概念界定01第一章全球網絡安全保險發展現狀051.1產業發展：風險與破局網絡051.2政策培育：加快試點探索08第二章網絡安全保險多元市場需求112.1網絡安全保險的需求本質112.2風險視角下的行業需求122.3商業視角下的場景需求152.4保險視角下的產品需求17第三章科技助推多產業深度融合183.1產業融合發展形態183.2產業鏈及廠商生態現狀233.3產業融合發展挑戰23第四章科技智繪網絡安全保險新業態254.1全球范圍內的創新探索254.2網絡安全保險前沿科技應用27第五章網絡安全保險科技發展建議305.1加強宣傳推介力度305.2推動數據要素流動305.3落實行業標準規范315.4提升產業鏈路能力31附錄網絡安全保險科技企業生態32目前，業內將"網絡安全保險"(CyberSecurityInsurance)定義為：保險人承保投保人因網絡安全事件造成的經濟損失或應承擔的法律賠償責任的保險。然而，針對網絡安全保險科技，國內外尚未形成明確的概念界定，一定程度上影響了這一產業的發展。本報告嘗試首次定義"網絡安全保險科技",為網絡安全保險產業的發展創新與變革翼定理論基礎。網絡安全保險科技(CybersecurityInsuranceTechnology;InsurTech);技術創新在網絡安全保險產業發展及其與網絡安全產業融合中的應用·將衍生新的模式、業務、流程與產品。網絡安全保險科技服務是面向投保人/保險公司/保險經紀公司，由第三方基于數據搜集、清洗整合，人工智能、云原生等技術創新應用，將保險與技術、風險工程和安全響應服務相結合，映射在投保、承保、理賠等保險環節，旨在通過科技融合保險業態與網絡安全業態，以網絡安全保險科技服務加強企業網絡安全彈性。網絡安全問題不同于傳統工程問題，由于風險的變化性與規則的難以界定，網絡安全領域的一大挑戰在于缺少數據和模型來表述變量、制定策略。當前，圍繞網絡安全風險控制與管理，業界基于閉環控制、主動防御的動態安全理念，先后提出了P2DR、P2DR2、IPDRR等多種動態風險模型。P2DR模型是由美國ISS公司提出的動態網絡安全體系的代表模型，其包括Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。P2DR2模型同樣以安全策略(policy)為中心，構造多層次、全方位和立體的區域網絡安全環境。其包括IPDRR模型來自美國國家標準與技術研究所(NationalInstituteofStandardsandTechnology;NIST)制定的CybersecurityFramework的核心內容，包括ldentify(風險識別)、Protect(安全防御)、Detect(安全檢測)、Respond(安全響應)和Recover(安全恢復)。通過對上述3個主要的網絡安全模型的拆解，可以發現基本涵蓋了安全策略、風險識別、安全防御、安全檢測、安全響應及安全恢復6大模型因子。相關模型因子與網絡安全保險相關配套服務能力進行絞合，進而可以形成一個新型的“網絡安全保險科技模型”(InsurTech-PIPDR2),從而推動網絡安全保險能夠相對無感知地嵌入企業網絡安全建設各個部分。模型因子P2模型因子P2DR模型安全策略風險識別風險識別與評估。確定業務優先級、梳理風險、影響評估、安全資源優先級劃分安全防御安全檢測發生保證業務連續性。在受到攻擊時，限制其對業務產生的影響。主要為人為干在攻擊產生時即時監測，同時監控業務和保護措施基于風險評估報告，制定整改建議，并針對保險風險進行承保，限制風險對實時監測掃描潛在風險與安全響應在安全策略指導下，通過動事件調查、評估損害、收態調整訪問控制系統的控制集證據、報告事件和恢復規則，發現并及時截斷可疑系統安全恢復飯復系統、再現攻擊行為恢復系統和修復漏洞，從企業網絡安全建設的角度來看，網絡安全保險科技模型可以與大多數企業網絡安全防御體系進行有效適年度網絡安全預算企業網絡安全建設持續改進風險識別評估風險管理安全恢復備份恢復網絡恢復數據恢復災難恢復應用恢復損失恢復安全策略網絡安全計劃權限管理策略訪問控制策略安全防御人員管理安全檢測安全檢測安全檢測安全響應安全檢測評估理賠運營在安全策略階段，企業設計頂層網絡安全策略、制定網絡安全計劃時，可以將網絡安全保險作為風險轉移的重要舉措，納入網絡安全計劃，并在規劃年度網絡安全預算時，將網絡安全保險作為擬采購的安全服務考慮其中。在風險識別階段，基于企業已部署的漏洞掃描、資產測繪等網絡安全設備/技術，網絡安全保險科未發生的或使保險對象遭受損失的風險，通過企業網絡安全體系建設、網絡安全設備和現有的安全舉措暫時無法完全覆蓋或解決的風險，安全投入產出性價比低的風險，即被視為可通過保險方式轉移的保險風險范疇),進而將風險評估結果通過量化、定級等方式，轉化為核保依據與定價參考。在安全防御階段，基于風險評估結果，協助企業制定整改建議，從而對企業面臨的可控風險進行事前主動干預，通過安全產品、技術、培訓等舉措預降低企業出險概率。在安全檢測階段，通過實時風險監測系統重點監測承保范圍內的網絡安全風險，不僅可以進一步加強企業的風險發現能力，使其成為企業風險監測系統中的重要組成部分，還將為后續理賠階段提供取證支撐。在安全響應階段，圍繞承保風險，企業可依托于網絡安全保險科技服務，借助第三方安全力量實現對安全事件的快速響應，開展事件調查、損害評估、取證報告等工作，從而為下一階段的理賠提供參考基礎。在安全恢復階段，企業可基于溯源調查結果，通過其原有的安全技術及能力進行系統恢復和漏洞修復，并優化安全運營。此外，依托于網絡安全保險科技的配套理賠服務，保險公司能夠快速完成保險義務，賠償投保企業的直接經濟損失、第三方責任賠償及備份/數據恢復等所產生的費用，幫助企業在收斂風險的同時成功完成風險轉移。技術應用VR/AR技術風險宇宙龐大的數字信息資源，將為風險運營與管理提供啟示+科技ataScience數據科學利用科學方法、流程、算法和系統從數據中提取深層價值全球網絡安全保險發展現狀網絡安全保險作為一項投保險種，早在20世紀90年代網絡安全保險作為一項投保險種，早在20世紀90年代就伴隨著IT網絡的發展及安全風險的再配置與轉移而誕生。經過20余年全球數字化經濟市場發展、網絡技術更迭，網絡安全保險已經成為數字市場經濟條件下重要的風險管理和風險轉移手段。目前，囿于全球IT網絡發展的起步時間不一、發展進程不對稱，網絡安全保險在各國各地區存在不同的市場成熟度與社會普逼接受度。其中，我國在網絡安全保險行業正處于發展前期，并開始進入風口階段。與此同時，借助科技手段，跨行業、跨領域開展網絡安全保險，成為保險行業發展的又一市場增長點，有潛力挖掘一個千億乃至萬億級的藍海市場。風險是驅動企業投保的首要動力。企業在經營過程中，會面臨內部風險和外部風險，前者包括戰略風險、財務風險、運營風險、操作風險，后者包括法律合規風險、技術風險、市場風險、產業風險等。若要保證企業網絡安全，就要將企業可能存在的人為、系統安全、操作風險等多重運營風險及法律合規風險降低到可控的范圍之內。隨著網絡攻擊、網絡安全違規事件的頻繁發生，企業為維護正常經營，除加強自身防火墻、加密與認證、網絡入侵檢測等安全基礎設施建設之外，從成本收益優化的目的出發，也會購買網絡安全保險進行增強防護?？