迎政策利好保險助力筑牢網絡安全“防火墻”

迎政策利好保險助力筑牢網絡安全“防火墻”




策劃人語：

  信息技術的廣泛應用和網絡空間的快速發展，在便利生產生活、促進繁榮進步的同時，也帶來了安全風險和挑戰。2022年上半年，中國電信、中國移動和中國聯通共監測發現分布式拒絕服務攻擊約31.65萬起；工信部網絡安全威脅和漏洞信息共享平臺共接報網絡安全事件約1.57萬件。

  為加快推動網絡安全和金融服務創新融合發展，促進網絡安全產業高質量發展，11月初，工業和信息化部會同銀保監會起草了《關于促進網絡安全保險規范健康發展的意見(征求意見稿)》，提出面向電信和互聯網、能源、金融、醫療衛生等重點行業以及工業互聯網、車聯網等新興融合領域，開展網絡安全保險服務試點，促進網絡安全保險推廣應用。

  網絡安全保險是為網絡安全風險提供保險保障的新興險種，已日益成為轉移、防范網絡安全風險的重要工具，在推進網絡安全社會化服務體系建設中發揮著重要作用。盡管目前我國網絡安全保險發展還處于起步階段，但今年以來發展明顯提速。

  圍繞我國網絡安全保險發展面臨的機遇與挑戰，本報今天推出一組報道，敬請關注。

  保險業發揮風險保障功能助力加快建設網絡強國再次迎來政策利好。近日，工信部會同銀保監會起草了《關于促進網絡安全保險規范健康發展的意見(征求意見稿)》(以下簡稱《意見》)。

  “網絡安全保險作為轉移網絡安全風險的有效方式，能夠幫助企業建立全面的網絡安全風險應對方案?！兑庖姟窞榻鉀Q網絡安全問題、提高網絡安全風險治理能力提供了新的思路與方案?！睒I內人士在接受《金融時報》記者采訪時表示。

  強化政策支持

  信息技術的廣泛應用和網絡空間的快速發展，在便利生產生活、促進繁榮進步的同時，也帶來了日益突出的安全風險和挑戰。

  中國互聯網絡信息中心發布的第50次《中國互聯網絡發展狀況統計報告》顯示，2022年上半年，中國電信、中國移動和中國聯通總計監測發現分布式拒絕服務攻擊約31.65萬起；工信部網絡安全威脅和漏洞信息共享平臺總計接報網絡安全事件約1.57萬件。

  在此背景下，網絡安全保險日益成為轉移、防范網絡安全的重要工具。據統計，2021年，我國網絡安全保險保費規模達7080萬元，最高保額超4億元，較上一年增長3.2倍以上，呈現高速增長態勢。

  從成熟市場經驗來看，政策引導是加快網絡安全保險發展的重要推動力。早在2019年，工信部就在《關于促進網絡安全產業發展的指導意見(征求意見稿)》中提出探索開展網絡安全保險服務。銀保監會近日也表示，將加強財險前瞻性研究，對氣候風險保險、綠色保險、新能源保險、集成電路保險、網絡安全保險、新型家財險等領域開展重點研究。

  建立健全網絡安全保險政策標準體系，也是此次發布的《意見》的主要內容之一?！兑庖姟诽岢?，加強保險業政策對網絡安全保險的支持，推動健全完善財政政策，鼓勵提供保險減稅、保險購買補貼等政策。

  在健全網絡安全標準規范方面，《意見》還提出，支持網絡安全產業和保險業加強合作，建立覆蓋網絡安全保險服務全生命周期的標準體系，明確承保、核保、理賠等主要環節基本流程和通用要求。比如，研究制定承保前重點行業領域網絡安全風險量化評估相關標準，規范安全風險評估要求。

  對此，源堡科技相關負責人在接受《金融時報》記者采訪時表示：“此前，保險業由于缺乏對風險的定量分析，導致保費計算困難，難以進行成本效益核算。此次發布的《意見》特別提到，要探索建立網絡安全風險量化評估模型，加強網絡安全風險影響規模預測、經濟損失等分析，這將從根本上推動網絡安全技術范式創新、落實安全功能可定制可度量可檢驗，為實現網絡安全保險產品創新提供了充要條件?！?br />
  鼓勵探索創新

  近年來，保險業已在網絡安全領域展開積極探索?！督鹑跁r報》記者從上海銀保監局了解到，今年前三季度，上海地區共承保網絡安全保險業務355件，提供風險保障金額140億元。今年9月，上海市保險同業公會還發布了國內首個網絡安全保險行業團體標準《網絡安全保險服務規范》。

