信息安全保险核保体系的研究与设计

王一飞（中国人寿养老保险股份有限公司，北京 100020）

    ［摘要］本文分析了信息安全保险承保环节中核保工作的操作特点与实现难点，结合我国信息安全市场状况与产业特殊性，对信息安全保险的核保体系及其技术支撑平台进行了研究。基于信息风险评估理论，对信息安全保险核保技术审核架构的具体实现环节进行了详细设计。以企业级局域网为例，对其设计的核保体系进行了可行性与有效性论证。
    ［关键词］信息安全保险；核保体系；实例分析
    ［中图分类号］F840.32［文献标识码］A［文章编号］1004-3306（2008）06-0072-04
    Abstract：Based on an thorough examination of the characteristics and difficulties in the underwriting of information security insurance and reference to China′s information security market and its particularities, this article performs a study on the underwriting system and the technical support platform of information security insurance. The authors present a detailed design of the feasible operation structure following the theory of information risk assessment. Taking the enterprise local area network as a case, this article further explains the feasibility and effectiveness of this design.
Key words：information security insurance; underwriting system; case study

一、信息安全保险概述
信息安全保险是一种以信息资产安全性（含完整性、保密性、有效性等）为保险标的的财产保险。投保人向保险公司支付保险费，保险公司对因安全事故而造成的重要资料丢失、知识产权受到侵犯、系统服务中断等损失承担赔偿保险金的责任。
在计算机科学技术领域，现有的信息安全技术与管理手段并不能保障信息资产的绝对安全。依据信息安全学理论，现有技术与管理方法无法保障的剩余的风险可以被分为两类：可接受风险与不可接受的残余风险，信息安全保险是一种应对残余风险的重要经济手段。
在英美等发达国家，信息安全保险业务已初见端倪，eBay、Yahoo等知名IT公司均参保了相关“黑客保险”。在我国，虽然信息产业界对此需求非常强烈，但信息安全保险业务尚不成熟。有关研究工作尚停留在理论研究阶段，对实务的研究并不多，由于核保工作实现有难度等原因，亦没有针对黑客攻击等高级安全事件的保险产品问世。所以，对符合中国国情的信息安全核保方法展开研究与探讨很有必要。
二、信息安全保险核保特点与难点
核保是保险经营中承保环节的重要工作，只有符合承保条件的风险，保险人才能同意承保。信息安全保险的核保工作有利于合理分散风险，有利于保险费率的公正，有利于促进被保险人防灾防损。
（一）信息安全保险核保的特点
1．投保方信息资产安全漏洞复杂多样，难于标准化核定风险值；
2．投保方的安全漏洞间通常相互耦合，安全漏洞的数量与风险程度之间呈非线性关系，核保时必须进行深度关联性分析；
