“數(shù)字保險(xiǎn)”下的數(shù)字安全初探

湯海波 劉 宇 復(fù)旦大學(xué)大數(shù)據(jù)研究院

一、引言

2023 年2 月，中共中央、國務(wù)院印發(fā)《數(shù)字中國建設(shè)整體布局規(guī)劃》（以下簡(jiǎn)稱《規(guī)劃》）。《規(guī)劃》指出，建設(shè)數(shù)字中國是數(shù)字時(shí)代推進(jìn)中國式現(xiàn)代化的重要引擎，是構(gòu)筑國家競(jìng)爭(zhēng)新優(yōu)勢(shì)的有力支撐。加快數(shù)字中國建設(shè)，對(duì)全面建設(shè)社會(huì)主義現(xiàn)代化國家、全面推進(jìn)中華民族偉大復(fù)興具有重要意義和深遠(yuǎn)影響。

《規(guī)劃》明確提出，數(shù)字中國建設(shè)應(yīng)按照“2522”的整體框架進(jìn)行布局，并將強(qiáng)化數(shù)字安全屏障作為數(shù)字中國建設(shè)發(fā)展的“兩大能力”之一。而在數(shù)字中國建設(shè)的推進(jìn)中，保險(xiǎn)業(yè)有著特殊的使命：一方面，作為重要的金融主體，保險(xiǎn)業(yè)自身需要加快數(shù)字技術(shù)的融合與創(chuàng)新應(yīng)用，以數(shù)字化轉(zhuǎn)型推動(dòng)保險(xiǎn)業(yè)高質(zhì)量發(fā)展；另一方面，保險(xiǎn)業(yè)有著風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)管理的重要功能，能夠?yàn)閿?shù)字中國建設(shè)過程中發(fā)生的數(shù)字風(fēng)險(xiǎn)提供經(jīng)濟(jì)兜底作用，對(duì)強(qiáng)化數(shù)字安全屏障有積極意義。

在保險(xiǎn)轉(zhuǎn)向“數(shù)字保險(xiǎn)”的道路上，數(shù)字安全問題時(shí)有發(fā)生，給保險(xiǎn)業(yè)帶來了嚴(yán)峻的挑戰(zhàn)。歐洲監(jiān)管機(jī)構(gòu)（EIOPA、ESMA和EBA）發(fā)布的《金融部門中的風(fēng)險(xiǎn)與漏洞報(bào)告》顯示，保險(xiǎn)業(yè)整體呈現(xiàn)高頻次的惡意軟件和網(wǎng)絡(luò)攻擊，其中包括數(shù)據(jù)泄露、勒索病毒、網(wǎng)絡(luò)攻擊等一系列數(shù)字安全問題，嚴(yán)重阻礙了“數(shù)字保險(xiǎn)”的安全發(fā)展。2023 年6 月，國家金融監(jiān)督管理總局向各銀保監(jiān)局、銀行保險(xiǎn)機(jī)構(gòu)等下發(fā)《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》（以下簡(jiǎn)稱《通知》）?！锻ㄖ分赝▓?bào)了銀行業(yè)保險(xiǎn)業(yè)存在企業(yè)微信服務(wù)風(fēng)險(xiǎn)和科技外包風(fēng)險(xiǎn)兩個(gè)重要風(fēng)險(xiǎn)點(diǎn)，明確指出銀行保險(xiǎn)機(jī)構(gòu)存在對(duì)數(shù)字生態(tài)場(chǎng)景合作情況底數(shù)不清、缺乏統(tǒng)籌管理、對(duì)合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)和責(zé)任識(shí)別劃分不清、在供應(yīng)鏈安全管理上履職不到位、對(duì)外包服務(wù)的應(yīng)急管理機(jī)制不健全等嚴(yán)重問題，需要行業(yè)全體嚴(yán)肅對(duì)待并嚴(yán)厲整改。

如何應(yīng)對(duì)嚴(yán)峻的數(shù)字安全問題、保障“數(shù)字保險(xiǎn)”的安全發(fā)展是保險(xiǎn)業(yè)與監(jiān)管部門迫切需要解決的問題。本文從這一角度出發(fā)，就“數(shù)字保險(xiǎn)”這一前沿主題展開討論，聚焦狹義“數(shù)字保險(xiǎn)”中的數(shù)字安全問題，深入挖掘分析“數(shù)字保險(xiǎn)”中各種已知風(fēng)險(xiǎn)與未知風(fēng)險(xiǎn)，并初步提供新的思路和應(yīng)對(duì)措施，為“數(shù)字保險(xiǎn)”安全發(fā)展提供建議。