  在加強網絡安全保險產品服務創新方面，《意見》提出，鼓勵保險公司面向重點行業企業開發網絡安全財產損失險、責任險和綜合險等，提升企業網絡安全風險應對能力；面向信息技術產品開發產品責任險，面向網絡安全產品開發網絡安全專門保險，為信息網絡技術產品提供保險保障；面向網絡安全服務開發職業責任險等產品，降低專業技術人員在安全服務過程中因人為操作可能引發的安全風險。

  在業內人士看來，《意見》提及的后兩類保險產品，對于持續優化網絡安全行業生態、提升網絡安全行業的整體服務能力和信用水平具有巨大的促進作用。


  “保險除了為被保險人提供財務補償外，還可以在眾多領域發揮第三方風險管理主體作用。保險不僅是對企業的風險進行兜底，還能為企業的信用狀況、產品和服務提供信用支持，對于提升優秀的、有能力的網絡安全企業的品牌價值具有極大的正向作用。此外，在網絡安全行業發展的過程中，由于信息不對稱，客戶往往難以判斷網絡安全產品的真正效能，在這種情況下，保險對于提升網絡安全企業的財務履約能力和產品的信用水平均有重要作用?！痹幢た萍枷嚓P負責人說。

  在織密風險保障的同時，如何優化網絡安全保險服務也是政策關注的焦點?！兑庖姟诽岢?，鼓勵網絡安全保險服務機構協同合作，探索構建以網絡安全保險為核心的全流程網絡安全風險管理解決方案。

  源堡科技相關負責人告訴《金融時報》記者：“就網絡安全產業發展現狀而言，保險公司與網絡安全保險服務機構合作，可以幫助保險公司打造‘風險管理服務+網絡安全保險’的主動型風險管理解決方案，助力解決‘可不可?！绾味▋r’‘如何盡量不出險’等問題。第三方風險量化管理公司則可以為投保企業提供承保前風險量化評估、承保后主動損失防御等服務，降低企業出險概率及出險后的損失?！?br />
  瞄準重點行業

  加快推動網絡安全產業和金融服務融合發展，重點行業和新興場景成為關鍵著力點。

  《意見》提出，面向電信和互聯網、能源、金融、醫療衛生等重點行業以及工業互聯網、車聯網等新興融合領域，圍繞網絡安全與信息技術產品服務供給側和需求側兩類主體，充分發揮網絡安全產業、網絡安全保險相關聯盟協會等作用，開展網絡安全保險服務試點，形成可復制、可推廣的網絡安全保險服務模式，促進網絡安全保險推廣應用。

  以金融行業為例，安聯保險的調研顯示，雖然在網絡安全方面投入了大量資金，但金融企業依然面臨廣泛的網絡威脅，包括商業電子郵件泄露攻擊、勒索軟件、自動取款機中招(即犯罪分子通過網絡服務器控制取款機)或數字化供應鏈攻擊等。金融行業由于依賴第三方服務提供商而存在的潛在脆弱性尤為值得關注。例如，目前，大多數金融企業都在使用云服務，當風險事故發生時，金融機構面臨相當巨大的業務中斷風險敞口以及第三方責任，并且網絡安全事件已經導致了巨額理賠。

  “作為一個新興險種，在特定行業開展網絡安全保險服務試點，有助于形成示范效應，對于網絡安全保險的大規模推廣和應用具有重要意義。例如，針對關鍵信息基礎設施，開展網絡安全保險綜合險試點；針對數據安全比較敏感的企業，開展數據安全責任險試點；針對個人信息保護比較敏感的企業，開展個人信息保護專項保險試點。在試點中，逐步形成‘服務+保險’的新模式以保促防，從而最大程度降低網絡安全事件發生的概率?！痹幢た萍枷嚓P負責人說。

  中小企業的風險保障需求同樣受到重點關注。業內人士告訴《金融時報》記者，中小企業體量較小，資金、技術和人員有限，在網絡攻防對抗中處于弱勢地位。

  《中小微企業數字安全報告》顯示，近半數中小微企業在2021年遭受過網絡攻擊，超過九成的企業長期被黑客攻擊而不能獨立應對，超八成的勒索攻擊針對1000人以下規模的中小微企業。在網絡安全建設方面投入力度有限的中小企業更加需要網絡安全保險為其提供充足保障。

  《意見》提出，支持中小企業通過網絡安全保險監控風險敞口，建立健全網絡安全風險管理體系，不斷加強中小企業網絡安全防護能力。

  《金融時報》記者注意到，上海銀保監局已于年內與在滬的7家保險公司聯合打造了全國首個普惠版網絡安全保險產品，面向中小微企業提供覆蓋業務中斷損失、網絡勒索損失、數據泄露損失、企業名譽損失、法律服務費用等經濟支出的綜合性保險解決方案，幫助降低企業獲取基礎安全服務成本。

