风险量化技术赋能网络安全保险健康发展

我国数字经济快速发展，网络安全风险随之加剧，网络安全保险作为应对网络安全风险的有效手段受到高度重视。2023 年 7 月，工业和信息化部与国家金融监督管理总局联合发布了《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》），提出要“强化网络安全技术赋能保险发展”。当前，我国网络安全保险市场处于快速发展阶段，探索风险量化技术尤其重要。本文响应《意见》要求，结合源堡科技在风险量化技术方面的实践经验，分析网络安全保险应用中的技术特点和挑战，提出风险量化技术的实践方法，为技术赋能保险发展提供参考。

一、风险量化技术应用挑战

网络安全保险是网络安全技术和保险服务的有机结合，网络安全技术在网络安全保险业务的关键环节中发挥重要作用，在风险评估、保险承保、风险控制等活动中，体现出不同的技术特点和应用挑战。

在风险评估环节，由于保险业务特点和核保风险筛选需求等因素，使得风险量化技术应用与传统风险评估有所不同。首先，需要能够快速输出评估结果，帮助保险业务人员进行风险判断并提供初步保险方案；其次，在兼顾评估准确性的同时，需要降低风险评估的技术成本；再次，需要考虑在无需用户授权或参与的情况下开展风险评估，以满足批量企业投保需求。因此，传统项目制形式的定性风险评估不再适用，兼顾快速、轻量化、无感知是投保前风险量化评估技术的主要应用特点。

在保险承保环节，是对判断是否承保风险和如何定价的过程，其中核保的关键在于通过风险量化技术建立风险的统一理解，在此基础上形成核保策略。定价则是基于风险量化结果构建保险精算模型，是对风险量化结果的应用。在核保环节，需要将安全视角下的安全事件、脆弱性等要素，转换为保险视角下的损失大小和可能性并定量描述，基于量化结果形成核保策略，同时需要考虑已承保风险池的整体风险，根据行业风险大小合理筛选风险，达到风险分散，总体风险可控要求。在定价环节，由于缺乏历史数据样本，传统保险精算模型很难对网络安全风险进行精准定价。因此，需要依靠风险量化技术分析影响定价的关键因素，基于量化结果作为输入参数构建保险精算模型，在初始小样本量情况下确保预测的准确性，并根据数据的不断积累进行持续优化。

风险控制是网络安全保险中防灾减损的重要手段，通常采用风险监测和预防控制等技术，但要满足实际业务要求：首先，需要考虑实施的便利性、效率和成本，在不干扰投保企业正常业务活动的同时，尽可能轻量化部署和实施，并实现批量化和低成本的风险监测技术手段；其次，需要精确度量风险变化状况，提高风险控制的效果；再次，网络安全风险的巨灾属性对风险控制提出了新的要求，如病毒爆发或 DDoS 攻击对承保风险池的影响，需要具备发现并预防潜在巨灾风险的能力。可见，风险量化技术在网络安全保险的不同阶段均有其技术特点和业务要求。风险量化技术不仅是风险评估技术的应用，需要结合应用特点和保险实际需求进行创新。

二、风险量化技术研究进展

国家标准《信息安全技术信息安全风险评估方法》（GB/T 20984—2022）概括描述了风险量化分析技术，它是对构成风险的各个要素和潜在损失水平赋予数值或货币金额，通过对度量风险的所有要素进行赋值，建立综合评价的数学模型，从而完成风险的量化计算。国内学者在量化技术研究中侧重对资产脆弱性、攻击方法等进行建模，如基于贝叶斯网络和贝叶斯攻击图等理论方法，是对攻击行为发生可能性进行预测并对资产受损大小进行量化。在面向保险评估的风险量化技术研究方面，由 Yang 等人提出了一种基于集成机器学习的非侵入式网络安全量化评估方法，降低了网络风险评估的难度和成本，可解决在投保前快速、低成本风险评估问题。

从财务损失角度对网络安全风险进行量化是近年来风险量化技术的主要研究方向，较有影响力的研究成果包括信息风险因子分析（Factor Analysis of Information Risk，FAIR）和 Gordon-Loeb 模型等。这类模型采用年化损失预期作为量化结果，以货币化形式描述风险大小，其简单性和易于理解性，在风险管理以及投资回报分析等方面得到应用。FAIR 是近年来颇具影响力的网络风险量化评估框架，它将网络风险事件拆解为风险因子的相互作用和叠加，以风险发生可能性和严重程度定量表示网络风险，可根据风险场景输出年化预期损失值。Gordon-Loeb 模型是确定安全最佳投资金额的第一个经济模型，它通过风险量化的货币化形式表示安全控制措施对于风险的缓解效果。国外研究人员基于 Gordon-Loeb 模型提出了安全投资和保险投资决策的竞争模型，通过量化安全投资收益和保险收益来研究两者最优组合，并证明了网络安全保险是风险管理策略的有效手段。

