2006-11-07 16:02 來源:美婷婷
當前世界經濟正在從工業經濟逐步過渡到知識經濟,日新月異的網絡技術無疑是這一轉變的重要推動力之一,網絡已經對全球經濟和社會生活產生了不可逆轉的影響。但無可否認的是,由于網絡的開放性和計算機操作系統的不完善性帶來了技術應用的負面效應,計算機網絡也成為網上信息安全隱患不斷孳生的溫床。這不僅對互聯網本身的發展造成了阻礙和威脅,而且不利于剛從傳統媒介轉換到互聯網上的人際交往、商務活動和政務工作在新環境下的順利開展。
網絡信息安全問題的表現形式主要有計算機病毒(Computer Virus)、黑客攻擊(Hackers Attack)、信息混亂(Information Disorder)和信息污染(Information Pollution)等。許多企業和政府機構長期受到這些安全隱患的困擾,但由于網絡信息安全意識淡薄、專業人才供給不足,直到近幾年才開始從技術、法律這兩個方面入手,通過加大對網絡信息安全的投入以求最大限度地保護網上信息資源。目前,信息加密、防火墻、病毒控制等主流信息保護技術已經被廣泛采納,而且以信息偽裝為代表的一批新興技術也逐漸受到關注,同時國家要求有關主管部門充分發揮其管理職能,已制定出《中華人民共和國計算機系統安全保護條例》、《互聯網信息服務管理辦法》等行政法規。但總的看來,隨著互聯網應用的日益增多,網絡信息安全問題并未從根本上得到解決,反而有愈演愈烈之勢。盡快探索出網絡環境下信息安全的新思路,成為擺在廣大信息工作者面前的一道難題。本文試圖從保險角度入手,觸及這一問題,希望對促進我國網絡信息安全業的發展有些啟迪作用。
1 我國開發網絡信息安全保險的必要性
1.1 技術和法律手段的局限性
面對著網絡信息安全問題這道在短時期內難以逾越的鴻溝,是否僅僅依靠技術進步、法律建設和管理強化這些方案就能夠達到目的呢?我們希望一方面通過加強技術研究,走在那些危害網絡信息安全技術的前面;另一方面利用法律的力量打擊不正當的技術行為,從而營造出一個安全可靠的網絡環境。但這是不可能一蹴而就的,而且在實施的過程中會困難重重。
首先,所謂的網絡安全是一種相對的安全,由于黑客攻擊、操作失誤等難以避免的人為因素,任何技術都無法一勞永逸地解決問題,而且網絡安全系數的提高是以更多地消耗網絡信息資源或限制其使用為代價的。
其次,幾乎所有的網絡信息安全防御技術都是為應對黑客的尖端網絡技術而存在的,始終處于被動地位,更不用說趕上或超過它們。我們還必須清醒地認識到,目前構成我國信息基礎設施的網絡、硬件、軟件產品幾乎完全是建立在外國核心信息技術之上的,而擁有自主知識產權的信息產品稀缺,國家信息安全體系因此很難鞏固。
再次,現有的網絡信息安全法規尚不完善,且立法跟不上技術發展的需要,在網絡管理與經營、電子資金劃賬的法律認證、數據的法律保護、計算機證據的法律效力等方面甚至缺乏法規的規范。此外,我國的網絡信息安全管理在組織建設、制度建設和人員意識培養這3個層次上的步伐太慢,管理機構相互隔離、權責不明,對網絡信息安全所包含的安全規劃、風險管理、應急計劃、安全系統評估和安全認證等多方面問題,無法共同協調解決。
由此可見,我們有必要尋求更多有效的途徑、技術、法律等方面相互補充。實際上,網絡信息安全與我們所熟悉的人身安全、財產安全等在本質上是相同的,都是風險的載體而需要保護。人們在對人身安全保險、財產安全保險等津津樂道時,也應該意識到,開發網絡信息安全保險將為網絡信息安全問題的解決另辟蹊徑。
