刘春年 高家望(华中师范大学信息管理系,武汉,430079)
[摘要] 本文首先分析了新世纪信息安全产业、保险业各自面临的机遇和挑战,以及两者互动的必要性;接着,具体分析了两者联姻的可行性;最后,提出了信息安全产业与保险业结合中存在的问题与解决方案。
[关键词] 信息安全产业 保险业 互动双赢 可行性
[中图分类号]G202 [文献标识码]A [文章编号]1003 2797(2002)01 0041 04
1 信息安全产业与保险业互动的必要性
随着网络技术及其应用的不断发展,信息产业逐渐主导国民经济和社会发展的过程。互联网的诞生促进了信息的交流,但互联网是个开放的系统,在安全性方面存在很多漏洞,面临种种网络攻击的威胁。中国电子商务网公布的对国内近三百家企业所作的网络安全问题抽样调查的统计数据表明,目前我国企业存在的主要安全隐患是:“信息被篡改”占44%,“信息失窃”占40%,“被病毒破坏”占40%,“被恶意攻击”占32%,“每种情况都有”的占4%(可多项选择,下同)。企业采取的主要信息安全措施有:72%的企业采用“防火墙”,48%的企业采用“防病毒软件”,采用“安全网关”的占20%,采用“信息加密”的占8%,采用其他措施的为0。针对网络安全问题,60%的企业表示“愿意”花时间、精力和财力来解决安全隐患,并且44%的企业表示“极力支持”,只有4%的企业表示不愿意。
危害日益严重的网络信息犯罪的出现及其多样化,在一定程度上对于社会既有的稳定秩序和社会发展的正常进程形成冲击,成为一个不和谐音,并隐隐成为一个社会问题,从而引起各界的警觉和关注。其中,对于网络信息安全问题最为关注的莫过于科学技术界和法律界,并且两者关注的侧重点是不同的,这是由学科特点和本质属性所决定的。科技界关注的目的,往往在于通过对危害网络信息安全的主体所使用技术的研究来弥补原有技术缺陷,并谋求技术进步,它是以技术关注技术;而法律界关注的目的,则在于对已具有社会危害性的不正当技术行为的打击及对于既有稳定社会秩序的保护,因而法律界关注所谋求的是对滥用技术行为的强制纠偏。
网络攻击难以预防,危害性大,如何确保互联网时代的信息安全是各国共同面对的一个难题。要保障信息安全,必须制定统筹的方略,在管理、技术、教育、法律及国际合作等方面作出努力。
与此相适应,随着信息安全产业化的深入发展,我国信息安全产业面临着行业保障的课题。信息安全企业和消费者之间的商业行为,需要经济上的保障措施对其产品的安全质量进行安全保证。消费者从对安全产品质量(也就是安全强度和保证)的信任出发,也需要以商业行为来给予保证。随着社会经济模式的变化,组织的形式、规模、发展战略、竞争策略及市场环境等都正在或即将发生变化,通过对以往观念的反思,人们有了更深刻和更直观的认识,承认网络信息安全问题的无法回避性与客观存在性已成必然的社会现实。全球网络信息安全SANS2000年会的核心结论之一是:解决网络信息安全问题的趋势将是网络信息安全服务和信息安全保险的密切结合。瑞士苏黎士金融集团也认为,全面的电子商务解决方案的构成应为:技术解决实施方案加保险实施方案。
从另一方面而言,就保险业来说,信息安全产业将是其进军高科技产业的切入点。这里的所谓保险,是指投保人根据合同规定,向保险人支付保险费,保险人对于合同约定的可能发生的事故,因其发生所造成的财产损失承担赔偿保险金责任,或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限时承担给付保险金责任的商业保险行为。保险的职能就是为社会提供风险补偿。风险发生的几率越高,用户保险需求的欲望越强。由于网络黑客和电脑病毒的存在,网络的延伸速度越快、扩展的范围越广,网络用户可能的财产损失也就越大,从而为保险业务提供了一个全新的发展空间。网络信息安全保险就是要深入到企业的网络化生产经营过程中去,从企业内部发现漏洞和可能存在的风险,提出合理化建议或主动采取措施,“防患于未然”。银行与证券交易所对信息安全问题极为敏感。实行网上交易可能引来网络入侵者,比如盗窃或者更改电子资金资料。信息安全企业通过信息安全保险业务可以充分利用其既有资金和客户群体,提高安全保险产品的利用率,通过增加中间业务收入提高人均生产力;保险公司通过信息安全企业可以找到自己的利润增长点,有利于实现成本控制和目标管理。
2 信息安全产业与保险业联姻的可行性
前已论述,信息产业与保险产业结合对双方都有重要意义。在现实生活中,由于安全漏洞的大量存在、黑客的破坏及病毒的侵扰等,一些与信息安全休戚相关的组织和个人,对网络信息安全保险都有浓厚的兴趣。但是,由于高科技保险不确定性因素较多,目前,绝大多数保险商对此持观望态度。据悉,国内新浪等著名网站欲对网络安全进行投保,保险公司却对此犹豫不决。
面对烫手的山芋不敢接,保险公司是有其自身的顾虑的。由于传统的保险不涉及任何软件而导致的损失,因此,保险人不可能非常得心应手地把上个世纪60年代形成的那种财产保护体制和责任认定方针应用于当前数字化的世纪,那个时代根本就没有信息资产风险保证金及相关责任制度,其财产保险仅仅考虑由于直接物质上的某种损害而带来收益的减少,而其它种类事故甚至包括由于硬盘被某种非法格式化致使数据或信息丢失而带来的商业损失都无法评估。现在的保险正在向一些高科技行业进军,例如,一些保险人已经开始涉及了下述保险标的:由于DOS操作系统问题而导致的某种服务、产品或买卖的丧失;由于计算机病毒、黑客侵扰而重置系统的费用;由于顾客信任被侵犯或商业信用降低而带来的商业利润的减少,等等。
现在的问题是,保险公司怎样去认定什么是良好的信息安全方针?保险商怎样才能制定一个符合实际的项目表去保险信息资产?这些信息资产到底包括那些内容?如果投保人的计算机被使用去攻击其他人而导致了损失,这种责任又该由谁来承担?
