11月9日消息，工业和信息化部会同银保监会近日起草了《关于促进网络安全保险规范健康发展的意见（征求意见稿）》（以下简称《意见》），并于7日发布。专家认为，我国网络安全保险行业处于发展前期，并开始进入“风口”阶段。《意见》将加快推动网络安全产业和金融服务融合发展，千亿乃至万亿级的蓝海市场启动在即。下一步，开发更符合产业需求的网络安全保险产品还需整合网络安全企业、保险科技公司、第三方风险管理技术机构和各行业企业等资源，深化跨行业合作。

利好政策呼之欲出

网络安全保险是为网络安全风险提供保险保障的新兴险种，是指投保人因使用互联网而遭遇网络安全问题，由此造成的损失由保险公司负责赔偿的一类保险。近年来，网络安全保险的询价数量明显增多，已经初步显现出巨大的网络安全保险市场空间。

《意见》从建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态五个方面作出拟定。《意见》一经发布，业内多方人士均认为，如果《意见》落地，将大大推动网络安全保险的发展进程。

从政策支持层面来看，《意见》提出，推动健全完善财政政策，鼓励提供保险减税、保险购买补贴等政策。同时，《意见》也提出，支持网络安全产业和保险业加强合作，建立覆盖网络安全保险服务全生命周期的标准体系，明确承保、核保、理赔等主要环节基本流程和通用要求等。

“《意见》发布将充分发挥体制优势。网络安全保险将会在政府的引导下团结社会力量积极参与，共同做强做大中国网络安全保险。”第三方风险量化公司源堡科技相关负责人表示，面对数字经济时代的迫切需求，实现当期和中远期的网络安全保险快速发展，不能仅靠行业自身，欧美国家网络安全保险的发展历史表明，政府监管部门的政策支持是提升社会网络安全风险意识、统筹协调各方资源、推动行业快速成长的重要引导力量。

目前，我国网络安全领域的现状怎样养？如何才能促进网络安全的良性发展？

产业规模稳步增长资本赋能效应显现

近年来，我国网络安全政策体系不断完善。据不完全统计，截至2021年6月底，我国已出台关于网络信息安全与数据合规的法律、行政法规等共计200多部，形成了覆盖网络安全等级保护、关键信息基础设施保护、数据安全管理、个人信息保护等领域的网络安全法律法规体系。人工智能、物联网等新技术新应用领域的网络安全监管政策不断完善，网络安全执法力度逐步加大。

在网络安全产业布局方面，《白皮书》指出，随着我国新型基础设施建设的全面铺开，新技术新场景驱动的网络安全需求与日俱增。大数据、云计算、物联网和工业互联网是市场主体布局较多的领域。此外，网络安全新技术新理念的涌现，为市场带来重构和洗牌的新机遇。从调研数据来看，动态边界、智能分析、主动防御、云化服务是目前市场较被看好的网络安全技术发展方向。

从网络安全企业营收情况来看，《白皮书》发布的数据显示，2020年虽然大部分上市企业的营收保持增长，但平均增速较2019年有明显回落。选取的20家网安上市企业2020年的平均营收为15.26亿元，平均增速为13.77%，较2019年同期水平（30.14%）明显回落。从网络安全企业利润来看，20家网络安全上市企业2020年的平均净利润为1.85亿元，净利润平均增速为15.28%，略高于2019年同期水平。横向比较，我国网络安全上市企业整体盈利水平优于国际同类企业。在网络安全研发方面，《白皮书》显示，我国主要网络安全上市企业研发投入普涨，但研发费用率低于国际同业水平。18家主要网络安全上市企业2020年的平均研发费用达到2.63亿元，比2019年高出0.41亿元。

在网络安全产业蓬勃发展的同时，资本赋能效应进一步显现。《白皮书》指出，我国网络安全领域融资保持较高热度。据不完全统计，2020年我国网络安全领域的融资活动为77起，披露的融资总额约为78.2亿元。从融资轮次来看，目前我国网络安全融资活动主要集中于早中期。从融资的技术领域来看，数据安全、安全服务和工控安全是较热门的融资领域。但和国外网络安全领域并购交易的活跃态势相比，我国网络安全领域的并购交易数量屈指可数。目前网络安全市场企业众多，分布在各细分赛道，亟须通过并购整合和企业退出机制减少恶性竞争，降低资源内部损耗，提升规模效应和行业集中度。

三大网络安全威胁持续频发

2022年上半年，全球重大网络安全事件频发，勒索软件、数据泄露、黑客攻击等层出不穷，且变得更具危害性。

随着技术的不断进步，网络攻击者的攻击成本不断降低，同时攻击方式更加先进，美国《福布斯》网站在近日的报道中列出了2023年值得警惕的三大网络安全威胁：网络钓鱼、恶意软件、供应链攻击。

人们永远不能否认互联网带来的福祉，它使人们的生活变得更轻松、更简单。但网络世界也充满了各种类型的威胁。2022年上半年，全球重大网络安全事件频发，勒索软件、数据泄露、黑客攻击等层出不穷，且变得更具危害性，比如今年1月份，美国布劳沃德公共卫生系统公布了一起大规模数据泄露事件，超过130万人受影响。

随着技术的不断进步，网络攻击者的攻击成本不断降低，同时攻击方式更加先进，美国《福布斯》双周刊网站在近日的报道中，列出了2023年值得警惕的三大网络安全威胁：网络钓鱼、恶意软件、供应链攻击。