3．投保方信息资产的局部风险与整体风险间关系并非直接累加关系，核保中必须以整体观的角度工作；
4．我国信息化程度与国外差距较大，西方国家的信息安全核保方法在我国市场并不实用，无法直接引进；
5．近年我国安全技术界推行的IT风险评估制度标准尚不完全适合于信息安全保险这一经济行为。
（二）信息安全保险核保的难点
1．由于投保方情况复杂，核保尺度难于掌握，核保工作有待实现标准化；
2．核保结果不够量化，对于需浮动费率的被保险对象难于合理计算浮动值；
3．随着被保险机构的信息化建设，风险状况不断改变，保险人不得不定期重新评估核定；
4．产险公司不具备直接进行技术性核保的能力，需借助第三方专业技术公司的力量，监督约束外包方工作、控制质
［作者简介］王一飞，工学硕士，现供职于中国人寿养老保险股份有限公司信息技术部。
量与成本是工作难点。
三、信息安全保险核保体系研究
为了解决信息安全保险的核保难点，笔者通过大量技术实践和理论研究，结合中国信息安全市场状况与产业特殊性，对信息安全保险中的核保体系及其技术支撑平台进行了探讨。有关核保体系被设计为图1所示的结构。
图1核保体系
（一）核保体系的组织层面研究
在组织层面，需要协调产险公司和第三方专业公司的人力资源。投保方、产险公司、专业公司需要签署并认真执行保密协议。如果投保方信息资产中涉及国家机密，专业公司和产险公司亦应遵照国家安全制度，接受资质审查。
（二）核保体系的管理层面研究
在管理层面，在承保之前需要进行核保审查。在通过审查并签署合同后，随着被保险机构信息系统的不断建设，需要保险人定期检查，核定新的风险。在被保险机构信息系统部署状况发生重大变更时，也需要被保险机构主动告知，保险人视情况安排核查。
（三）核保体系的技术层面研究
在技术层面，需要从资产重要性、外在威胁、管理脆弱点、技术脆弱点四个角度进行具体勘查，并综合分析。资产重要程度将决定安全事件带来风险损失的大小，需要定量分析；不同机构，因为业务特点的不同，外在威胁轻重差异很大；管理脆弱点主要包括现有安全管理制度是否完备，日常是否按照制度合规执行；技术脆弱点检查包括应用安全、系统安全、网络安全、物理安全四方面。
组织、管理和技术三个层面中，组织层面是基础，管理层面是中枢，技术层面是执行单元。鉴于信息安全保险是一种技术性极强的特殊险种，需要从技术角度进行更详细的研究与设计。
四、信息安全保险核保技术支撑平台设计
（一）对技术手段的正确定位
信息安全保险是一种经济行为，技术问题固然重要，但信息安全保险核保中要避免“唯技术论”的思想。对技术手段的正确定位应该是一种服务于风险防范、费率厘定的支撑平台，核保者根据业务管理需要而采用其中的部分或全部技术方案。
根据对技术手段是支撑平台的定位，笔者对其进行了详细的设计。由于技术支撑平台主要与核保体系的技术层面相关，所以平台架构也由资产重要性评定、外在威胁核查、管理脆弱点核查、技术脆弱点核查组成。
（二）风险技术评判逻辑的设计
技术支撑平台中四个检查点间的技术评判逻辑是四者相互关联的纽带与平台运转的关键，笔者设计了如下的风险计算公式：
Δ=ζ•γ•α•β（式1）
Δ′=f（Δ）（式2）
式1与式2中有关参数的意义是：Δ—风险程度的程度值；Δ′—风险人工修正值；ζ—资产重要性赋值；γ—外在威胁程度值；α—管理脆弱程度值；β—技术脆弱程度值；f（）—人工修整函数。
（三）资产重要性单元设计
在核保中，如果不能合理评定资产的重要程度，容易高估或低估被保护信息资产的价值，带来被保险人虚报资产价值在事故后获取不当赔付金或承保人压低资产价值在事故后赔付偏低的情况。同时，价值越高的信息资产，越容易遭受恶意者攻击，不合理的资产重要性评定，会导致对信息风险的误判，为承保带来经济风险。
结合我国国情，资产重要性单元的设计应遵循以下三个原则：
