2023保險(xiǎn)業(yè)網(wǎng)絡(luò)安全白皮書

2023保險(xiǎn)業(yè)網(wǎng)絡(luò)安全白皮書CONTENTS 目錄ResearchFinding 01概念界定 01網(wǎng)絡(luò)安全保險(xiǎn)科技模型 01網(wǎng)絡(luò)安全保險(xiǎn)科技圖譜 04第一章全球網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展現(xiàn)狀 05產(chǎn)業(yè)發(fā)展：風(fēng)險(xiǎn)與破局網(wǎng)絡(luò) 05政策培育：加快試點(diǎn)探索 08第二章網(wǎng)絡(luò)安全保險(xiǎn)多元市場需求 11網(wǎng)絡(luò)安全保險(xiǎn)的需求本質(zhì) 11風(fēng)險(xiǎn)視角下的行業(yè)需求 12商業(yè)視角下的場景需求 15保險(xiǎn)視角下的產(chǎn)品需求 17第三章科技助推多產(chǎn)業(yè)深度融合 18產(chǎn)業(yè)融合發(fā)展形態(tài) 18產(chǎn)業(yè)鏈及廠商生態(tài)現(xiàn)狀 23產(chǎn)業(yè)融合發(fā)展挑戰(zhàn) 23第四章科技智繪網(wǎng)絡(luò)安全保險(xiǎn)新業(yè)態(tài) 25全球范圍內(nèi)的創(chuàng)新探索 25網(wǎng)絡(luò)安全保險(xiǎn)前沿科技應(yīng)用 27第五章網(wǎng)絡(luò)安全保險(xiǎn)科技發(fā)展建議 30加強(qiáng)宣傳推介力度 30推動(dòng)數(shù)據(jù)要素流動(dòng) 30落實(shí)行業(yè)標(biāo)準(zhǔn)規(guī)范 31提升產(chǎn)業(yè)鏈路能力 31附錄網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)生態(tài) 32參考文獻(xiàn) 34CyberSecurityCyberSecurityInsurtechWhitePaper202201ResearchFinding概念界定目前，業(yè)內(nèi)將“網(wǎng)絡(luò)安全保險(xiǎn)”（CyberSecurityInsurance）定義為：保險(xiǎn)人承保投保人因網(wǎng)絡(luò)安全事件界定，一定程度上影響了這一產(chǎn)業(yè)的發(fā)展。本報(bào)告嘗試首次定義“網(wǎng)絡(luò)安全保險(xiǎn)科技”，為網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)的發(fā)展創(chuàng)新與變革奠定理論基礎(chǔ)。網(wǎng)絡(luò)安全保險(xiǎn)科技（CybersecurityInsuranceTechnology；InsurTech）：技術(shù)創(chuàng)新在網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)發(fā)展及其與網(wǎng)絡(luò)安全產(chǎn)業(yè)融合中的應(yīng)用，將衍生新的模式、業(yè)務(wù)、流程與產(chǎn)品投保人/保險(xiǎn)公司/網(wǎng)絡(luò)安全保險(xiǎn)科技模型P2DR、P2DR2、IPDRRP2DR模型是由美國ISS公司提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，其包括Policy(安全策略)、Protection(防護(hù))、Detection(檢測)和Response(響應(yīng))。2PolicyProtection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）Recovery（恢復(fù)）。IPDRR（NationalInstituteofStandardsandTechnology；NIST）CybersecurityFramework風(fēng)險(xiǎn)識(shí)別安全防御全檢測）、Respond（安全響應(yīng)）Recover（安全恢復(fù)）。36嵌入企業(yè)網(wǎng)絡(luò)安全建設(shè)各個(gè)部分。CyberSecurityCyberSecurityInsurtechWhitePaper202202IIsrc-ID2型模型因子P2DR模型P2DR2模型IPDRR模型(Policy)

風(fēng)險(xiǎn)識(shí)別與評(píng)估。確定業(yè)務(wù)優(yōu)先級(jí)、梳理風(fēng)險(xiǎn)、影響評(píng)估、安全資源優(yōu)先級(jí)劃分

制定保險(xiǎn)風(fēng)險(xiǎn)策略梳理企業(yè)殘余安全風(fēng)險(xiǎn)梳理企業(yè)殘余安全風(fēng)險(xiǎn)務(wù)優(yōu)先級(jí)、梳理風(fēng)險(xiǎn)、影響評(píng)估、安全資源優(yōu)先級(jí)劃分風(fēng)險(xiǎn)識(shí)別（Identify）風(fēng)險(xiǎn)識(shí)別與評(píng)估。確定業(yè)安全防御(Protection/Protect)

借助安全產(chǎn)品、技術(shù)、培訓(xùn)等舉措預(yù)防安全事件的發(fā)生

保證業(yè)務(wù)連續(xù)性。在受到攻擊時(shí)，限制其對(duì)業(yè)務(wù)產(chǎn)生的影響。主要為人為干預(yù)前的自動(dòng)化保護(hù)措施

基于風(fēng)險(xiǎn)評(píng)估報(bào)告，制定整改建議，并針對(duì)保險(xiǎn)風(fēng)險(xiǎn)進(jìn)行承保，限制風(fēng)險(xiǎn)對(duì)業(yè)務(wù)產(chǎn)生的影響在攻擊產(chǎn)生時(shí)即時(shí)監(jiān)在攻擊產(chǎn)生時(shí)即時(shí)監(jiān)測， 實(shí)時(shí)監(jiān)測掃描潛在風(fēng)險(xiǎn)與同時(shí)監(jiān)控業(yè)務(wù)和保護(hù)措施 攻擊行為是否正常運(yùn)行檢測和監(jiān)控網(wǎng)絡(luò)系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)做出有效的響應(yīng)。當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，檢測功能將與防護(hù)系統(tǒng)形成互補(bǔ)安全檢測(Detection/Detect)安全響應(yīng)Respond)

（統(tǒng)恢復(fù)和信息恢復(fù)）

在安全策略指導(dǎo)下，通過動(dòng)態(tài)調(diào)整訪問控制系統(tǒng)的控制規(guī)則，發(fā)現(xiàn)并及時(shí)截?cái)嗫梢蓡?dòng)相關(guān)報(bào)警信息

事件調(diào)查、評(píng)估損害、收集證據(jù)、報(bào)告事件和恢復(fù)系統(tǒng)

風(fēng)險(xiǎn)響應(yīng)與處置出險(xiǎn)理賠出險(xiǎn)理賠恢復(fù)系統(tǒng)和修復(fù)漏洞，并進(jìn)行預(yù)防和修復(fù)恢復(fù)系統(tǒng)、再現(xiàn)攻擊行為安全恢復(fù)（Recover）從企業(yè)網(wǎng)絡(luò)安全建設(shè)的角度來看，網(wǎng)絡(luò)安全保險(xiǎn)科技模型可以與大多數(shù)企業(yè)網(wǎng)絡(luò)安全防御體系進(jìn)行有效適配，并在運(yùn)營過程中實(shí)現(xiàn)持續(xù)改進(jìn)。CyberSecurityCyberSecurityInsurtechWhitePaper202203圖0-1網(wǎng)絡(luò)安全保險(xiǎn)流程在企業(yè)網(wǎng)絡(luò)安全建設(shè)體系中的呈現(xiàn)在安全策略階段，企業(yè)設(shè)計(jì)頂層網(wǎng)絡(luò)安全策略、制定網(wǎng)絡(luò)安全計(jì)劃時(shí)，可以將網(wǎng)絡(luò)安全保險(xiǎn)作為風(fēng)險(xiǎn)轉(zhuǎn)移的重要舉措，納入網(wǎng)絡(luò)安全計(jì)劃，并在規(guī)劃年度網(wǎng)絡(luò)安全預(yù)算時(shí)，將網(wǎng)絡(luò)安全保險(xiǎn)作為擬采購的安全服務(wù)考慮其中。在風(fēng)險(xiǎn)識(shí)別階段/法完全覆蓋或解決的風(fēng)險(xiǎn)，安全投入產(chǎn)出性價(jià)比低的風(fēng)險(xiǎn)，即被視為可通過保險(xiǎn)方式轉(zhuǎn)移的保險(xiǎn)風(fēng)險(xiǎn)范疇進(jìn)而將風(fēng)險(xiǎn)評(píng)估結(jié)果通過量化、定級(jí)等方式，轉(zhuǎn)化為核保依據(jù)與定價(jià)參考。在安全防御階段，基于風(fēng)險(xiǎn)評(píng)估結(jié)果，協(xié)助企業(yè)制定整改建議，從而對(duì)企業(yè)面臨的可控風(fēng)險(xiǎn)進(jìn)行事前主動(dòng)干預(yù)，通過安全產(chǎn)品、技術(shù)、培訓(xùn)等舉措預(yù)降低企業(yè)出險(xiǎn)概率。在安全恢復(fù)階段，企業(yè)可基于溯源調(diào)查結(jié)果，通過其原有的安全技術(shù)及能力進(jìn)行系統(tǒng)恢復(fù)和漏洞修復(fù)，并優(yōu)化安全運(yùn)營。此外，依托于網(wǎng)絡(luò)安全保險(xiǎn)科技的配套理賠服務(wù)，保險(xiǎn)公司能夠快速完成保險(xiǎn)義務(wù)，賠償投保企業(yè)的直接經(jīng)濟(jì)損失、第三方責(zé)任賠償及備份/數(shù)據(jù)恢復(fù)等所產(chǎn)生的費(fèi)用，幫助企業(yè)在收斂風(fēng)險(xiǎn)的同時(shí)成功完成風(fēng)險(xiǎn)轉(zhuǎn)移。CyberSecurityCyberSecurityInsurtechWhitePaper202204網(wǎng)絡(luò)安全保險(xiǎn)科技圖譜圖0-2網(wǎng)絡(luò)安全保險(xiǎn)科技圖譜網(wǎng)絡(luò)安全保險(xiǎn)科技圖譜立足于“保險(xiǎn)+安全+科技”的新型服務(wù)模式，網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)則圍繞風(fēng)險(xiǎn)宇宙、數(shù)據(jù)科學(xué)及技術(shù)應(yīng)用三個(gè)方向構(gòu)建科技實(shí)踐體系。這也是網(wǎng)絡(luò)安全保險(xiǎn)有別于傳統(tǒng)財(cái)產(chǎn)險(xiǎn)的主要方面。CyberSecurityCyberSecurityInsurtechWhitePaper202205PART1全球網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展現(xiàn)狀00T20目前，囿于全球T產(chǎn)業(yè)發(fā)展：風(fēng)險(xiǎn)與破局風(fēng)險(xiǎn)是驅(qū)動(dòng)企業(yè)投保的首要?jiǎng)恿ΑＦ髽I(yè)在經(jīng)營過程中，會(huì)面臨內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，前者包括戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)，后者包若要保證企業(yè)網(wǎng)絡(luò)安全，就要將企業(yè)可能存在的人為、系統(tǒng)安全、操作風(fēng)險(xiǎn)等多重運(yùn)營風(fēng)險(xiǎn)及法律合規(guī)風(fēng)險(xiǎn)降低到可控的范圍之內(nèi)。隨著網(wǎng)絡(luò)攻擊、網(wǎng)除加強(qiáng)自身防火墻、加密與認(rèn)證、網(wǎng)絡(luò)入侵檢測等安全基礎(chǔ)設(shè)施建設(shè)之外，從成本收益優(yōu)化的目的出安全基礎(chǔ)設(shè)施建設(shè)是風(fēng)險(xiǎn)緩解的主要措施，而網(wǎng)絡(luò)安全保險(xiǎn)是風(fēng)險(xiǎn)轉(zhuǎn)移的最佳選擇，兩者的結(jié)合成為企業(yè)安全最高效的投資組合。保險(xiǎn)層面，以往其他財(cái)產(chǎn)保險(xiǎn)的承保范圍越來越無法全面、有針對(duì)性地保護(hù)企業(yè)免受網(wǎng)絡(luò)風(fēng)險(xiǎn)侵害。為減少網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來的巨額攻擊損失和合規(guī)成本，網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)運(yùn)而生。從網(wǎng)絡(luò)安全保險(xiǎn)推出至今，投保規(guī)模隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展而不斷增