源堡科技结合保险业务实践，在 FAIR 基础上，提出了基于风险场景的量化评估模型，将场景相关要素分拆到对可能性和损失程度的影响关系中，对威胁源、资产、脆弱性、控制措施和相关攻击方法，建立相互作用的量化模型，通过可能性的评估和损失程度评估结果计算形成风险量化结果（如图所示）。

风险量化模型的研究为风险量化技术的应用奠定了基础，但在实际保险业务需求的前提下仍然需要解决模型输入数据的可用性和准确性等问题。另外，网络风险的影响或损失是风险量化的基本要素，而无形资产的损失估计，如声誉和数据价值等，也是风险量化技术需要解决的主要问题。

图基于风险场景的量化评估模型

三、面向保险业务需求的风险量化技术实践

(一）安全评级量化技术构建快速无感知风险评估能力

Gartner 将安全评级定义为“为组织实体提供持续的、独立的、量化的安全分析和评级服务”。安全评级通常采用非侵入式技术手段获取企业的安全数据，通过量化评分模型形成企业安全状况评分。其中安全数据的采集融合了资产测绘、资产指纹、知识图谱、威胁情报等探测分析技术，快速识别企业外部暴露资产及脆弱性信息，探测超过 200 多项安全指标，可全面反映企业的外部风险暴露状况。量化评分模型则基于对大量企业外部暴露风险的数据分析和建模，利用 AI 技术不断优化模型，提高安全评分合理性和准确性。

安全指标的设计需要结合保险保障范围所涉及的风险场景，例如从攻击者视角探查可被利用并造成营业中断、数据泄露、网络勒索等场景的脆弱性指标项。量化评分模型的构建则侧重评估安全指标对风险场景的影响，通过将资产、脆弱性与潜在安全事件建立关联，结合漏洞库、攻击方法等知识库，分析安全指标对不同风险场景发生可能性和影响大小，确定安全指标影响因子，从而使得安全评级结果可直接支持保险核保对不同风险场景的判断。

同时，由于企业内部安全控制措施直接影响风险发生概率以及损失大小，体现了企业对风险的防范能力，因此将安全控制措施的评估结合安全评级技术，能够更全面反映企业的安全状况。在模型设计上，可通过将安全控制措施作为评估指标纳入安全评级模型中，分析安全控制措施的有效性、防范风险场景发生的可能性以及降低影响的大小，纳入模型计算，形成综合安全评价，支撑核保决策和风险筛选。基于安全评级技术构建的轻量化的风险评估能力，能够有效满足保险风险评估的快速、无感知、准确性等要求。

(二）基于风险场景的量化评估模型有效支撑核保决策与定价

风险量化模型的已有研究解决了定量描述风险的问题，但如何支撑核保决策与定价，关键在于建立安全视角下的风险要素与保险保障范围所涉及的风险场景之间的关系，而基于风险场景的量化评估模型则是一种可行路径。基于风险场景构建的量化评估模型通过将网络安全要素映射到对应的保险保障范围的场景下，并量化分析各不同场景的发生概率和损失大小，采用年化预期损失以及损失超越曲线等易于理解的输出形式，在保险承保过程中更容易应用，并且使得投保企业和保险公司双方对风险理解更容易达成一致，为核保和定价等业务提供有效支持。

量化评估模型的构建包括风险场景的设计，风险计算和风险分析等过程。其中风险场景设计紧紧围绕营业中断、数据泄露或网络勒索等保险保障范围相关场景进行细化拆解。典型风险场景包括资产、威胁源、脆弱性、攻击方法、安全事件等要素，其中安全事件包括了所导致的具体损失类型。如营业中断作为一大类场景，将拆解为多个细分的风险场景，而这些风险场景涉及的安全事件均将导致营业中断这类损失。风险场景设计直接关系到模型输入数据的可用性和准确性等，风险场景中各安全要素越具体，则评估场景风险所需要的输入数据的可用性和准确性越高。模型的计算环节通过科学模拟方法解决损失估计的问题，根据历史事件数据库和专家经验估计，共同确定合理的损失范围和事件概率，对风险场景中各要素赋值，再通过大量模拟形成一定置信度下的损失分布以及年化预期损失。其中大量安全评级数据和安全事件数据的积累和分析，可以不断优化模型参数，为构建基于数据驱动的模型迭代提供了基础。模型的分析环节是对风险计算结果的应用，形成可以支撑核保决策或满足定价需求的输出，如等级化处理、排序处理和损失分布等。保险公司可根据风险等级设计核保策略，根据排序结果确定主要风险场景大小，从而为不同场景下的赔偿限额及定价提供参考。而通过构建损失超越曲线，可以为投保充足率和分项损失限额等定价方案提供输入。