梢哉f，安全基礎設施建設是風險緩解的主要措施，而網絡安全保險是風險轉移的最佳選擇，兩者的結合成為企業安全最高效的投資組合。保險層面，以往其他財產保險的承保范圍越來越無法全面、有針對性地保護企業免受網絡風險侵害。為減少網絡風險帶來的巨額攻擊損失和合規成本，網絡安全保險應運而生。從網絡安全保險推出至今，投保規模隨著網絡技術的飛速發展而不斷增長。據ResearchAndMarkets發布的《2022年全球網絡安全保險市場報告》顯示，2021年網絡安全保險市場規模為92.9億美元，2022年約為119億美元，預計到2027年將達到292億美元，年復合年增長率19.47%,體現出巨大的市場需求和發展空間?？梢灶A見，隨著萬物互聯、IT勞動力短缺，全球網絡安全保險市場規模將進一步爆發。(1)網絡安全保險產業發展歷程在過去30年時間里，全球的網絡安全保險產業發展經歷了起步、逐步發展和快速上升三個階段。20世紀90年代，全球網絡安全保險進入萌芽階段，保險公司和安全企業的合作模式初步確立。在發展初期，網絡安全保險的主要模式是通過保險為安全公司的服務增信，同時為用戶提供涵蓋保險服務的全面風險管理解決方案。在這個時期，保險的承保范圍僅涵蓋對第一方損失(企業自身經營風險)的保障·主要存在投保企業獲客渠道受限，風險分散能力、量化能力薄弱，客戶網絡安全風險意識淡薄和法律法規缺失等問題。21世紀10年代，網絡安全保險進入初步探索階段。隨著企業合規要求的提高以及企業風險意識合規政策推動了網絡安全的發展。一系列網絡安全法律法規的出臺和監管政策的強化執行，使網絡安全保險的投保需求得到釋放。保險公司也推出綜合險的產品，將第一方損失和第三方損失均納入了承保范圍。另一方面，企業的安全意識也在逐步提高。在網絡安全事件頻發、經濟損失持續攀升的背景下，企業對網絡安全風險防御的逐漸重視驅動企業進行投保。在這個階段，行業發展更多地面向企業的風險管控需求，將保險服務和專業技術手段結2013年至今，全球的網絡安全保險進入快速上升階段。歐盟《通用數據保護條例》(GeneralDataProtectionRegulation,簡稱"GDPR")的生效進一步強化了數據主權的保護、加大了行政處罰的力度，并且拉動了網絡安全保險需求。同時，第三方風險管理技術服務機構開始出現，保險科技公司和網絡安全公司嶄露頭角，圍繞風險量化、保險定價、合作模式等問題進行重點發展。其中，保險科技公司負責數據收集分析、差異化保險定價、風險源頭全面監控，網絡安全公司負責通過漏洞掃描、威脅發現，利用專業手段協助客戶方抵御安全風險。在保險服務和網絡安全科技的融合助推下，網絡安推動我國網絡安全保險市場向更高水平開放、促進(2)國內外網絡安全保險主要市場歐美市場：歐美的網絡安全保險市場起步較早，目前發展較為成熟。美國是網絡安全保險的最大市場，占全球份額的90%以上；歐洲的網絡安全保險市場雖然起步比美國晚，但近幾年網絡安全事故的頻發，也加快了歐洲網絡安全保險發展與成熟的腳步。美國方面，2021年5月，美國政府問責局發布了保險經紀公司達信(Marsh)的數據，顯示各行業客戶購買網絡保險的比例從2016年的26%上升到2020年的47%。此外，2022年第一季度，美國保險的網絡定價上漲了110%,索賠活動的頻率和嚴重程度的提高大大拉動了價格的上漲，超過60%的保險客戶采取了更高的留存率來幫助抵消保費影響。網絡安全保險公司也重點關注公司的風險控制環境和網絡安全成熟度從而決定是否承保。歐洲方面，數據提供商Statista預測其網絡保險市場在2020年至2030年間將呈指數級增長，在2020年至2025年間規模翻一番，年平均增長率約為20%?？偟膩碚f，目前歐美網絡安全保險市場呈現出法律法規促進投保需求釋放、專業機構指導網絡安全保險規范發展、產業主體合作探索網絡安全保險發展路徑的特點。首先，立法層面的引導和監管拉動了網絡安全投保需求。從發展驅動因素來看，全球已有超過15個國家和地區發布了超一百部的網絡和數據安全相關法案，包括美國《計算機欺詐和濫用法》《消費者數據保護法》《統一個人數據保護法》、歐盟《通用數據保護條例》《網絡安全法案》《數據治理法案》《數據服務法案》《數據市場法案》、德國《聯邦個人信息保護法》《聯邦數據保護法》《IT安全法》、英國《國家網絡安全戰略2022-2030》、法國《法國國家數字安全戰略》在內的法律法規陸續出臺和完善，強化了各國的行業監管。巨額罰款乃至刑事處罰的威懾撬動了企業的網絡安全合規需求。以GDPR為例，截至目前為止罰款總額已超過16億歐元，單次最大罰款達7億歐元之多。因此，除加強自身網絡基礎設施建設外，企業也將目光投向了能夠抵御法律合規風險的網絡安全保險上來，激發其次，政府部門聯合行業協會等組織建立產業規范，開展網絡安全保險政策研究，強化風險應對能力。例如，美國紐約州金融服務部發布《網絡保險風險框架》,提出網絡安全保險的七步流程，為保險公司業務的開展提供指南。歐洲保險和職業養老金管理局制定“網絡承保戰略”,指明網絡風險監管優先事項，并鼓勵優秀產業實踐應用推廣。德國保險協會也為中小企業制定了標準化網絡安全保險保單模板，目前已被國內約50%的保險公司采用。第三，產業主體合力探索，推動網絡安全保險發展。一是明確承保范圍、引領市場規范化發展。例如，歐洲保險公司勞合社于2016年發布《勞合社網絡攻擊風險應對戰略》,要求旗下保險公司明確網絡安全承保范圍，促進市場規范化發展。二是促進數據共享、優化保險模型。歐洲保險和職業養老金管理局于2021年發布《開放式保險：訪問和共享框架"、開放訪問及共享保險數據，擴大網絡保險保科奇(HenryRKSkeoch)在IT安《Computers&Security》上發表文章稱可以基于戈登-洛布(Gordon-Loeb)模型構造競爭性網絡安全和投資決策的GL-Cl保險模型，以便更科學地確定保險索賠概率。三是探索創新發展模式、發揮人工智能等技術優勢。例如利用Al技術強化分析能力，生成實時監測圖景，提高決策的速度和準確性；以及實現常規風險的選擇、定價和欺詐檢測自動化，從而降低賠付率與恢復費用。中國市場：我國網絡安全保險產業起步較晚，存在企業投保需求受眾還需進一步激活、保險公司風險把控能力還需提升、網絡安防技術尚待與保險評估定損流然而，伴隨著網絡安全系列法律法規的實施落地、重要行業領域網絡安全頂層設計的密集出臺，我國網絡安全保險產業已迎來發展機遇期。根據中國工業信息安全發展研究中心基于頭部財產保險公司網絡安全保險保費數據以及行業集中率測算，2021年我國網絡安全險保費規模達到7080萬元，最高保額超4億元，較上一年增長3.2倍以上，呈目前我國網絡安全保險市場具有發展環境持續優化、保險業與網絡安全產業主體融合探索、網絡一是網絡安全保險受到政府部門的高度關注。國家層面，《網絡安全法》《數據安全法》《個人信息保護法》陸續頒布實施，使我國網絡安全法律體系框架基本搭建完成；行業主管部門層面，圍繞政策制定、產品開發、服務模式創新等方面進行了積極探索與規則細化(詳見“1.2政策培育：加快試點探索"表格1-1)。二是保險公司開始網絡安全保險本土化”嘗試，開發多種網絡安全保險產品，與網絡安全科技企業融合發展。