ResearchAndMarkets20222021保險(xiǎn)市場規(guī)模為92.9，20221192027292億美元，年復(fù)合%，體現(xiàn)出巨大的市場需求和發(fā)展空間?？梢灶A(yù)見，隨著萬物互聯(lián)、T（1）網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)發(fā)展歷程30年時(shí)間里，全球的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)2090階段，保險(xiǎn)公司和安全企業(yè)的合作模式初步確立。在發(fā)展初期，網(wǎng)絡(luò)安全保險(xiǎn)的主要模式是通過保險(xiǎn)為安全公司的服務(wù)增信，同時(shí)為用戶提供涵蓋保險(xiǎn)服務(wù)的全面風(fēng)險(xiǎn)管理解決方案。在這個(gè)時(shí)期，保險(xiǎn)的承保范圍僅涵蓋對(duì)第一方損失（企業(yè)自身經(jīng)營風(fēng)險(xiǎn)）的保障，主要存在投保企業(yè)獲客渠道受限險(xiǎn)分散能力、量化能力薄弱，客戶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)淡薄和法律法規(guī)缺失等問題。CyberSecurityCyberSecurityInsurtechWhitePaper2022062110年代，網(wǎng)絡(luò)安全保險(xiǎn)進(jìn)入初步探索階段。隨著企業(yè)合規(guī)要求的提高以及企業(yè)風(fēng)險(xiǎn)意識(shí)合規(guī)政策推動(dòng)了網(wǎng)絡(luò)安全的發(fā)展。一系列網(wǎng)絡(luò)安全法律法規(guī)的出臺(tái)和監(jiān)管政策的強(qiáng)化執(zhí)行，使網(wǎng)絡(luò)安全保險(xiǎn)的投保需求得到釋放。保險(xiǎn)公司也推出綜合險(xiǎn)的產(chǎn)品，將第一方損失和第三方損失均納入了承企業(yè)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防御的逐漸重視驅(qū)動(dòng)企業(yè)進(jìn)行投保。在這個(gè)階段，行業(yè)發(fā)展更多地面向企業(yè)的風(fēng)實(shí)現(xiàn)對(duì)全流程風(fēng)險(xiǎn)敞口的管控。2013年至今，全球的網(wǎng)絡(luò)安全保險(xiǎn)進(jìn)入快速上升階段。歐盟《通用數(shù)據(jù)保護(hù)條例》lDataProtectionRegulation“GDPR”）效進(jìn)一步強(qiáng)化了數(shù)據(jù)主權(quán)的保護(hù)、加大了行政處罰的力度，并且拉動(dòng)了網(wǎng)絡(luò)安全保險(xiǎn)需求。同時(shí)，第三方風(fēng)險(xiǎn)管理技術(shù)服務(wù)機(jī)構(gòu)開始出現(xiàn)，保險(xiǎn)科技公司和網(wǎng)絡(luò)安全公司嶄露頭角，圍繞風(fēng)險(xiǎn)量化、保險(xiǎn)定價(jià)、合作模式等問題進(jìn)行重點(diǎn)發(fā)展。其中，保險(xiǎn)科技公司負(fù)責(zé)數(shù)據(jù)收集分析、差異化保險(xiǎn)定價(jià)、風(fēng)

在保險(xiǎn)服務(wù)和網(wǎng)絡(luò)安全科技的融合助推下，網(wǎng)絡(luò)安推動(dòng)我國網(wǎng)絡(luò)安全保險(xiǎn)市場向更高水平開放、促進(jìn)保險(xiǎn)與科技雙向賦能。（2）國內(nèi)外網(wǎng)絡(luò)安全保險(xiǎn)主要市場歐美市場：歐美的網(wǎng)絡(luò)安全保險(xiǎn)市場起步較早，目前發(fā)展較為成熟。美國是網(wǎng)絡(luò)安全保險(xiǎn)的最大市場，占全90以上；歐洲的網(wǎng)絡(luò)安全保險(xiǎn)市場雖然起步比美國晚，但近幾年網(wǎng)絡(luò)安全事故的頻發(fā)，也加快了歐洲網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展與成熟的腳步。美國方面，20215月，美國政府問責(zé)局發(fā)布客戶購買網(wǎng)絡(luò)保險(xiǎn)的比例從201626上升到2020。此外，2022險(xiǎn)的網(wǎng)絡(luò)定價(jià)上漲了%，索賠活動(dòng)的頻率和嚴(yán)60的保險(xiǎn)客戶采取了更高的留存率來幫助抵消保費(fèi)影響。網(wǎng)絡(luò)安全保險(xiǎn)公司也重點(diǎn)關(guān)注公司的風(fēng)險(xiǎn)控制環(huán)境和網(wǎng)絡(luò)安全成熟度從而決定是否承保。歐洲方面，Statista2020年203020202025。CyberSecurityCyberSecurityInsurtechWhitePaper202207總的來說，目前歐美網(wǎng)絡(luò)安全保險(xiǎn)市場呈現(xiàn)出法律法規(guī)促進(jìn)投保需求釋放、專業(yè)機(jī)構(gòu)指導(dǎo)網(wǎng)絡(luò)安全保險(xiǎn)規(guī)范發(fā)展、產(chǎn)業(yè)主體合作探索網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展路徑的特點(diǎn)。首先，立法層面的引導(dǎo)和監(jiān)管拉動(dòng)了網(wǎng)絡(luò)安全15個(gè)國家和地區(qū)發(fā)布了超一百部的網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)法案，包括美國《計(jì)算機(jī)欺詐和濫用法》《消費(fèi)用數(shù)據(jù)保護(hù)條例》《網(wǎng)絡(luò)安全法案》《數(shù)據(jù)治理法邦個(gè)人信息保護(hù)法》《聯(lián)邦數(shù)據(jù)保護(hù)法》《T2022-2030》、法國《法國國家數(shù)字安全戰(zhàn)略》在內(nèi)的法律法規(guī)陸續(xù)出臺(tái)和完善，強(qiáng)化了各國的行業(yè)監(jiān)管。巨額罰款乃至刑事處罰的威懾撬動(dòng)了企業(yè)的網(wǎng)絡(luò)安全合規(guī)需求。以GDPR167強(qiáng)自身網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)外，企業(yè)也將目光投向了能夠抵御法律合規(guī)風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全保險(xiǎn)上來，激發(fā)了網(wǎng)絡(luò)安全保險(xiǎn)市場活力。其次，政府部門聯(lián)合行業(yè)協(xié)會(huì)等組織建立產(chǎn)業(yè)規(guī)范，開展網(wǎng)絡(luò)安全保險(xiǎn)政策研究，強(qiáng)化風(fēng)險(xiǎn)應(yīng)對(duì)能力。例如，美國紐約州金融服務(wù)部發(fā)布《網(wǎng)絡(luò)保險(xiǎn)風(fēng)險(xiǎn)框架》，提出網(wǎng)絡(luò)安全保險(xiǎn)的七步流程，為保險(xiǎn)公司業(yè)務(wù)的開展提供指南。歐洲保險(xiǎn)和職業(yè)養(yǎng)老金管理局制定“網(wǎng)絡(luò)承保戰(zhàn)略”，指明網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)管優(yōu)先事項(xiàng)，并鼓勵(lì)優(yōu)秀產(chǎn)業(yè)實(shí)踐應(yīng)用推廣。德國保險(xiǎn)協(xié)會(huì)也為中小企業(yè)制定了標(biāo)準(zhǔn)化網(wǎng)絡(luò)安全保險(xiǎn)50的保險(xiǎn)公司采用。第三，產(chǎn)業(yè)主體合力探索，推動(dòng)網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展。一是明確承保范圍、引領(lǐng)市場規(guī)范化發(fā)展。2016

網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)應(yīng)對(duì)戰(zhàn)略》，要求旗下保險(xiǎn)公司明確網(wǎng)絡(luò)安全承保范圍，促進(jìn)市場規(guī)范化發(fā)展。二是促進(jìn)數(shù)據(jù)共享、優(yōu)化保險(xiǎn)模型。歐洲保險(xiǎn)和職業(yè)養(yǎng)老2021科奇（HenryRKSkeoch）IT安全技術(shù)領(lǐng)域期刊《Computers&Security》上發(fā)表文章稱可以基于戈登-洛布（Gordon-Loeb）模型構(gòu)造競爭性網(wǎng)絡(luò)安全和投資決策的I確定保險(xiǎn)索賠概率。三是探索創(chuàng)新發(fā)展模式、發(fā)揮人工智能等技術(shù)優(yōu)勢。例如利用I中國市場：我國網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)起步較晚，存在企業(yè)投保需求受眾還需進(jìn)一步激活、保險(xiǎn)公司風(fēng)險(xiǎn)把控能力還需提升、網(wǎng)絡(luò)安防技術(shù)尚待與保險(xiǎn)評(píng)估定損流程相匹配等問題。然而，伴隨著網(wǎng)絡(luò)安全系列法律法規(guī)的實(shí)施落地、重要行業(yè)領(lǐng)域網(wǎng)絡(luò)安全頂層設(shè)計(jì)的密集出臺(tái)，我國網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)已迎來發(fā)展機(jī)遇期。根據(jù)中國工業(yè)信息安全發(fā)展研究中心基于頭部財(cái)產(chǎn)保險(xiǎn)公司網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)數(shù)據(jù)以及行業(yè)集中率測算，2021708042目前我國網(wǎng)絡(luò)安全保險(xiǎn)市場具有發(fā)展環(huán)境持續(xù)優(yōu)化、保險(xiǎn)業(yè)與網(wǎng)絡(luò)安全產(chǎn)業(yè)主體融合探索、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投保需求逐漸上升的特點(diǎn)。一是網(wǎng)絡(luò)安全保險(xiǎn)受到政府部門的高度關(guān)注。CyberSecurityCyberSecurityInsurtechWhitePaper202208國家層面，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》陸續(xù)頒布實(shí)施，使我國網(wǎng)絡(luò)安全法律體系框架基本搭建完成；行業(yè)主管部門層面，圍繞政策制定、產(chǎn)品開發(fā)、服務(wù)模式創(chuàng)新等方面進(jìn)行了積極探索與規(guī)則細(xì)化（詳見“1.2政策培育：加快試點(diǎn)探索”表格1-1）。開發(fā)多種網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，與網(wǎng)絡(luò)安全科技企業(yè)場景的差異化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理需求，推出了不同層次的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品矩陣，服務(wù)各體量類型客戶的投保需求；同時(shí)，為企業(yè)提供基于保險(xiǎn)的主動(dòng)政策培育：加快試點(diǎn)探索我國的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)呈現(xiàn)出起步晚、發(fā)展也得益于相關(guān)政策的引導(dǎo)培育?！皣窠?jīng)濟(jì)和社會(huì)發(fā)2035大人工智能、大數(shù)據(jù)、區(qū)塊鏈、云計(jì)算、網(wǎng)絡(luò)安全等新興數(shù)字產(chǎn)業(yè)，催生新產(chǎn)業(yè)新業(yè)態(tài)新模式。2022開年之際，我國監(jiān)管部門先后發(fā)布《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》《金融科技發(fā)展規(guī)劃（2022-2025）型的指導(dǎo)意見》《金融標(biāo)準(zhǔn)化“十四五”發(fā)展規(guī)劃》

安全合規(guī)、主動(dòng)風(fēng)險(xiǎn)管理、主動(dòng)安全運(yùn)營的一站式服務(wù)，助力企業(yè)在數(shù)字經(jīng)濟(jì)時(shí)代提升數(shù)字化資產(chǎn)安全防護(hù)水平和風(fēng)險(xiǎn)對(duì)抗能力。三是數(shù)字化轉(zhuǎn)型深入推進(jìn)，網(wǎng)絡(luò)風(fēng)險(xiǎn)的防護(hù)意識(shí)不斷提升。隨著網(wǎng)絡(luò)安全保險(xiǎn)的落地案例逐漸增多，一些重點(diǎn)行業(yè)的投保需求逐步提高。例如易遭受網(wǎng)絡(luò)攻擊的金融、制造業(yè)企業(yè)，關(guān)鍵信息基礎(chǔ)設(shè)為了規(guī)避網(wǎng)絡(luò)攻擊造成的巨大經(jīng)濟(jì)損失風(fēng)險(xiǎn)、尋求風(fēng)險(xiǎn)轉(zhuǎn)移，都將有越來越強(qiáng)烈的網(wǎng)絡(luò)安全保險(xiǎn)購買意愿。等一系列文件，明確了保險(xiǎn)數(shù)字化轉(zhuǎn)型的目標(biāo)和任務(wù)，為保險(xiǎn)創(chuàng)新發(fā)展提供堅(jiān)實(shí)的政策基礎(chǔ)，促進(jìn)保險(xiǎn)服務(wù)進(jìn)入數(shù)字化新周期。相關(guān)標(biāo)準(zhǔn)出臺(tái)、安全即服務(wù)趨勢加強(qiáng)等發(fā)展特點(diǎn)，為更好地保障企業(yè)的網(wǎng)絡(luò)安全、推進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)規(guī)范運(yùn)營、夯實(shí)網(wǎng)絡(luò)安全保險(xiǎn)保障工作基礎(chǔ)，各相關(guān)部門也在上述政策的指導(dǎo)下，接連出臺(tái)了一系列關(guān)于網(wǎng)絡(luò)安全保險(xiǎn)的指引性文件。表1-1近年來我國政府部門發(fā)布的部分網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)政策及文件發(fā)布時(shí)間部門文件內(nèi)容20227

中國銀保監(jiān)會(huì)、上海人民政府

《關(guān)于印發(fā)中國（上海）自由貿(mào)易試驗(yàn)區(qū)臨港新片區(qū)科技保險(xiǎn)創(chuàng)新引領(lǐng)區(qū)工作方案的通知》

鼓勵(lì)保險(xiǎn)機(jī)構(gòu)加強(qiáng)與網(wǎng)絡(luò)安全領(lǐng)域科技企業(yè)的合作，創(chuàng)新網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)模式，促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)與保險(xiǎn)業(yè)共贏發(fā)展，為企業(yè)提供安全、可靠位一體的新型網(wǎng)絡(luò)安全保險(xiǎn)，集保險(xiǎn)與網(wǎng)絡(luò)安全企業(yè)合力，為企業(yè)研發(fā)綜合性的保險(xiǎn)解決方案。CyberSecurityCyberSecurityInsurtechWhitePaper202209表1-1近年來我國政府部門發(fā)布的部分網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)政策及文件發(fā)布時(shí)間部門文件內(nèi)容202262021122021920217202012

公安部上海市經(jīng)濟(jì)信息化委市委網(wǎng)信辦市發(fā)展改革委市科委市財(cái)政局市通信管理局監(jiān)局工信部中國銀行保險(xiǎn)監(jiān)督管理委員會(huì)

《關(guān)于落實(shí)網(wǎng)絡(luò)安全保護(hù)重級(jí)保護(hù)制度的指導(dǎo)意見》《上海市建設(shè)網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新高地行動(dòng)計(jì)劃（2021-2023年）》/《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）（征求意見稿）》《互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)監(jiān)管辦法》