1.更多组织遭遇网络钓鱼

网络钓鱼仍然是全球面临的重大网络安全威胁之一。

网络钓鱼指通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式，其唯一目的是窃取个人或组织数据，包括登录凭据和信用卡卡号等。

今年人们在媒体上看到的大多数成功的网络攻击，都是从网络钓鱼开始的。比如，美国《纽约时报》在今年9月份援引优步发言人的话报道称，一名黑客入侵了该公司一名员工的办公通讯应用程序，并利用它向优步员工发送消息，这名员工被说服交出了一个密码，让黑客得以进入优步内部系统。

今年3月底，有黑客组织伪装成政府执法部门向互联网公司套取用户数据，以发送虚假法庭传票的方式获取目标特许数据。数据勒索团伙成功入侵了微软、英伟达、苹果等巨头内网窃取数据，包括用户的基本信息，如家庭住址、电话号码、IP地址等。

今年4月，电子邮件营销公司MailChimp披露其遭到黑客攻击，黑客利用内部客户支持和账户管理工具窃取用户数据，并进行网络钓鱼攻击。

美国的一项研究显示，与前一年相比，2021年有更多组织至少遭遇了一次基于电子邮件的网络钓鱼攻击。这一趋势预计将在2023年继续。

2.软件勒索事态恶化

恶意软件是以恶意意图编写的软件的统称，包括病毒软件、勒索软件和间谍软件。恶意软件威胁可能会导致计算机系统、服务器或公司网络中断，还可能导致私人信息泄露。

目前，世界上最流行的恶意软件攻击类型之一就是勒索软件攻击。攻击者获得对信息或系统的未经授权访问，或完全剥夺用户对信息的访问权限，直到公司或用户向黑客支付一定金额的钱，才能恢复对数据的访问或解密。

例如今年1月，美国新墨西哥州最大的县就受到勒索软件攻击的影响，导致多个公共事业部门和政府办公室系统下线，此次勒索软件攻击还致使监狱系统下线。今年2月底，全球芯片制造巨头英伟达被曝遭到勒索软件攻击，入侵者成功访问并在线泄露了员工私密信息及登录数据，黑客向英伟达索取100万美元的赎金和一定比例的未指明费用。

除了对系统的访问被阻止外，实施恶意软件攻击的犯罪者还可能在网上发布机密数据。比如今年3月，国际黑客组织“匿名者”宣布，他们成功入侵了全球最大食品制造商雀巢公司的网络，并披露了10吉字节的敏感数据，包括公司电子邮件、密码和与商业客户相关的数据。相关数据显示，2020年全球超过1000家公司因未向勒索软件要求低头而遭到数据泄露。

瑞士网络安全公司Acronis此前发布警告说：“勒索软件事态正在恶化，甚至比我们预期的还要严重，预计到2023年，全球勒索软件损失将超过300亿美元。”

3.供应链攻击呈爆发增长

《福布斯》双周刊网站在报道中指出，许多公司花费时间和金钱来保护外围和内部系统，但很少关注第三方——包括供应商、合作伙伴、承包商和服务提供商的网络安全，网络供应链攻击因此趁虚而入。

供应链攻击指的是对于供应链所发动的网络攻击。攻击者会将供应链作为攻击对象，先攻击供应链中安全防护相对薄弱的企业，再利用供应链之间的相互连接，如软件供应、开源应用等，将风险扩大至上下游企业，产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括：利用第三方应用程序、利用开放源代码库中包含的漏洞等等。供应链攻击往往牵涉到更多的企业，且更具破坏性，甚至会给整个行业带来巨大的影响。

近年来，供应链攻击事件呈现爆发增长的态势，欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出，和2020年相比，2021年供应链攻击已经显著提升。以色列一项研究表明，与2020年相比，2021年软件供应链攻击增长了300%以上，这一趋势预计还会持续增加。

维护网络安全需加深跨行业协作

我国网络安全保险发展仍处于初级阶段，市场规模较小，保险产品数量和种类也较少。

对于背后的难点，360数字安全集团安全专家解释：

一是网络安全险作为一种新的保险创新模式，缺乏相应法规、标准规范作指导。

二是网络安全险涉及企业的信息资产量化风险评估，一旦发生网络安全事件，确切的经济损失难以界定。

三是网络安全险所采取的风险监测，应当采取轻量化、低成本的部署模式，而市场上成熟的解决方案较少。

四是国内市场网络安全险产品不成熟，企业对于网络安全险的信任度和认同度不高。

五是网络安全险是一种跨行业的整体解决方案，需要保险机构和网络安全企业共同努力打造生态，单靠任何一方难以推动。

奇安信天工实验室安全专家孔宪梓认为，网络空间安全错综复杂，不同的网络业务场景有着其独特的安全风险体系，因此针对于各个层面与各个场景的安全保险制度与体系需要持续研究与改进。同时，针对企业的部分网络攻击较为隐蔽且难以察觉，很多企业对于攻击事件后知后觉，导致在取证层面存在较大难度，评测机构需加强网络安全取证人才的培养，完善评测取证体系。

业内人士建议，为推动网络安全保险的产业发展，未来需整合各方优势资源，深化跨行业合作。比如，保险科技公司、保险公司、安全厂商、各行业企业等可联合起来，建立跨行业数据共享分析机制。

文章来源： 中国工业报，科技日报，光明网