例如，眾安網絡安全保險面向不同行業、場景的差異化網絡安全風險管理需求，推出了不同層次的網絡安全保險產品矩陣，服務各體量類型客戶的投保需求；同時，為企業提供基于保險的主動安全合規、主動風險管理、主動安全運營的一站式服務，助力企業在數字經濟時代提升數字化資產安全防護水平和風險對抗能力。三是數字化轉型深入推進，網絡風險的防護意識不斷提升。隨著網絡安全保險的落地案例逐漸增多，一些重點行業的投保需求逐步提高。例如易遭受網絡攻擊的金融、制造業企業，關鍵信息基礎設施運營單位，外資、合資或具備海外業務的中資企業，為了規避網絡攻擊造成的巨大經濟損失風險、尋求風險轉移，都將有越來越強烈的網絡安全保險購買意愿。1.2I政策培育：加快試點探索我國的網絡安全保險產業呈現出起步晚、發展快的特點。產業的快速發展不僅源于需求側的增長，也得益于相關政策的引導培育。"國民經濟和社會發展十四五規劃和2035年遠景目標綱要”提出，要壯大人工智能、大數據、區塊鏈、云計算、網絡安全等新興數字產業，催生新產業新業態新模式。2022開年之際，我國監管部門先后發布《銀行保險機構信息科技外包風險監管辦法》《金融科技發展規劃(2022-2025年)》《關于銀行業保險業數字化轉型的指導意見》《金融標準化“十四五”發展規劃》等一系列文件，明確了保險數字化轉型的目標和任務，為保險創新發展提供堅實的政策基礎，促進保險服務進入數字化新周期。與此同時，聚焦試點探索起步、政府規范引導、相關標準出臺、安全即服務趨勢加強等發展特點，為更好地保障企業的網絡安全、推進網絡安全保險規范運營、夯實網絡安全保險保障工作基礎，各相關部門也在上述政策的指導下，接連出臺了一系列關于網絡安全保險的指引性文件。發布時間發布時間2022年7月文件文件由貿易試驗區臨港新片區科技保險創新引領區工作方案的通知》鼓勵保險機構加強與網絡安全領域科技企業的合作，創新網絡安全保險服務模式，促進網絡安全產業與保險業共贏發展，為企業提供安全、可靠的網絡環境。提倡發展"保障+風控+服務"三位一體的新型網絡安全保險，集保險與網絡安全企業合力，為企業研發綜合性的保險解決方案。發布時間部門文件2022年6月公安部《關于落實網絡安全保護重點措施深入實施網絡安全等級保護制度的指導意見》探索開展網絡安全保險。研究網絡安全保險相關政策和標準規范，共同培育市場，試點先行，構建"保險+風險管控+服務"模式，提升網絡安全社會治理能力。1)推進安全服務化布局，倡導安全即服務”理念鼓勵企業設立安全運營服務中心，由提供產品向上海市經濟信息化委市委網信辦市發展改革委市科委市財政局市通信管理局《上海市建設網絡安全產業創新高地行動計劃(2021-2023年))提供服務和解決方案轉變。引導黨政部門和重點企事業單位提升網絡安全服務采購比例。管理和服務創新能力，構建覆蓋多層面的保險服務機制，培育事前預防、事中防護、事后補償的全周期網絡安全保險服務保障模式。上海市經信委和銀保監局/成立網絡安全保險專班?！毒W絡安全產業高質量發展三年行動計劃(2021-20231)應強化產融合作機制建設，探索開展網絡安全保險，加快網絡安全保險政策引導和標準制定，強化網絡安全風險應對能力。2)面向電信和互聯網、工業互聯網、車聯網等領域，開展網絡安全保險服務試點。2020年12月中國銀行保險監督管理委員會《互聯網保險業務監管辦法》共5章83條，包括總則、基本業務規則、特別業務規則、監督管理和附則。重點內容包括：一是厘清互聯網保險業務的適用和銜接政策；二是規定互聯網保險業務經營要求；三是規范互聯網保險營銷宣傳；四是規范互聯網保險售后服務；五是按經營主體分類監管，規定特殊業務規則”六是完善監管政策和制度措施，做好政策實施過渡安排。中國銀保監《推動財產保險業高質量發展三年行動方案(2020—支持財產保險公司制定數字化轉型戰略，加大科技投入和智力支持，打造具備科技賦能優勢的現代保險企業。鼓勵財產保險公司利用大數據、云計算、區塊鏈、人工智能等科技手段，對傳統保險操作流程進行更新再造，提高數字化、線上化、智能化建設水平。2019年9月工信部《關于促進網絡安全產業發展的指導意見(征求意見稿)》探索開展網絡安全保險服務。CyberSecurityInsurtechWhitePaper發布時間發布時間2022年6月協會求》(征求意見稿)求》(征求意見稿)2022年6月協會力評價指南》(征求意見稿)價程序。同時，標準中還包括附錄A,內容為網2022年5月(征求意見稿)要求。2022年3月盟評估指引》弱性分別進行計算，最終得出一個具體的風險分風險分值與風險等級用于評判、衡量擬投保保險盟估實施指南》(征求意見稿)試圖通過建立一套風險評估指標、流程、內容，風險分值，定量化地呈現擬投保系統網絡安全風險狀況，為后續開展網絡安全保險業務提供參考依據。網絡安全保險多元市場需求需求是產業發展及創新的首要生產力需求是產業發展及創新的首要生產力，網絡安全保險的發展則離不開其背后的多層次需求。聚焦成本收益、行業需求、商業場景需求等多角度，探究網絡安全保險市場需求本質，以中微觀視角建立風險認知，為企業是否應該選擇網絡安全保險、開展風險控制工作提供前置視角。2.11網絡安全保險的需求本質目前，在網絡安全空間的威脅與防御保持持續對抗、水漲船高的狀態下,企業無法通過某一個策略、產品或技術全面消除所有風險。因此，安全建設成為企業面臨的一項長期性、持續性工作。當前企業的防御視角以風險管理、風險控制為主，通過調整組織架構、完善管理機制、采購或部署安全產品構建綜合防御體系，最終形成涵蓋掃描、檢測、溯源處置的防御鏈條。然而，即便企業開展大量的安全建設工作以提升網絡安全成熟度，復雜且層出不窮的安全風險仍然無法窮舉、無法被徹底消除。面對殘余安全風險一定風險，并通過保險手段轉移風險。網絡網絡安全收益(網絡安全成熟度/網絡安全防護能力)術-緩釋/收0網絡安全投入企業網絡安全建設的本質不僅僅是安全問題，也是成本收益問題。而網絡安全保險需求的本質也不僅僅是風險轉移，還包含成本收益的衡量。風險值等次級損失，而安全建設是為了以更低的成本規全投入，縱坐標為網絡安全收益，以投資回報平衡線為基準，企業在網絡安全方面投入的增長呈現明顯的邊際效用遞減趨勢。當企業網絡安全建設成熟度達到較高的水準時，企業面對殘余性風險，可以選擇繼續加大網絡安全投入。雖然仍有一定效果，但從收益性價比而言已經低于基準。這一階段往往是企業選擇網絡安全保險的一個比較適當的時期，也說明當網絡安全投入已經不足以抵消風險所帶來2.21風險視魚下的行業需求著大量已知和未知的網絡安全風險。安聯《2022年風險晴雨表》指出，勒索軟件攻擊、數據泄露、遠年網絡安全保險索賠報告》也提出，2021年下半年攻擊者對該公司投保人提出的平均贖金要求增加了20%,索賠率增加了10%,小型企業受到的影響尤為嚴重。業也遭受著更具針對性的行業攻擊。譬如電信互聯網行業普遍面臨DDoS攻擊、網絡釣魚、網絡黑灰產(撞庫)等風險，工業互聯網行業存在工控系統漏洞和設備后門、工業通信協議缺陷、供應鏈攻擊等風險，車聯網行業則遭受了車載信息交互系統漏行業難免門戶網站篡改風險、應用服務高危端口與安全漏洞和以勒索病毒為代表的惡意程序風險。