探索開展網(wǎng)絡(luò)安全保險(xiǎn)。研究網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)政策和標(biāo)準(zhǔn)規(guī)范，共同培育市場，試點(diǎn)先行，構(gòu)全社會(huì)治理能力。成立網(wǎng)絡(luò)安全保險(xiǎn)專班。1）應(yīng)強(qiáng)化產(chǎn)融合作機(jī)制建設(shè)，探索開展網(wǎng)絡(luò)安強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)能力。2）面向電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域，開展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)。583條，包括總則、基本業(yè)務(wù)規(guī)則、特別業(yè)務(wù)規(guī)則、監(jiān)督管理和附則。重點(diǎn)內(nèi)容包括：一是厘清互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)的適用和銜接政策；二是規(guī)定互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)經(jīng)營要求；三是規(guī)范互聯(lián)網(wǎng)保險(xiǎn)營銷宣傳；四是規(guī)范互聯(lián)網(wǎng)保險(xiǎn)售后服務(wù)；六是完善監(jiān)管政策和制度措施，做好政策實(shí)施過渡安排。智能化建設(shè)水平。智能化建設(shè)水平。險(xiǎn)操作流程進(jìn)行更新再造，提高數(shù)字化、線上化、計(jì)算、區(qū)塊鏈、人工智能等科技手段，對(duì)傳統(tǒng)保代保險(xiǎn)企業(yè)。鼓勵(lì)財(cái)產(chǎn)保險(xiǎn)公司利用大數(shù)據(jù)、云2022年）》技投入和智力支持，打造具備科技賦能優(yōu)勢的現(xiàn)展三年行動(dòng)方案（2020—支持財(cái)產(chǎn)保險(xiǎn)公司制定數(shù)字化轉(zhuǎn)型戰(zhàn)略，加大科《推動(dòng)財(cái)產(chǎn)保險(xiǎn)業(yè)高質(zhì)量發(fā)中國銀保監(jiān)2020720199

工信部

《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)（征求意見稿

探索開展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)。CyberSecurityInsurtechWhitePaper2022網(wǎng)絡(luò)安全保險(xiǎn)科技白皮書 表1-2近年來我國行業(yè)組織發(fā)布的網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)團(tuán)體標(biāo)準(zhǔn)一覽發(fā)布時(shí)間部門文件內(nèi)容20226

文件、術(shù)語與定義、網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)特點(diǎn)、網(wǎng)評(píng)價(jià)指南共包括六章，分別為范圍、規(guī)范性引用文件、術(shù)語與定義、網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)特點(diǎn)、網(wǎng)評(píng)價(jià)指南共包括六章，分別為范圍、規(guī)范性引用

《網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)技術(shù)要求》（征求意見稿）

技術(shù)要求共包括十章，分別為范圍、規(guī)范性引用文件、術(shù)語與定義、縮略語、概述、保險(xiǎn)服務(wù)基本規(guī)定、承保前風(fēng)險(xiǎn)評(píng)估要求、承保中風(fēng)險(xiǎn)管控要求、事件發(fā)生后應(yīng)急處置服務(wù)要求、保險(xiǎn)理賠服務(wù)要求。此外，標(biāo)準(zhǔn)中還包括附錄A，內(nèi)容為保險(xiǎn)安全服務(wù)流程。20226 20226協(xié)會(huì)上海市信息安全行業(yè)絡(luò)安全保險(xiǎn)安全服務(wù)評(píng)價(jià)指標(biāo)。A，內(nèi)容為網(wǎng)力評(píng)價(jià)指南（征求意見稿） 絡(luò)安全保險(xiǎn)信息安全服務(wù)提供方基本要求以及評(píng)《網(wǎng)絡(luò)安全保險(xiǎn)安全服務(wù)能20225202220223202111

上海市保險(xiǎn)同業(yè)公會(huì)盟盟中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟

《網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)規(guī)范》（征求意見稿）評(píng)估指引》評(píng)估指引》《面向網(wǎng)絡(luò)安全保險(xiǎn)的風(fēng)險(xiǎn)《網(wǎng)絡(luò)安全保險(xiǎn)安全風(fēng)險(xiǎn)評(píng)（征求意見稿

是保險(xiǎn)行業(yè)首個(gè)針對(duì)網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)規(guī)范標(biāo)要求。標(biāo)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況。標(biāo)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況。風(fēng)險(xiǎn)分值與風(fēng)險(xiǎn)等級(jí)用于評(píng)判、衡量擬投保保險(xiǎn)值，并在風(fēng)險(xiǎn)分值的基礎(chǔ)上，再劃分風(fēng)險(xiǎn)等級(jí)。弱性分別進(jìn)行計(jì)算，最終得出一個(gè)具體的風(fēng)險(xiǎn)分風(fēng)險(xiǎn)評(píng)估的實(shí)際情況，對(duì)業(yè)務(wù)、資產(chǎn)、威脅、脆評(píng)估指引引導(dǎo)保險(xiǎn)機(jī)構(gòu)結(jié)合投保人網(wǎng)絡(luò)安全保險(xiǎn)試圖通過建立一套風(fēng)險(xiǎn)評(píng)估指標(biāo)、流程、內(nèi)容，規(guī)范對(duì)擬投保系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，得出風(fēng)險(xiǎn)等級(jí)、風(fēng)險(xiǎn)分值，定量化地呈現(xiàn)擬投保系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，為后續(xù)開展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)提供參考依據(jù)。CyberSecurityCyberSecurityInsurtechWhitePaper2022PAGE11PART2網(wǎng)絡(luò)安全保險(xiǎn)多元市場需求需求是產(chǎn)業(yè)發(fā)展及創(chuàng)新的首要生產(chǎn)力，網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展則離不開其背后的多層次需求。聚焦需求是產(chǎn)業(yè)發(fā)展及創(chuàng)新的首要生產(chǎn)力，網(wǎng)絡(luò)安全保險(xiǎn)的發(fā)展則離不開其背后的多層次需求。聚焦網(wǎng)絡(luò)安全保險(xiǎn)的需求本質(zhì)目前，在網(wǎng)絡(luò)安全空間的威脅與防御保持持續(xù)產(chǎn)品或技術(shù)全面消除所有風(fēng)險(xiǎn)。因此，安全建設(shè)成為企業(yè)面臨的一項(xiàng)長期性、持續(xù)性工作。當(dāng)前企業(yè)的防御視角以風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)控制為主，通過調(diào)整組織架構(gòu)、完善管理機(jī)制、采購或部署安全產(chǎn)品構(gòu)建綜合防御體系，最終形成涵蓋掃描、檢測、溯源

處置的防御鏈條。然而，即便企業(yè)開展大量的安全建設(shè)工作以提升網(wǎng)絡(luò)安全成熟度，復(fù)雜且層出不窮的安全風(fēng)險(xiǎn)仍越來越多企業(yè)將視線轉(zhuǎn)向了“風(fēng)險(xiǎn)轉(zhuǎn)移”——即容忍一定風(fēng)險(xiǎn)，并通過保險(xiǎn)手段轉(zhuǎn)移風(fēng)險(xiǎn)。圖2-1網(wǎng)絡(luò)安全投入收益比企業(yè)網(wǎng)絡(luò)安全建設(shè)的本質(zhì)不僅僅是安全問題，也是成本收益問題。而網(wǎng)絡(luò)安全保險(xiǎn)需求的本質(zhì)也不僅僅是風(fēng)險(xiǎn)轉(zhuǎn)移，還包含成本收益的衡量。風(fēng)險(xiǎn)意味著潛在損失——財(cái)產(chǎn)損失、名譽(yù)損失、商業(yè)價(jià)值等次級(jí)損失，而安全建設(shè)是為了以更低的成本規(guī)1全投入，縱坐標(biāo)為網(wǎng)絡(luò)安全收益，以投資回報(bào)平衡線為基準(zhǔn)，企業(yè)在網(wǎng)絡(luò)安全方面投入的增長呈現(xiàn)明顯的邊際效用遞減趨勢。當(dāng)企業(yè)網(wǎng)絡(luò)安全建設(shè)成熟度達(dá)到較高的水準(zhǔn)時(shí)，企業(yè)面對(duì)殘余性風(fēng)險(xiǎn)，可以選擇繼續(xù)加大網(wǎng)絡(luò)安全投入。雖然仍有一定效果，但從收益性價(jià)比而言已經(jīng)低于基準(zhǔn)。這一階段往往

是企業(yè)選擇網(wǎng)絡(luò)安全保險(xiǎn)的一個(gè)比較適當(dāng)?shù)臅r(shí)期，也說明當(dāng)網(wǎng)絡(luò)安全投入已經(jīng)不足以抵消風(fēng)險(xiǎn)所帶來的損失時(shí)，網(wǎng)絡(luò)安全保險(xiǎn)就成為了企業(yè)更加適宜的選擇。越傾向于使用保險(xiǎn)策略而非安全投入策略；根據(jù)收益分析顯示，企業(yè)網(wǎng)絡(luò)安全投入越大，越傾向于采風(fēng)險(xiǎn)視角下的行業(yè)需求隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，各行各業(yè)均充斥著大量已知和未知的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。安聯(lián)《2022年風(fēng)險(xiǎn)晴雨表》指出，勒索軟件攻擊、數(shù)據(jù)泄露、遠(yuǎn)程辦公導(dǎo)致的T4Coalition2022年網(wǎng)絡(luò)安全保險(xiǎn)索賠報(bào)告》也提出，2021攻擊者對(duì)該公司投保人提出的平均贖金要求增加了，小型企業(yè)受到的影響尤事實(shí)上，除了高頻次的主要網(wǎng)絡(luò)風(fēng)險(xiǎn)，不同行業(yè)也遭受著更具針對(duì)性的行業(yè)攻擊。譬如電信互聯(lián)網(wǎng)行業(yè)普遍面臨DDoS攻擊、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)黑灰產(chǎn)（撞庫）等風(fēng)險(xiǎn)，工業(yè)互聯(lián)網(wǎng)行業(yè)存在工控系統(tǒng)漏洞和設(shè)備后門、工業(yè)通信協(xié)議缺陷、供應(yīng)鏈攻擊等風(fēng)險(xiǎn)，車聯(lián)網(wǎng)行業(yè)則遭受了車載信息交互系統(tǒng)漏洞、通信安全、配套設(shè)施（App）安全等隱患，醫(yī)療行業(yè)難免門戶網(wǎng)站篡改風(fēng)險(xiǎn)、應(yīng)用服務(wù)高危端口與安全漏洞和以勒索病毒為代表的惡意程序風(fēng)險(xiǎn)。若不加防范，上述風(fēng)險(xiǎn)還會(huì)繼續(xù)導(dǎo)致數(shù)據(jù)被未經(jīng)授權(quán)

訪問、泄露、丟失等次級(jí)風(fēng)險(xiǎn)，引發(fā)業(yè)務(wù)中斷、成本損失。（1）電信和互聯(lián)網(wǎng)行業(yè)DDoS攻擊：電信和互聯(lián)網(wǎng)行業(yè)是遭受DDoS攻擊的重災(zāi)區(qū)，目前DDoS攻擊的類型多樣，包括DDoS（SYNFlood、UDPFlood、ICMPFloodACKFloodDDoS（如、CC攻擊等）、慢速DDoS攻擊以及基于漏洞的DDoS惡意商業(yè)競爭、炫耀式攻擊等原因，通過攻擊窮盡目標(biāo)的服務(wù)器或帶寬資源，導(dǎo)致其服務(wù)被迫暫時(shí)中斷或停止，使正常用戶無法訪問，進(jìn)而對(duì)目標(biāo)企業(yè)的經(jīng)濟(jì)和名譽(yù)造成損害。伴隨DDoS攻擊的逐漸產(chǎn)業(yè)化與服務(wù)化，各種在線DDoS平臺(tái)、肉雞交易渠道層出不窮，“僵尸網(wǎng)絡(luò)”的低價(jià)出售成為趨勢，惡意個(gè)體實(shí)施DDoS攻擊的門檻逐漸降低，為電信互聯(lián)網(wǎng)行業(yè)帶來了更大的威脅。網(wǎng)絡(luò)釣魚：人往往是企業(yè)安全的薄弱點(diǎn)，也是網(wǎng)絡(luò)釣魚攻擊的錨點(diǎn)。FacebookGoogle諸多互聯(lián)網(wǎng)公司一直是網(wǎng)絡(luò)釣魚攻擊的重點(diǎn)目標(biāo)。從魚叉式網(wǎng)絡(luò)釣魚到商業(yè)郵件欺詐，網(wǎng)絡(luò)釣魚的方式多樣且結(jié)合時(shí)事熱點(diǎn)，充分利用人性漏洞，引導(dǎo)錯(cuò)誤操作。包括將發(fā)件人偽裝成受害者信任的個(gè)體或組織，將郵件主題設(shè)置為熱點(diǎn)事件或工資單等與受害者息息相關(guān)的內(nèi)容，將郵件附件植入病毒。一后門植入乃至系統(tǒng)入侵，使企業(yè)資產(chǎn)、內(nèi)部信息暴露在攻擊者的面前，最終造成企業(yè)內(nèi)部數(shù)據(jù)泄露，業(yè)務(wù)中斷等風(fēng)險(xiǎn)。撞庫：撞庫是網(wǎng)絡(luò)黑灰產(chǎn)的一種類型，也是電信企業(yè)、電商等互聯(lián)網(wǎng)企業(yè)面臨的高風(fēng)險(xiǎn)之一。攻擊者通過弱密碼嗅探、拖庫、對(duì)高權(quán)限賬號(hào)的暴力破解等方式獲取數(shù)據(jù)。以拖庫為例，由于大多數(shù)人傾向于在多個(gè)站點(diǎn)上使用相同密碼，因此攻擊者首先通過編寫惡意程序?qū)Ψ?wù)型網(wǎng)站發(fā)起攻擊，獲取大量用戶信息，再基于大量的用戶信息生成對(duì)應(yīng)的字典表，從而對(duì)其他相關(guān)站點(diǎn)進(jìn)行試探性登陸。一旦用戶在其他站點(diǎn)上使用了相同密碼，這也意味著撞庫的成功——攻擊者再次獲得更多的用戶信息。一旦攻擊者通過撞庫方式獲得高價(jià)值的用戶信息，其很可能將實(shí)施二次危害，譬如破解金融賬戶，竊取或轉(zhuǎn)移受害者賬戶上的資金；出售用戶賬號(hào)、密碼及其他個(gè)人信息，使用戶遭受短信轟炸式營銷、電信詐騙；利用用戶賬號(hào)推廣非法業(yè)務(wù)、販賣違法物品、承接刷量業(yè)務(wù)等活動(dòng)，從而進(jìn)一步延長不法獲利鏈條，謀取更高額的非法收益。隨著黑灰產(chǎn)的產(chǎn)業(yè)鏈上下游分工精細(xì)、規(guī)模和技術(shù)提升，企業(yè)防御撞庫的難度也在增長。被撞庫的企業(yè)雖為受害者，但因其自身安全控制不到位卻成為“雪球效應(yīng)”中的一分子。（2）車聯(lián)網(wǎng)行業(yè)車載信息交互系統(tǒng)漏洞：車載信息交互系統(tǒng)安