1.2 開發網絡信息安全保險的意義
網絡信息安全保險,是指為了保證網絡化產生經營過程的安全,投保人根據合同規定,向保險公司支付保險費,保險公司對因網絡安全漏洞而造成的重要資料丟失、知識產權受到侵犯、服務中斷和商業營收的損失承擔賠償保險金責任的商業保險行為。
開展網絡信息安全保險的目的并不是在出險后獲得高額賠償,而是在深入調查研究投保公司內部的信息安全漏洞和可能存在的風險的基礎之上,通過風險評估來識別風險的大小,通過制定信息安全方針,采取適當的控制目標與控制方法對風險進行控制,使風險被避免、轉移或降至一個可被接受的水平。這是一個風險管理(Risk Management)的過程,其突出特點就是進行事前的風險控制,防患于未然。這與網絡信息安全防御技術相比,具有較大的主動性,因而在網絡信息安全問題上引入保險機制,用風險管理的方式幫助高科技企業減少可避免的損失,將會對我國尚未成熟的高新技術產業的發展起到重要的作用。
在一些發達國家和地區,網絡信息安全保險業務已初見端倪。英國和美國已經相繼推出了“黑客保險”,雖然起初市場反映較為平淡,但在Yahoo、Amazon等重要網站遭到大規模攻擊后,這項新型的保險業務量在短時間內猛增,包括eBay、Yahoo在內的知名網絡公司紛紛投保,最高保額已超過1億美元。目前互聯網在我國已進入高速增長期,2002年7月的中國互聯網絡發展狀況統計報告顯示,我國上網計算機總數已達1613萬臺,上網用戶總數達4580萬,可見未來的幾年將是依托互聯網投資創業的黃金時期,因此開發網絡信息安全保險、保證網絡環境的高效可靠,是我國保險公司拓展保險業務的當務之急。
2 我國開發網絡信息安全保險的具體思路
2.1 充分發揮政府和經濟兩個杠桿的作用
我國在世紀之交啟動了企業上網工程和政府上網工程,大量的商業信息、政府信息以及其他眾多關系到國計民生的社會信息都實現了電子化,并與因特網相連。這雖然極大地促進了電子商務、電子政務和其他各項業務或活動的開展,但也意味著重要的政治、經濟等信息也將面對來自網絡不安全因素的威脅。從某種意義上說,網絡信息安全已經從根本上關系到國家的前途和命運。在美國,政府對網絡信息安全問題極為重視,由國家安全局(NSA)統籌管理信息安全的全部事項,包括制定信息安全的相關政策、評測信息安全產品、制定信息安全的相關標準等。
為了保衛國家安全,維護信息主權,保護網絡信息行為者的利益,我國政府也應在網絡信息安全問題上采取一系列行之有效的舉措。網絡信息安全保險這個全新的思路是否能夠很好地為保護國家安全服務,在很大程度上取決于政府的態度和行動。因此,我國政府應該認清網絡信息安全保險產業連接高新技術產業和信息產品用戶的紐帶作用,在知識經濟、網絡經濟迅猛發展的大好形勢下,通過政策支持促進我國網絡信息安全保險體系的建設。目前,我國保險公司開展這一新的保險業務的最大困難在于技術上的相對滯后,導致其在本市場上的競爭力不敵國外保險同行,更不用說進軍國際市場。我國加入WTO后,外國公司可以更加容易地擠占國內市場,從而使得改變我國保險業落后現狀的任務顯得尤為緊迫。因此,政府應更有效地發揮資源配置作用,為開發我國的網絡信息安全保險提供優惠政策,鼓勵信息安全業和保險業聯合公關,包括認真選擇網絡信息安全保險的營銷戰略,研發出立足于市場需求的保險產品,建立具有特色的網絡信息安全保險體系等。同時,對于一些不合理,不合法的保險行為,政府也有必要從政策和法規上予以規范。