二、數(shù)字中國下的“數(shù)字保險(xiǎn)”發(fā)展

目前學(xué)界對(duì)“數(shù)字保險(xiǎn)”這一概念尚未形成共識(shí)，且往往將“數(shù)字保險(xiǎn)”與“保險(xiǎn)數(shù)字化”兩個(gè)概念混為一談。如圖1所示，本文基于數(shù)字經(jīng)濟(jì)的概念，結(jié)合保險(xiǎn)的獨(dú)特性質(zhì)，對(duì)“數(shù)字保險(xiǎn)”給出狹義與廣義的定義。

圖1 “數(shù)字保險(xiǎn)”的定義

（一）狹義“數(shù)字保險(xiǎn)”定義

狹義認(rèn)知中的“數(shù)字保險(xiǎn)”是數(shù)字經(jīng)濟(jì)概念在保險(xiǎn)領(lǐng)域的應(yīng)用，亦可稱為保險(xiǎn)數(shù)字化，即保險(xiǎn)業(yè)作為數(shù)字經(jīng)濟(jì)的參與主體，利用數(shù)字技術(shù)和互聯(lián)網(wǎng)平臺(tái)，通過應(yīng)用人工智能、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)，改善保險(xiǎn)業(yè)務(wù)效率和用戶體驗(yàn)，實(shí)現(xiàn)組織架構(gòu)、業(yè)務(wù)模式、內(nèi)部流程升級(jí)改造。這包括在線銷售和管理保險(xiǎn)產(chǎn)品、自動(dòng)化核保和理賠流程、個(gè)性化定價(jià)和定制保險(xiǎn)方案等。

（二）廣義“數(shù)字保險(xiǎn)”定義

狹義的“數(shù)字保險(xiǎn)”定義僅將保險(xiǎn)業(yè)作為數(shù)字經(jīng)濟(jì)的參與主體，將數(shù)字經(jīng)濟(jì)概念簡(jiǎn)單映射到保險(xiǎn)領(lǐng)域，而并不考慮保險(xiǎn)行業(yè)所特有的風(fēng)險(xiǎn)轉(zhuǎn)移與經(jīng)濟(jì)兜底作用。從廣義的角度來看，“數(shù)字保險(xiǎn)”不僅需要考慮保險(xiǎn)業(yè)的數(shù)字經(jīng)濟(jì)參與者角色，還要突出保險(xiǎn)業(yè)的風(fēng)險(xiǎn)管理提供者角色，因此，本文在狹義定義的基礎(chǔ)上進(jìn)行如下擴(kuò)充。

1.數(shù)字化轉(zhuǎn)型相關(guān)風(fēng)險(xiǎn)保障

保險(xiǎn)公司作為風(fēng)險(xiǎn)管理者，對(duì)其他參與主體在數(shù)字化轉(zhuǎn)型過程中面臨的新風(fēng)險(xiǎn)進(jìn)行承保，進(jìn)而為數(shù)字經(jīng)濟(jì)發(fā)展提供保障。這包括：網(wǎng)絡(luò)安全保險(xiǎn)，轉(zhuǎn)移網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等風(fēng)險(xiǎn)；智能網(wǎng)聯(lián)汽車保險(xiǎn)，轉(zhuǎn)移自動(dòng)駕駛、車聯(lián)網(wǎng)等新興技術(shù)帶來的風(fēng)險(xiǎn)；技術(shù)開發(fā)創(chuàng)新保險(xiǎn)，轉(zhuǎn)移科技公司在研發(fā)過程中可能面臨的風(fēng)險(xiǎn)。

2.新保險(xiǎn)領(lǐng)域的風(fēng)險(xiǎn)保障

這是指保險(xiǎn)公司對(duì)數(shù)字經(jīng)濟(jì)發(fā)展催生的虛擬經(jīng)濟(jì)領(lǐng)域提供保險(xiǎn)保障服務(wù)。例如，NFT（非同質(zhì)化代幣）保險(xiǎn)可以保障數(shù)字藝術(shù)品和虛擬資產(chǎn)的價(jià)值；數(shù)字資產(chǎn)保險(xiǎn)可以轉(zhuǎn)移加密貨幣、區(qū)塊鏈資產(chǎn)等數(shù)字資產(chǎn)的風(fēng)險(xiǎn)；數(shù)字身份保險(xiǎn)可以保護(hù)個(gè)人在數(shù)字世界中的身份信息和隱私。

（三）“數(shù)字保險(xiǎn)”的發(fā)展趨勢(shì)