基于风险场景的量化评估模型其直观的输出结果和丰富的分析能力，再为网络安全保险核保和定价提供的有力支持的同时，也为构建专业化的网络安全保险精算模型打下基础。

(三）依托风险量化分析技术实现高效智能化风险控制和预防

依托安全评级和量化评估模型等风险量化技术可有效解决保险期间风险控制的难点：一方面通过支持轻量化部署或 SaaS 化服务方式，可以实现批量化低成本的高效风险监测能力；另一方面通过对风险的量化评估，能够直观展示风险的变化情况，实现对风险变化状态的高效判断和快速处置。

聚焦企业外部风险，并基于大数据分析和人工智能的安全评级技术具有快速、轻量化和无感知的技术特点，适合应用于保险期间的风险控制。无需面向投保企业进行实际设备部署，也无需企业授权，即可快速、批量化实施投保企业的风险监测和预警，并持续跟踪企业的外部风险变化情况。量化评估模型则对风险变化的详细状况通过数值的变化进行分析和直观展示，清晰识别风险变化的方向和大小，对超过阈值的风险点进行预警和通告，实现对风险池的整体管控。量化评估模型还能够对企业潜在的安全风险进行优先级排序，针对高优先级的风险应提供快速处置建议，在保险期间的风险控制中，基于量化技术的风险优先级功能可以帮助投保企业快速高效处置风险，提高风险处置效果，进一步提升保险风控的效率和价值。

(四）基于行业风险特征的量化分析支持核保快速风险筛选

行业风险水平反映了投保企业所属行业的宏观风险状况，而不同行业的信息化程度的差异和业务特征的不同，使其外部网络威胁的水平和吸引度等均不同，也使得不同行业的风险水平呈现差异。在网络安全保险中，行业风险水平也可作为核保和定价的主要考虑因素之一，实现快速风险筛选和核保决策。评估行业风险水平仍然围绕网络安全威胁、行业安全能力水平，信息化程度以及业务活动特征等，构建影响风险发生可能性和损失大小的特征指标，基于量化分析技术，形成行业风险水平量化结果，支持核保应用。

行业风险分析基于不同行业和规模的企业风险数据样本，分别对不同行业的大中小规模样本企业的外部威胁、安全状况、业务活动特征进行归纳统计，形成外部威胁水平、安全能力水平和影响程度水平等特征指标的量化赋值，再计算行业风险水平大小。行业风险水平可通过风险热力图或行业风险地图的形式输出，形成不同规模、不同行业的风险水平划分。保险机构利用行业风险地图，可建立相应的核保策略，根据投保企业所处行业相对位置快速筛选风险，同时作为定价的参考因素。

四、风险量化评估技术的发展与展望

风险量化技术的发展是不断探索新型网络风险和满足保险业务要求并不断趋近的过程，也是对风险评估方法的不断创新并解决保险关键技术问题的过程。当前，国内网络安全保险市场步入快速发展阶段，风险量化评估技术仍然需要在业务实践中持续完善和发展。一是完善安全检测、技术评估和数据采集手段，提高数据分析能力，提升输入数据的质量和种类，提高量化评估的准确性和效率。二是优化风险量化模型，在已有模型研究基础上完善损失建模，支撑损失的精确估算，提高模型可验证能力和可解释性，解决在有限历史样本下模型预测准确性问题。三是制定风险量化评估技术标准，规范网络安全风险评估的定量分析方法，统一网络风险量化的指标和输出形式，形成业界通用的风险量化模型。四是扩展风险量化评估模型的应用范围，随着国内网络安全保险市场的快速发展，涌现出大量新型的风险场景和保险产品类型，也使得保险业务模式更加多样化。需要面向不同风险类型和风险场景，扩展风险量化技术的应用领域，如开发面向供应链风险、安全产品保险、职业责任保险（ITPI）和智能网联汽车保险等的量化评估技术，满足多样化的保险业务和产品创新需求。

综上所述，风险量化技术的发展使保险市场更清晰的理解网络空间的安全风险，掌握网络空间安全风险的特征，才能充分释放承保能力，扩大市场容量，进一步促进市场快速健康发展。

原文来源：中国信息安全

“