雖然一些發達國家的保險公司已經開始了對網絡信息安全的保險,但保單的受益對象還僅限于投保的公司,而使用這些公司信息產品的消費者的損失卻沒有受到重視,這對消費者是不公平的,也是導致高科技公司即使提供受保護的信息產品也無法吸引到更多顧客的原因。這一事實對我們確定開發網絡信息安全保險的最終目標是一個很好的啟示,應該實現高新技術產業、保險業和消費者三方的共同贏利。
保險業為高新技術產業提供了強有力的經濟保障,使其在一個相對寬松的環境里充分地利用現有的資金和客戶群體,提高其信息產品的安全系數以滿足顧客對網絡信息安全的要求,從而為自己的產品贏得理想的價格和可持續發展的可能性。在保險業和高新技術產業互動雙贏的過程中,消費者的利益也不應該被忽視。消費者希望自己購買的信息產品是有價值的,只有在真正從信息產品的購買和使用中受益時,他們所表現出來的需求才最真實有效,才能作為高科技公司制定和調整發展戰略的依據和指標。
2.2 具體實施
網絡信息安全的特殊性決定了對其保險就必須冒相當大的風險,保險條款的制定、核保核賠難度很大,在保險購買前后的每個重要環節都需要與信息安全機構進行全面合作。
在購買保險之前,客戶的網絡信息安全系統要接受保險公司與信息安全機構共同進行的風險評估(Risk Assessment)。風險評估是指對信息和信息處理設施的威脅(Threat)、影響(Impact)和薄弱點(Vulnerability)及三者發生的可能性的評估。網絡信息安全風險評估是確認風險及其大小的過程,即利用適當的風險評估工具,包括定性和定量的方法,確定網絡信息安全風險等級和優先控制順序,是整個保險交易中最復雜、最重要的一環。
網站的風險評估一般由以下兩個主要步驟組成:
1)外圍檢查。對于現有的各種設備、應用軟件、IP地址進行檢查,可以采取模擬黑客襲擊的辦法,找出其中風險防御的薄弱環節。
2)防御探索。為客戶提供標準操作方案,并且隨時根據情況變化進行調整,以確保該方案的應用能使網絡信息安全性大幅提高。
這兩步的工作量很大,因為保險公司只有在對其所承保的項目在技術上全面了解的基礎上,才能在保險條款擬定上做到既讓客戶滿意,又避免自身陷入高額賠償的危險境地。在完成風險評估工作后,保險公司根據評估結果提出險種建議,制定承保方案,擬定保險費率,并交由客戶審查。在雙方都沒有異議的情況下簽訂保險合同。承保后,保險公司仍要與客戶保持密切聯系,監督其運作狀況,在必要的時候還要進行再評估,以提出實時網絡信息安全防范建議。一旦出險,保險公司又要和信息安全機構一道確定損失大小,作出合理的賠償。
3 我國開發網絡信息安全保險的問題及對策
雖然保險公司、高技術公司和眾多網絡用戶都可以從網絡信息安全保險的開發中獲利,但在電子商務的網上交易、銀行和證券交易、商用密碼產品等應用領域,網絡信息安全保險還表現得相當不成熟。
我國目前還沒有關于網絡信息安全保險的相關法規,無法為保險公司提供可參照的依據。電子化的信息是否可以作為有效的法律依據,是在進行技術辨認時取證困難的主要原因之一。因為所有的操作系統都有技術上的缺陷,在使用過程中,很難保證軟件和硬件設施會在何時出現何種問題。在目前的技術條件下,保險公司在風險評估時幾乎無法測算出現問題的幾率,這甚至為保險合同的擬定和簽訂制造了障礙。