基于“數(shù)字保險(xiǎn)”的定義，本文認(rèn)為，未來“數(shù)字保險(xiǎn)”的發(fā)展存在三個(gè)明顯趨勢(shì)。

1.以數(shù)據(jù)為引擎

數(shù)據(jù)在“數(shù)字保險(xiǎn)”中扮演著重要的角色。保險(xiǎn)公司利用數(shù)字技術(shù)和互聯(lián)網(wǎng)平臺(tái)收集和分析大量數(shù)據(jù)，包括客戶信息、風(fēng)險(xiǎn)數(shù)據(jù)、行為數(shù)據(jù)等，以實(shí)現(xiàn)更精確的風(fēng)險(xiǎn)評(píng)估、定價(jià)以及客戶關(guān)系管理。同時(shí)，對(duì)于企業(yè)數(shù)字化轉(zhuǎn)型與保險(xiǎn)領(lǐng)域擴(kuò)張的新風(fēng)險(xiǎn)，誰能擁有高質(zhì)量的新風(fēng)險(xiǎn)數(shù)據(jù)，誰就能在“數(shù)字保險(xiǎn)”的競(jìng)爭(zhēng)中脫穎而出，在新產(chǎn)品設(shè)計(jì)、定價(jià)、風(fēng)險(xiǎn)管理等流程中占據(jù)優(yōu)勢(shì)。

2.以科技為工具

科技在“數(shù)字保險(xiǎn)”中是不可或缺的工具。保險(xiǎn)公司利用人工智能、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)來改進(jìn)保險(xiǎn)業(yè)務(wù)流程，實(shí)現(xiàn)自動(dòng)化核保和理賠，提高效率和提升用戶體驗(yàn)。隨著科技的不斷發(fā)展，無數(shù)的科技應(yīng)用將會(huì)在“數(shù)字保險(xiǎn)”中大放異彩。而在為新風(fēng)險(xiǎn)提供保障時(shí)，傳統(tǒng)的評(píng)估技術(shù)、風(fēng)險(xiǎn)管理工具等已難以滿足需求，迫切需要引入前沿科技手段對(duì)傳統(tǒng)工具進(jìn)行迭代。

3.以安全為基石

安全是“數(shù)字保險(xiǎn)”發(fā)展的基石。一方面，保險(xiǎn)業(yè)作為數(shù)字經(jīng)濟(jì)參與主體和數(shù)據(jù)密集型行業(yè)，確保保險(xiǎn)公司自身的數(shù)字安全是成功實(shí)現(xiàn)數(shù)字化的必要基礎(chǔ)；另一方面，保險(xiǎn)業(yè)在為數(shù)字經(jīng)濟(jì)發(fā)展提供保障的同時(shí)，也意味著將數(shù)字經(jīng)濟(jì)的安全問題轉(zhuǎn)移到自身并進(jìn)行風(fēng)險(xiǎn)管理。保險(xiǎn)業(yè)能否構(gòu)建良好的安全機(jī)制和提供安全保障服務(wù)，對(duì)數(shù)字經(jīng)濟(jì)能否安全平穩(wěn)運(yùn)行至關(guān)重要。

三、“數(shù)字保險(xiǎn)”中的數(shù)字安全問題

如前文所述，安全是“數(shù)字保險(xiǎn)”發(fā)展的基石。無論是在保險(xiǎn)業(yè)自身的數(shù)字化轉(zhuǎn)型過程中，還是在對(duì)數(shù)字化轉(zhuǎn)型、保險(xiǎn)領(lǐng)域擴(kuò)張的新風(fēng)險(xiǎn)進(jìn)行承保時(shí)，保險(xiǎn)行業(yè)都需要謹(jǐn)慎考慮安全問題。本文聚焦狹義“數(shù)字保險(xiǎn)”，并對(duì)狹義“數(shù)字保險(xiǎn)”中的數(shù)字安全展開討論。

如圖2 所示，數(shù)字安全主要涵蓋數(shù)據(jù)安全、認(rèn)知安全和網(wǎng)絡(luò)安全。在當(dāng)今萬物互聯(lián)的社會(huì)，移動(dòng)設(shè)備的普及不僅拓寬了傳統(tǒng)計(jì)算機(jī)概念的邊界，其用戶也產(chǎn)生了大量寶貴的數(shù)據(jù)。同時(shí)，隨著人們?cè)诰W(wǎng)絡(luò)空間的活動(dòng)越來越頻繁和復(fù)雜，網(wǎng)絡(luò)安全和認(rèn)知安全問題變得尤為重要。數(shù)據(jù)安全、認(rèn)知安全和網(wǎng)絡(luò)安全問題交織在一起，邊界逐漸模糊，數(shù)字基礎(chǔ)設(shè)施的脆弱性也不斷暴露。本文分別從數(shù)據(jù)安全、認(rèn)知安全和網(wǎng)絡(luò)安全三個(gè)方面展開討論。

圖2 保險(xiǎn)業(yè)數(shù)字安全的構(gòu)成

（一）數(shù)據(jù)安全

隨著數(shù)據(jù)要素市場(chǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)當(dāng)前具備規(guī)模海量、類型多樣、流轉(zhuǎn)快速、價(jià)值巨大四大特征，同時(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)的危害性也逐漸加劇。

