网络安全|为网络与数据安全上一份保险( 二 )_

面对网络安全保险的痛点问题，复旦大学大数据研究院陈平研究员指出，网络安全保险有一个充要条件，即网络安全功能可以度量、网络风险概率可以测量、网络安全损失可以估算，这也是精算定价的重要基础。但是，目前网络安全技术难以满足这样的要求。网络空间仍存在内生安全共性问题， “漏洞”不可避免、“后门”不可彻查，由“漏洞”“后门”造成的网络安全风险防不胜防。
目前，网络安全技术，一方面难以防范未知的风险，难以回答“网络到底安全不安全”“网络安全能不能量化”这些关键问题；另一方面，现有的网络安全产品也不能保证自身是否安全，是否因为叠加了安全设施后造成新的安全风险。一个安全性能不可保证、安全质量说不清楚的安全产品，保险业如何跟进？
事实上，网络安全技术和网络安全保险是一个相辅相成、相互促进的关系。中国工程院院士方滨兴指出，一方面，网络安全保险需要更注重体现社会责任，网络安全的残余风险要靠保险来吸收，保险促进了社会面的风险防范；另一方面，网络安全企业也可以用网络安全保险来赋能，如果一个企业能够附赠网络安全保险，实际上就是为网络安全产品做了性能上的“背书” 。保险越高，表明安全能力就越强，也相当于让有更高性能的产品去引领市场、服务社会。
网络安全保险如何破局
推进网络安全保险创新，使其成为数字经济发展的“压舱石”“阻尼器” ，已经成为业界共识。达成这一目的，需要保险业、网络安全行业、政府和监管部门共同努力、协同创新。但要真正破局，根子上还要网络安全技术实现范式创新。
上海大学李玉峰教授认为，网络安全技术要达到保险业所需要的“可保性”的基本要求，必须做到“五个可”：安全性能可量化设计，对安全性不能“模棱两可” ，要精准度量；安全成本可按需调节，按照用户需求进行多样化配置，实现性能和成本有机结合；安全保障可精准实施，能够实时监测威胁，快速启动安全预案，瞬时恢复受控状态；安全态势可实时呈现，对安全场景、内控机制、安全效果达到全域可视；安全链条可追溯取证，在“事后”进行成因分析和取证。
复旦大学大数据研究院院长、中国工程院院士邬江兴谈到，达成保险业所期望的“可保性”需求，靠传统的网络安全技术很难实现， “封门堵漏”“杀马杀毒”等依赖先验知识的技术路线，无法达成网络安全保险的核心需求。为此，必须要探索网络安全新的技术发展范式。近十年来，我国科技工作者独有独创的内生安全理论和技术体系，一方面可以抵御网络空间未知风险，让基于“漏洞”“后门”的网络攻击化于无形；另一方面，通过动态、异构、冗余的架构技术，能够实现安全功能可定制、安全性能可度量可检验，为网络安全保险产品创新、业态发展提供坚实的技术支撑。