诸子云｜甲方：中美网络安全市场差异，可以向银行传加密数据吗？

本期为“甲方”2024第九期，统计了5.17-5.24期间的社群动态、甲方话题等。

目前，诸子云认证会员已超过3000人，包括上海、北京、深圳、杭州、武汉、厦门、西南、广州、南京、青岛、苏州、天津、佛山、济南、珠海、台州共16个分会。在5.17-5.24期间，各地分会共计新增了3位甲方专家。

Q1：RSA周刚过去，谈谈中美网络安全市场之间的差异？

“首先，安全保护的对象——互联网基础架构和应用架构，中美之间已有很大的不同；美国已经基本完成了（公有）云化和SaaS化，即大部分组织的新建应用都已经基于公有云和SaaS模式；而国内在2021年前后公有云的采用和增长速度有个体感明显的换挡，同时企业IT中SaaS的采用非常缓慢，大部分企业，尤其是央企、大中型企业、政府等的关键和主要应用依然处于传统数据中心或私有云环境中。”

“其次，安全运维方式有明显区别，尤其是远程运维和自动化方面；美国部分由于人工成本高的原因，大部分企业接受远程（集中）运维，对ICT软硬件的自动化运营能力、API开放性等有着非常高的要求。国内对于远程运维的接受度较低，对于远程运维带来的可能的数据“离境”非常敏感，本地驻场运维的比例一直很高。”

“再有，安全建设的驱动力/安全事件的后果很不同；虽然两边都有覆盖较为全面的合规性要求，但美国每年因为网络安全事故产生的诉讼、罚款、辞职和辞退、已经相关的新闻报道等非常频繁，因此，美国企业和组织对于网络安全系统的防护成效更为关注，有助于实现市场优胜劣汰，也实质上促使了网络安全市场规模的持续健康增长。这些不同深度塑造了两边大不相同的公司战略和业务形态。”

“再谈下另外一个也挺值得思考的领域。大概去年夏天，主管机构发布了促进网络安全保险发展的政策文件。其实网络安全保险从进入人们视野已有至少15年以上，记忆中大概不晚于2012年前后就已经开始在国内探索，但时至今日，我们看到，美国网络安全保险市场快速发展，至今保费收入已达百亿美元级别，而国内依然没有看到规模性的市场接受。”

“这里有什么原因带来了两边发展的巨大不同呢？”

“保险是一种复杂的商业合同，复杂度远高于一般的软硬件买卖，如何定价，如何定损和偿付需要行业大量案例和精算来支撑。美国受益于网络安全事件相关披露制度、受害人通知法案、集体诉讼机制、举报人保护制度、新闻媒体关注等多机制的关联效果，使得大量网络安全事件得以呈现并获得分析、积累的大量案例为网络安全保险提供了丰富的精算素材，网安保险索赔过程又促进了网络安全案例的客观呈现和调查。”

“另外，司法的有效介入也是一个很重要的发展因素。报案索赔和定损等过程很容易出现对事件和保险条款等理解的不一致。如果快速有效的司法或第三方仲裁体系介入，网络保险合同很容易形成纠纷，并严重妨碍被保险方的购买意愿，也就无法长期健康发展。”

“如果最后还是回到体制机制文化的问题，有时候觉得很无力。我们有没有可能在现行的体制机制下找到一个变革，或者演进的路线？”

“个人觉得不全是因为文化。之前都是follow欧美那一套，现在从基础技术(ipv6 OS 应用生态)要另起炉灶拉分支肯定有个过程。”

“单纯讲技术，那肯定是有个过程的。但是上面说的这几个原因，我认为不完全，或者不主要是技术原因。就比如用不用SaaS，用不用公有云，本质上我认为不是技术原因。比如对于安全事件的处理，监管的做法完全不一样。”

“网络安全保险从Gov这个层面来看意义不大，风险转移来转移去还是没减小。”

“网络安全保险这个事情，我也没想明白价值，感觉你说的对，Gov本质上是希望风险减少、不出事，网络安全保险可能得从这个角度开展工作。保险公司也得为了减少理赔可能性（事故发生率）为投保企业做审计和改进建议（体检） 。”

“保险最大的意义就是风险量化成钱，董事会和股东一看就懂。风险量化，从老板层面就能把投入产出比算出来。”

“如果能准确量化 当然有意义。问题是没有人能够提出一个算法，可以靠谱的评估出损失。”

“我相信算法还是有的，只是原理太复杂，计算太复杂，逻辑太复杂，所以没有得到认知、认可。所以，这个想法基本上就无法落地。保险公司都算不出来，那就别指望有人能算出来让老板看投入产出比。”

“其实买网络安全保险就是让一个非常专业的网络安全监督单位来监督你的信息安全工作，如果你没达到要求出了事情，就不承保了。”

其他甲方话题，请扫码加入诸子云知识星球。

专家会员是诸子云的立身之本，甲方专家的一举一动都能反映出当下的行业趋势、市场脉络、用户需求及应用实践等等。安在新媒体将继续关注专家会员的实时动态，一如既往地向外界输送诸子云甲方社群的最新成果，期望以此来推动更多人关注网络安全，关注甲方专家。

扫码加入诸子云。