數(shù)據(jù)安全是指保護(hù)存儲(chǔ)、處理和傳輸?shù)臄?shù)據(jù)免受未經(jīng)授權(quán)的訪問、泄露、竊取、篡改或破壞等活動(dòng)的過程和措施。它關(guān)注的是數(shù)據(jù)的機(jī)密性、完整性和可用性。保險(xiǎn)公司處理大量的客戶敏感數(shù)據(jù)，包括個(gè)人身份信息、財(cái)務(wù)數(shù)據(jù)和醫(yī)療記錄等，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)貫穿于數(shù)據(jù)要素流通的全流程，需要實(shí)施嚴(yán)格的數(shù)據(jù)安全措施。如圖3 所示，在數(shù)據(jù)采集過程中，存在數(shù)據(jù)知情權(quán)風(fēng)險(xiǎn)，如在用戶或其他實(shí)體不知情的情況下采集數(shù)據(jù)，或者在獲得允許的情況下過度采集數(shù)據(jù)，以及在未經(jīng)許可的情況下將實(shí)體間的數(shù)據(jù)相關(guān)聯(lián)，分析得出其他結(jié)果。在數(shù)據(jù)存儲(chǔ)和組織的過程中，存在數(shù)據(jù)控制權(quán)風(fēng)險(xiǎn)，例如，刪除數(shù)據(jù)不徹底或數(shù)據(jù)操作權(quán)限越界等。在數(shù)據(jù)流動(dòng)和傳播過程中，存在非法攻擊和隱私泄露風(fēng)險(xiǎn)。在數(shù)據(jù)利用和服務(wù)過程中，存在數(shù)據(jù)關(guān)聯(lián)性風(fēng)險(xiǎn)，即用戶在不知情的情況下將數(shù)據(jù)使用權(quán)授權(quán)給第三方。在數(shù)據(jù)遷移和銷毀過程中，存在數(shù)據(jù)訪問風(fēng)險(xiǎn)，即黑客攻擊導(dǎo)致數(shù)據(jù)銷毀失敗，訪問權(quán)限設(shè)置不明確導(dǎo)致數(shù)據(jù)泄露，以及數(shù)據(jù)遷移的目標(biāo)區(qū)域安全性防范不足導(dǎo)致非法訪問等。

圖3 數(shù)據(jù)要素流通的全流程風(fēng)險(xiǎn)

目前，全球范圍內(nèi)已有大量法律法規(guī)要求組織保護(hù)數(shù)據(jù)的安全和隱私。例如，歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）和美國的《加州消費(fèi)者隱私法》（CCPA）等要求組織采取適當(dāng)?shù)募夹g(shù)和措施來保護(hù)個(gè)人數(shù)據(jù)安全。保護(hù)數(shù)據(jù)安全有助于確保組織符合適用的合規(guī)性要求，避免法律糾紛和因違法違規(guī)而被罰款。由此可見，對(duì)數(shù)據(jù)安全的高度重視和保護(hù)是保險(xiǎn)業(yè)數(shù)字安全的重要一環(huán)。

（二）認(rèn)知安全

“認(rèn)知（Cognition）”一詞在牛津詞典中的定義為：“通過思想、經(jīng)驗(yàn)和感官獲取知識(shí)和理解的心理行為或過程?！备鶕?jù)認(rèn)知安全與教育論壇的定義，認(rèn)知安全是為抵御社會(huì)工程攻擊對(duì)認(rèn)知（Cognition）和感知（Sensemaking）有意或無意的操縱和破壞而作出的努力。在數(shù)字安全的背景下，社會(huì)工程攻擊是一種利用人類自身弱點(diǎn)的攻擊，攻擊者通過社交互動(dòng)的方式來對(duì)人類的認(rèn)知、思想、意識(shí)的薄弱環(huán)節(jié)進(jìn)行攻擊，致使受害者泄露機(jī)密信息、提供訪問權(quán)限、執(zhí)行惡意操作或采取其他不利于受害者的行為。與其他安全問題不同的是，社會(huì)工程攻擊并不需要利用技術(shù)上的漏洞實(shí)現(xiàn)，其主要的攻擊形式有冒用身份、垃圾郵件與釣魚軟件、社交媒體虛假信息等。

在保險(xiǎn)領(lǐng)域，社會(huì)工程攻擊往往與保險(xiǎn)欺詐、社交媒體虛假信息等密切相關(guān)。保險(xiǎn)理賠是保險(xiǎn)公司經(jīng)營(yíng)支出的核心部分，賠付率的高低對(duì)保險(xiǎn)公司盈利水平至關(guān)重要。保險(xiǎn)欺詐通過有意偽造、夸大或故意提供虛假信息來獲取保險(xiǎn)公司賠償或其他經(jīng)濟(jì)利益，長(zhǎng)期以來對(duì)保險(xiǎn)公司的利益造成嚴(yán)重?fù)p害。而在保險(xiǎn)理賠數(shù)字化、便捷化的背景下，不法分子通過AIGC（人工智能生成內(nèi)容）等技術(shù)偽造虛假信息，以逼真的素材混淆保險(xiǎn)審核員的視聽，對(duì)保險(xiǎn)公司的理賠造成新的威脅。