若訪問、泄露、丟失等次級風險，引發業務中DDoS攻擊：電信和互聯網行業是遭受DDoS流量型DDoS攻擊(如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等)、應用層DDoS攻擊(如HttpGetFlood、CC攻擊等)、慢速DDoS攻擊以斷或停止，使正常用戶無法訪問，進而對目標企業的門檻逐漸降低，為電信互聯網行業帶來了更大的威脅。網絡釣魚攻擊的錨點。Facebook和Google在內的諸多互聯網公司一直是網絡釣魚攻擊的重點目標。從魚叉式網絡釣魚到商業郵件欺詐，網絡釣魚的方式多樣且結合時事熱點，充分利用人性漏洞，引導錯誤操作。包括將發件人偽裝成受害者信任的個體或組織，將郵件主題設置為熱點事件或工資單等與受害者息息相關的內容，將郵件附件植入病毒。一后門植入乃至系統入侵，使企業資產、內部信息暴露在攻擊者的面前，最終造成企業內部數據泄露，撞庫：撞庫是網絡黑灰產的一種類型，也是電信企業、電商等互聯網企業面臨的高風險之一。攻擊者通過弱密碼嗅探、拖庫、對高權限賬號的暴力破解等方式獲取數據。以拖庫為例，由于大多數人傾向于在多個站點上使用相同密碼，因此攻擊者首先通過編寫惡意程序對服務型網站發起攻擊，獲取大量用戶信息，再基于大量的用戶信息生成對應的字典表，從而對其他相關站點進行試探性登陸。-且用戶在其他站點上使用了相同密碼，這也意味著撞庫的成功攻擊者再次獲得更多的用戶信息。一且攻擊者通過撞庫方式獲得高價值的用戶信息，其很可能將實施二次危害，譬如破解金融賬戶，竊取或轉移受害者賬戶上的資金；出售用戶賬號、密碼及其他個人信息，使用戶遭受短信轟炸式營銷、電信詐騙；利用用戶賬號推廣非法業務、販賣違法物品、承接刷量業務等活動，從而進一步延長不法獲利鏈條，謀取更高額的非法收益。隨著黑灰產的產業鏈上下游分工精細、規模和技術提升，企業防御撞庫的難度也在增長。被撞庫的企業雖為受害者，但因其自身安全控制不到位卻(2)車聯網行業車載信息交互系統漏洞：車載信息交互系統安全與車機自身的網絡安全息息相關。由于部分車輛的車載網絡數據加密和消息驗證機制不完善，一且攻擊者發現系統漏洞、侵入車載網絡設備，就會針對漏洞進行跳板式攻擊、植入病毒程序，干擾車內部件功能，造成車載信息交互系統的網絡癱瘓、硬件故障，并泄露車主信息和出行記錄，甚至影響車車載信息交互系統由遠程信息處理器(T-BOX)是車主行車時最為常用也較容易遭遇攻擊的車內配件。通信安全風險：伴隨車輛連通性的極大擴展，這就為攻擊者利用車輛通信系統內的身份認證或數據加密缺陷發起攻擊提供了更多機會。例如，車輛通信系統一般缺乏對信息發送者身份的驗證機制，難以抵御攻擊者偽造身份進行的動態劫持；若信息在通信過程中加密強度不足，很可能被攻擊者趁勢偽造、篡改、竊取，使汽車無法識別惡意軟件，從而破壞車輛通信系統，阻斷車主獲取正常服務的途徑。車輛的通信安全主要包括車內通信安全和車外通信安全。前者是指遠程信息處理器與車內主機的雙向數據傳輸安全，負責車輛狀態信息、控制信息等的傳輸，通過CAN總線、車載以太網等技術實現車輛內部系統和設備間的通信；后者是指遠程信息處理器與云平臺間的雙向數據傳輸安全，通過車載診斷接口(OBD)、無線通信技術(WiFi4G/5G、C-V2X等)與外部實體和平臺進行信息交配套設施(App)安全：配套設施是指車企為用戶提供數字化服務、增強用戶粘性而配置的App程序。然而，智能網聯汽車端App普遍存在缺乏安全保護機制的問題。大部分車輛并未對未知或來源不明的App進行限制，甚至還保留了瀏覽器的隱藏入口，部分采取軟件防護機制的App也存在防護強度不夠的問題。攻擊者一且登錄App內部，就可以輕松獲取用戶的個人信息、獲取到根用戶權限。這就導致攻擊者可以在后臺下載惡意軟件、破解通信協議、反編譯代碼、竊取用戶數據，使車主失去(3)工控行業工控系統漏洞和設備后門：在工業互聯網中，工控系統作為關鍵信息基礎設施的組成部分，已經成為黑客攻擊的主要目標之一。傳統的工控系統在設計之初通常缺乏安全考慮，因此往往存在安全配置基線未加固、大量安全漏洞與后門存在等問題。伴隨工業互聯網的發展，工業生產環境中的智能設備與IT網絡、辦公網絡互聯，原本封閉可信的工業生產環境被打破，安全風險進一步暴露。與此同時，一且生產控制層的信息安全風險被惡意利用，攻擊者極有可能以此為跳板，進行橫向移動，對核心生產數據造成破壞。工業通信協議缺陷：工業通信協議是工業互聯網中通訊雙方控制數據傳輸的協議，用于實現數字設備與網絡之間的連接和信息傳遞，其主要有ModbusHART通信協議、MPI通信、PROFIBUS通信、工業以太網等眾多類型。隨著自動化和信息化的高度融合、物聯網的發展，工業通信協議在發布后往往被工業設施重要供應商廣泛應用，也常見于工業物聯網，然而隨之而來的是通信協議漏洞問題日益突一方面，部分工業通信協議本身就缺乏相應的安全標準，安全水平不高。網絡攻擊者只需掌握協議構造方式，通過簡單的網絡接入就可以實現對目標設備的任意數據篡改。另一方面，工業通信協議存在的安全缺陷促使攻擊者更為積極地挖掘協議漏洞，利用緩沖區溢出、拒絕服務等漏洞實現通信指令篡改及相應攻擊。伴隨工控網絡與外部網絡連接的進程加快，攻擊者也將更容易通過網絡探測、鎖定和攻擊目標，給工業互聯網企業帶來高額損失。供應鏈攻擊：在工業互聯網發展過程中，供應鏈是其中不可缺少的組織形態，通過資源整合，可以有效實現產品設計、采購、生產、銷售、服務等全過程的協同。與此同時，由于工業互聯網供應鏈的全球化態勢加強，工業互聯網企業的核心技術產品、核心部件、敏感數據被供應鏈上更多的產品與服務提供商所接觸，雖然通過權限設置、供應商安全審查等措施可以收斂一定風險，但供應鏈的全球化、精細化也使得企業的風險暴露面擴大。全球范圍內工業互聯網供應鏈安全事件頻發，斷供、網絡攻擊等威脅加劇，工業互聯網企業面臨著嚴峻的現(4)醫療行業門戶網站篡改風險：在線醫療服務的普及正在推動醫療網站成為開展公共服務、展現機構形象的重要平臺載體。但由于應用組件版本較低，醫療機構網站往往存在安全等級低、安全隱患高的問題。其中，實施網站篡改、隱式植入非法信息這一攻擊手法較為常見。一旦醫療機構的網頁被篡改，可能被植入非正規醫院的隱性廣告、錯誤的醫護信息以及色情、博彩等非法信息，不僅給機構的形象帶來損害，還可能因為錯誤信息引導，給病患造成財產應用服務高危端口與安全漏洞：數字化、智能家庭住址等敏感個人信息，以及掛號記錄、檢查報告、繳費記錄等就醫診斷信息，具有高敏感性的特點。上述患者數據、診療數據、醫保數據等被保存在醫院醫療系統的數據庫、打印機等應用服務當中，風險。2.3I商業視角下的場景需求興風險場景為網絡安全保險帶來突破口。聚(1)場景1:車輛自動駕駛出行載體演變成為一個匯聚大量數據的信息化智能險場景更容易從虛擬網聯空間映射到物理世界，帶信息、車主手機信息等約200多項，其中不乏敏感程/瞬時行駛里程等因素，從而測算車輛存在的風險);后者則依賴于車輛所配置的網絡設備及系統，且車輛遭遇遠程網絡攻擊，不僅直接危害智能網聯汽車本身，造成車聯網系統失控，引發車輛在道路上失控沖撞，從而形成多米諾骨牌，造成其他車輛混亂、城市道路擁擠、公共設施破壞，更嚴重者還將造成車主或其他人員傷亡。