【专家谈】没有网络安全保险,安全防护成不了闭环

特约专家范渊

  近日在2017年国家网络安全宣传周主场现场展览会上,国内首个落地的网络安全综合保险成为了众多媒体和参会人士关注的焦点。

  近几年,随着互联网技术的快速发展与新应用的不断深化,网络安全保险逐步纳入了人们的视线,不论是政府,大型跨国企业,还是中小企业,其运营成本都因网络安全风险的增加而显著上升。网络风险的成因和导火索经常变化,单位决策者及公司经营者较难正确地认识到他们所面临的网络安全风险本质,更无法有效的转移和降低风险。与此同时,《网络安全法》也在今年6月份发布施行。所有这一切都成为了呼唤网络安全综合保险出现的必要条件。

  特定的历史背景,产生了对于网络安全保险的需求。虽然企事业单位对信息安全建设方法有着不同的手段,但是基本上都有相同的成分,即企业信息系统的安全考虑是信息系统的保护与管理,针对广泛的威胁,以确保业务连续性,最小化风险,最大化合法合规、投资回报和商业机会。近年来网络安全攻防态势发生了很大的变化,2000年以前,网络安全是通过人工监测、技术发现、产品工具等手段防护病毒垃圾邮件,2000年之后到2010年左右,以网络流量和行为监测的产品技术手段对抗DDOS攻击和木马。当下,APT、网络黑客、攻击勒索态势迅猛,同时,安全防护手段也进行了改进和升级,主要通过大数据分析、态势感知、云防御等多方协同防御保障网络整体安全。虽然企事业单位提高了网络安全风险意识,加大了在网络安全建设的投入,但是,道高一尺,魔高一丈,相对来说,反而比之前又增加了风险。

  网络安全保险是一种有效转移网络安全风险实质有效的工具。由于任何安全防护技术和管理手段并不能完全消除企事业单位所面临的网络安全风险,所以,网络安全保险是一种帮助企事业单位有效转移网络安全风险实质有效的工具。同时,网络安全保险能够激励投保企事业单位在网络安全自身防御上建设加强,更多的投入,从而引起级联效应,使得更多的企事业单位对自身网络安全进行投资。另外,企事业单位网络建设投资与网络安全保险在维持与安全投资和风险平衡的“最优水平”上有着相互促进的作用,从而达到网络安全风险与网络安全投资的“纳什均衡”。从企事业单位的自身网络安全风险管理角度来说,真正的形成了闭环。

  《网络安全法》的颁布与实施,首次明确了运营者的职责。《网络安全法》的颁布与逐步实施,对老百姓来讲是一个利好消息,其主要的意义在于首次明确了运营者的职责。人们在体验互联网信息经济发展带来红利的同时,也面临着电信诈骗、支付诈骗、个人隐私泄露等个人信息安全风险,影响着人们的日常生产生活。因此,网络安全保险对于一个普通老百姓来讲有着非常积极的作用,现在人们或多或少存在着信息安全意识不够的现状,例如在上网注册账号时候,为了方便把每个站点或APP的用户名与口令都设置成一样的,这样很容易导致“数据撞库”风险发生,一个站点被黑客入侵,数据泄露了,黑客可以利用获得的数据到其他网站去尝试,这是一种常见的不良上网习惯。总而言之,不管是智慧城市,互联网经济,云计算等新技术、新模式,网络安全保险都给老百姓带来了安心、放心、便捷的一些体验,像智能家居,智能交通,智慧旅游、智慧医疗方面体现了出来。

  国内首个真正落地的网络安全综合保险,综合保险涉及的范围更加广泛。这是第一个真正落地的国内网络安全综合保险,其涉及的范围比一般保险要更加广泛,主要包括外网系统,如网站、在线应用系统等;内网系统,如数据库,生产系统等,还有云上系统,包括特定云服务商的公有云平台上的业务系统。在赔付方面信息安全事件造成的事故恢复、安全防护、安全加固等费用,可向保险公司要求赔偿相关费用或等值的安全服务内容。另外,企事业单位对自己的业务系统进行投保,可以得到专业的安全服务团队进行风险评估、监测检测、安全加固以及安全事件应急响应。

  “让数据无忧、让应用恒久、让一切放心在线”,在向网络强国目标迈进的过程中,只要我们始终把全民网络安全观摆在显著位置,让网络安全综合保险保障老百姓能够真正放心、安心地拥抱互联网大数据,同时为企事业单位安全检测防御、APT审计、态势感知关键基础设施防护工作做最后的风险“兜底”,切实形成全社会共同维护网络安全的强大合力,共同建设良好的网络生态,保障广大人民群众的根本利益,推动我国网信事业科学健康可持续发展。(作者系国家千人计划特聘专家、浙江省科协副主席)

网友立场
860010-1102010100
1 1 1