網絡數字化及人工智能為許多行業來革命性的進步，但與此同時，網絡安全領域產生的問題也日益嚴峻。人工智能進攻性風險和網絡威脅領域的發展正在重新定義企業安全，從而給企業帶來了更高的挑戰。如何守護網絡安全，成為企業深化數字化轉型進程中的重要一環。

 

在大數據得到廣泛應用的時代，利用數據分析技術是快速提升網絡安全防護能力的一種有效途徑。作為全球圖數據平臺的領導者，Neo4j圖數據平臺可以輕松對復雜關系進行建模、存儲和處理，并識別隱藏在傳統表格數據集中的模式和洞察。Neo4j圖數據平臺優異的可擴展性、全面的圖算法和強大的圖分析能力在識別網絡安全隱患、提升監察網絡攻擊速度及提供實時檢測響應等方面凸顯優勢。

 


 
圖數據技術護航網絡安全
Neo4j大中華區總經理方俊強

 

運營澳大利亞第二大移動網絡的新加坡電信子公司Optus最近遭受了嚴重的網絡攻擊，導致其1000萬用戶信息發生重大數據泄露。除了聲譽損失外，這家電信公司還面臨著昂貴的賠償要求，并且收到了數百萬美元的贖金要求。

 

傳統企業級安全和預防網絡犯罪的方法顯然不再奏效。部分問題在于防御者和攻擊者之間的失衡。安全團隊的工作更加繁重，要防范一切可能的攻擊并修補所有潛在的漏洞。他們有很多不同的職責，而攻擊者只有一個重點：尋找并利用其中一個薄弱環節。

 

列表與圖

 

網絡安全團隊依賴來源廣泛的數據。大型企業平均部署75種安全工具，所有工具都會持續生成警報和日志。此外，許多其他應用程序和服務也會生成相關的日志文件。大型企業每天產生大約10到1000億個事件。通過傳統的數據庫分析幾乎無法管理如此龐大的數據量。Neo4j圖數據平臺將數據之間的關系作為優先級，使用圖數據庫可直觀顯示，對于高度互連、數據量龐大、數據種類繁多以及需要對復雜查詢作出快速響應的分析非常有效。

 

當防御者在處理一個列表時，攻擊者用圖思考?，F代系統是復雜的互連網絡，只需感染一個節點即可快速輕松地在整個網絡中傳播。列表和表格可能有利于收集和處理數據，但它們忽略了數據點之間的關鍵關系。Microsoft 威脅情報中心的John Lambert觀察到：“防御者用列表思考，而攻擊者用圖思考。只要這是事實，攻擊者必然獲勝?！?br />
 

通過采用基于圖的安全方法，組織可以映射其復雜且相互關聯的基礎架構，并隨著時間的推移對其進行豐富。Neo4j圖技術的強大之處在于它捕獲了不同的實體以及它們之間的關聯和依賴關系。由此創建了一個可用于測試和運行不同場景的數字孿生。

 

主動網絡防御

 

許多網絡攻擊的本質是從一個小點開始并蔓延開來?？刂聘腥尽P閉受感染的設備并切斷它們——堪稱是一場與時間的賽跑。有了所有基礎架構的清晰模型，就可以更輕松地識別最重要的資產并更好地瞄準安全投資。

 

可疑行為會以模型的形式出現，從而減少檢測的平均時間并隔離受感染的系統。隨著時間的推移，可以識別出歷史上的異常模式，從而在威脅發生前阻止它們。

 

MITRE 是一家與美國政府機構合作的非營利IT公司，它需要找到更成熟的方法來評估安全狀況和攻擊響應。問題并不在于缺乏信息，而是無法將所有數據整合到一個整體的分析圖中。

 

通過構建Neo4j圖數據庫，MITRE將網絡安全信息轉化為知識。該模型隨著可用的數據源和所需的分析而發展。因為跟蹤實體之間的關系，因此對攻擊做出適當反應和保護關鍵任務資產提供了上下文情境。

 

安全圖還包含任務依賴關系，顯示目標、任務和信息如何全部依賴于其他網絡資產。入侵警報可以與已知的漏洞路徑相關聯，從而提出行動方案。攻擊后取證變得更容易，揭示可能需要更深入調查的易受攻擊的路徑。

 

網絡安全永遠是一場貓捉老鼠的游戲，防御和攻擊方法的復雜性都在不斷升級。也許永遠無法保證絕對的安全性，要實現迅速采取措施限制攻擊，采用圖數據技術等安全措施來檢測違規行為變得更加重要。