此外，汽車服務器遭受入侵、防盜系統存在漏洞等風險場景也正在現實上演。除了針對智能網聯汽車，攻擊還極有可能發生于整車企業、車聯網信息服務提供商等相關企業建立完善的車聯網通信安全體系之外，提前一步做(2)場景2:工業安全生產是工業領域的神經中樞。伴隨工業化和信息化融合趨勢，工業安全生產場景同時面臨傳統的工控安全問題與工業互聯網安全挑戰。智能制造系統中的設CyberSecurityInsurtechWhitePoper2022網絡安全保險科技白皮書16備高度互聯協同，則進一步模糊了工控內網與互聯網的邊界，擴大了攻擊面。由于工業控制系統被廣泛應用于電力、污水處理、石油和天然氣、交通運輸等重要領域，使其往往成為APT組織、惡意團隊等的重點攻擊目標。2018年，Wannacry病毒變種侵入了全球最大的代工芯片制造商臺積電"的3個廠區，導致其停產3天；2020年，臺灣石油、汽油和天然氣公司CPC遭受攻擊，引發供應鏈風險，使得當地加油站一度無法使用電子支付，造成一定程度上的混亂；2021年，黑客入侵佛羅里達州奧爾德斯馬市的水處理設施系統，并試圖將氫氧化鈉(NaOH)的濃度從百萬分之100更改為百萬分之11100(人體若攝入高濃度氫氧化鈉將對身體造成嚴重損害)。聚焦工業生產環境，工業控制網絡與傳統IT信息網絡的不同之處在于，針對工控系統或工控網絡的入侵或使攻擊者直接控制到物理設備，可以直接造成生產設備、產品廢棄、停工停產等嚴重后果。與此同時，工控安全困境還在于漏洞頻出、管理體系與技術措施尚未有機結合、工控網絡防護措施不夠完善，使得生產、制造場景面臨諸多不可控、難以預見的風險，一旦觸發將導致巨大損失。綜合因素下，工控企業除了采購傳統的財產保險，保障資產安全，需要更密切關注因網絡安全事件引發的數字資產破壞、經濟損失問題。(3)場景3:數字醫療診斷醫療機構的數字化轉型、醫療設備的智能聯網推動智慧醫療行業的發展，激發了遠程會診、三維輔助診療平臺等新型醫療服務與模式。與此同時，網絡安全風險不僅侵襲到智能醫療終端設備，同時也影響術前規劃、術中導航等關鍵場景。以醫療設備信息安全場景為例，醫院及衛生健康機構不僅承擔著健康衛生保障功能，也承載著眾多醫療診斷信息和患者信息。然而，由于一些醫院在建設之初沒有容納安全考量、醫療設備更新換代慢、醫療設備軟件大多又具有封閉性，缺乏統一接入內網的安全管理措施，因此，相關醫療健康機構的安全防護能力薄弱，一些沒有經過允許的終端可以輕松繞過而接入機構內部網絡，造成數據泄露等風險。另一方面，部分醫療健康機構加快推動"互聯網+醫療”,陸續上線智慧醫療、惠民醫療應用服務，但其同樣面臨復雜的風險場景。聚焦醫療數據互聯互通的場景，健康醫療機構為實現跨機構、跨地域的健康診療信息交互和醫療服務協同，在不同醫療機構和線上平臺之間實現電子病歷、檢查報告等數據的信息共享。然而，相關人員對相關敏感數據進行訪問瀏覽時，可能因為不同機構安全水平不一、人員安全意識差異，使得通過信息交互系統進行文件數據傳輸、存儲等操作時，因操作不當而出現安全事件。以醫療勒索事故場景為例，2020年德國-家醫院的醫療系統因遭受勒索軟件攻擊而癱瘓，這導致一患者因未得到及時救治而不幸身亡，這也是全球首例勒索軟件致死事故。整個醫療行業的網絡安全形勢不容樂觀，且因其直接關系到病患群體，相關安全風險需引起高度重視。2.41保險視角下的產品需求網絡安全保險規模化發展面臨的一個主要問題是企業在需求層面的差異化，除了上述提及的行業需求差異、場景需求差異，還存在不同類型的企業對安全的認知和具體需求存在差異的情形。因此，數據，近50%的企業已經購買了網絡安全保險。其中，年收入超過10億美元的大型公司中，有57%有36%的企業選擇投保。不同規模的企業對于網絡安全保險的需求存在差距，但差距似乎并沒有預想的大。從安全需求的角度來看，中小微企業購買網絡安全保險是為了"助安全",大型企業購買網絡安此外，大型企業往往面臨著影響范圍廣泛的第三方責任風險，更傾向保險公司提供額外的應急響應資因此，大型企業對網絡安全保險產品的需求主要是避網絡安全黑天鵝事件帶來的巨額損失，為其安全小微企業數字安全報告》的數據顯示，近半數中小微企業于2021年遭受過網絡攻擊，超過九成的企業長期被黑客攻擊而不能獨立應對，超八成的勒索攻擊針對1000人以下規模的中小微企業。中小微企業由于自身體量小、資金、技術和人手有限，其安全預算難以支撐完備的安全方案落地，導致其在網絡攻防對抗中處于一定弱勢地位。與此同時，攻擊者更"青睞于"中小企業，相比針對大型企業所需要的更復雜的攻擊策略與更膠著持久的攻擊鏈路，瞄準中小微企業的攻擊門檻更低，能夠逐個攻破、以量取勝，而主要攻擊方式則包括惡意軟件入侵、勒索攻擊、系列漏洞利用和網絡釣魚。部分中小微企業在遭遇入侵攻擊后并不知情，或是在長達十幾天或數月后才意識到侵害。在過長的反應期中，中小于購買網絡安全保險，使用更低的成本獲得保額較低但配備了安全服務的網絡安全保單，從而通過第科技助推多產業深度融合風險和需求是網絡安全保險產業的驅動因素，網絡安全產風險和需求是網絡安全保險產業的驅動因素，網絡安全產業和網絡安全保險產業的融合創新則為產品落地提供了未來方向。在產品設計、服務模式輸出方面,網絡安全保險的發展無法脫離網絡安全服務、技術的支撐。因此，促進國內雙產業的融合，將進一步豐富“網絡安全即服務”的業態，同時有效推動網絡安全保險產業創新，形成多產業融合、互贏的發展局面。3.1I產業融合發展形態在網絡安全保險的完整業態中，包含網絡安全企業、保險科技公司、第三方風險管理技術機構三個角色。網絡安全企業采取網絡安全技術與服務，協助保險公司為客戶方提供全面風險管理方案；保險科技公司針對場景化網絡安全風險，協助保險公司基于數據清洗整合優勢，優化風險定價模型、構建全流程保險業務體系；第三方風險管理技術機構則將網絡安全企業的安全技術能力與保險科技公司的科技能力進行有機的整合，逐漸成為保險生態中關鍵一環。(1)解決方案：多業態融合網絡安全保險產業既脫胎于保險，又與網絡安全產業息息相關。目前，兩個產業的融合在網絡安全保險業務模式上體現為3個階段性模式：1.網絡安全產品的附贈保單。網絡安全企業銷售網絡安全產品后，附贈對應網絡安全產品的責任保險，借助保險公司轉嫁風險；2.網絡安全服務+網絡安全保險保單。網絡安全企業提供風險評估、風險監測、應急響應等技術手段，保險公司主導保險產品開發、風險損失量化及核保定價等工作。技術與業務交融，對風險進行綜合管控；3.網絡安全技術/服務+網絡安全保險科技+網絡安全保險保單。網絡安全保險科技企業與保險公司共同設計網絡安全保險方案，網絡安全保險科技企業將網絡安全威脅庫與保險定價模型、承保范圍相結合，依托大數據整合、分析能力形成網絡安全量化風險評估模型、自動化定價能力。同時，網絡安全保險科技企業選擇自研或與網絡安全企業合作提供網絡安全產品，為企業提供主動、動態風險防御服務。在出險、理賠階段，則通過自動化理賠配套服務，幫助企業降低風險事件損害的同時，對于安全風險帶來的經濟損失通過理賠方式有效轉移。上述三個網絡安全保險業務模式依次體現了網絡安全產業與網絡安全保險產業的融合深度，由淺入深，由產品粗放式綁定向產品服務深度交融轉變。