保险公司一般不会在它们的评估方案和保险条款中调查比较细节的事,它们声称有自己的思维理念。但它们却强调说自己为企业带来了非常好的安全措施,并雇佣了信息安全专家中的骨干人员来协助解决信息安全问题。
由于承担着风险,保险家对自己保险的网络安全性投入了相当多的精力。对于那些相对来说不安全的信息系统,它们往往拒绝担保。因此,风险评估对保险公司来说,至关重要。风险评估的等级随着客户和信息资产的性质不同而各异,但基本的安全要素包括以下内容:
(1)有优秀的记录容量,能全天候地监测网络登录系统。保险公司偏爱那些能很容易地使用网络管理员了解在任何时候谁在线,他们何时来的、何时走的,去了什么地方的系统。
(2)权限。这包括谁被允许使用系统的哪一部分,他对系统文件的存取权限怎样?
(3)雇员依从性。这包括使用者怎样保护他们的口令,他们对社会工程的敏感度、感染力如何;在系统管理中,那些默认的口令经常被改变吗?他们是否用他们所安装的系统产品来操纵普通的安全入口和敏感区。
在上述这些安全要素中,保险公司最关心的是人的要素。这是因为黑客最频繁使用的工具首先是欺骗。他们常常很容易就从他人口中套到口令或密码。因此,保险公司将焦点放在了雇员安全规则上:他们是否确知网络信息安全规则?他们遵守口令保护规则吗?这种规则是否已被有效地贯彻落实?如果保险标的价值重大,保险公司通常会设计出一种具体的保险实施方案。例如,它们可能会雇用一支通信联络队伍,专门用来通知、监督投保人对安全措施的执行。
但这种做法,存在以下几个问题:
(1)收费过高。在国外,一般风险评估费用最低为2万美金,并且经常远远高于此数。
(2)有些保单名不符实。有些保险公司宣称实行网络信息安全保险,实际上在保单中甚至连“信息安全”这几个字都未涉及。
由于上述问题的存在,同时也由于高科技保险自身的不成熟,很多信息安全企业对高科技保险反应平淡。它们认为信息安全风险保险人应该对任何保险标的损失(不论它是源于黑客的攻击,还是错误的市场预测,或是一场权力风波,或者仅仅是由于突然的环境灾难)负保险责任,这对保险公司在技术上提出了更高的要求。保险公司在承保前对投保公司进行网络安全的测试,只有对其所承保项目在技术上有所了解,才能在保险条款拟定上做到既让客户满意,又不至于使自身可能陷入高额赔偿的危险境地。保险公司也可以依托保险咨询机构,运用成熟的风险管理技术控制去化解风险;充分利用保险公司网点多、客源广、结算快、服务好、信誉高的优势,在组织结构、人员安排、信息安全险种设计上下功夫。同时,对保险公司员工进行安全产品培训,开展各项后续支援工作,健全保险公司信息安全保险产品专管员队伍,使保险公司变被动为主动,成为信息安全保险业务的主角。
据悉,目前中国人民保险公司开始在全国范围内推广计算机保险。该保险包括计算机硬件损失保险、数据复制费用保险和增加费用保险(设备租赁费用保险)三部分,主要承保因火灾、爆炸、水管爆裂、雷击、暴雨、台风、盗抢以及其它保险责任事故所导致的计算机硬件损失、数据复制费用和临时租赁费用。对于风险较难控制的计算机病毒、“黑客”侵害和计算机2000年问题,该公司暂时将其列入责任免除条款。对此,中国保险学会的有关专家说,中国人民保险公司推出计算机保险,标志着我国保险业承保技术的提高,以及对于高风险行业驾驭能力的增强,从而开了我国同类保险的先河,具有不可低估的重要意义。
从产业推进的原理出发,一般来说,网络信息安全保险的开展依赖于两个基本因素:一是推动网络信息安全保险发展的内在需求,如产业拓展业务、吸引客户、增强竞争力;二是支持网络信息安全保险发展的外在支撑环境,如强大的市场需求、健全的法律法规、完善的社会支持系统等。目前,就内在需求而言,保险公司要找到自己的利润增长点,实现成本控制和目标管理,除了把保险搬上网这种形式的更新外,更应该在业务的拓展和创新上下功夫,开展包括网络信息安全保险在内的高科技保险,抢占信息经济的制高点,对保险行业来说,既是可行的,也是必须的。就外在环境来说,网络信息安全产业的兴盛与不安全因素的并存,给网络信息保险提供了巨大的市场空间;信息安全立法研究的开展,决策部门对经济体制的改革,也给网络信息安全保险的拓展,提供了良好的发展空间。因此,网络信息安全保险是大势所趋,不容置疑。
3 信息安全产业与保险业结合存在的问题与解决方案
对大多数网络用户、保险公司或IT厂商而言,网络信息安全保险是利国利民的好事,但也有几个问题尚待解决。
