需要更低成本、更有效的创新技术。 此外,随着业务量的增长,保险公司将为保险公司建立统一的安全监控中心,通过威胁情报或信息共享技术实现风险分担,降低整体累积风险。 从而可以大大提高投保企业的整体安全防御能力,降低保险公司的事故率。
(三)事故发生后的应对与赔偿
在响应过程中,一旦企业发生网络安全事件,网络安全保险技术服务商将在第一时间向受保企业提供应急响应服务,帮助企业开展应急响应工作,将企业损失降到最低。 。 在理赔过程中,网络安全保险技术服务商需要重点评估网络安全事件的原因以及由此造成的损失是否在承保范围内。 保险公司将根据保险合同条款赔偿企业的经济损失,如业务中断损失、数据恢复费用、法律诉讼费用等。但是,如果因投保企业未及时处理而导致网络安全事件保险期间内未履行安全保障义务的,属于被保险企业自身因素造成的损失,保险公司可以不予赔偿。
网络安全保险还需要防范理赔过程中的道德风险问题,防止保险欺诈的发生。 网络安全事件发生后,保险公司会委托专业机构对事件的威胁源、攻击方式、攻击路径等进行分析,以确定事件的原因。 如果发现存在故意违法行为,保险公司可以根据排除情况拒绝赔付。
3、基于“蜜点”的网络安全保险服务体系
(一)“蜜点”提出背景
主动防御是一种主动的安全策略。 将于2023年5月1日实施的国家标准《信息安全技术关键信息基础设施安全防护要求》将主动防御列为新的安全要求。 主动防御基于对攻击行为的监控和发现。 采取曝光汇聚、诱捕、追踪、干扰、阻断等措施,开展攻防演练和威胁情报工作,提高对网络威胁和攻击行为的识别、分析和主动能力。 防御能力。 与被动防御仅在受到攻击后才进行安全响应不同,主动防御侧重于预防和检测,称为“防御模式”; 被动防御重在抵御攻击而不被击败,称为“自卫”。 主动防御对于推动网络安全保险行业的发展具有重要意义。一方面,网络安全保险可以推动投保企业实施主动防御策略,监控投保系统的安全状态,综合评估网络一方面,网络安全保险可以作为统一的抓手,协调受保护企业之间的攻击,及时发现大规模的相关事件。攻击者的存在,最大程度地以最低的成本及时发现攻击者的存在,从而降低网络安全事故发生的概率,促进网络安全产业的发展。
“守卫模式”的关键是“感知——判断——阻断”。 其中,感知是基础,研判是核心,阻塞是基础。 因此,“守卫模式”的基础在于“感知”,即准确检测攻击者的存在。 为此,我们提出“蜜点”的概念,旨在及时发现攻击者的身份。
(二)“蜜点”的技术思路
传统的网络安全保障体系主要遵循预防-检测-响应-恢复(PDRR)模型,即事前预防、事前入侵检测、事中应急响应、事后恢复。 在入侵检测方面,一般采用规则检测或异常检测。 即使采用基于“蜜罐”的诱捕策略,也只是规则检测(行为检测)的延伸。 然而,对于攻击者来说,他们的攻击方法可以突破各种已知的防御方法。 由于大多数防御都是公开的,如果攻击者知道他们无法成功攻击,他们通常不会在无用的努力上浪费时间和资源。 对于一些民间黑客,他们采取“指点即打”的攻击方式,随机寻找存在漏洞的目标进行攻击; 而APT攻击属于“指点即点”的攻击方式,攻击者肯定会使用攻击者未知的攻击技术。 因此,依靠规则检测或异常检测很难检测到这些攻击的存在,自然也就无法获知攻击者的身份。