另一個(gè)問題是社交媒體的虛假信息傳播。保險(xiǎn)業(yè)的核心是誠實(shí)與誠信，投保人購買保險(xiǎn)時(shí)往往需要重點(diǎn)考量保險(xiǎn)公司的聲譽(yù)情況。在社交媒體廣泛使用與信息篩查監(jiān)管不足的背景下，大量的虛假信息充斥在網(wǎng)絡(luò)上，對(duì)人們的認(rèn)知與理解造成極大影響。關(guān)于保險(xiǎn)公司的大量虛假信息一旦在社交媒體上傳播，極有可能導(dǎo)致保險(xiǎn)公司的聲譽(yù)受損，消費(fèi)者對(duì)保險(xiǎn)公司的信任度降低，甚至引發(fā)消費(fèi)者的抵制行為，也可能誤導(dǎo)分析師和投資者，對(duì)保險(xiǎn)公司的業(yè)績(jī)?cè)u(píng)估產(chǎn)生負(fù)面影響。由此，保障“數(shù)字保險(xiǎn)”的認(rèn)知安全不僅同保險(xiǎn)核心業(yè)務(wù)緊密相連，甚至與保險(xiǎn)公司聲譽(yù)、保險(xiǎn)公司股價(jià)等息息相關(guān)，對(duì)構(gòu)建“數(shù)字保險(xiǎn)”的數(shù)字安全有重要意義。

（三）網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是數(shù)字安全的重要組成部分，指的是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)中的信息免受未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或中斷的威脅和攻擊的一系列措施。而網(wǎng)絡(luò)空間安全則更廣泛，涵蓋整個(gè)互聯(lián)網(wǎng)和數(shù)字化環(huán)境。它關(guān)注的是保護(hù)互聯(lián)網(wǎng)及其相關(guān)技術(shù)基礎(chǔ)設(shè)施、信息系統(tǒng)和網(wǎng)絡(luò)空間免受威脅和攻擊。網(wǎng)絡(luò)空間安全不僅關(guān)注特定網(wǎng)絡(luò)的安全，還包括保護(hù)互聯(lián)網(wǎng)和數(shù)字化世界中的信息和數(shù)據(jù)安全。

保險(xiǎn)行業(yè)在數(shù)字化轉(zhuǎn)型過程中面臨日益嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅與挑戰(zhàn)。保險(xiǎn)行業(yè)由于涉及大量敏感數(shù)據(jù)，這些數(shù)據(jù)詳細(xì)地記錄著用戶特征和行為，能較為準(zhǔn)確地復(fù)原出用戶畫像。這些數(shù)據(jù)在網(wǎng)絡(luò)空間傳輸、處理和存儲(chǔ)過程中，除了受到數(shù)據(jù)安全威脅外，還面臨來自網(wǎng)絡(luò)空間安全的各種威脅，已知安全威脅的危害在于它們可以被利用繞過系統(tǒng)正常的安全機(jī)制、獲取未經(jīng)授權(quán)的訪問或執(zhí)行惡意活動(dòng)。攻擊者可以利用漏洞、后門、木馬程序和釣魚軟件等手段來竊取敏感信息，損害系統(tǒng)的完整性，使系統(tǒng)拒絕正常服務(wù)或破壞系統(tǒng)功能。一旦系統(tǒng)被攻擊成功，很有可能會(huì)造成用戶資料外泄、欺詐行為甚至重大經(jīng)濟(jì)損失等嚴(yán)重后果。

至于保險(xiǎn)數(shù)字化產(chǎn)品，在如今供應(yīng)鏈全球化的時(shí)代，有大量的開源程序被集成在數(shù)字化應(yīng)用程序中，開源程序中的未知漏洞和后門等會(huì)給數(shù)字化產(chǎn)品帶來嚴(yán)重威脅。舉例來說，保險(xiǎn)APP 在開發(fā)過程中，會(huì)集成一些第三方服務(wù)如SDK（軟件開發(fā)工具包）以便于快速開發(fā)，這些SDK 提供了推送、支付等功能，這些服務(wù)有可能存在漏洞或者后門，使得用戶隱私被泄露至第三方服務(wù)商甚至不法分子手里。此外，一些大型的后臺(tái)管理軟件可能存在未修補(bǔ)的高危漏洞，從而被黑客用來獲取管理員權(quán)限并竊取大量用戶數(shù)據(jù)等。Indusface的報(bào)告顯示，2023年第一季度，其網(wǎng)絡(luò)安全應(yīng)用監(jiān)測(cè)到的針對(duì)保險(xiǎn)行業(yè)的網(wǎng)絡(luò)攻擊數(shù)量是其他行業(yè)的12 倍以上。因此，保險(xiǎn)行業(yè)必須建立強(qiáng)大的網(wǎng)絡(luò)空間安全防護(hù)網(wǎng)。

