当前世界经济正在从工业经济逐步过渡到知识经济,日新月异的网络技术无疑是这一转变的重要推动力之一,网络已经对全球经济和社会生活产生了不可逆转的影响。但无可否认的是,由于网络的开放性和计算机操作系统的不完善性带来了技术应用的负面效应,计算机网络也成为网上信息安全隐患不断孳生的温床。这不仅对互联网本身的发展造成了阻碍和威胁,而且不利于刚从传统媒介转换到互联网上的人际交往、商务活动和政务工作在新环境下的顺利开展。
网络信息安全问题的表现形式主要有计算机病毒(Computer Virus)、黑客攻击(Hackers Attack)、信息混乱(Information Disorder)和信息污染(Information Pollution)等。许多企业和政府机构长期受到这些安全隐患的困扰,但由于网络信息安全意识淡薄、专业人才供给不足,直到近几年才开始从技术、法律这两个方面入手,通过加大对网络信息安全的投入以求最大限度地保护网上信息资源。目前,信息加密、防火墙、病毒控制等主流信息保护技术已经被广泛采纳,而且以信息伪装为代表的一批新兴技术也逐渐受到关注,同时国家要求有关主管部门充分发挥其管理职能,已制定出《中华人民共和国计算机系统安全保护条例》、《互联网信息服务管理办法》等行政法规。但总的看来,随着互联网应用的日益增多,网络信息安全问题并未从根本上得到解决,反而有愈演愈烈之势。尽快探索出网络环境下信息安全的新思路,成为摆在广大信息工作者面前的一道难题。本文试图从保险角度入手,触及这一问题,希望对促进我国网络信息安全业的发展有些启迪作用。
1 我国开发网络信息安全保险的必要性
1.1 技术和法律手段的局限性
面对着网络信息安全问题这道在短时期内难以逾越的鸿沟,是否仅仅依靠技术进步、法律建设和管理强化这些方案就能够达到目的呢?我们希望一方面通过加强技术研究,走在那些危害网络信息安全技术的前面;另一方面利用法律的力量打击不正当的技术行为,从而营造出一个安全可靠的网络环境。但这是不可能一蹴而就的,而且在实施的过程中会困难重重。
首先,所谓的网络安全是一种相对的安全,由于黑客攻击、操作失误等难以避免的人为因素,任何技术都无法一劳永逸地解决问题,而且网络安全系数的提高是以更多地消耗网络信息资源或限制其使用为代价的。
其次,几乎所有的网络信息安全防御技术都是为应对黑客的尖端网络技术而存在的,始终处于被动地位,更不用说赶上或超过它们。我们还必须清醒地认识到,目前构成我国信息基础设施的网络、硬件、软件产品几乎完全是建立在外国核心信息技术之上的,而拥有自主知识产权的信息产品稀缺,国家信息安全体系因此很难巩固。
再次,现有的网络信息安全法规尚不完善,且立法跟不上技术发展的需要,在网络管理与经营、电子资金划账的法律认证、数据的法律保护、计算机证据的法律效力等方面甚至缺乏法规的规范。此外,我国的网络信息安全管理在组织建设、制度建设和人员意识培养这3个层次上的步伐太慢,管理机构相互隔离、权责不明,对网络信息安全所包含的安全规划、风险管理、应急计划、安全系统评估和安全认证等多方面问题,无法共同协调解决。
由此可见,我们有必要寻求更多有效的途径、技术、法律等方面相互补充。实际上,网络信息安全与我们所熟悉的人身安全、财产安全等在本质上是相同的,都是风险的载体而需要保护。人们在对人身安全保险、财产安全保险等津津乐道时,也应该意识到,开发网络信息安全保险将为网络信息安全问题的解决另辟蹊径。
1.2 开发网络信息安全保险的意义
网络信息安全保险,是指为了保证网络化产生经营过程的安全,投保人根据合同规定,向保险公司支付保险费,保险公司对因网络安全漏洞而造成的重要资料丢失、知识产权受到侵犯、服务中断和商业营收的损失承担赔偿保险金责任的商业保险行为。
开展网络信息安全保险的目的并不是在出险后获得高额赔偿,而是在深入调查研究投保公司内部的信息安全漏洞和可能存在的风险的基础之上,通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方法对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。这是一个风险管理(Risk Management)的过程,其突出特点就是进行事前的风险控制,防患于未然。这与网络信息安全防御技术相比,具有较大的主动性,因而在网络信息安全问题上引入保险机制,用风险管理的方式帮助高科技企业减少可避免的损失,将会对我国尚未成熟的高新技术产业的发展起到重要的作用。