(1)经济上界定损失的难点:网络出现安全问题后,经济损失程度评估很难判定。
(2)技术上界定困难:任何一个操作系统都有它先天的不足,软、硬件都有出现问题的可能,出现问题的几率无法测算。
(3)法律上的定性:网络出现问题,通过技术可以把它辨认出来,但是谁来保证这个辨认的公正性,电子化的东西哪些可以作为法律依据,目前尚无法律条文对此作出规定。美国在这方面的知名案例是微软垄断一案,法院判定它的电子化文档(电子邮件)可以作为法律依据,但我国目前还没有这方面的法规。
(4)安全标准问题:网络安全管理和规范没有一个统一的标准,就是说保险公司依据判断出现问题的概率,什么样的防范手段保险公司能认可。
对于上述问题,笔者提出以下解决方案:
(1)对由于网络信息安全问题造成经济损失的,原则上以实际经济损失为标准进行赔偿。例如,对由于意外事故而造成通信或其它资源破坏的赔偿,应以通信或其它资源的实际价值为标准赔偿;对由于意外事故而造成信息的讹用或篡改、被窃、删除、丢失、泄露等,也应以其带来的实际经济损失为标准赔偿,包括投保人处理事故所需的费用,以及事故后恢复数据或信息所需的费用;而对由于网络信息安全问题造成服务的中断,由此带来潜在经济损失的,则可酌情给予经济赔偿,必要时可请有关机构鉴定处理。
(2)对于网络信息安全事故的技术鉴定,原则上可从以下几方面展开调查:第一,调查其是否属于管理欠缺的问题。网站或系统的严格管理是企业、机构及用户免受攻击的重要措施,而事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%~85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。第二,调查其是否属于网络缺陷的问题。因特网的共享性和开放性使网上信息安全存在先天不足,因为因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,但它仅是信息高速公路的雏形,在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。第三,调查其是否属于网络技术的缺陷问题。影响网络信息安全的技术问题主要有信息接收辨识技术、信息网络技术、调查统计处理技术、技术防范有效性及信息供给技术等。第四,调查其是否属于由行业竞争性问题引起的。主要调查组织间自身防范体系及组织间的竞争关系。第五,调查其是否属于人为的触发。基于信息战和对他国监控的考虑,个别国家或组织可能有意识触发网络信息安全问题。
(3)对于法律上的定性和网络安全标准问题,前者可通过司法鉴定获得暂时的解决,以及通过法律的不断完善来获得根本性的解决;后者可通过正在发展起来的各级各类测评认证组织所提供的安全等级标准进行鉴定。
总之,网络信息安全保险是新经济时代形成的一种新型行业,新经济不仅仅只是生产率和收益的提高,也不仅仅指速度更快的计算机、更宽敞的家和更豪华的汽车,甚至也不是无所不在的互联网。新经济的灵魂在于,对个人和整体的社会而言,已经有能力和甘愿冒更大风险,以追求增长、创新和变革。保险本是对不确定性的保障,如果风险概率已定,投保人又何必花钱买保单呢?所以,网络信息安全保险过于谨慎,只是说明人们对一种新事物的担忧,不应该将它夸大。网络信息安全保险,需要大胆的风险投资意识,需要有顽强创业的精神,需要有博大容错的胸怀。具备了这些条件,网络信息安全保险的蓬勃发展将是指日可待的。
参考文献
1 姜彦福等.关于基于经济安全的信息安全问题.清华大学学报(哲学社会科学版),2000(1)
2 李晓东.解决网络安全问题迫在眉睫.Available from WWW:http://www.magazine.shteol.com
3 中国人民保险公司推出计算机保险.Available from WWW:http://www.sina.com.cn
4 analyses of risk and insurance management subjects. Available from WWW: http://www.riskreport.com
5 e-Business Insurance Policies. Available from WWW:http://www.insuretrust.com
6 The Risk Spectrum. Available from WWW:http://www.riskreport.com