綜上，“數(shù)字保險(xiǎn)”下，保險(xiǎn)行業(yè)面臨的數(shù)據(jù)安全、認(rèn)知安全和網(wǎng)絡(luò)安全問題愈發(fā)嚴(yán)重。從數(shù)據(jù)安全層面看，數(shù)據(jù)泄露可能導(dǎo)致敏感信息泄露、數(shù)據(jù)價(jià)值受損、商業(yè)機(jī)密外泄，損害個(gè)人和組織聲譽(yù)，并對(duì)市場(chǎng)競(jìng)爭(zhēng)產(chǎn)生不利影響；從認(rèn)知安全層面看，大量的保險(xiǎn)欺詐與虛假信息等在AIGC等前沿技術(shù)的賦能下，識(shí)別檢測(cè)難度大大提升，可能導(dǎo)致保險(xiǎn)公司核心業(yè)務(wù)受損；從網(wǎng)絡(luò)安全層面看，網(wǎng)絡(luò)入侵可以導(dǎo)致個(gè)人身份信息、金融賬戶被盜，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。

四、網(wǎng)絡(luò)空間內(nèi)生安全賦能數(shù)字安全

針對(duì)保險(xiǎn)業(yè)存在的數(shù)字安全問題，需要從一個(gè)全新的視角重新審視，以一套新的理論框架為“數(shù)字保險(xiǎn)”發(fā)展中面臨的數(shù)字安全問題提供指導(dǎo)。數(shù)字安全評(píng)估方法需要從數(shù)字安全的定義出發(fā)，涵蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全與認(rèn)知安全三個(gè)層面的安全評(píng)估內(nèi)容。

（一）網(wǎng)絡(luò)空間內(nèi)生安全問題

我國著名網(wǎng)絡(luò)空間安全專家鄔江興院士提出了網(wǎng)絡(luò)空間內(nèi)生安全問題認(rèn)識(shí)、感知和防御一體化解決方案。他指出，一個(gè)系統(tǒng)或一個(gè)模型內(nèi)，將存在由構(gòu)造或結(jié)構(gòu)決定的互為依存或糾纏關(guān)系的因素（或變量或矛盾）稱為“內(nèi)生的或內(nèi)源性的”。內(nèi)生安全問題是不可能徹底消除的結(jié)構(gòu)性矛盾。網(wǎng)絡(luò)空間內(nèi)生安全問題是與數(shù)字系統(tǒng)本身功能不可分割的、內(nèi)在的結(jié)構(gòu)性矛盾，既有個(gè)性化特點(diǎn)，也有共性化表現(xiàn)。他指出，網(wǎng)絡(luò)空間內(nèi)生安全共性問題存在如下一些基本特征：第一，不可避免性。只要是由軟硬件構(gòu)成的信息系統(tǒng)、控制裝置、數(shù)字設(shè)施都不可避免地存在已知或未知的內(nèi)生安全共性問題。第二，條件可用性。內(nèi)生安全共性問題不是所有條件下都能成為網(wǎng)絡(luò)攻擊的可利用資源，也不是所有情況下都能導(dǎo)致網(wǎng)絡(luò)安全事故。內(nèi)因必須通過外因才能起作用。第三，矛盾轉(zhuǎn)移性。內(nèi)生安全共性問題不可能通過補(bǔ)丁方法論和附加性防御措施消除。第四，交織疊加性。隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)與智能技術(shù)以及人為攻擊因素不斷滲透?jìng)鹘y(tǒng)功能安全領(lǐng)域，這些因素不可避免地會(huì)演進(jìn)為Security-Safety 交織或復(fù)合疊加問題，即廣義功能安全問題。

（二）數(shù)字安全與內(nèi)生安全評(píng)估

“數(shù)字保險(xiǎn)”中同樣存在內(nèi)生安全問題，不僅存在已知形式和已知后果的相關(guān)風(fēng)險(xiǎn)，也存在未知形式和未知后果的未知風(fēng)險(xiǎn)。為有效應(yīng)對(duì)已知風(fēng)險(xiǎn)和未知風(fēng)險(xiǎn)，保險(xiǎn)行業(yè)需要建立全面且定制化的風(fēng)險(xiǎn)評(píng)估與管理機(jī)制，同時(shí)研究針對(duì)不同數(shù)字化應(yīng)用或場(chǎng)景需要定制化的網(wǎng)絡(luò)空間風(fēng)險(xiǎn)評(píng)估方法。通過引入內(nèi)生安全評(píng)估方法（見圖4），既要對(duì)已知風(fēng)險(xiǎn)進(jìn)行評(píng)估，也要將未知風(fēng)險(xiǎn)的感知和度量納入評(píng)估范圍，從而賦能保險(xiǎn)行業(yè)數(shù)字安全建設(shè)，具體內(nèi)容如下。

