基于风险量化的网络安全保险实践

2023 年 7 月，工业和信息化部与国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》）。《意见》作为我国网络安全保险领域的首份政策文件，立足我国网络安全保险发展现状和亟待解决的问题，其中对开展网络安全风险量化评估，给出了探索建立网络安全风险量化评估模型、支持研发网络安全风险量化评估技术等具体意见。绿盟科技聚焦网络安全保险领域，自 2018 年开始该服务探索，目前已在网络安全风险量化模型设计、评估工具支撑和实践应用等方面积累了丰富的经验。

解决网络安全风险量化问题迫在眉睫。网络安全风险量化作为网络安全保险的关键要素，对保险方案设计、产品定价等环节具有重要影响。然而，在网络安全保险业务流程中，网络安全风险量化存在着一些难点：一是对于保险公司而言，导致网络安全事件发生的原因多种多样，使得量化过程需要考虑权重和取舍，如在数据泄密责任险种中，可触发数据泄露的网络安全事件可能有勒索、数据未加密等多种情况，量化指标过严会导致购置门槛高，而过低则会加大保险公司的风险。二是对于投保企业而言，无法量化被投保系统（包括基础设施、信息资产等）可能面临的风险，意味着难以平衡保费与成本之间的关系，无法预测投入产出比，进一步加剧了对网络安全保险产品的不信任。三是对于安全厂商而言，主要依靠渗透测试和管理咨询等安全服务来支撑网络安全风险量化，但这些服务投入成本高且实施周期长，无法满足网络安全风险量化在网络安全保险中的应用需求。

网络安全风险量化促进产业融合发展。网络安全风险量化模型作为网络安全技术与网络安全保险的纽带，促进着产业间的融合发展。网络安全风险量化模型可用于指导构建详细的量化评估指标；量化指标促进投保企业对安全查漏补缺并形成更加体系化的安全防御能力，辅助保险公司灵活定价，并进一步形成更贴合企业安全需求的保险产品，并为安全厂商提供风险数据输入以刻画用户安全画像，细化安全需求点；保险公司、投保企业、安全厂商三方得益于网络安全风险量化的不断迭代，持续推动安全产业和保险产业的需求释放与高质量发展。

绿盟科技基于保险险种的定义和承保范围，将险种与安全事件关联，通过识别每类险种可能触发的安全事件（如开放端口、人员安全意识、数据管控等）形成了安全能力指标，并进一步将其与应急响应等外部影响因素相结合，构建了核保量化风险模型。风险模型重点从三个维度开展了指标设计和考虑，包括企业自身安全防护能力建设（治理能力、预警能力、保护能力、监测能力、响应能力、修复能力和反击能力等）、企业潜在安全事件发生可能性、企业受损后的业务影响程度。

绿盟科技基于勒索场景的网络安全保险 2.0 实践。为了更好地应对勒索这类与网络安全保险关联度最高的事件场景，绿盟科技以“保险+风险管控+服务”的服务理念为核心，以网络安全风险量化模型为指导，考虑攻击团伙可能的入侵路径，制定了勒索专项风险风险量化指标。同时，引入了自动化的评估流程工具链，对路径上的防御手段的有效性进行验证和评估，并在某国有控股上市金融企业进行了风险量化实践。

锁定评估范围，制定了勒索专项评估指标。基于客户调研结果，选用了 2022 年国内外五大活跃勒索家族关联的技战术进行测试用例的构建和剧本的设计，完成了评估工作的分解。

轻量化评估资产风险，无害化模拟真实场景。根据商定的评估工作分解步骤开展勒索防护能力评估，引入 SaaS 服务，例如使用外部攻击面管理服务（EASM）梳理内部资产面临的外部攻击风险，使用轻量化渗透测试服务（PtaaS）快速评估互联网资产安全态势，以及使用轻量化安全意识测评服务（InSAAS）量化安全意识水平。同时，针对国内外五大活跃勒索家族关联的技战术进行了无害化的模拟测试，并输出量化的风险评估结果，实现了勒索场景下网络安全风险的量化评估。

综合分析安全能力，完成网络安全风险量化。根据用例集定义的目标行为和实际评估测试结果，计算各过程域的评估得分，并将其映射到相应的评估等级上。根据当前的评估等级和目标评估等级，提供差距分析和改进建议，并生成勒索防护能力评估报告。

随着安全大模型在越来越多的行业应用场景中发挥作用，网络安全风险量化不仅促进了网络安全技术和保险行业的融合发展，还对整个社会在网络安全领域的认知和应用产生了积极影响。我们相信，随着大模型在网络安全和保险行业的垂直应用，将为网络安全保险产业创新带来新的动能。绿盟科技将携手金融、保险以及企业相关机构携手合作，共同探索网络安全保险领域的智能化安全，为促进网络安全保险的产业发展不断贡献力量。

原文来源：中国信息安全

“