在一些发达国家和地区,网络信息安全保险业务已初见端倪。英国和美国已经相继推出了“黑客保险”,虽然起初市场反映较为平淡,但在Yahoo、Amazon等重要网站遭到大规模攻击后,这项新型的保险业务量在短时间内猛增,包括eBay、Yahoo在内的知名网络公司纷纷投保,最高保额已超过1亿美元。目前互联网在我国已进入高速增长期,2002年7月的中国互联网络发展状况统计报告显示,我国上网计算机总数已达1613万台,上网用户总数达4580万,可见未来的几年将是依托互联网投资创业的黄金时期,因此开发网络信息安全保险、保证网络环境的高效可靠,是我国保险公司拓展保险业务的当务之急。
2 我国开发网络信息安全保险的具体思路
2.1 充分发挥政府和经济两个杠杆的作用
我国在世纪之交启动了企业上网工程和政府上网工程,大量的商业信息、政府信息以及其他众多关系到国计民生的社会信息都实现了电子化,并与因特网相连。这虽然极大地促进了电子商务、电子政务和其他各项业务或活动的开展,但也意味着重要的政治、经济等信息也将面对来自网络不安全因素的威胁。从某种意义上说,网络信息安全已经从根本上关系到国家的前途和命运。在美国,政府对网络信息安全问题极为重视,由国家安全局(NSA)统筹管理信息安全的全部事项,包括制定信息安全的相关政策、评测信息安全产品、制定信息安全的相关标准等。
为了保卫国家安全,维护信息主权,保护网络信息行为者的利益,我国政府也应在网络信息安全问题上采取一系列行之有效的举措。网络信息安全保险这个全新的思路是否能够很好地为保护国家安全服务,在很大程度上取决于政府的态度和行动。因此,我国政府应该认清网络信息安全保险产业连接高新技术产业和信息产品用户的纽带作用,在知识经济、网络经济迅猛发展的大好形势下,通过政策支持促进我国网络信息安全保险体系的建设。目前,我国保险公司开展这一新的保险业务的最大困难在于技术上的相对滞后,导致其在本市场上的竞争力不敌国外保险同行,更不用说进军国际市场。我国加入WTO后,外国公司可以更加容易地挤占国内市场,从而使得改变我国保险业落后现状的任务显得尤为紧迫。因此,政府应更有效地发挥资源配置作用,为开发我国的网络信息安全保险提供优惠政策,鼓励信息安全业和保险业联合公关,包括认真选择网络信息安全保险的营销战略,研发出立足于市场需求的保险产品,建立具有特色的网络信息安全保险体系等。同时,对于一些不合理,不合法的保险行为,政府也有必要从政策和法规上予以规范。[page]
虽然一些发达国家的保险公司已经开始了对网络信息安全的保险,但保单的受益对象还仅限于投保的公司,而使用这些公司信息产品的消费者的损失却没有受到重视,这对消费者是不公平的,也是导致高科技公司即使提供受保护的信息产品也无法吸引到更多顾客的原因。这一事实对我们确定开发网络信息安全保险的最终目标是一个很好的启示,应该实现高新技术产业、保险业和消费者三方的共同赢利。
保险业为高新技术产业提供了强有力的经济保障,使其在一个相对宽松的环境里充分地利用现有的资金和客户群体,提高其信息产品的安全系数以满足顾客对网络信息安全的要求,从而为自己的产品赢得理想的价格和可持续发展的可能性。在保险业和高新技术产业互动双赢的过程中,消费者的利益也不应该被忽视。消费者希望自己购买的信息产品是有价值的,只有在真正从信息产品的购买和使用中受益时,他们所表现出来的需求才最真实有效,才能作为高科技公司制定和调整发展战略的依据和指标。
2.2 具体实施
网络信息安全的特殊性决定了对其保险就必须冒相当大的风险,保险条款的制定、核保核赔难度很大,在保险购买前后的每个重要环节都需要与信息安全机构进行全面合作。
在购买保险之前,客户的网络信息安全系统要接受保险公司与信息安全机构共同进行的风险评估(Risk Assessment)。风险评估是指对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及三者发生的可能性的评估。网络信息安全风险评估是确认风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定网络信息安全风险等级和优先控制顺序,是整个保险交易中最复杂、最重要的一环。
网站的风险评估一般由以下两个主要步骤组成:
1)外围检查。对于现有的各种设备、应用软件、IP地址进行检查,可以采取模拟黑客袭击的办法,找出其中风险防御的薄弱环节。
2)防御探索。为客户提供标准操作方案,并且随时根据情况变化进行调整,以确保该方案的应用能使网络信息安全性大幅提高。