圖4 網(wǎng)絡(luò)空間安全威脅應(yīng)對(duì)措施

1.已知的已知風(fēng)險(xiǎn)

已知的已知風(fēng)險(xiǎn)是指風(fēng)險(xiǎn)的發(fā)生形式已知，發(fā)生的可能性和后果也已知，對(duì)于此類風(fēng)險(xiǎn)，首先需要在不同層面作出如下評(píng)估。

一是網(wǎng)絡(luò)安全評(píng)估。網(wǎng)絡(luò)安全評(píng)估關(guān)注保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性。評(píng)估方法可以包括漏洞掃描、入侵測(cè)試、網(wǎng)絡(luò)拓?fù)浞治龅?。通過檢測(cè)和分析網(wǎng)絡(luò)中的潛在威脅和漏洞，識(shí)別可能的攻擊路徑和弱點(diǎn)，并提供相應(yīng)的安全建議和措施。通過研究已公開的安全漏洞數(shù)據(jù)庫、威脅情報(bào)和安全公告，確定可能對(duì)系統(tǒng)和網(wǎng)絡(luò)造成風(fēng)險(xiǎn)的已知威脅。評(píng)估這些威脅對(duì)業(yè)務(wù)和系統(tǒng)的潛在影響，并采取相應(yīng)的防護(hù)措施。

二是數(shù)據(jù)安全評(píng)估。數(shù)據(jù)安全評(píng)估關(guān)注保護(hù)數(shù)據(jù)的保密性、完整性和可用性。評(píng)估方法可以包括對(duì)數(shù)據(jù)存儲(chǔ)和傳輸進(jìn)行加密和訪問控制的分析，審查數(shù)據(jù)備份和恢復(fù)策略，評(píng)估數(shù)據(jù)處理過程中的安全性等。通過評(píng)估數(shù)據(jù)的安全性措施，發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理過程中存在的潛在風(fēng)險(xiǎn)，并提供改進(jìn)和加固的建議。

三是認(rèn)知安全評(píng)估。認(rèn)知安全評(píng)估關(guān)注人員的安全意識(shí)和行為習(xí)慣。評(píng)估方法包括安全培訓(xùn)和教育的效果評(píng)估、社會(huì)工程學(xué)測(cè)試、員工行為監(jiān)測(cè)等。通過評(píng)估組織成員對(duì)安全威脅的認(rèn)知程度、對(duì)安全政策和規(guī)定的遵守情況以及他們的行為習(xí)慣，發(fā)現(xiàn)潛在的安全弱點(diǎn)，并提供培訓(xùn)和提高風(fēng)險(xiǎn)意識(shí)的建議。

此外，對(duì)于已知威脅需要進(jìn)行分級(jí)分類評(píng)估。以漏洞為例，不同漏洞的觸發(fā)條件和后果是不同的，有些漏洞是個(gè)性問題，有些則是共性問題；有些漏洞通過簡(jiǎn)單的攻擊會(huì)造成系統(tǒng)崩潰或提權(quán)，有些漏洞的觸發(fā)則需要苛刻的外部條件。這些在構(gòu)建評(píng)估模型的過程中都需要重點(diǎn)考慮。例如，及時(shí)響應(yīng)并檢測(cè)系統(tǒng)中是否存在共性通殺型漏洞Log4J，如果系統(tǒng)中存在該漏洞，則系統(tǒng)面臨嚴(yán)重的風(fēng)險(xiǎn)；檢查供應(yīng)鏈安全問題，及時(shí)修補(bǔ)漏洞；監(jiān)控第三方服務(wù)的惡意行為，如是否存在隱私泄露或其他后門風(fēng)險(xiǎn)，以確保業(yè)務(wù)系統(tǒng)和產(chǎn)品安全。

2.已知的未知風(fēng)險(xiǎn)

已知的未知風(fēng)險(xiǎn)是指發(fā)生形式已知，但是發(fā)生的可能性和后果是未知的，這會(huì)反映到數(shù)字化系統(tǒng)中用以測(cè)試各種未知的漏洞和后門等。我們雖然已知存在如內(nèi)存溢出等形式的漏洞，但是無法識(shí)別出所有具體的漏洞。這些形式的漏洞一旦被攻擊者發(fā)現(xiàn)，其發(fā)生的可能性和具體后果是未知的，需要考慮如下這些措施。

一是實(shí)施威脅建模與風(fēng)險(xiǎn)分析。通過威脅建模與風(fēng)險(xiǎn)分析的方法，分析系統(tǒng)和網(wǎng)絡(luò)可能面臨的未知威脅和風(fēng)險(xiǎn)。考慮不同類型的攻擊者、攻擊向量和潛在的安全漏洞，評(píng)估其對(duì)業(yè)務(wù)和系統(tǒng)的潛在威脅。