全與車機(jī)自身的網(wǎng)絡(luò)安全息息相關(guān)。由于部分車輛的車載網(wǎng)絡(luò)數(shù)據(jù)加密和消息驗(yàn)證機(jī)制不完善，一旦攻擊者發(fā)現(xiàn)系統(tǒng)漏洞、侵入車載網(wǎng)絡(luò)設(shè)備，就會(huì)針對(duì)漏洞進(jìn)行跳板式攻擊、植入病毒程序，干擾車內(nèi)部件功能，造成車載信息交互系統(tǒng)的網(wǎng)絡(luò)癱瘓、硬件故障，并泄露車主信息和出行記錄，甚至影響車輛駕駛安全。是車主行車時(shí)最為常用也較容易遭遇攻擊的車內(nèi)配件。通信安全風(fēng)險(xiǎn)：伴隨車輛連通性的極大擴(kuò)展，這就為攻擊者利用車輛通信系統(tǒng)內(nèi)的身份認(rèn)證或數(shù)據(jù)加密缺陷發(fā)起攻擊提供了更多機(jī)會(huì)。例如，車輛通信系統(tǒng)一般缺乏對(duì)信息發(fā)送者身份的驗(yàn)證機(jī)制，難以抵御攻擊者偽造身份進(jìn)行的動(dòng)態(tài)劫持；若信息在通信過程中加密強(qiáng)度不足，很可能被攻擊者趁勢偽造、篡改、竊取，使汽車無法識(shí)別惡意軟件，從而破壞車輛通信系統(tǒng)，阻斷車主獲取正常服務(wù)的途徑。車輛的通信安全主要包括車內(nèi)通信安全和車外通信安全。前者是指遠(yuǎn)程信息處理器與車內(nèi)主機(jī)的雙向數(shù)據(jù)傳輸安全，負(fù)責(zé)車輛狀態(tài)信息、控制信息等的傳輸，通過CAN總線、車載以太網(wǎng)等技術(shù)實(shí)現(xiàn)車輛內(nèi)部系統(tǒng)和設(shè)備間的通信；后者是指遠(yuǎn)程信息處理器與云平臺(tái)間的雙向數(shù)據(jù)傳輸安全，通過車載診斷接口（OBD）、無線通信技術(shù)（WiFi、藍(lán)牙、4G/5G、C-V2X等）與外部實(shí)體和平臺(tái)進(jìn)行信息交互。配套設(shè)施（App）安全：配套設(shè)施是指車企為用戶提供數(shù)字化服務(wù)、增強(qiáng)用戶粘性而配置的程序。然而，智能網(wǎng)聯(lián)汽車端App普遍存在缺乏安全保護(hù)機(jī)制的問題。大部分車輛并未對(duì)未知或來源不明的App進(jìn)行限制，甚至還保留了瀏覽器的隱藏入口，部分采取軟件防護(hù)機(jī)制的App也存在防護(hù)強(qiáng)度不夠的問題。攻擊者一旦登錄App以輕松獲取用戶的個(gè)人信息、獲取到根用戶權(quán)限。這就導(dǎo)致攻擊者可以在后臺(tái)下載惡意軟件、破解通信協(xié)議、反編譯代碼、竊取用戶數(shù)據(jù)，使車主失去AppApp（3）工控行業(yè)工控系統(tǒng)漏洞和設(shè)備后門：在工業(yè)互聯(lián)網(wǎng)中，工控系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施的組成部分，已經(jīng)成為黑客攻擊的主要目標(biāo)之一。傳統(tǒng)的工控系統(tǒng)在設(shè)計(jì)之初通常缺乏安全考慮，因此往往存在安全配置基線未加固、大量安全漏洞與后門存在等問題。伴隨工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)生產(chǎn)環(huán)境中的智能設(shè)備與T一旦生產(chǎn)控制層的信息安全風(fēng)險(xiǎn)被惡意利用，攻擊者極有可能以此為跳板，進(jìn)行橫向移動(dòng)，對(duì)核心生產(chǎn)數(shù)據(jù)造成破壞。工業(yè)通信協(xié)議缺陷：工業(yè)通信協(xié)議是工業(yè)互聯(lián)備與網(wǎng)絡(luò)之間的連接和信息傳遞，其主要有通信協(xié)議、RS-232RS-485MPIPROFIBUS業(yè)以太網(wǎng)等眾多類型。隨著自動(dòng)化和信息化的高度融合、物聯(lián)網(wǎng)的發(fā)展，工業(yè)通信協(xié)議在發(fā)布后往往被工業(yè)設(shè)施重要供應(yīng)商廣泛應(yīng)用，也常見于工業(yè)物聯(lián)網(wǎng)，然而隨之而來的是通信協(xié)議漏洞問題日益突出。一方面，部分工業(yè)通信協(xié)議本身就缺乏相應(yīng)的安全標(biāo)準(zhǔn)，安全水平不高。網(wǎng)絡(luò)攻擊者只需掌握協(xié)議構(gòu)造方式，通過簡單的網(wǎng)絡(luò)接入就可以實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備的任意數(shù)據(jù)篡改。另一方面，工業(yè)通信協(xié)議

存在的安全缺陷促使攻擊者更為積極地挖掘協(xié)議漏洞，利用緩沖區(qū)溢出、拒絕服務(wù)等漏洞實(shí)現(xiàn)通信指令篡改及相應(yīng)攻擊。伴隨工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的進(jìn)程加快，攻擊者也將更容易通過網(wǎng)絡(luò)探測、鎖定和攻擊目標(biāo)，給工業(yè)互聯(lián)網(wǎng)企業(yè)帶來高額損失。供應(yīng)鏈攻擊：在工業(yè)互聯(lián)網(wǎng)發(fā)展過程中，供應(yīng)鏈?zhǔn)瞧渲胁豢扇鄙俚慕M織形態(tài)，通過資源整合，可以有效實(shí)現(xiàn)產(chǎn)品設(shè)計(jì)、采購、生產(chǎn)、銷售、服務(wù)等全過程的協(xié)同。與此同時(shí)，由于工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈的全球化態(tài)勢加強(qiáng)，工業(yè)互聯(lián)網(wǎng)企業(yè)的核心技術(shù)產(chǎn)品、核心部件、敏感數(shù)據(jù)被供應(yīng)鏈上更多的產(chǎn)品與服務(wù)提供商所接觸，雖然通過權(quán)限設(shè)置、供應(yīng)商安全審查等措施可以收斂一定風(fēng)險(xiǎn)，但供應(yīng)鏈的全球化、精細(xì)化也使得企業(yè)的風(fēng)險(xiǎn)暴露面擴(kuò)大。全球范圍內(nèi)工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全事件頻發(fā)，斷供、網(wǎng)絡(luò)攻擊等威脅加劇，工業(yè)互聯(lián)網(wǎng)企業(yè)面臨著嚴(yán)峻的現(xiàn)實(shí)安全挑戰(zhàn)。（4）醫(yī)療行業(yè)門戶網(wǎng)站篡改風(fēng)險(xiǎn)：在線醫(yī)療服務(wù)的普及正在推動(dòng)醫(yī)療網(wǎng)站成為開展公共服務(wù)、展現(xiàn)機(jī)構(gòu)形象的重要平臺(tái)載體。但由于應(yīng)用組件版本較低，醫(yī)療機(jī)構(gòu)網(wǎng)站往往存在安全等級(jí)低、安全隱患高的問題。其中，實(shí)施網(wǎng)站篡改、隱式植入非法信息這一攻擊手法較為常見。一旦醫(yī)療機(jī)構(gòu)的網(wǎng)頁被篡改，可能被植入非正規(guī)醫(yī)院的隱性廣告、錯(cuò)誤的醫(yī)護(hù)信息以及色情、博彩等非法信息，不僅給機(jī)構(gòu)的形象帶來損害，還可能因?yàn)殄e(cuò)誤信息引導(dǎo)，給病患造成財(cái)產(chǎn)乃至健康損害。應(yīng)用服務(wù)高危端口與安全漏洞：數(shù)字化、智能家庭住址等敏感個(gè)人信息，以及掛號(hào)記錄、檢查報(bào)告、繳費(fèi)記錄等就醫(yī)診斷信息，具有高敏感性的特點(diǎn)。上述患者數(shù)據(jù)、診療數(shù)據(jù)、醫(yī)保數(shù)據(jù)等被保存并與公共互聯(lián)網(wǎng)連通，存在高危端口和漏洞利用可能。另一方面，以手機(jī)、網(wǎng)站、第三方醫(yī)療平臺(tái)為載體的在線醫(yī)療服務(wù)不斷涌現(xiàn)，然而受限于其安全能力，同樣存在弱密碼、RCE漏洞等常見風(fēng)險(xiǎn)，可能引發(fā)批量應(yīng)用服務(wù)被惡意控制、大量健康醫(yī)療數(shù)據(jù)泄露的安全事件。以勒索病毒為代表的僵木蠕毒等惡意程序風(fēng)險(xiǎn)：在尋找到可利用端口、敏感服務(wù)或安全漏洞后，攻擊者往風(fēng)險(xiǎn)。商業(yè)視角下的場景需求隨著傳統(tǒng)風(fēng)險(xiǎn)與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的交織融合，新興風(fēng)險(xiǎn)場景為網(wǎng)絡(luò)安全保險(xiǎn)帶來突破口。聚焦商業(yè)新一輪的保險(xiǎn)需求正在不斷涌現(xiàn)。1：車輛自動(dòng)駕駛在智能終端的發(fā)展下，傳統(tǒng)汽車從過去簡單的出行載體演變成為一個(gè)匯聚大量數(shù)據(jù)的信息化智能終端——智能網(wǎng)聯(lián)汽車。在智能網(wǎng)聯(lián)汽車領(lǐng)域，風(fēng)險(xiǎn)場景更容易從虛擬網(wǎng)聯(lián)空間映射到物理世界，帶來更大的威脅。在車輛遠(yuǎn)程診斷監(jiān)控、自動(dòng)駕駛、車路協(xié)同、智慧交通等應(yīng)用場景下，為確保智能網(wǎng)聯(lián)汽車能夠適應(yīng)不同路況，廠商會(huì)在車內(nèi)安裝大量傳感器。通過這些傳感器，主機(jī)廠和車聯(lián)網(wǎng)服務(wù)平臺(tái)商將采集了海量且種類眾多的數(shù)據(jù)。數(shù)據(jù)顯示，一輛智能網(wǎng)8G10TB范圍覆蓋車主個(gè)人信息、車輛環(huán)境信息、車輛行駛200智能化的信息采集終端，其所面臨的風(fēng)險(xiǎn)一方面是傳統(tǒng)的車輛風(fēng)險(xiǎn)，另一方面則是網(wǎng)絡(luò)安全與數(shù)據(jù)安全風(fēng)險(xiǎn)。前者主要是可靠性問題，即車主經(jīng)過一段（比如在傳統(tǒng)車輛風(fēng)險(xiǎn)中，往往需要考慮到累計(jì)行駛里

