中国金融科技应用场景优秀案例

源堡科技“防+保”主动型风险管理解决方案

摘要：网络安全保险是企业网络安全风险管理的重要商业手段，在产业发展初期，如何科学有效量化网络风险并估算其造成的潜在损失，支撑网安险核保定价，成为网络安全保险产业亟需解决的瓶颈问题之一。面向网络安全保险产业的量化风险挑战，源堡科技“防+保”主动型风险管理解决方案基于公司自主研发的网络风险自动化评估与管理系统，集成风险评估、安全评级、量化评估、核保支持、风险监测、应急响应等功能，以持续、独立、量化的风险评估与监测服务，对企业资产、威胁、脆弱性等进行量化分析与赋值，打造“承保前、承保中、出险后”全链条一站式闭环式服务，解决了网安险可保性、定价核保、风险管控、定损困难等问题，全面支撑保险公司网安险业务开展及客户安全体系构建。

关键词：数字经济；网络安全风险量化管理；网络安全保险；风险场景

一、引言

在数字经济蓬勃发展及网络风险持续加剧双驱动下，我国对网络安全的重视程度不断提升，相继出台了一系列法律法规及标准规范。在此背景下，网络安全保险作为企业数字资产的保险保障，正成为未来企业财产保险的重要组成内容，我国网络安全保险市场需求逐渐增加，一些保险公司对网络安全保险的业务模式展开了积极探索。

随着数字经济的深入发展，网络安全已成为数字化发展面临的最大挑战之一，网络安全保险作为数字化过程中防范风险损失的重要一环，保险功能的发挥有助于降低中国数字化进程中的安全风险，进一步健全企业网络安全的风险管理体系，为企业创造高效运作的网络安全闭环，在转移残余风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥关键作用，已成为当今信息化、数字化时代保障企业安全稳定运营的必要手段。

为了保障我国数字经济高质量发展，强化网络风险应对能力，国家提出网络安全保险的倡议要求，相关政策法规密集出台：2019年9月27日，工信部就《关于促进网络安全产业发展的指导意见》（以下简称《意见》）指出“要积极创新网络安全服务模式，探索开展网络安全保险服务”；2020年9月，公安部在网络安全等级保护和关键信息基础设施安全保护工作宣贯会上提出“借鉴发达国家成熟经验，在网络安全领域引入保险机制”，并指出“加强顶层设计，出台政策，支持网络安全保险业发展；共同培育市场，试点先行，支持保险公司构建‘保险+风险管控+服务模式”是当前的重要工作”。2021年7月，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》。其内容中明确提出“探索开展网络安全保险”。

在网络安全保险实际产业探索过程中，传统网络安全风险管理技术与保险业务需求不匹配，难以量化风险和损失，存在可保性、网安险定价及承保、风控管理等难题，如何创新核保技术、量化风险评估和定价建模，有效反映和量化网络安全风险，成为网络安全保险产业亟需解决的瓶颈问题。

二、项目主体

面向网络安全保险产业发展的量化挑战与业务痛点，源堡科技“防+保”主动型风险管理解决方案基于公司自主研发的网络风险自动化评估与管理系统，集成风险评估、安全评级、量化评估、核保支持、风险监测、应急响应等功能，打造“承保前、承保中、出险后”全链条一站式闭环式服务，以专业的网络安全技术能力、场景化评估分析能力和数据整合分析能力，协助保险公司和被保险企业审查风险累积水平并实施网络安全风险管控。各方共同开发网络安全保险方案，将网络安全威胁模型与保险定价模型、承保范围相结合，依托自身数据整合分析优势搭建网络安全量化风险评估模型，以提升保险公司的核保和定价能力。同时，为企业提供主动型的风险防御服务，通过定期巡检、加固、监测、预警、防护、恢复等持续周期性的网络安全服务，降低网络安全事件发生概率，尽可能避免出险。

（1）承保前-智能化销售支持服务

网络安全保险需要销售人员具备非常强的专业能力，以及网络安全相关背景知识，但目前保险公司的销售团队并不具备这样的能力，这就导致了在销售端保险公司销售人员无法同客户的IT人员进行有效的沟通，对此源堡科技开发了专门为网络安全保险销售人员打造的网络安全保险销售支持系统CARE（Cyber Analysis and Resilience Expert System），通过可视化大数据互动营销展业，有力提升保险销售人员专业性、降低沟通成本，全面的网络安全健康体检，实现客户的网络安全风险等级的分钟级快速评估，帮助客户针对不同场景的风险进行货币化展现，让客户清晰地了解网络安全风险带来的预期总损失，并定制化推送保险方案、一键生成网安险销售报告，助力销售轻松展业，提高成单率。

（2）承保前-风险评估服务

保险方在开展网络安全保险业务时，首先需要对目标投保客户进行安全风险评估，以确定是否满足核保要求，此时需要借助专业的第三方风险量化管理科技公司，输出风险量化评估结果，为保险公司提供可保或不可保的判定依据。该方案从企业外部的安全风险、内部的安全能力和基于场景的量化风险评估三个维度，对企业的网络安全风险进行全面评估，为企业提供精准的风险画像分析、场景化风险敞口量化分析，通过风险模拟等方式估算风险事件的发生概率及其可能造成的货币化损失，为保险定价及承保提供定量的技术依据。