與此同時，由于網絡安全保險不同于傳統的物理承保的險種，其通常具有虛擬性，且不受地域限制這也為產業融合降低了技術門檻，加速了服務耦合。圍繞多層次的市場需求，網絡安全保險的產品與服務進一步細化。目前，保險公司和網絡安全保險科技企業面向不同行業與場景的差異化網絡安全風險管理需求，全方位開發網絡安全保險產品體系豐富網絡安全保險細分險種，提供解決方案。其中網絡安全保險服務基本涵蓋網絡安全風險評估、漏洞掃描服務、網絡安全意識培訓、滲透測試服務、網絡安全加固服務、網站安全監測、網絡資產測繪服務、動態防御服務、威脅情報服務、代碼安全審計服務、安全眾測服務、網絡安全應急響應、安全事件取證服務、數據安全恢復服務。這些服務主要由網絡安全公司、網絡安全保險科技企業聯合提供，針對性圍繞保險需求進行組合，從而有效配合保險公司核保、承保、理賠。風險量化保網絡安全風險監測中心WEB應用安全同關100萬TPS高并發支持20000·網站安全防護日均欄截攻擊300萬次可用性保證999999%0代碼應用安全加固數據庫安全解決方案免開發(SDK/代理)模式，0100%滿足商密要求兼容10+主流關系型數據庫能損耗<0.01%智能數據防泄現方案關鍵教感數據識別率>98%對比國外產品采購成本<60%數據完全分享<1分鐘等保合規一體化方案一次投入，N個云覆蓋首次則評通過率100%量快40天完或認證比傳統方案便直50%7x24小時特續安全服務金融級數據庫安全保護加密，脫敏審計一體化多種接入方式，低改造成本一體化辦公數據安全治理教感文件高效審批及安全分事以眾安保險為例，其以“保險+科技+安全”創新模式，為企業提供基于網絡安全保險的主動安全合規、主動風險管理、主動安全運營等一站式服務。服務涵蓋開展網絡安全核查、風險評估、風險態勢監測、風險提示、責任劃分、定損評估及理賠等關鍵環節，具有投保模塊化、服務系統化、理賠快速化等特點。同時，面向企業打造了以技術服務能力為支撐的網絡安全運營中心，依托安全整改建設、風險量化評估、網絡安全評估、風險實時監控、應急恢復響應、公關訴訟六項技術服務模塊，提供事前預防，事中監測，事發響應及事后處理的全流程定制服務。目前，聚焦企業核心需求，眾安保險提供網絡安全保險(中小企業版)"、"網絡安全保險(信息系統版)"、"網絡安全保險(綜合定制版)"等標準產品。此外，還通過標準產品+定制化的解決方案",構建多層次的網絡安全保險產品矩陣。標準保險產品企業網絡安全保險(中小企業版)企業網絡安全保險(信息系統版)企業網絡安全保險(綜合定制版)(可選)承保內容營業中斷損失√網絡勒索數據安全責任√√數據泄露責任√√數據修復費用√√公關費用√√通知費用防Ddos攻擊費用√抗辯費用√√通報監測費用網絡安全風險預防管理服務無感知風險評估√網絡安全在線專家咨詢服務網絡勒索危機顧問服務事故溯源&負面影響評估服務定期風險隱患排查Web網頁防篡改監測√Web網頁木馬與暗鏈監測Web安全測試與加固√滲透測試服務網絡安全人才培訓√高級威脅監測圖3-2眾安保險-產品示例圖在網絡安全保險解決方案的設計方面，保險公司一般與第三方進行合作，形成優勢互補。眾安保險通過與科技公司(眾安科技)達成戰略合作，為上述“網絡安全技術/服務+網絡安全保險科技+網在承保范圍方面，眾安保險基本涵蓋主流安全風險造成的財產損失與第三方責任等；在配套服務方面，眾安保險與眾安科技在保險的各個環節形成深度合作，由眾安科技基于網絡安全技術及服務能力，提供Guardlt、LOCKet等系列自研安全產品作為設備支撐，通過ARMS主動風險管理平臺全流程風險管理，再輔以配套保險服務能力為網絡安全保險產品提供科技支撐能力。(2)承保范圍：新邊界拓展2021年，我國網絡安全保險保費規模預計在7080萬元左右，較2020年增長3.2倍以上。從服營業中斷損失網絡安全責任風險處置費用營業中斷損失網絡安全責任風險處置費用務機構來看，約20家中資保險公司具備網絡安全保險相關產品和承保能力，備案了超過50款網絡安全保險產品。從產品類型來看，企財險接近半數，責任保險共有10余款，還有綜合保險、應急響應專項險等其他類型險種。從服務模式來看，國內保險公司積極嘗試與網絡安全專業技術機構開展合作，融合保險機制與網絡安全技術服務，基本形成網絡安全保險產品序列。目前我國主流網絡安全保險的承保范圍包括網絡安全財產損失、網絡安全責任損失和其他損失，承保邊界進一步拓展，為企業提供了更豐富、更細化的投保選擇。網絡安全財產損失，是指由于投保人因網絡安全事件導致的損失和費用，包括營業中斷損失、網絡勒索損失、網絡欺詐損失、數據修復費用、計算機修復和更換損失。網絡安全責任損失，是指投保人因網絡安全事件引發的對第三方(受影響個人或機構)的法定賠償責任所導致的損失，包括網絡安全責任、數據/信息泄露責任、外包商數據安全/信息泄露責任。其他損失，是指除網絡安全財產損失、網絡安全責任損失外，投保人為處理網絡攻擊事件所支出的其他費用，包括風險處置費用、咨詢服務費用、網絡安全等級評定費用、公關國內主流網絡安全保險的承保范圍網絡安全財產損失(第一方損失)網絡安全責任損失(第三方損失)其他因網絡安全事件造成的收入損失或利潤損失以及增加的運營成本等，營業中斷進一步的影響還包括降低運營的有效性和效率導致服務或產品的延遲交付投保人因網絡安全事件，導致其合作伙伴或所服務的用戶發生經濟損失，投保人需要承擔第三方經濟損失的賠償責任。如因網絡安全事件使得服務客戶的正常生產制造、內外部運營中斷并產生收入損失，第三方合作伙伴或客戶提出的經濟賠償投保人發生網絡安全事件后，聘請服務機構針對安全事件進行應急響應所產生的處置費用網絡勒索損失投保人因遭受網絡勒索后，所產生的實際損失和相關費用，包括調查取證、數據恢復、談判，以及所產生的其他損失等費用注：根據中國互聯網金融協會、中國銀行業協會、中國支付清算協會發布的《關于防范虛擬貨幣交易炒作風險的公告》,國內保險公司對網絡勒索案件的損失進行承保時，不得承保與虛擬貨幣相關的保險業務或將虛擬貨幣納入保險責任范圍，不得直接或間接為客戶提供其他與虛擬貨幣相關的服務。數據/信息泄露責任投保人因網絡安全事件，導致其所掌握的用戶數據泄露(包括個人身份信息或客戶敏感信息等),而需要承擔的賠償責任、相關法咨詢服務費用保險事故發生時所產生的合理必要的咨詢服務費用，例如投保人與合規顧問溝通以遵守網絡安全、個人信息保護等法規的咨詢律訴訟等費用費用CyberSecurityInsurtechWhitePoper2022網絡安全保險科技白皮書22表3-1國內主流網絡安全保險的承保范圍網絡欺詐損失外包商數據安全信息泄露責任遭遇網絡攻擊導致信息泄露，被泄露信息主體因此向投保人索賠，投保人可能承擔的網絡安全等級網絡安全等級評定費用投保人遭遇網絡安全事件后，原有的認證評級水平受到負面影響，而產生的重新評級認證的費用數據修復費用投保人因遭受惡意攻擊，導致核心數據丟失、損毀或被篡改，由此引發的數據恢復費用公矣費用投保人發生信息丟失、泄露等網絡安全事件后，投保人社會聲譽減損而所產生的名譽恢復費用投保人因遭遇勒索病毒攻擊、鳥更換供應鏈攻擊或其他網絡安全事件后影響計算機系統正常使用鳥更換,請律師等應對訴訟的費用媒體侵權賠償投保人因其在線媒體內容(包括網站、博客和社交媒體等)不當CyberSecurityInsurtechWhitePaper232022網絡安全保險科技白皮書233.21產業鏈及廠商生態現狀表3-2網絡安全保險產業鏈產業鏈結構層產業角色中游解決方案層，提供網絡安全保險服務及解決方案保險科技公司、網絡安全廠商、其他第三方風險管理技術機構、安全事件定責定損機構下游應用層，提供網絡安全保險保單保險公司、保險經紀公司門檻高，網絡安全風險復雜性明顯，在網絡安全產業鏈中，第三方風險管理技術服務機構逐漸成為整個生態中的關鍵角色。