/險(xiǎn)穩(wěn)定地運(yùn)行。以智能網(wǎng)聯(lián)汽車在道路上行駛的場景為例，一旦車輛遭遇遠(yuǎn)程網(wǎng)絡(luò)攻擊，不僅直接危害智能網(wǎng)聯(lián)汽車本身，造成車聯(lián)網(wǎng)系統(tǒng)失控，引發(fā)車輛在道路上失控沖撞，從而形成多米諾骨牌，造成其他車輛混亂、城市道路擁擠、公共設(shè)施破壞，更嚴(yán)重者還將造成車主或其他人員傷亡。此外，汽車服務(wù)器遭受入侵、防盜系統(tǒng)存在漏洞等風(fēng)險(xiǎn)場景也正在現(xiàn)實(shí)上演。除了針對(duì)智能網(wǎng)聯(lián)汽車，攻擊還極有可能發(fā)生于整車企業(yè)、車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺(tái)，一旦此類企業(yè)遭到惡意攻擊與入侵，將造成“海嘯級(jí)別”的重要數(shù)據(jù)泄露，對(duì)個(gè)人、企業(yè)乃至國家安全帶來不可預(yù)估的損失。全球范圍內(nèi)智能網(wǎng)聯(lián)汽車的發(fā)展已勢不可擋，智能網(wǎng)聯(lián)汽車相關(guān)企業(yè)也應(yīng)在研發(fā)可靠的車載芯片、建立完善的車聯(lián)網(wǎng)通信安全體系之外，提前一步做好風(fēng)險(xiǎn)管理、控制與轉(zhuǎn)移的準(zhǔn)備。2：工業(yè)安全生產(chǎn)工業(yè)控制系統(tǒng)是支撐國民經(jīng)濟(jì)的重要設(shè)施，也是工業(yè)領(lǐng)域的神經(jīng)中樞。伴隨工業(yè)化和信息化融合趨勢，工業(yè)安全生產(chǎn)場景同時(shí)面臨傳統(tǒng)的工控安全問題與工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)。智能制造系統(tǒng)中的設(shè)CyberSecurityInsurtechWhitePaper2022網(wǎng)絡(luò)安全保險(xiǎn)科技白皮書 備高度互聯(lián)協(xié)同，則進(jìn)一步模糊了工控內(nèi)網(wǎng)與互聯(lián)網(wǎng)的邊界，擴(kuò)大了攻擊面。由于工業(yè)控制系統(tǒng)被廣泛應(yīng)用于電力、污水處理、石油和天然氣、交通運(yùn)輸?shù)戎匾I(lǐng)域，使其往往成為APT組織、惡意團(tuán)隊(duì)等的重點(diǎn)攻擊目標(biāo)。2018，Wannacry332020CPC遭受攻擊，引發(fā)供應(yīng)鏈風(fēng)險(xiǎn)，使得當(dāng)?shù)丶佑驼疽欢葻o法使用電子支付，造成一定程度上的混亂；2021黑客入侵佛羅里達(dá)州奧爾德斯馬市的水處理設(shè)施系10011100（人體若攝入高濃度氫氧工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)T針對(duì)工控系統(tǒng)或工控網(wǎng)絡(luò)的入侵或使攻擊者直接控停工停產(chǎn)等嚴(yán)重后果。與此同時(shí)，工控安全困境還工控網(wǎng)絡(luò)防護(hù)措施不夠完善，使得生產(chǎn)、制造場景面臨諸多不可控、難以預(yù)見的風(fēng)險(xiǎn)，一旦觸發(fā)將導(dǎo)致巨大損失。綜合因素下，工控企業(yè)除了采購傳統(tǒng)的財(cái)產(chǎn)保險(xiǎn)，保障資產(chǎn)安全，需要更密切關(guān)注因網(wǎng)絡(luò)安全事件引發(fā)的數(shù)字資產(chǎn)破壞、經(jīng)濟(jì)損失問題。3：數(shù)字醫(yī)療診斷醫(yī)療機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型、醫(yī)療設(shè)備的智能聯(lián)網(wǎng)推動(dòng)智慧醫(yī)療行業(yè)的發(fā)展，激發(fā)了遠(yuǎn)程會(huì)診、三維輔助診療平臺(tái)等新型醫(yī)療服務(wù)與模式。與此同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不僅侵襲到智能醫(yī)療終端設(shè)備，同時(shí)也影響術(shù)前規(guī)劃、術(shù)中導(dǎo)航等關(guān)鍵場景。以醫(yī)療設(shè)備信息安全場景為例，醫(yī)院及衛(wèi)生健康機(jī)構(gòu)不僅承擔(dān)著健康衛(wèi)生保障功能，也承載著眾

多醫(yī)療診斷信息和患者信息。然而，由于一些醫(yī)院在建設(shè)之初沒有容納安全考量、醫(yī)療設(shè)備更新?lián)Q代慢、醫(yī)療設(shè)備軟件大多又具有封閉性，缺乏統(tǒng)一接入內(nèi)網(wǎng)的安全管理措施，因此，相關(guān)醫(yī)療健康機(jī)構(gòu)的安全防護(hù)能力薄弱，一些沒有經(jīng)過允許的終端可以輕松繞過而接入機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，造成數(shù)據(jù)泄露等風(fēng)險(xiǎn)。另一方面，部分醫(yī)療健康機(jī)構(gòu)加快推動(dòng)“互聯(lián)網(wǎng)+醫(yī)療”，陸續(xù)上線智慧醫(yī)療、惠民醫(yī)療應(yīng)用服務(wù)，但其同樣面臨復(fù)雜的風(fēng)險(xiǎn)場景。聚焦醫(yī)療數(shù)據(jù)互聯(lián)互通的場景，健康醫(yī)療機(jī)構(gòu)為實(shí)現(xiàn)跨機(jī)構(gòu)、跨地域的健康診療信息交互和醫(yī)療服務(wù)協(xié)同，在不同醫(yī)療機(jī)構(gòu)和線上平臺(tái)之間實(shí)現(xiàn)電子病歷、檢查報(bào)告等數(shù)據(jù)的信息共享。然而，相關(guān)人員對(duì)相關(guān)敏感數(shù)據(jù)進(jìn)行訪問瀏覽時(shí)，可能因?yàn)椴煌瑱C(jī)構(gòu)安全水平不一、人員安全意識(shí)差異，使得通過信息交互系統(tǒng)進(jìn)行文件數(shù)據(jù)傳輸、存儲(chǔ)等操作時(shí)，因操作不當(dāng)而出現(xiàn)安全事件。以醫(yī)療勒索事故場景為例，2020年德國一家醫(yī)院的醫(yī)療系統(tǒng)因遭受勒索軟件攻擊而癱瘓，這導(dǎo)致一患者因未得到及時(shí)救治而不幸身亡，這也是全球首例勒索軟件致死事故。整個(gè)醫(yī)療行業(yè)的網(wǎng)絡(luò)安全形勢不容樂觀，且因其直接關(guān)系到病患群體，相關(guān)安全風(fēng)險(xiǎn)需引起高度重視。CyberSecurityCyberSecurityInsurtechWhitePaper2022PAGE17保險(xiǎn)視角下的產(chǎn)品需求網(wǎng)絡(luò)安全保險(xiǎn)規(guī)?；l(fā)展面臨的一個(gè)主要問題是企業(yè)在需求層面的差異化，除了上述提及的行業(yè)需求差異、場景需求差異，還存在不同類型的企業(yè)對(duì)安全的認(rèn)知和具體需求存在差異的情形。因此，根據(jù)《201950的企業(yè)已經(jīng)購買了網(wǎng)絡(luò)安全保險(xiǎn)。其中，年收入超過10億美元的大型公司中，有136的企業(yè)選擇投保。不同規(guī)模的企業(yè)對(duì)于網(wǎng)絡(luò)安全保險(xiǎn)的需求存在差距，但差距似乎并沒有預(yù)想的大。從安全需求的角度來看，中小微企業(yè)購買網(wǎng)絡(luò)安全保險(xiǎn)是為了“助安全”，大型企業(yè)購買網(wǎng)絡(luò)安全保險(xiǎn)則是為了“保安全”。簡而言之，大型企業(yè)對(duì)網(wǎng)絡(luò)安全事故造成的經(jīng)此外，大型企業(yè)往往面臨著影響范圍廣泛的第三方責(zé)任風(fēng)險(xiǎn)，更傾向保險(xiǎn)公司提供額外的應(yīng)急響應(yīng)資因此，大型企業(yè)對(duì)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品的需求主要是避網(wǎng)絡(luò)安全黑天鵝事件帶來的巨額損失，為其安全建設(shè)“錦上添花”，屬于“保安全”的認(rèn)知范疇。相對(duì)而言，中小微企業(yè)在網(wǎng)絡(luò)安全建設(shè)方面的

小微企業(yè)數(shù)字安全報(bào)告》的數(shù)據(jù)顯示，近半數(shù)中小2021長期被黑客攻擊而不能獨(dú)立應(yīng)對(duì)，超八成的勒索攻1000全預(yù)算難以支撐完備的安全方案落地，導(dǎo)致其在網(wǎng)絡(luò)攻防對(duì)抗中處于一定弱勢地位。與此同時(shí)，攻擊者更“青睞于”中小企業(yè)，相比針對(duì)大型企業(yè)所需要的更復(fù)雜的攻擊策略與更膠著持久的攻擊鏈路，瞄準(zhǔn)中小微企業(yè)的攻擊門檻更低，能夠逐個(gè)攻破、以量取勝，而主要攻擊方式則包括惡意軟件入侵、勒索攻擊、系列漏洞利用和網(wǎng)絡(luò)釣魚。部分中小微企業(yè)在遭遇入侵攻擊后并不知情，或是在長達(dá)十幾天或數(shù)月后才意識(shí)到侵害。在過長的反應(yīng)期中，中小利品”之一。因此，在生產(chǎn)生存威脅下，中小企業(yè)一般傾向于購買網(wǎng)絡(luò)安全保險(xiǎn)，使用更低的成本獲得保額較低但配備了安全服務(wù)的網(wǎng)絡(luò)安全保單，從而通過第三方的介入補(bǔ)充其內(nèi)部的網(wǎng)絡(luò)安全保障能力，減輕的認(rèn)知范疇。PART3科技助推多產(chǎn)業(yè)深度融合風(fēng)險(xiǎn)和需求是網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)的驅(qū)動(dòng)因素，網(wǎng)絡(luò)安全產(chǎn)業(yè)和網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)的融合創(chuàng)新則為風(fēng)險(xiǎn)和需求是網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)的驅(qū)動(dòng)因素，網(wǎng)絡(luò)安全產(chǎn)業(yè)和網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)的融合創(chuàng)新則為技術(shù)的支撐。因此，促進(jìn)國內(nèi)雙產(chǎn)業(yè)的融合，將進(jìn)一步豐富“網(wǎng)絡(luò)安全即服務(wù)”的業(yè)態(tài)，同時(shí)有效推動(dòng)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)創(chuàng)新，形成多產(chǎn)業(yè)融合、互贏的發(fā)展局面。產(chǎn)業(yè)融合發(fā)展形態(tài)在網(wǎng)絡(luò)安全保險(xiǎn)的完整業(yè)態(tài)中，包含網(wǎng)絡(luò)安全企業(yè)、保險(xiǎn)科技公司、第三方風(fēng)險(xiǎn)管理技術(shù)機(jī)構(gòu)三個(gè)角色。網(wǎng)絡(luò)安全企業(yè)采取網(wǎng)絡(luò)安全技術(shù)與服務(wù)，協(xié)助保險(xiǎn)公司為客戶方提供全面風(fēng)險(xiǎn)管理方案；保險(xiǎn)科技公司針對(duì)場景化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，協(xié)助保險(xiǎn)公司基于數(shù)據(jù)清洗整合優(yōu)勢，優(yōu)化風(fēng)險(xiǎn)定價(jià)模型、構(gòu)建全流程保險(xiǎn)業(yè)務(wù)體系；第三方風(fēng)險(xiǎn)管理技術(shù)機(jī)構(gòu)則將網(wǎng)絡(luò)安全企業(yè)的安全技術(shù)能力與保險(xiǎn)科技公司的科技能力進(jìn)行有機(jī)的整合，逐漸成為保險(xiǎn)生態(tài)中關(guān)鍵一環(huán)。（1）解決方案：多業(yè)態(tài)融合網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)既脫胎于保險(xiǎn)，又與網(wǎng)絡(luò)安全產(chǎn)業(yè)息息相關(guān)。目前，兩個(gè)產(chǎn)業(yè)的融合在網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)模式上體現(xiàn)為3個(gè)階段性模式：網(wǎng)絡(luò)安全產(chǎn)品的附贈(zèng)保單。網(wǎng)絡(luò)安全企業(yè)銷售網(wǎng)絡(luò)安全產(chǎn)品后，附贈(zèng)對(duì)應(yīng)網(wǎng)絡(luò)安全產(chǎn)品的責(zé)任保險(xiǎn)，借助保險(xiǎn)公司轉(zhuǎn)嫁風(fēng)險(xiǎn)；網(wǎng)絡(luò)安全服務(wù)+網(wǎng)絡(luò)安全保險(xiǎn)保單。網(wǎng)絡(luò)安全企業(yè)提供風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測、應(yīng)急響應(yīng)等技術(shù)手段，保險(xiǎn)公司主導(dǎo)保險(xiǎn)產(chǎn)品開發(fā)、風(fēng)險(xiǎn)損失量化及核保定價(jià)等工作。技術(shù)與業(yè)務(wù)交融，對(duì)風(fēng)險(xiǎn)進(jìn)行綜合管控；