二是深入挖掘與測(cè)試。通過專業(yè)的滲透測(cè)試，模擬真實(shí)的攻擊行為，試圖發(fā)現(xiàn)網(wǎng)絡(luò)、數(shù)據(jù)和認(rèn)知層面未知的安全弱點(diǎn)和漏洞。通過滲透測(cè)試，可以評(píng)估系統(tǒng)和網(wǎng)絡(luò)的脆弱性，并提供改進(jìn)建議和修復(fù)措施。

三是持續(xù)監(jiān)測(cè)與威脅情報(bào)分析。建立持續(xù)的威脅情報(bào)收集和分析機(jī)制，跟蹤最新的攻擊趨勢(shì)和威脅情報(bào)。通過分析威脅情報(bào)，提前識(shí)別和評(píng)估未知風(fēng)險(xiǎn)，并采取相應(yīng)的防護(hù)措施和應(yīng)對(duì)策略。

3.未知的未知風(fēng)險(xiǎn)

網(wǎng)絡(luò)空間還存在著大量未知的未知風(fēng)險(xiǎn)，即發(fā)生形式、發(fā)生的可能性和后果也同樣未知。未知風(fēng)險(xiǎn)來自網(wǎng)絡(luò)空間快速發(fā)展帶來的各種新興威脅，這些威脅難以預(yù)見，也屬于系統(tǒng)的內(nèi)生安全問題范疇，同樣可能造成嚴(yán)重后果。未知風(fēng)險(xiǎn)在傳統(tǒng)的系統(tǒng)開發(fā)架構(gòu)下是難以感知的，針對(duì)這一特點(diǎn)，一方面，要利用大數(shù)據(jù)、人工智能和漏洞挖掘等技術(shù)，挖掘數(shù)據(jù)中的隱藏模式和趨勢(shì)，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，將有限的未知風(fēng)險(xiǎn)變?yōu)橐阎卣鳎涣硪环矫?，由于?nèi)生安全問題的不可避免性，需要在保險(xiǎn)公司的核心系統(tǒng)，利用新的防御感知架構(gòu)（如動(dòng)態(tài)異構(gòu)冗余架構(gòu)等）來抑制和轉(zhuǎn)換內(nèi)生安全問題帶來的風(fēng)險(xiǎn)，將未知的未知風(fēng)險(xiǎn)轉(zhuǎn)換為已知的未知風(fēng)險(xiǎn)。同時(shí)，利用該架構(gòu)感知未知風(fēng)險(xiǎn)，最終使得產(chǎn)品能有效應(yīng)對(duì)可感知的未知的未知風(fēng)險(xiǎn)。

綜上，網(wǎng)絡(luò)空間內(nèi)生安全理論從多個(gè)角度分析了已知風(fēng)險(xiǎn)和未知風(fēng)險(xiǎn)，并在不同層面給出了初步指導(dǎo)，尤其是為如何面對(duì)網(wǎng)絡(luò)空間未知風(fēng)險(xiǎn)提供了新的方法論，從而能有效地為“數(shù)字保險(xiǎn)”中的數(shù)字安全保護(hù)賦能。同時(shí)，“數(shù)字保險(xiǎn)”必須把網(wǎng)絡(luò)空間安全作為重中之重。只有建立全面、有效的網(wǎng)絡(luò)安全防護(hù)，采取切實(shí)可行的措施來應(yīng)對(duì)各種潛在風(fēng)險(xiǎn)，才能確?？蛻粜畔⒑徒灰装踩?，避免網(wǎng)絡(luò)攻擊造成的損失，維護(hù)保險(xiǎn)公司和保險(xiǎn)行業(yè)的信譽(yù)。

五、總結(jié)

數(shù)字安全問題是任何領(lǐng)域在數(shù)字化轉(zhuǎn)型過程中必須重視的問題，保險(xiǎn)行業(yè)在“數(shù)字保險(xiǎn)”的發(fā)展進(jìn)程中需要從數(shù)字安全出發(fā)，重點(diǎn)關(guān)注數(shù)字安全下的數(shù)據(jù)安全、認(rèn)知安全和網(wǎng)絡(luò)安全問題，并對(duì)網(wǎng)絡(luò)空間中的各種已知風(fēng)險(xiǎn)與未知風(fēng)險(xiǎn)進(jìn)行深入理解和研判。保險(xiǎn)行業(yè)還應(yīng)密切關(guān)注監(jiān)管機(jī)構(gòu)與政府部門在數(shù)字安全方面的政策與要求，配合其他行業(yè)遵循相關(guān)規(guī)定，達(dá)到合規(guī)目標(biāo)。這需要政府、行業(yè)組織和保險(xiǎn)公司共同努力，提高數(shù)字安全水平，保障客戶和社會(huì)的信息安全與切身利益，進(jìn)而促進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。