以網絡安全廠商、保險科技公司為代表的第三方風險管理技術服務機構承擔風險評估相關能力，借助其數據、技術優勢鏈接保險供需雙方，在保險流程中發揮重要作用。此外，在3.3產業融合發展挑戰全球網絡安全保險的快速上升期在近10年，我國保險公司陸續開始提供網絡安全保險服務則是在2017年前后。目前，我國網絡安全保險進入快速發展階段，正在以城市為單位發展區域試點、樹立標方面應用場景豐富，具備率先發展網絡安全保險的基礎條件。作為全球金融、經濟中心，上海不僅擁有大量關鍵基礎設施、重要信息系統和海量用戶資保險公司為投保企業提供保單之前，上游和中游的各類市場主體也將根據網絡安全保險的特殊屬性，不僅在風險管理方面，還在網絡安全事件數據、網未來，仍然需要多元主體聚集，整合各方優勢資源，深化跨行業合作，共同完善網絡安全保險的迭代、生態企業的涌現，使得這一行業亟待突破，與此同時，我國在網絡安全保險產業融合發展、產品及服務的市場化探索及發展過程中，存在的相應源，不論是針對特定風險場景的網絡安全保險還是風險量化評估、定價核保、理賠定損等，這些能力CyberSecurityInsurtechWhitePoper2022網絡安全保險科技白皮書24基礎。當前網絡安全保險行業所需求的數據包括：①保險數據，即相關行業、投保企業歷史在網絡安全領域的投保數據、理賠數據；②風險數據，即相關行業面臨的主要網絡安全風險挑戰、投保企業當前切實存在的風險點、過往發生的網絡安全事件信息以及風險造成的損失數據等；③公開數據，即在公開網絡上可以查詢和獲取的事件與數據。然而，在此背景下，網絡安全保險行業卻面臨數據的信息披露機制不足的問題。一方面，伴隨國內網絡安全事件信息披露機制不足、信息不透明導致公開數據有限、風險數據不足、整體數據不完整或質量較差，使得現有數據無法側寫投保人的風險畫像；另一方面，保險公司的既往保險數據與網絡安全公司所掌握的風險數據存在行業壁壘，導致保險公司無法獲取跨行業數據，使得數據無法有效共享和利用，繼而無法發揮價值。(2)行業標準：行業規范明顯缺乏行業標準規范體系是擴大市場規模的重要前提，《網絡安全保險服務規范》等標準規范的發布意味著網絡安全保險正在走向規范化。然而，網絡安全保險出于所承保風險的復雜性、風險場景的多樣性，在行業規范、產品標準等方面仍存在挑戰，需要加快推動完善規范體系。由于風險場景、業務需求的差異化，網絡安全保險難以制定通用標準類產品，市面上網絡安全保險在保單術語方面大多存在差異，針對投保企業的風險量化評估、索賠依據判斷也缺乏標準參考，這些問題為提升網絡安全保險社會認知、優化客戶服務、打造示范效應行業案例帶來一定障礙。(3)產業協同：產業鏈空缺亟待填補網絡安全保險的理想產業生態角色應當涵蓋保險數據中介、大數據/人工智能等技術服務提供商、網絡安全廠商；保險科技公司、第三方風險管理技術機構、安全事件定責定損機構；保險公司、保險經紀公司。目前，網絡安全保險的產業鏈存在角色缺失、角色不明晰等現象，從而使得網絡安全保險在產業化發展的過程中受到一定影響。譬如國內缺乏定責定損缺乏專門機構組織，使得網絡安全事件判定模糊；缺乏數據源提供商，使得不同行業、不同領域的數據無法互通互利，為網絡安全保險產品設計及產業發展造成基礎設施層的阻礙，同時也一定程度上影響了網絡安全產業和網絡安全保險產業融合。(4)市場態度：社會認知有待提高從市場主體來看，部分市場主體對于發展網絡安全保險已經形成一定共識。從社會層面來看，一些中小企業對于網絡安全保險的認知與接受度則還有待提高。圍繞網絡安全保險的認知不足導致企業對于投保存在擔憂，包括保險機構囿于自身業務累計，能否完全知曉并判斷當前不斷演變的網絡安全威脅，保險機構如何根據客戶不同類型安全成熟度及不同業務風險類型提供合適的產品等。造成這一問題的因素可能是網絡安全保險的市場推介力度不足、網絡安全保險的市場占有率不高、標桿案例缺乏等，因此導致部分企業對網絡安全保險持觀望態度。科技智繪網絡安全保險新業態在網絡安全保險的新階段探索中在網絡安全保險的新階段探索中，無法繞開3個關鍵詞：保險、安全、科技。當保險公司和網絡安全企業無法通過簡單的產品與服務撮合的方式，升級網絡安全保險業態、解決行業發展面臨的瓶頸問題，科技就在其中起到了粘合、塑造、再耦合的作用。著眼現階段的創新，展望未來發展，科技將賦能網絡安全保險，智繪全新業態。基于公開信息，本報告案頭調研了國內外8家網絡安全保險科技企業。調研對象均為成立5年及以上的大型網絡安全保險科技企業。根據公開信息，這些網絡安全保險科技企業基本具備的產品或服務能力包括：核保階段的風險評估、保險定價、整改建議，承保階段的風險監測，出險/理賠階段的事故管理(響應/數據恢復/專家咨詢)、理賠服務。Guidewire-/13.5億美元24億美元35億美元/67億美元核保服多風險監測其營其營銷投保企業保險類公司/B輪；約億元(2021)B輪；約億元(2021)1.85億美元1.85億美元系統風險監測系統風險監測可視化保險經紀人保險經紀人3500萬美元被Guidewire/8000萬美元投保企業風險狀況等數據源，對企業進行風險梳理與評估，一般以風險評估報告或安全評級結果為展示形態。以眾安科技為例，其基于眾安保險的海量理賠數據及公開情報數據形成風險數據庫，并根據行業監測和風險動態對風險數據庫反復更新迭代。在風險數據庫的支撐下，得以構建風險評估模型，并通過資產風險核查、資產測繪、漏洞掃描、風險評估問卷等系列評估手段，對投保企業進行全面的風險摸排，進而形成風險評估結果。值得注意的是，納為企業風險評估的參考因素。保險定價是以風險量化、定級為參考基準，將風險結果轉化為核保依據與定價參考，實現自動化精準定價。不過，網絡安全保險的定價模型一般需要結合本國或本地區的風險數據，考慮到不同地區在法律法規、網絡安全成熟度水平、監管水平上存在較大差異，網絡風險所呈現的損失形態也存在區別，因此網絡安全保險科技企業在設置定價模型的過程中，需要考慮到對應的風險因子。風險監測是網絡保險科技服務的一部分，其有別于企業原有的安全風險監測預警系統，更聚焦于承保風險狀況，并基于保險視角對承保范風險相矣的流量、日志、報警信息進行實時監測和記錄。大多數風險監測服務無需額外收費，且以SaaS模式部署。如果企業出于管控考慮，也可以不額外部署網絡安全保險科技企業提供的風險監測系統，但也可能造成最后理賠階段，由于對承保風險的記錄和分析缺失或遺落，導致理賠依據不足的可能性。溯源追蹤、數據恢復、專家咨詢等服務。目前網絡安全保險科技企業更傾向于與網絡安全公司合作，引入第三方安全能力，協助投保企業完成7x24小時理賠是由保險公司根據保單進行賠付，而定責定損等理賠配套服務則由網絡安全保險科技企業提供。