这两步的工作量很大,因为保险公司只有在对其所承保的项目在技术上全面了解的基础上,才能在保险条款拟定上做到既让客户满意,又避免自身陷入高额赔偿的危险境地。在完成风险评估工作后,保险公司根据评估结果提出险种建议,制定承保方案,拟定保险费率,并交由客户审查。在双方都没有异议的情况下签订保险合同。承保后,保险公司仍要与客户保持密切联系,监督其运作状况,在必要的时候还要进行再评估,以提出实时网络信息安全防范建议。一旦出险,保险公司又要和信息安全机构一道确定损失大小,作出合理的赔偿。
3 我国开发网络信息安全保险的问题及对策
虽然保险公司、高技术公司和众多网络用户都可以从网络信息安全保险的开发中获利,但在电子商务的网上交易、银行和证券交易、商用密码产品等应用领域,网络信息安全保险还表现得相当不成熟。
我国目前还没有关于网络信息安全保险的相关法规,无法为保险公司提供可参照的依据。电子化的信息是否可以作为有效的法律依据,是在进行技术辨认时取证困难的主要原因之一。因为所有的操作系统都有技术上的缺陷,在使用过程中,很难保证软件和硬件设施会在何时出现何种问题。在目前的技术条件下,保险公司在风险评估时几乎无法测算出现问题的几率,这甚至为保险合同的拟定和签订制造了障碍。
由于网络信息安全保险在我国还处于萌芽阶段,对于网络信息安全管理和规范尚未形成一个统一的标准。保险公司在为客户选择理想的安全操作方案时,难以确定怎样的防范手段才能真正发挥作用。当网络信息出现安全问题时,也没有固定的经济损失程度评估标准可供参考,保险公司和投保客户可能在赔偿金额上发生分歧,从而导致合作关系的破裂。同时,网络信息安全保险的可能性损失大,保险额度也相应很大,这对保险合同条款的严谨程度就提出了更高的要求。而我国保险业对网络信息安全风险的监控缺乏经验,使得保险公司对新险种的态度更加保守。
对于我国开发网络信息安全保险,笔者认为可从以下几方面加以解决。
1)实现保险公司与投保公司间的联网。网络信息安全保险业务的发展,本来就需要信息技术的支持,而由于安全保险产品,特别是关系到国家利益的网络信息安全产品需要进行长期核保,信息的传递和反馈就显得相当重要。因此,保险公司与投保公司双方只有实现联网,才能提高业务水平和工作效率。
2)国家应制定相应的法律规范和网络安全标准。网络信息安全保险在法律上缺乏定性,可以借鉴别国成功经验通过司法鉴定暂时加以解决,但要从根本上消除不确定性,国家必须针对网络信息安全保险在我国发展的特点为其制定相应的法律法规,对保险的缴费、标准、待遇及保险金的偿付等作出具体规定。对于现行的各级各类网络安全评测标准,国家应该抽调专业人员对其进行汇总分析,筛选出具有应用价值的条款组成一个完整的标准体系,并逐步与国际标准接轨,打破以往无据可依的僵局。
3)在评估由网络信息安全问题造成的经济损失时,根据实际损失进行精确的定量计算,并将结果交给有关机构鉴定。实际损失的量化一般以直接损失和合理的间接损失为基础。例如对由意外事故引起的信息泄露、篡改和丢失等,投保人获得的赔偿应包括当初购买信息的费用,处理事故、恢复数据和信息所需的费用;网络信息用户因为投保人的信息服务中断也遭受了经济损失,根据保险人、投保人和消费者三赢的原则,他们可以在接受保险公司审查后获得相应赔偿。
4)在对投保公司进行风险评估时,保险公司可以从其网络本身的可靠性、网络技术和网络管理的可靠性入手进行技术鉴定。投保公司所使用的网络类型和质量在很大程度上决定了未来发生网络信息安全事故的可能性,如果网络存在严重缺陷且难以优化,保险公司应尽早放弃与投保公司的合作。投保公司采用的网络技术主要包括信息接收识别技术、信息供给技术、调查统计处理技术等,如果发现存在不达标的技术,保险公司应建议投保公司更换技提供商。优良的网络系统也需要有严格的网络管理措施加以支持,而很多高科技公司都疏于对网络实施配套管理,其网络管理人员的素质也参差不齐,极有可能人为触发网络信息安全事故,导致公司在行业竞争中失利。保险公司在风险评估时必须把这种潜在威胁明确地提出来。[page]
5)立足长远,将网络信息安全保险发展成产业。在我国社会保险制度还不完善的情况下,应该在技术方面寻找突破口,努力探索诸如风险监控的问题。保险公司必须以市场为依托,根据不同层次客户的需求设计相应的信息安全保险产品,制定相应的投保策略,力求在保险产品和客户服务等方面进行创新,增强与国外保险同行竞争的实力。
尽管我们可以肯定地说网络信息安全保险将是知识经济时代最具发展潜力的新型行业之一,而我国的保险业界人士仍然因其巨大的风险性而不愿冒然行动。但是从更长远来看,网络的延伸和扩张,特别是银行和证券交易的发展,对网上信息的安全性提出了更高的要求。如果我国的保险公司能够建立起保障投资者利益的切实可行的保险机制,使他们树立起对网络信息安全的信心,那么我国保险业将在这个极具潜力的保险市场中获利。
美婷婷