1．资产重要性评定在大的级别上遵循公安部等四部委牵头实施的国家信息安全等级保护制度。等级保护制度是我国信息安全管理的根本制度，颁布有国家标准作为参考依据，定级结果在公安部门审核备案，评定结果具有极高的权威性，可供保险人和被保险人遵循。
2．运用信息安全ROI（投资回报率）分析方法中专业的信息资产价值核算方法进行资产级别细化，弥补等级保护制度定级较粗的不足。信息安全ROI分析是国内外信息安全建设中较为成熟的技术，此处可以由专业的安全技术公司来执行。
3．一组信息资产的整体价值以取其中各个信息资产价值的最大值为基础值，并关注各资产组合后有无增值的可能。同时，要适当对每组资产进一步分组，细化风险评定，提高核保的效度。
（四）外在威胁核查单元设计
外在威胁的核查主要依托现有技术统计和适当的预测分析。核保方和第三方专业公司可以在有能力核实数据真实性的基础上采用投保方的安全审计数据，也可以自建监控体系，进行一定时长的威胁数据采集。
在技术统计环节，可选用以下手段中的一种或全部：
1．入侵检测统计：入侵检测系统（IDS）是记录黑客攻击行为的成熟产品，分为网络型NIDS和主机型HIDS两类，依托模式匹配、异常检测、协议分析三种机制工作。使用它可以辨别并记录下黑客攻击行为与轨迹，如注入攻击、跨站攻击、恶意扫描、口令破解等，并通过统计分析、数据挖掘归纳出被保险信息资产面临的威胁种类、发生频度与危害程度。
2．蜜罐蜜网统计：蜜罐是一种安全资源，它通过在网络上暴露自身漏洞，吸引扫描、攻击行为并对这些攻击活动进行监视、检测和分析。蜜罐的高级形态是大量蜜罐组合成蜜网，可取得更好的分析结果。
3．反病毒统计：主机杀毒软件、硬件防毒墙、邮件防病毒网关等反病毒产品的日志，对于分析外在威胁均有研究价值，需要进行汇总与统计分析。
在预测分析环节，需要专业公司综合上述统计结果并结合业界发展趋势进行适当推理分析。
（五）管理脆弱点核查单元设计
信息资产的脆弱点中，管理脆弱点与技术脆弱点是串级组合作用的关系，且管理上的疏漏可以放大技术防护中存在的缺陷。管理脆弱点的核查，需要考虑以下两方面：
1．安全管理制度是否完备。即考察投保方是否制定了完整的与信息安全相关的管理制度，相应制度是否有足够的约束力和安全保障能力。
2．日常是否按照制度合规执行。即投保方是否在运营中按照上述制度操作执行，即合规性审计。
上述两项考察工作均可交第三方专业公司检查审计。
（六）技术脆弱点核查单元设计
信息资产的技术脆弱点是核保技术支撑平台的重点检查项目，也是中国安全市场上IT风险评估服务的主要内容。常规的IT风险评估服务中，技术脆弱点的考察侧重于系统安全一个方面，但在信息安全保险核保中，需要综合应用安全、系统安全、网络安全、物理安全四方面考虑，不能照搬IT风险评估服务中的评估模式。
1．应用安全：主要的技术核查手段包括源程序代码审核、面向应用系统的黑客渗透测试、应用系统架构安全分析、基于业务角度的安全分析等。这一环节的实施难点在于，测试中应用抽样方法的设计（全部测试一般不现实）、人工测试与工具检查的比例分配。
2．系统安全：主要的技术核查点包括服务器检查、基础平台（操作系统、数据库）检查、办公终端检查等。这一过程既需要使用扫描器等成熟工具，也需要专业人员的手工检查评判。系统安全与否的评判标准可以遵循被保险机构自行制定的安全基线（但需先行审核该基线的科学性），也可以使用业界通行的安全配置基线标准。
3．网络安全：主要的技术检查点包括边界访问控制措施、网络设备检查、网络数据传输加密机制、网络部署架构安全性等。这一过程中主要依赖人工评估。
4．物理安全：主要的技术检查点包括通信安全、机房安全、灾难备份等。物理安全尤其是机房管理技术较为成熟，所以这一检查有比较成型的标准可以遵循。
（七）综合分析与人工修正方法的设计