承保前的网络安全风险评估服务通常包含以下几个层面：

1. 客户初步达成投保意愿，保险科技公司为代表的第三方风险管理技术服务机构针对投保客户现有安全体系（技术+管理）进行全面的风险评估分析，评估手段包括：

1) 网络安全评级—针对用户暴露在互联网的资产进行多维度风险分析，根据分析结果形成网络安全风险评级；

2) 网络安全能力评估—通过问卷获取包括组织架构、合规遵从、人员培训、制度体系、技术措施、安全流程等指标以此评估投保客户的综合安全能力；

以上步骤旨在帮助客户梳理企业自身潜在的网络安全风险点，并针对高危风险点向客户提供相应整改意见。

2. 如客户资产规模巨大，且信息资产数字化程度较高，其网络结构复杂。客户可在上述评估过程中选择授权进行信息资产梳理，通过信息资产梳理的调研，对公司线上业务占比进行分析，以确保更为真实准确地判断客户的网络安全风险水平。

3. 结合网络安全评级、网络安全能力评估、信息资产梳理结果，最终运用基于风险场景的量化风险评估将企业的网络风险值货币化展示，帮助企业针对不同网络风险敞口做出最经济的风险管理措施，并为客户提供定制化风险解决方案。

（3）承保中：7*24h全生命周期风险监测服务

完成投保后，由于网络安全风险动态变化，保险方有必要对投保方的网络安全风险进行持续跟踪，防止发生风险的较大偏离，超出保险公司的风险承受范围。源堡科技通过为客户提供包括7*24h 小时自动化安全风险实时分析+专家级安全服务+分钟级预警服务，实现全方位、全天候对投保客户进行风险动态管理，帮助客户实时洞察分析风险动态变化态势，从源头上降低出险率、减少事故损失；同时也以增值服务的形式增加客户的黏性，解决保险销售过于低频的问题。

（4）出险后：鉴定理赔服务

由于网络安全事件类型复杂且具有专业性，网络安全事件是否符合理赔范围等，需要处理理赔的人员具备专业技术能力，因此对于保险公司而言，需要网络安全事件的问题定位、事故鉴定、定责及理赔判定等专业化服务。源堡科技通过“专家级”安全团队提供分钟级出险响应，能够更好地对事故发生的原因、损失评估和应急响应支持等方面提供专业服务，不仅能够妥善解决客户在理赔过程中的各种问题，最大限度减少企业损失，第一时间帮助企业恢复正常经营秩序；同时也协助保司建立清晰的理赔服务流程，最大化发挥网络安全保险服务的保险保障功能。

应用场景：

（1）保险公司：为网络安全保险公司提供承保、保费定价、保障范围的决策依据

（2）企业客户：为企业优化网络安全投入，制定最优网络安全风险处置策略提供依据，以全生命周期的风险管理，赋能企业打造网络安全风险管理闭环

（3）网络安全技术及服务类公司、或保险科技类公司：保险公司通常会委托第三方安全技术服务公司或保险类科技公司对投保客户进行风险评估及风险管理服务，同时在理赔时提供技术支持服务。

三、项目总结与展望

该方案通过高效销售转化、全面风险评估、快速智能核保，打通各业务环节之间的链接，实现网安险核保效率“小时级”跨越式突破、业务量指数级拓展10倍，得到了客户高度认可肯定。

当前，公司已与人保、太保、平安、国寿、中再、瑞再等头部保险公司达成战略合作关系，覆盖了非车保险市场的约70%的保司渠道，服务数百家国内外知名企业，成为保险公司开展网络安全保险业务的标准化流程。

1、技术创新超越

该方案依托于具备完全自主知识产权的量化分析威胁建模、场景构建、开源情报分析、智能安全评级、风险量化评估等关键技术，将传统地风险建模方法与网络安全风险特征相结合，对风险进行精准刻画，能够测算出企业在具体风险场景下的网络安全风险损失，不仅填补了国内网络安全风险量化管理的技术空白，为网络安全风险的量化分析和定价提供了理论基础和实践案例，同时源堡安全评级能力已增至207项检测指标，其中60+开源情报评估指标，已超过国外对标产品Scorecard指标数（189）。

2、业务模式创新

该方案打通投保企业、保险公司、安全服务公司地服务链路，将网络安全风险模型与保险模型相结合，可以有效发挥网络安全风险管理技术和服务在保险全流程中的作用，实现“保险+风险管控+服务”的创新模式，保险公司能够根据评估结果进行差异化定价和产品创新，投保企业也有动力利用服务持续改进风险管理水平，从而获得保险公司更优惠的折扣和定价。

3、效率最大化

该方案通过高效销售转化、全面风险评估、快速智能核保，打通各业务环节之间的链接，实现网安险核保效率“小时级”跨越式突破、业务量指数级拓展10倍，得到了客户高度认可肯定。

4、经济和社会效益

经济效益：慕尼黑再保险估计2022年初全球网络安全保险的保费规模为 92 亿美元，预计到 2025 年将达到约 220 亿美元。报告显示，与上一年相比，网络安全保险的可用性似乎得到了进一步的推动，因为已经购买该保险的公司数量增加了 21%，35% 的 C 级参与者正在考虑为其公司购买网络安全保险，这显示了保险业的巨大商业潜力。

该方案通过网络安全保险+服务的创新模式，一方面能够激活中国网络安全服务市场，扩大网络安全服务市场规模，另一方面也为保险市场注入新的活力和增长点，推动保险企业向数字化、智能化转变，为目前财产险扩大增收来源。

当前，公司已与人保、太保、平安、国寿、中再、瑞再等头部保险公司达成战略合作关系，覆盖了非车保险市场的约70%的保司渠道，服务数百家国内外知名企业，支持保费规模上亿，成交金额达到数千万元。

社会效益：该方案将企业风险管理体系中引入网络安全保险，与国家十四五规划纲要提出“加强网络安全风险评估和审查”相匹配，同时也符合国家发展现代保险业的政策导向，极大地增强了企业抵御网络安全风险能力，加强网络安全风险管理的效果和作用，从侧面整体提升整个社会的网络安全治理的能力，降低中国数字化进程中的安全风险。