網(wǎng)絡(luò)安全技術(shù)/服務(wù)+網(wǎng)絡(luò)安全保險(xiǎn)科技+網(wǎng)絡(luò)安全保險(xiǎn)保單。網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)與保險(xiǎn)公司共同設(shè)計(jì)網(wǎng)絡(luò)安全保險(xiǎn)方案，網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)將網(wǎng)絡(luò)安全威脅庫與保險(xiǎn)定價(jià)模型、承保范圍相結(jié)合，依托大數(shù)據(jù)整合、分析能力形成網(wǎng)絡(luò)安全量化風(fēng)險(xiǎn)評(píng)估模型、自動(dòng)化定價(jià)能力。同時(shí)，網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)選擇自研或與網(wǎng)絡(luò)安全企業(yè)合作提供網(wǎng)絡(luò)安全產(chǎn)品，為企業(yè)提供主動(dòng)、動(dòng)態(tài)風(fēng)險(xiǎn)防御服務(wù)。在出險(xiǎn)、理賠階段，則通過自動(dòng)化理賠配套服務(wù)，幫助企業(yè)降低風(fēng)險(xiǎn)事件損害的同時(shí)，對(duì)上述三個(gè)網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)模式依次體現(xiàn)了網(wǎng)絡(luò)安全產(chǎn)業(yè)與網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)的融合深度，由淺與此同時(shí)，由于網(wǎng)絡(luò)安全保險(xiǎn)不同于傳統(tǒng)的物理承保的險(xiǎn)種，其通常具有虛擬性，且不受地域限制，圍繞多層次的市場需求，網(wǎng)絡(luò)安全保險(xiǎn)的產(chǎn)品與服務(wù)進(jìn)一步細(xì)化。目前，保險(xiǎn)公司和網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)面向不同行業(yè)與場景的差異化網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)基本涵蓋網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、漏洞掃描服務(wù)、網(wǎng)絡(luò)安全意識(shí)培訓(xùn)、滲透測試服務(wù)、網(wǎng)絡(luò)安全加固服務(wù)、網(wǎng)站安全監(jiān)測、網(wǎng)絡(luò)資產(chǎn)測繪服務(wù)、動(dòng)態(tài)防御服務(wù)、威脅情報(bào)服務(wù)、代碼安全審計(jì)服務(wù)、安全眾測服務(wù)、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、安全事件取證服務(wù)、數(shù)據(jù)安全恢復(fù)服務(wù)。這些服務(wù)主要由網(wǎng)絡(luò)安全公司、網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)聯(lián)合提供，針對(duì)性圍繞保險(xiǎn)需求進(jìn)行組合，從而有效配合保險(xiǎn)公司核保、承保、理賠。測評(píng)全監(jiān)控時(shí)評(píng)估化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方案復(fù)建設(shè)改支持訟圖3-1眾安保險(xiǎn)-網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測中心以眾安保險(xiǎn)為例，其以“保險(xiǎn)+科技+安全”創(chuàng)新模式，為企業(yè)提供基于網(wǎng)絡(luò)安全保險(xiǎn)的主動(dòng)安全服務(wù)涵蓋開展網(wǎng)絡(luò)安全核查、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)態(tài)勢監(jiān)測、風(fēng)險(xiǎn)提示、責(zé)任劃分、定損評(píng)估及理賠等關(guān)鍵環(huán)節(jié)，具有投保模塊化、服務(wù)系統(tǒng)化、理賠快速化等特點(diǎn)。同時(shí)，面向企業(yè)打造了以技術(shù)服務(wù)能力為支撐的網(wǎng)絡(luò)安全運(yùn)營中心，依托安全整改建設(shè)、

風(fēng)險(xiǎn)量化評(píng)估、網(wǎng)絡(luò)安全評(píng)估、風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控、應(yīng)急恢復(fù)響應(yīng)、公關(guān)訴訟六項(xiàng)技術(shù)服務(wù)模塊，提供事前預(yù)防，事中監(jiān)測，事發(fā)響應(yīng)及事后處理的全流程定制服務(wù)。目前，聚焦企業(yè)核心需求，眾安保險(xiǎn)提（中小企業(yè)版（信息系統(tǒng)版（綜合定制版）”等標(biāo)構(gòu)建多層次的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品矩陣。圖3-2眾安保險(xiǎn)-產(chǎn)品示例圖在網(wǎng)絡(luò)安全保險(xiǎn)解決方案的設(shè)計(jì)方面，保險(xiǎn)公司一般與第三方進(jìn)行合作，形成優(yōu)勢互補(bǔ)。眾安保險(xiǎn)通過與科技公司（眾安科技）達(dá)成戰(zhàn)略合作，為/網(wǎng)在承保范圍方面，眾安保險(xiǎn)基本涵蓋主流安全風(fēng)險(xiǎn)眾安保險(xiǎn)與眾安科技在保險(xiǎn)的各個(gè)環(huán)節(jié)形成深度合

作，由眾安科技基于網(wǎng)絡(luò)安全技術(shù)及服務(wù)能力，提供GuardIt、LOCKet等系列自研安全產(chǎn)品作為設(shè)備支撐，通過ARMS主動(dòng)風(fēng)險(xiǎn)管理平臺(tái)全流程風(fēng)險(xiǎn)管理，再輔以配套保險(xiǎn)服務(wù)能力為網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品提供科技支撐能力。（2）承保范圍：新邊界拓展2021年，我國網(wǎng)絡(luò)安全保險(xiǎn)保費(fèi)規(guī)模預(yù)計(jì)在708020203.22050保險(xiǎn)產(chǎn)品。從產(chǎn)品類型來看，企財(cái)險(xiǎn)接近半數(shù)，責(zé)10險(xiǎn)等其他類型險(xiǎn)種。從服務(wù)模式來看，國內(nèi)保險(xiǎn)公司積極嘗試與網(wǎng)絡(luò)安全專業(yè)技術(shù)機(jī)構(gòu)開展合作，融合保險(xiǎn)機(jī)制與網(wǎng)絡(luò)安全技術(shù)服務(wù)，基本形成網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品序列。目前我國主流網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍包括網(wǎng)絡(luò)安全財(cái)產(chǎn)損失、網(wǎng)絡(luò)安全責(zé)任損失和其他損失，承保邊界進(jìn)一步拓展，為企業(yè)提供了更豐富、更細(xì)化的投保選擇。網(wǎng)絡(luò)安全財(cái)產(chǎn)損失，是指由于投保

人因網(wǎng)絡(luò)安全事件導(dǎo)致的損失和費(fèi)用，包括營業(yè)中斷損失、網(wǎng)絡(luò)勒索損失、網(wǎng)絡(luò)欺詐損失、數(shù)據(jù)修復(fù)是指投保人因網(wǎng)絡(luò)安全事件引發(fā)的對(duì)第三方（受影響個(gè)人或機(jī)構(gòu)）的法定賠償責(zé)任所導(dǎo)致的損失，包//全財(cái)產(chǎn)損失、網(wǎng)絡(luò)安全責(zé)任損失外，投保人為處理網(wǎng)絡(luò)攻擊事件所支出的其他費(fèi)用，包括風(fēng)險(xiǎn)處置費(fèi)用、咨詢服務(wù)費(fèi)用、網(wǎng)絡(luò)安全等級(jí)評(píng)定費(fèi)用、公關(guān)費(fèi)用、法律費(fèi)用和媒體侵權(quán)賠償費(fèi)用。國內(nèi)主流網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍表3-1國內(nèi)主流網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍國內(nèi)主流網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍失失其他營業(yè)中斷損失因網(wǎng)絡(luò)安全事件造成的收入損失或利潤損失以及增加的運(yùn)營成本等，營業(yè)中斷進(jìn)一步的影響還包括降低運(yùn)營的有效性和效率導(dǎo)致服務(wù)或產(chǎn)品的延遲交付營業(yè)中斷損失投保人因遭受網(wǎng)絡(luò)勒索后，所產(chǎn)生的實(shí)際損失和相關(guān)費(fèi)用，包括調(diào)查取證、數(shù)據(jù)恢復(fù)、談判，以及所產(chǎn)生的其他損失等費(fèi)用網(wǎng)絡(luò)勒索損失注：根據(jù)中國互聯(lián)網(wǎng)金融協(xié)會(huì)、協(xié)會(huì)發(fā)布的《關(guān)于防范虛擬貨幣交易炒作風(fēng)險(xiǎn)的公告》，國內(nèi)保險(xiǎn)公司對(duì)網(wǎng)絡(luò)勒索案件的損失進(jìn)行承保時(shí)，不得承保與虛擬貨幣相關(guān)的保險(xiǎn)業(yè)務(wù)或?qū)⑻摂M貨幣納入保險(xiǎn)責(zé)任范圍，不得直接或間接為客戶提供其他與虛擬貨幣相關(guān)的服務(wù)。網(wǎng)絡(luò)勒索損失

投保人因網(wǎng)絡(luò)安全事件，導(dǎo)致其合作伙伴或所服務(wù)的用戶發(fā)生經(jīng)濟(jì)損失，投保人需要承擔(dān)第三方經(jīng)濟(jì)損失的賠償責(zé)任。如因網(wǎng)絡(luò)安全事件使得服務(wù)客戶的正常生產(chǎn)制造、內(nèi)外部運(yùn)營中斷并產(chǎn)生收入損失，第三方合作伙伴或客戶提出的經(jīng)濟(jì)賠償網(wǎng)絡(luò)安全責(zé)任數(shù)據(jù)信息泄露責(zé)任/投保人因網(wǎng)絡(luò)安全事件，導(dǎo)致其所掌握的用戶數(shù)據(jù)泄露（包括個(gè)人身份信息或客戶敏感信息等而需要承擔(dān)的賠償責(zé)任、相關(guān)法律訴訟等費(fèi)用網(wǎng)絡(luò)安全責(zé)任數(shù)據(jù)信息泄露責(zé)任/

投保人發(fā)生網(wǎng)絡(luò)安全事件后，聘請(qǐng)服務(wù)機(jī)構(gòu)針對(duì)安全事件進(jìn)行應(yīng)急響應(yīng)所產(chǎn)生的處置費(fèi)用咨詢服務(wù)費(fèi)用風(fēng)險(xiǎn)處置費(fèi)用與合規(guī)顧問溝通以遵守網(wǎng)絡(luò)安費(fèi)用咨詢服務(wù)費(fèi)用風(fēng)險(xiǎn)處置費(fèi)用CyberSecurityInsurtechWhitePaper2022網(wǎng)絡(luò)安全保險(xiǎn)科技白皮書 3-1國內(nèi)主流網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍網(wǎng)絡(luò)安全等級(jí)評(píng)定費(fèi)用網(wǎng)絡(luò)安全等級(jí)評(píng)定費(fèi)用失失其他外包商數(shù)據(jù)安全信息泄露責(zé)任網(wǎng)絡(luò)欺詐損失/外包商數(shù)據(jù)安全信息泄露責(zé)任網(wǎng)絡(luò)欺詐損失/

投保人的數(shù)據(jù)托管服務(wù)商因被泄露信息主體因此向投保人索賠，投保人可能承擔(dān)的法定賠償責(zé)任

投保人遭遇網(wǎng)絡(luò)安全事件后，原有的認(rèn)證評(píng)級(jí)水平受到負(fù)面影響，而產(chǎn)生的重新評(píng)級(jí)認(rèn)證的費(fèi)用此引發(fā)的數(shù)據(jù)恢復(fù)費(fèi)用心數(shù)據(jù)丟失、損毀或被篡改，由投保人因遭受惡意攻擊，導(dǎo)致核此引發(fā)的數(shù)據(jù)恢復(fù)費(fèi)用心數(shù)據(jù)丟失、損毀或被篡改，由投保人因遭受惡意攻擊，導(dǎo)致核減損而所產(chǎn)生的名譽(yù)恢復(fù)費(fèi)用絡(luò)安全事件后，投保人社會(huì)聲譽(yù)投保人發(fā)生信息丟失、泄露等網(wǎng)公關(guān)費(fèi)用媒體侵權(quán)賠償計(jì)算機(jī)修復(fù)、更換損失數(shù)據(jù)修復(fù)費(fèi)用公關(guān)費(fèi)用媒體侵權(quán)賠償計(jì)算機(jī)修復(fù)、更換損失數(shù)據(jù)修復(fù)費(fèi)用

法律費(fèi)用保險(xiǎn)人發(fā)生信息丟失、泄露事件后可能被客戶索賠，而產(chǎn)生的聘請(qǐng)律師等應(yīng)對(duì)訴訟的費(fèi)用法律費(fèi)用的法律費(fèi)用、賠償?shù)葥p失的法律費(fèi)用、賠償?shù)葥p失行為，被第三方提出索賠而產(chǎn)生網(wǎng)站、博客和社交媒體等）不當(dāng)投保人因其在線媒體內(nèi)容（包括CyberSecurityInsurtechWhitePaper2022網(wǎng)絡(luò)安全保險(xiǎn)科技白皮書 產(chǎn)業(yè)鏈及廠商生態(tài)現(xiàn)狀解決方案層、應(yīng)用層提供商。表3-2網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)鏈產(chǎn)業(yè)鏈結(jié)構(gòu)層產(chǎn)業(yè)角色產(chǎn)業(yè)鏈結(jié)構(gòu)層產(chǎn)業(yè)角色上游基礎(chǔ)設(shè)施層，提供支撐的技術(shù)服務(wù)、支撐產(chǎn)品及服務(wù)設(shè)計(jì)的數(shù)據(jù)源上游案中游 解決方案層，提供網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)及解決案下游 應(yīng)用層，提供網(wǎng)絡(luò)安全保險(xiǎn)保單