出險不一定意味著理賠，只要在確定責任、明確損失、確認相應損失屬于承保范圍后，才會進入除了圍繞保險各個流程環節的配套服務，部分網絡安全保險科技企業會提供針對保險經紀人/經紀商的專業分銷平臺。通過幫助保險公司構建網絡安全保險銷售工具，提高網絡安全保險的銷售效率。具體形式即保險科技公司基于多源數據構建自有企業風險數據庫，保險經紀人可以通過工具/平臺快速了解對應企業的風險情況，并獲得針對該企業的保險方案，涵蓋推薦承保范圍、保險定價等信息。通過自動化的核保、即時報價和快速響應，使得保險科技公司為保險經紀商和投保人、保險公司之間構建更快捷的承保通道。(1)案例1:SaaS提供商的數據泄露隱憂SaaS提供商的安全痛點：益于低成本和便捷部署的優勢，SaaS(軟件即服務)服務已成為訪問重要業務應用程序的主要手段。與任何企業一樣，SaaS提供商同樣會遭受惡意攻擊與安全風險。不同的是，其一且遭受攻擊，往往會“殃及池魚”,引發案例背景：北京締聯科技有限公司作為一家典型的SaaS提供商，專注于企業費用管理和發票管理通行費電子發票管理系統等SaaS產品，為不同行業企業提供專業財稅服務。由于發票在企業經營過程中是保證票、庫、賬、款、稅一致的紐帶，也是唯一商事憑證，因此，締聯科技服務的大型企業十分重視發票數據存儲的安全性。一且出現網絡安全事很可能面臨巨額賠償等相關風險，影響品牌信譽和業務進展，后果不堪設想。眾安保險對締聯科技的數據保密責任、數據安全責任承保。不僅對于發生在保單期限內的意外事故導致的數據庫泄露以及相關客戶損失進行保單范圍內供相應服務。承保前，基于數據科學開展數字資產風險核查、網絡安全資產測繪、資產漏洞探測、數字資產健康性評估等一系列風險評估，同時定制網絡安全風險評估問卷，完成締聯科技內部管理和運營安全風控的全面摸排，此外在參考等保測評結果的基礎上，評估內部系統的網絡安全。承保后，對承保風險進行綜合管控，通過采集關鍵安全日志，對企業的日常運維操作合規性、網絡安全健康度進行實時監測。發生安全事故時，協助締聯科技開展網絡安全應急事件響應和排查，最大程度降低因網絡威脅導致的損失?；谕暾慕鉀Q方案鏈接，協事后響應與補償的數據安全風險管理體系，形成風(2)案例2:勒索攻擊下的“安全困境”擊已成為困擾大多數企業的一大風險。雖然是否支付勒索贖金仍然是一個存在爭議性的問題，但勒索機系統和數據(包括公司客戶的數據)在一場勒索同樣未能幸免。當勒索軟件攻擊者索要高達25比特幣(相當于約20萬美元)的贖金時，該公司基本無法負擔損失。然而，該公司此前通過網絡安全保險案例保單的承保范圍：網絡安全財產損失，涵蓋業務中斷損失，取證和數據恢復成本以及網絡勒索本身造成的直接損失。此外，該投保公司還從險。取得聯系，從而診斷損壞并最大限度地減少進一步保公司進行數據解密。在不到24小時內，SIRT與特幣勒索威脅，還解密了公司文件。最后通過取證工作，幫助公司防范未來的攻擊。從入侵到問題解決的總時間僅為48小時。4.2I網絡安全保險前沿科技應用技術應用VR/AR技術數字孿生技術自然語言處理類模型計算機視覺模型龐大的數字信息資源，將為風險運營與管理提供啟示動態更新的風險庫風險概率描述區塊鏈保險+安全+科技風險危害描述數據科學利用科學方法、流程、算法和系統從數據中提取深層價值風險-評估模型風險-定價模型風險-定責模型風險-定損模型風險-定責模型網絡安全保險的科技創新點重點圍繞風險宇宙(1)風險宇宙風險宇宙是龐大的數字信息資源聚合，通過對風險信息的收集、匯總、分類梳理，將為整體風險運營與管理提供啟示。目前網絡安全保險領域的風險宇宙的落地形態最常見于風險庫/風險列表，通過動態更新的風險庫展示特定領域、特定企業的風險狀態，主要包括風險頻率及風險危害程度描述。在網絡安全保險的風險宇宙中，不僅涵蓋攻擊風險，也酒蓋企業其他經營性風險，通過對風險庫進行不同顆粒度的劃分，形成圍繞行業、企業及場景等不同維度的風險描述，較粗的層次決定了風險庫可以覆蓋的范圍，較細的層次則決定了風險的落地性，能夠支持網絡安全保險在風險界定過程中有更為確切實際的解釋、指導和評估。目前眾安科技等國內外網絡安全保險科技企業已經形成了自有風險庫，預計隨著行業發展，基于融合保險考量的風險庫，網絡安全保險科技企業將進一步形成保險行業的類"ATT&CK"的風險描述性框架。(2)技術應用技術應用貫穿于網絡安全保險的產品設計、核保階段、承保階段、出險/理賠等各個階段，主要是利用人工智能、虛擬現實、智能終端等前沿技術及設備，提升保險全流程的智能化、自動化。產品設計階段：通過數字孿生技術，科技公司可以為投保企業及保險公司構建實時實景的虛擬空間。根據保險公司的組織結構生成數字副本，形成“組織數字孿生”(DTO),模擬組織的內部運作與運營行為，從中核保階段：借助實時交互的視頻/聊天平臺改善風險評估效率，尤其適用于保險公司人力未覆蓋到的偏遠區壽保險、汽車保險、退休保險還是健康保險)成熟應用，再開展在網絡安全保險中的進一步探索適用。平臺(VRS)虛擬風險空間，提供了一個安全的視頻流通道，用于實現遠程指導、取證工作。承保階段：借助數字孿生技術，通過模擬數據流預測并評估投保企業存在的可能性風險情境，預測未來安全風險，同時為網絡安全保險服務的整體方案提供洞出險/理賠階段：索賠處理直接影響到網絡安全保險的運營效率與客戶滿意度，借助數字孿生、人工智能、區塊鏈等技術加快理賠流程將是科技賦能保險的重要方向。通過聊天機器人引導投保企業自主拍攝、上傳有關出險的視頻和照片，借助光學字符識別(OCR)設類模型，將視頻和照片即時轉換為損壞描述；通過機器學習(ML)模型，對投保企業相關網絡行為進行分析，判斷是否存在欺詐行為；基于區塊鏈技術創建智能合約，將小額保險政策嵌入到利用區塊鏈技術進行保護和記錄的數字交易中(例如CloudCover的CC/B1CyberSafety平臺已支撐實時區塊鏈承保流程),通過算法來分析網絡流量，進行風險評分態數據"的增量保險，并且在滿足理賠的情況下自動進入索賠。(3)數據科學數據科學及相應模型是保險公司及保險科技公司共同認定的網絡安全保險最重要的底層科技支撐。利用科學方法、流程、算法和系統從數據中提取深層價值，映射在網絡安全保險領域則體現為風險-評估模型、風險-定價模型、風險-定損模型、風險-定責模型。在風險模型中，確保其與傳統財產險的區別、對模型的科學性進行保障，這些是網絡安全保險科技發展的核心問題。簡而言之，數據科學是將數據轉化為決策和行動(tradecraft)的藝術，是人和計算機一起工作將數據轉化為知識發現的工具、技術和流程的整合。數據學科通過收集數據、描述數據、發現知識，進在網絡安全保險領域，數據科學的具體應用包括：據估計，保險欺詐為保險公司帶來的損失高達340億美元。在網絡安全空間，檢測保險欺詐的難度很大，厘清事件具體情況可能非常耗時，也無法得出明確的結果。但現在，隨著技術的不斷發展，保險公司基于防欺詐性索賠的工具，將網絡安全風險數據與數據科學相結合，通過算法，找到欺詐索賠和潛在欺詐索賠之間的相似性，從而及時發現潛在的欺詐行為，以便開展進一步調查。2.風險管理的預測分析過去，保險公司往往依靠大量網絡安全風險數據進行風險評估。現在，使用數據科學技術，通過對外部網絡安全威脅數據及內部風險數據進行分析、從