“蜜点”的思想不再是检测攻击流量,而是假设我们无法检测未知的攻击。 因此,“蜜点”策略就是布下陷阱,设置一些内部人员不会或不应该访问的IP地址。 一旦攻击者成功渗透内部网络并尝试进行横向移动攻击,他们将有很大概率击中这些IP地址。 IP地址。 由于我们预设普通人不会通过超链接等渠道访问或无法访问这些IP地址,因此只有使用探索技术的横向移动攻击者才会踩到这些“蜜点”。 因此,我们不再依靠规则或者异常检测来锁定攻击者,而是通过“踩蜜点”的行为直接判断攻击者是否出现。 对于那些有固定路径对外提供服务的应用服务器,可以将一些普通用户不会使用的目录路径、文件等部署在系统中作为“蜜饵”。 一旦有人触摸它,就可以识别出是攻击者。 由于攻击者无法提前知道哪些是路径蜜点,哪些是诱饵蜜点,因此他们在攻击过程中很有可能接触到蜜点,从而暴露自己的身份。 虽然此时防御者还不知道攻击者的具体攻击方式,但它已经知道攻击者是谁。 通过让攻击者处于空位,他自然可以防御他。 因此,“蜜点”的基本逻辑就是“以未知回应未知”,即用攻击者对“蜜点”的未知来回应防御者对攻击者的未知。 目前,“蜜点”理念已在冬奥会、广交会、大运会、亚运会等赛事中成功落地,发现了大量传统入侵检测、异常检测无法发现的攻击行为。
(三)“蜜点”与网络安全保险
在网络安全保险服务的三个阶段,“蜜点”都有很好的应用。
首先是投保前的风险评估阶段。 此阶段的关键是判断投保企业是否具备攻击感知能力。 建议企业通过设立“蜜点”来提高对网络攻击的防范意识。
二是承保风险控制。 保险公司可以委托相应的安全保障公司,以低成本的方式在参保企业广泛部署“蜜点”,聚合成专门为参保企业打造的安全监控中心。 这样做有三个好处:第一,“蜜点”的设置不同于企业网关上传统的监控方式。 不会观察企业自身的网络流量,从而不会侵犯企业的隐私。 这种方法很容易被企业利用。 接受; 其次,一旦发现“美人计”行为,可以及时通知保险公司进行整改。 如果“骗子”来自外部,你需要检查来源访问了哪些系统,并且需要立即调查; 如果“骗子”来自内部,则意味着攻击者已经控制了内网的节点,需要立即调查清楚并追根溯源,了解攻击发生的时间、入侵的路线和方法。 由于攻击者的身份已经确定,这种验证变得很容易,其能力仅取决于保险公司日志记录的详细程度和记录周期的长短。 第三,由于所有参保企业共享一个安全监控中心,如果其中一个参保企业检测到“蜜点”攻击者,可以同步到所有其他参保企业,实现主动协同防御。
最后一步是事故发生后的应对和赔偿。 在理赔过程中,首先要确定攻击者“采蜜者”的身份是否已在承保过程中告知被保险公司。 如果是这样,就有必要深入研究为何攻击者在明知身份的情况下仍能得逞。 这将为确定是否应解决索赔以及赔偿金额提供依据。
4。结论
随着数字经济与实体经济深度融合,无人驾驶汽车、AI大模型等技术快速发展。 新技术带来便利的同时,也必然带来新的安全问题,维护企业系统的安全稳定也将付出更大的成本。 从附带效果来看,任何技术、任何领域都不存在绝对的安全。 在这种情况下,攻击者是未知的,攻击发起的时间也是未知的。 网络安全保险是防范网络空间这种不确定性的一种方式。 以“蜜点”为支撑的网络安全保险业发展,不仅有利于保险企业建设和完善网络安全风险管理体系,也有利于保险企业建设和完善网络安全风险管理体系。 加强应对网络安全风险的能力,合理规划企业的网络安全预算,减轻企业面临的网络安全压力,也有助于降低网络安全保险的风险率,提高网络安全保险公司的效率,这对于构建网络安全新生态、促进数字经济健康有序发展具有重大有益作用。
(本文发表于《中国信息安全》杂志2023年第10期)
《中国安全信息》杂志推荐
《企业成长计划》
暂无评论