/提供商、網(wǎng)絡(luò)安全廠商保險(xiǎn)科技公司、網(wǎng)絡(luò)安全廠商、其他第三方風(fēng)險(xiǎn)管理技術(shù)機(jī)構(gòu)、安全事件定責(zé)定損機(jī)構(gòu)保險(xiǎn)公司、保險(xiǎn)經(jīng)紀(jì)公司由于網(wǎng)絡(luò)安全保險(xiǎn)所涉及的領(lǐng)域技術(shù)及專業(yè)性門檻高，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)復(fù)雜性明顯，在網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈中，第三方風(fēng)險(xiǎn)管理技術(shù)服務(wù)機(jī)構(gòu)逐漸成為整個(gè)生態(tài)中的關(guān)鍵角色。以網(wǎng)絡(luò)安全廠商、保險(xiǎn)科技公司為代表的第三方風(fēng)險(xiǎn)管理技術(shù)服務(wù)機(jī)構(gòu)承擔(dān)風(fēng)險(xiǎn)評(píng)估相關(guān)能力，借助其數(shù)據(jù)、技術(shù)優(yōu)勢鏈接保險(xiǎn)供需雙方，在保險(xiǎn)流程中發(fā)揮重要作用。此外，在產(chǎn)業(yè)融合發(fā)展挑戰(zhàn) 10國保險(xiǎn)公司陸續(xù)開始提供網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)則是在2017展階段，正在以城市為單位發(fā)展區(qū)域試點(diǎn)、樹立標(biāo)桿場景。以上海為例，一方面保險(xiǎn)行業(yè)發(fā)達(dá)，另一方面應(yīng)用場景豐富，具備率先發(fā)展網(wǎng)絡(luò)安全保險(xiǎn)的基礎(chǔ)條件。作為全球金融、經(jīng)濟(jì)中心，上海不僅擁有大量關(guān)鍵基礎(chǔ)設(shè)施、重要信息系統(tǒng)和海量用戶資培育在線新經(jīng)濟(jì)“數(shù)商”方面重點(diǎn)發(fā)力，這些基礎(chǔ)也為網(wǎng)絡(luò)安全保險(xiǎn)帶來了更多新的應(yīng)用場景。

保險(xiǎn)公司為投保企業(yè)提供保單之前，上游和中游的各類市場主體也將根據(jù)網(wǎng)絡(luò)安全保險(xiǎn)的特殊屬性，不僅在風(fēng)險(xiǎn)管理方面，還在網(wǎng)絡(luò)安全事件數(shù)據(jù)、網(wǎng)絡(luò)安全服務(wù)及定責(zé)定損等方面提供支撐能力。未來，仍然需要多元主體聚集，整合各方優(yōu)勢資源，深化跨行業(yè)合作，共同完善網(wǎng)絡(luò)安全保險(xiǎn)的產(chǎn)業(yè)發(fā)展。聚焦網(wǎng)絡(luò)安全保險(xiǎn)市場，需求的驅(qū)動(dòng)、產(chǎn)品的迭代、生態(tài)企業(yè)的涌現(xiàn)，使得這一行業(yè)亟待突破，與此同時(shí)，我國在網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)融合發(fā)展、產(chǎn)品及服務(wù)的市場化探索及發(fā)展過程中，存在的相應(yīng)挑戰(zhàn)與亟待克服的難點(diǎn)也需要進(jìn)一步引起重視。（1）數(shù)據(jù)來源：信息披露機(jī)制不足網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品及服務(wù)的設(shè)計(jì)無法脫離數(shù)據(jù)源，不論是針對(duì)特定風(fēng)險(xiǎn)場景的網(wǎng)絡(luò)安全保險(xiǎn)還是風(fēng)險(xiǎn)量化評(píng)估、定價(jià)核保、理賠定損等，這些能力的構(gòu)建不僅需要技術(shù)支撐，也更需要多源數(shù)據(jù)作為CyberSecurityInsurtechWhitePaper2022網(wǎng)絡(luò)安全保險(xiǎn)科技白皮書 基礎(chǔ)。當(dāng)前網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)所需求的數(shù)據(jù)包括：①保險(xiǎn)數(shù)據(jù)，即相關(guān)行業(yè)、投保企業(yè)歷史在網(wǎng)絡(luò)安全領(lǐng)域的投保數(shù)據(jù)、理賠數(shù)據(jù)；②風(fēng)險(xiǎn)數(shù)據(jù)，即相關(guān)行業(yè)面臨的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)、投保企業(yè)當(dāng)前切實(shí)存在的風(fēng)險(xiǎn)點(diǎn)、過往發(fā)生的網(wǎng)絡(luò)安全事件信息以及風(fēng)險(xiǎn)造成的損失數(shù)據(jù)等；③公開數(shù)據(jù)，即在公開網(wǎng)絡(luò)上可以查詢和獲取的事件與數(shù)據(jù)。然而，在此背景下，網(wǎng)絡(luò)安全保險(xiǎn)行業(yè)卻面臨數(shù)據(jù)的信息披露機(jī)制不足的問題。一方面，伴隨國內(nèi)網(wǎng)絡(luò)安全事件信息披露機(jī)制不足、信息不透明導(dǎo)致公開數(shù)據(jù)有限、風(fēng)險(xiǎn)數(shù)據(jù)不足、整體數(shù)據(jù)不完整或質(zhì)量較差，使得現(xiàn)有數(shù)據(jù)無法側(cè)寫投保人的風(fēng)險(xiǎn)畫像；另一方面，保險(xiǎn)公司的既往保險(xiǎn)數(shù)據(jù)與網(wǎng)絡(luò)安全公司所掌握的風(fēng)險(xiǎn)數(shù)據(jù)存在行業(yè)壁壘，導(dǎo)致保險(xiǎn)公司無法獲取跨行業(yè)數(shù)據(jù)，使得數(shù)據(jù)無法有效共享和利用，繼而無法發(fā)揮價(jià)值。（2）行業(yè)標(biāo)準(zhǔn)：行業(yè)規(guī)范明顯缺乏行業(yè)標(biāo)準(zhǔn)規(guī)范體系是擴(kuò)大市場規(guī)模的重要前提，《網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)規(guī)范》等標(biāo)準(zhǔn)規(guī)范的發(fā)布意味著網(wǎng)絡(luò)安全保險(xiǎn)正在走向規(guī)范化。然而，網(wǎng)絡(luò)安全在行業(yè)規(guī)范、產(chǎn)品標(biāo)準(zhǔn)等方面仍存在挑戰(zhàn)，需要加快推動(dòng)完善規(guī)范體系。由于風(fēng)險(xiǎn)場景、業(yè)務(wù)需求的差異化，網(wǎng)絡(luò)安全保險(xiǎn)難以制定通用標(biāo)準(zhǔn)類產(chǎn)品，市面上網(wǎng)絡(luò)安全保險(xiǎn)在保單術(shù)語方面大多存在差異，針對(duì)投保企業(yè)的風(fēng)險(xiǎn)量化評(píng)估、索賠依據(jù)判斷也缺乏標(biāo)準(zhǔn)參考，這些問題為提升網(wǎng)絡(luò)安全保險(xiǎn)社會(huì)認(rèn)知、優(yōu)化客戶服務(wù)、打造示范效應(yīng)行業(yè)案例帶來一

定障礙。（3）產(chǎn)業(yè)協(xié)同：產(chǎn)業(yè)鏈空缺亟待填補(bǔ)網(wǎng)絡(luò)安全保險(xiǎn)的理想產(chǎn)業(yè)生態(tài)角色應(yīng)當(dāng)涵蓋保/網(wǎng)絡(luò)安全廠商；保險(xiǎn)科技公司、第三方風(fēng)險(xiǎn)管理技術(shù)機(jī)構(gòu)、安全事件定責(zé)定損機(jī)構(gòu)；保險(xiǎn)公司、保險(xiǎn)經(jīng)紀(jì)公司。目前，網(wǎng)絡(luò)安全保險(xiǎn)的產(chǎn)業(yè)鏈存在角色缺失、角色不明晰等現(xiàn)象，從而使得網(wǎng)絡(luò)安全保險(xiǎn)在產(chǎn)業(yè)化發(fā)展的過程中受到一定影響。譬如國內(nèi)缺乏定責(zé)定損缺乏專門機(jī)構(gòu)組織，使得網(wǎng)絡(luò)安全事件判定模糊；缺乏數(shù)據(jù)源提供商，使得不同行業(yè)、不同領(lǐng)域的數(shù)據(jù)無法互通互利，為網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品設(shè)計(jì)及產(chǎn)業(yè)發(fā)展造成基礎(chǔ)設(shè)施層的阻礙，同時(shí)也一定程度上影響了網(wǎng)絡(luò)安全產(chǎn)業(yè)和網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)融合。（4）市場態(tài)度：社會(huì)認(rèn)知有待提高從市場主體來看，部分市場主體對(duì)于發(fā)展網(wǎng)絡(luò)安全保險(xiǎn)已經(jīng)形成一定共識(shí)。從社會(huì)層面來看，一些中小企業(yè)對(duì)于網(wǎng)絡(luò)安全保險(xiǎn)的認(rèn)知與接受度則還有待提高。圍繞網(wǎng)絡(luò)安全保險(xiǎn)的認(rèn)知不足導(dǎo)致企業(yè)對(duì)于投保存在擔(dān)憂，包括保險(xiǎn)機(jī)構(gòu)囿于自身業(yè)務(wù)累計(jì)，能否完全知曉并判斷當(dāng)前不斷演變的網(wǎng)絡(luò)安全威脅，保險(xiǎn)機(jī)構(gòu)如何根據(jù)客戶不同類型安全成熟度及不同業(yè)務(wù)風(fēng)險(xiǎn)類型提供合適的產(chǎn)品等。造成這一問題的因素可能是網(wǎng)絡(luò)安全保險(xiǎn)的市場推介力度不足、網(wǎng)絡(luò)安全保險(xiǎn)的市場占有率不高、標(biāo)桿案例缺乏等，因此導(dǎo)致部分企業(yè)對(duì)網(wǎng)絡(luò)安全保險(xiǎn)持觀望態(tài)度。CyberSecurityCyberSecurityInsurtechWhitePaper2022PAGE25PART4科技智繪網(wǎng)絡(luò)安全保險(xiǎn)新業(yè)態(tài)3全球范圍內(nèi)的創(chuàng)新探索85/（響應(yīng)//專家咨詢）、理賠服務(wù)。企業(yè)企業(yè)概況企業(yè)企業(yè)概況核保服務(wù)承保服務(wù)出險(xiǎn)/理賠服務(wù)其他客戶估值融資風(fēng)險(xiǎn)評(píng)估保險(xiǎn)定價(jià)保險(xiǎn)定價(jià)風(fēng)險(xiǎn)監(jiān)測據(jù)恢復(fù)//）理賠服務(wù)營銷眾安科技 / /險(xiǎn)021）/源堡科技（2021）-Bay 3.22元1.5（2021）

含報(bào)告 保紀(jì)人 MGABitsightCoalition臺(tái)（2021）美元/ResilienceCybercube臺(tái)（2021）美元/Resilience

0101/00

E輪；2.5（2021）2.5E.05（2019）美元Gi（2019）

級(jí)含報(bào)告

態(tài)

紀(jì)人圖4-1網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)服務(wù)梳理投保企業(yè)風(fēng)險(xiǎn)狀況等數(shù)據(jù)源，對(duì)企業(yè)進(jìn)行風(fēng)險(xiǎn)梳理與評(píng)估，一般以風(fēng)險(xiǎn)評(píng)估報(bào)告或安全評(píng)級(jí)結(jié)果為展示形態(tài)。以眾安科技為例，其基于眾安保險(xiǎn)的海量理賠數(shù)據(jù)及公開情報(bào)數(shù)據(jù)形成風(fēng)險(xiǎn)數(shù)據(jù)庫，并根據(jù)行業(yè)監(jiān)測和風(fēng)險(xiǎn)動(dòng)態(tài)對(duì)風(fēng)險(xiǎn)數(shù)據(jù)庫反復(fù)更新迭代。在風(fēng)險(xiǎn)數(shù)據(jù)庫的支撐下，得以構(gòu)建風(fēng)險(xiǎn)評(píng)估模型，并通過資產(chǎn)風(fēng)險(xiǎn)核查、資產(chǎn)測繪、漏洞掃描、風(fēng)險(xiǎn)評(píng)估問卷等系列評(píng)估手段，對(duì)投保企業(yè)進(jìn)行全面的0納為企業(yè)風(fēng)險(xiǎn)評(píng)估的參考因素。保險(xiǎn)定價(jià)是以風(fēng)險(xiǎn)量化、定級(jí)為參考基準(zhǔn)，將風(fēng)險(xiǎn)結(jié)果轉(zhuǎn)化為核保依據(jù)與定價(jià)參考，實(shí)現(xiàn)自動(dòng)化精準(zhǔn)定價(jià)。不過，網(wǎng)絡(luò)安全保險(xiǎn)的定價(jià)模型一般需要結(jié)合本國或本地區(qū)的風(fēng)險(xiǎn)數(shù)據(jù)，考慮到不同地區(qū)在法律法規(guī)、網(wǎng)絡(luò)安全成熟度水平、監(jiān)管水平上存在較大差異，網(wǎng)絡(luò)風(fēng)險(xiǎn)所呈現(xiàn)的損失形態(tài)也存在區(qū)別，因此網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)在設(shè)置定價(jià)模型的過程中，需要考慮到對(duì)應(yīng)的風(fēng)險(xiǎn)因子。風(fēng)險(xiǎn)監(jiān)測是網(wǎng)絡(luò)保險(xiǎn)科技服務(wù)的一部分，其有別于企業(yè)原有的安全風(fēng)險(xiǎn)監(jiān)測預(yù)警系統(tǒng)，更聚焦于承保風(fēng)險(xiǎn)狀況，并基于保險(xiǎn)視角對(duì)承保范風(fēng)險(xiǎn)相關(guān)的流量、日志、報(bào)警信息進(jìn)行實(shí)時(shí)監(jiān)測和記錄。大SaaS署。如果企業(yè)出于管控考慮，也可以不額外部署網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)提供的風(fēng)險(xiǎn)監(jiān)測系統(tǒng)，但也可能造成最后理賠階段，由于對(duì)承保風(fēng)險(xiǎn)的記錄和分析缺失或遺落，導(dǎo)致理賠依據(jù)不足的可能性。溯源追蹤、數(shù)據(jù)恢復(fù)、專家咨詢等服務(wù)。目前網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)更傾向于與網(wǎng)絡(luò)安全公司合作，7x24