按照以上设计，可以计算出ζ、γ、α、β四个参数值，并求出Δ。但由于简单相乘的方法较为机械，所以需要进行人工修正f（Δ）得出最终值Δ′。人工修正过程需要专业公司资深专家根据经验查找遗留漏洞或耦合产生的新风险，并请被保险机构代表参与讨论，最终敲定风险技术性评价。该评价结果作为技术支撑平台得出的结论，供核保工作中的其他经济行为参考使用。
五、企业级局域网核保工作实例分析
作者选用信息安全保险的最大的潜在客户群——企业机构的局域网为例，进行核保工作的实例分析，论证本文核保体系的可行性与有效性。
企业级局域网核保要点设计
表1
[]考核项目[]关注内容ζ[]资产重要性[]等保制度评定
ROI资产核算法
资产整体评价γ[]入侵检测统计
（现实攻击）[]攻击类型TOPX
入侵频度
入侵时间周期与峰值点
攻击来源统计反病毒统计[]毒源IP统计
病毒类型预测分析[]预测威胁高发时段
预测高发威胁类型α[]制度完备性[]有否全套安全制度
-安全管理制度系列
-安全技术制度系列
-安全审计制度系列
安全制度的保障力度执行合规性[]合规性抽样测试
合规性穿行测试β[]应用安全[]应用架构安全
代码安全系统安全[]数据库安全
操作系统安全网络安全[]访问控制保障程度
VPN应用
内网传输加密情况物理安全[]机房安全
有线与无线通信安全
灾难备份（一）企业级局域网特点
企业级局域网具有以下典型特点，值得信息安全保险核保工作关注：
1．企业的信息资产具有商业属性，信息资产的正常运转可以带来直观的商业价值，所以其资产价值在核保中易于量化。
2．企业的信息安全建设往往是出于保障企业业务目标、经营效益的考量，资金投入中要进行更多的成本核算，可能会削弱安全保障的绝对质量。
3．电子商务的迅速发展使企业信息安全面临新形势与新挑战。
（二）企业级局域网核保要点
按照本文设计的核保体系及其技术支撑平台，并结合企业信息安全特点进行删减，企业级局域网核保要点设计见表1。
（三）可行性与有效性分析
1．结合对中国企业信息安全产业的深度调研和作者的企业信息安全管理经验，进行可行性分析如下：
（1）执行以上核保要点，对于已经有一定信息安全基础的企业，并不需要投入过多成本，非逆选择投保的企业在经济上可以接受。
（2）以上核保要点的执行时间均可以控制，不会造成过高的核保周期。
（3）以上核保要点均可依托现有成熟技术执行，具有人力投入的可行性和服务外包的可行性。
（4）执行核保过程中需要做的弥补工作，均是提升信息安全基本保障能力的行为，起到了核保环节促进被保险人防灾防损的目的，并非对企业的额外负担。
2．在有效性分析方面，以企业级局域网为例的分析表明：
（1）按照本文体系为企业设计出的核保要点虽然简洁，但覆盖面很全，可以起到全面核定风险的目的。
（2）上述核保要点间具有关联性，对耦合风险分析可以发挥有效的支持作用。
（3）核保要点检查的内容间在重要的部分有所交叉，便于确凿分析，在非重要部分避免了交叉，减少核保成本。
六、结论
本文结合我国信息安全市场状况与产业特殊性，对信息安全保险中的核保体系及其技术支撑平台进行了创新性研究，对信息安全保险核保技术审核架构的具体实现环节进行了详细设计。本文设计的核保体系及技术支撑平台在企业级局域网的应用分析论证了该体系的可行性与有效性。
受信息安全保险险种本身特点影响，本核保体系及其技术支撑平台有一定复杂度，需要消耗一定成本，但为了承保风险的控制，有关工作是必须的，有效的核保是支持该险种全面发展的必要条件。考虑到核保工作对投保方安全建设的促进作用，由投保方承担相关费用也是可以被接受的。
［参考文献］
［1］魏华林,林宝清.保险学（第二版）［M］.北京:高等教育出版社,2005.
［2］王一飞,程彤,冯宇平.过量规则下网络访问控制方法［J］.计算机工程,2008,（2）.
［3］王一飞.保障信息安全提升生产力［N］.中国保险报,2007-11-30.
［编辑：王一心］