理賠是由保險(xiǎn)公司根據(jù)保單進(jìn)行賠付，而定責(zé)定損等理賠配套服務(wù)則由網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)提供。出險(xiǎn)不一定意味著理賠，只要在確定責(zé)任、明確損失、確認(rèn)相應(yīng)損失屬于承保范圍后，才會(huì)進(jìn)入理賠階段。除了圍繞保險(xiǎn)各個(gè)流程環(huán)節(jié)的配套服務(wù)，部分網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)會(huì)提供針對(duì)保險(xiǎn)經(jīng)紀(jì)人/經(jīng)紀(jì)商的專業(yè)分銷平臺(tái)。通過幫助保險(xiǎn)公司構(gòu)建網(wǎng)絡(luò)具體形式即保險(xiǎn)科技公司基于多源數(shù)據(jù)構(gòu)建自有企業(yè)風(fēng)險(xiǎn)數(shù)據(jù)庫，保險(xiǎn)經(jīng)紀(jì)人可以通過工具/平臺(tái)快速了解對(duì)應(yīng)企業(yè)的風(fēng)險(xiǎn)情況，并獲得針對(duì)該企業(yè)的保險(xiǎn)方案，涵蓋推薦承保范圍、保險(xiǎn)定價(jià)等信息。通過自動(dòng)化的核保、即時(shí)報(bào)價(jià)和快速響應(yīng)，使得保險(xiǎn)科技公司為保險(xiǎn)經(jīng)紀(jì)商和投保人、保險(xiǎn)公司之間構(gòu)建更快捷的承保通道。1：SaaSSaaS提供商的安全痛點(diǎn)：益于低成本和便捷部署的優(yōu)勢，SaaS(軟件即服務(wù))服務(wù)已成為訪問重要業(yè)務(wù)應(yīng)用程序的主要手段。與任何企業(yè)一樣，SaaS提供商同樣會(huì)遭受惡意攻擊與安全風(fēng)險(xiǎn)。不同的是，其一旦遭受攻擊，往往會(huì)“殃及池魚”，引發(fā)第三方風(fēng)險(xiǎn)、造成安全的“多米諾骨牌效應(yīng)”。案例背景：北京締聯(lián)科技有限公司作為一家典SaaSSaaS企業(yè)提供專業(yè)財(cái)稅服務(wù)。由于發(fā)票在企業(yè)經(jīng)營過程中是保證票、庫、賬、款、稅一致的紐帶，也是唯一商事憑證，因此，締聯(lián)科技服務(wù)的大型企業(yè)十分重視發(fā)票數(shù)據(jù)存儲(chǔ)的安全性。一旦出現(xiàn)網(wǎng)絡(luò)安全事很可能面臨巨額賠償?shù)认嚓P(guān)風(fēng)險(xiǎn)，影響品牌信譽(yù)和業(yè)務(wù)進(jìn)展，后果不堪設(shè)想。網(wǎng)絡(luò)安全保險(xiǎn)科技公司：眾安科技案例保單的承保范圍：網(wǎng)絡(luò)安全責(zé)任損失。由眾安保險(xiǎn)對(duì)締聯(lián)科技的數(shù)據(jù)保密責(zé)任、數(shù)據(jù)安全責(zé)任承保。不僅對(duì)于發(fā)生在保單期限內(nèi)的意外事故導(dǎo)致的數(shù)據(jù)庫泄露以及相關(guān)客戶損失進(jìn)行保單范圍內(nèi)賠償，并且提供法律訴訟相關(guān)費(fèi)用的支持。網(wǎng)絡(luò)安全保險(xiǎn)及配套科技服務(wù)：由眾安科技提供相應(yīng)服務(wù)。承保前，基于數(shù)據(jù)科學(xué)開展數(shù)字資產(chǎn)風(fēng)險(xiǎn)核查、網(wǎng)絡(luò)安全資產(chǎn)測繪、資產(chǎn)漏洞探測、數(shù)字資產(chǎn)健康性評(píng)估等一系列風(fēng)險(xiǎn)評(píng)估，同時(shí)定制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估問卷，完成締聯(lián)科技內(nèi)部管理和運(yùn)營安全風(fēng)控的全面摸排，此外在參考等保測評(píng)結(jié)果的基礎(chǔ)上，評(píng)估內(nèi)部系統(tǒng)的網(wǎng)絡(luò)安全。承保后，對(duì)承保風(fēng)險(xiǎn)進(jìn)行綜合管控，通過采集關(guān)鍵安全日志，對(duì)企業(yè)的日常運(yùn)維操作合規(guī)性、網(wǎng)絡(luò)安全健康度進(jìn)行實(shí)時(shí)監(jiān)測。發(fā)生安全事故時(shí)，協(xié)助締聯(lián)科技開展網(wǎng)絡(luò)安全應(yīng)急事件響應(yīng)和排查，最大程度降低因網(wǎng)絡(luò)威脅導(dǎo)致的損失。基于完整的解決方案鏈接，協(xié)事后響應(yīng)與補(bǔ)償?shù)臄?shù)據(jù)安全風(fēng)險(xiǎn)管理體系，形成風(fēng)險(xiǎn)閉環(huán)管理的安全運(yùn)營和風(fēng)險(xiǎn)管理機(jī)制。2：勒索攻擊下的“安全困境”勒索攻擊引發(fā)的企業(yè)痛點(diǎn)：鎖定或加密數(shù)據(jù)、索要高額贖金，并伴隨數(shù)據(jù)泄露的風(fēng)險(xiǎn)——勒索攻擊已成為困擾大多數(shù)企業(yè)的一大風(fēng)險(xiǎn)。雖然是否支付勒索贖金仍然是一個(gè)存在爭議性的問題，但勒索

攻擊給企業(yè)帶來“困境”是顯而易見的，即數(shù)據(jù)損失、財(cái)產(chǎn)損失、信任危機(jī)。案例背景：一家托管和T機(jī)系統(tǒng)和數(shù)據(jù)（包括公司客戶的數(shù)據(jù)）在一場勒索2520）的贖金時(shí)，該公司基本無法負(fù)擔(dān)損失。然而，該公司此前通過網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)、授權(quán)承保代理機(jī)構(gòu)(MGA)——Coalition購買了網(wǎng)絡(luò)安全保險(xiǎn)及配套服務(wù)。網(wǎng)絡(luò)安全保險(xiǎn)科技公司：Coalition案例保單的承保范圍：網(wǎng)絡(luò)安全財(cái)產(chǎn)損失，涵蓋業(yè)務(wù)中斷損失，取證和數(shù)據(jù)恢復(fù)成本以及網(wǎng)絡(luò)勒索本身造成的直接損失。此外，該投保公司還從Coalition購買了技術(shù)錯(cuò)誤和遺漏保險(xiǎn)，覆蓋責(zé)任風(fēng)險(xiǎn)。事件處置流程：在接到公司電話的幾分鐘內(nèi)，Coalition的安全事件響應(yīng)團(tuán)隊(duì)（SIRT）與公司員工取得聯(lián)系，從而診斷損壞并最大限度地減少進(jìn)一步的損失。在審查了相關(guān)處置信息后，T保公司進(jìn)行數(shù)據(jù)解密。在不到4Tn特幣勒索威脅，還解密了公司文件。最后通過取證工作，幫助公司防范未來的攻擊。從入侵到問題解48網(wǎng)絡(luò)安全保險(xiǎn)前沿科技應(yīng)用網(wǎng)絡(luò)安全保險(xiǎn)的未來將以“保險(xiǎn)+安全+科技”為主流模式，其中安全側(cè)的創(chuàng)新主要和網(wǎng)絡(luò)安全新理念、前沿技術(shù)的發(fā)展息息相關(guān)，是所有網(wǎng)絡(luò)安全從業(yè)者關(guān)注和投入的方向。網(wǎng)絡(luò)安全保險(xiǎn)的科技部分作為融合產(chǎn)業(yè)發(fā)展的重要力量，其應(yīng)用與發(fā)展則是網(wǎng)絡(luò)安全和保險(xiǎn)行業(yè)共同關(guān)注的焦點(diǎn)。圖4-2網(wǎng)絡(luò)安全保險(xiǎn)科技圖譜網(wǎng)絡(luò)安全保險(xiǎn)的科技創(chuàng)新點(diǎn)重點(diǎn)圍繞風(fēng)險(xiǎn)宇宙（TheRisk數(shù)據(jù)科學(xué)（Data展開。（1）風(fēng)險(xiǎn)宇宙風(fēng)險(xiǎn)宇宙是龐大的數(shù)字信息資源聚合，通過對(duì)風(fēng)險(xiǎn)信息的收集、匯總、分類梳理，將為整體風(fēng)險(xiǎn)運(yùn)營與管理提供啟示。目前網(wǎng)絡(luò)安全保險(xiǎn)領(lǐng)域的風(fēng)險(xiǎn)宇宙的落地形態(tài)最常見于風(fēng)險(xiǎn)庫/風(fēng)險(xiǎn)列表，通過動(dòng)態(tài)更新的風(fēng)險(xiǎn)庫展示特定領(lǐng)域、特定企業(yè)的風(fēng)險(xiǎn)狀態(tài)，主要包括風(fēng)險(xiǎn)頻率及風(fēng)險(xiǎn)危害程度描述。在網(wǎng)絡(luò)安全保險(xiǎn)的風(fēng)險(xiǎn)宇宙中，不僅涵蓋攻擊風(fēng)險(xiǎn)，也涵蓋企業(yè)其他經(jīng)營性風(fēng)險(xiǎn)，通過對(duì)風(fēng)險(xiǎn)庫

進(jìn)行不同顆粒度的劃分，形成圍繞行業(yè)、企業(yè)及場景等不同維度的風(fēng)險(xiǎn)描述，較粗的層次決定了風(fēng)險(xiǎn)庫可以覆蓋的范圍，較細(xì)的層次則決定了風(fēng)險(xiǎn)的落地性，能夠支持網(wǎng)絡(luò)安全保險(xiǎn)在風(fēng)險(xiǎn)界定過程中有更為確切實(shí)際的解釋、指導(dǎo)和評(píng)估。目前眾安科技等國內(nèi)外網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)已經(jīng)形成了自有風(fēng)險(xiǎn)庫，預(yù)計(jì)隨著行業(yè)發(fā)展，基于融合保險(xiǎn)考量的風(fēng)險(xiǎn)庫，網(wǎng)絡(luò)安全保險(xiǎn)科技企業(yè)將進(jìn)一步形成保險(xiǎn)行業(yè)的類“ATT&CK”的風(fēng)險(xiǎn)描述性框架。（2）技術(shù)應(yīng)用技術(shù)應(yīng)用貫穿于網(wǎng)絡(luò)安全保險(xiǎn)的產(chǎn)品設(shè)計(jì)、核保階段、承保階段、出險(xiǎn)/理賠等各個(gè)階段，主要是利用人工智能、虛擬現(xiàn)實(shí)、智能終端等前沿技術(shù)及設(shè)備，提升保險(xiǎn)全流程的智能化、自動(dòng)化。產(chǎn)品設(shè)計(jì)階段：通過數(shù)字孿生技術(shù)，科技公司可以為投保企業(yè)及保險(xiǎn)公司構(gòu)建實(shí)時(shí)實(shí)景的虛擬空間。根據(jù)保險(xiǎn)公司的組織結(jié)構(gòu)生成數(shù)字副本，形成“組織數(shù)字孿生”（DTO），模擬組織的內(nèi)部運(yùn)作與運(yùn)營行為，從中發(fā)現(xiàn)潛在問題，改進(jìn)運(yùn)營流程。核保階段：借助實(shí)時(shí)交互的視頻/效率，尤其適用于保險(xiǎn)公司人力未覆蓋到的偏遠(yuǎn)區(qū)VRAR（人壽保險(xiǎn)、汽車保險(xiǎn)、退休保險(xiǎn)還是健康保險(xiǎn)）成熟VirtualiTechnologies流通道，用于實(shí)現(xiàn)遠(yuǎn)程指導(dǎo)、取證工作。承保階段：借助數(shù)字孿生技術(shù)，通過模擬數(shù)據(jù)流預(yù)測并評(píng)估投保企業(yè)存在的可能性風(fēng)險(xiǎn)情境，預(yù)測未來安全風(fēng)險(xiǎn)，同時(shí)為網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)的整體方案提供洞察和優(yōu)化支持。出險(xiǎn)/理賠階段：索賠處理直接影響到網(wǎng)絡(luò)安全保險(xiǎn)的運(yùn)營效率與客戶滿意度，借助數(shù)字孿生、人工智能、區(qū)塊鏈等技術(shù)加快理賠流程將是科技賦能保險(xiǎn)的重要方向。通過聊天機(jī)器人引導(dǎo)投保企業(yè)自主拍攝、上傳有關(guān)出險(xiǎn)的視頻和照片，借助光學(xué)字符識(shí)別（OCR）設(shè)器學(xué)習(xí)（ML）模型，對(duì)投保企業(yè)相關(guān)網(wǎng)絡(luò)行為進(jìn)行分析，判斷是否存在欺詐行為；基于區(qū)塊鏈技術(shù)創(chuàng)建智能合約，將小額保險(xiǎn)政策嵌入到利用區(qū)塊鏈技術(shù)進(jìn)行保護(hù)和記錄的數(shù)字交易中（例如rCC/B1CyberSafety

流程），通