由于網絡信息安全保險在我國還處于萌芽階段,對于網絡信息安全管理和規范尚未形成一個統一的標準。保險公司在為客戶選擇理想的安全操作方案時,難以確定怎樣的防范手段才能真正發揮作用。當網絡信息出現安全問題時,也沒有固定的經濟損失程度評估標準可供參考,保險公司和投保客戶可能在賠償金額上發生分歧,從而導致合作關系的破裂。同時,網絡信息安全保險的可能性損失大,保險額度也相應很大,這對保險合同條款的嚴謹程度就提出了更高的要求。而我國保險業對網絡信息安全風險的監控缺乏經驗,使得保險公司對新險種的態度更加保守。
對于我國開發網絡信息安全保險,筆者認為可從以下幾方面加以解決。
1)實現保險公司與投保公司間的聯網。網絡信息安全保險業務的發展,本來就需要信息技術的支持,而由于安全保險產品,特別是關系到國家利益的網絡信息安全產品需要進行長期核保,信息的傳遞和反饋就顯得相當重要。因此,保險公司與投保公司雙方只有實現聯網,才能提高業務水平和工作效率。
2)國家應制定相應的法律規范和網絡安全標準。網絡信息安全保險在法律上缺乏定性,可以借鑒別國成功經驗通過司法鑒定暫時加以解決,但要從根本上消除不確定性,國家必須針對網絡信息安全保險在我國發展的特點為其制定相應的法律法規,對保險的繳費、標準、待遇及保險金的償付等作出具體規定。對于現行的各級各類網絡安全評測標準,國家應該抽調專業人員對其進行匯總分析,篩選出具有應用價值的條款組成一個完整的標準體系,并逐步與國際標準接軌,打破以往無據可依的僵局。
3)在評估由網絡信息安全問題造成的經濟損失時,根據實際損失進行精確的定量計算,并將結果交給有關機構鑒定。實際損失的量化一般以直接損失和合理的間接損失為基礎。例如對由意外事故引起的信息泄露、篡改和丟失等,投保人獲得的賠償應包括當初購買信息的費用,處理事故、恢復數據和信息所需的費用;網絡信息用戶因為投保人的信息服務中斷也遭受了經濟損失,根據保險人、投保人和消費者三贏的原則,他們可以在接受保險公司審查后獲得相應賠償。
4)在對投保公司進行風險評估時,保險公司可以從其網絡本身的可靠性、網絡技術和網絡管理的可靠性入手進行技術鑒定。投保公司所使用的網絡類型和質量在很大程度上決定了未來發生網絡信息安全事故的可能性,如果網絡存在嚴重缺陷且難以優化,保險公司應盡早放棄與投保公司的合作。投保公司采用的網絡技術主要包括信息接收識別技術、信息供給技術、調查統計處理技術等,如果發現存在不達標的技術,保險公司應建議投保公司更換技提供商。優良的網絡系統也需要有嚴格的網絡管理措施加以支持,而很多高科技公司都疏于對網絡實施配套管理,其網絡管理人員的素質也參差不齊,極有可能人為觸發網絡信息安全事故,導致公司在行業競爭中失利。保險公司在風險評估時必須把這種潛在威脅明確地提出來。
5)立足長遠,將網絡信息安全保險發展成產業。在我國社會保險制度還不完善的情況下,應該在技術方面尋找突破口,努力探索諸如風險監控的問題。保險公司必須以市場為依托,根據不同層次客戶的需求設計相應的信息安全保險產品,制定相應的投保策略,力求在保險產品和客戶服務等方面進行創新,增強與國外保險同行競爭的實力。
盡管我們可以肯定地說網絡信息安全保險將是知識經濟時代最具發展潛力的新型行業之一,而我國的保險業界人士仍然因其巨大的風險性而不愿冒然行動。但是從更長遠來看,網絡的延伸和擴張,特別是銀行和證券交易的發展,對網上信息的安全性提出了更高的要求。如果我國的保險公司能夠建立起保障投資者利益的切實可行的保險機制,使他們樹立起對網絡信息安全的信心,那么我國保險業將在這個極具潛力的保險市場中獲利。
【對話達人】事務所美女所長講述2017新版企業所得稅年度申報表中高企與研發費那些表!
活動時間:2018年1月25日——2018年2月8日
活動性質:在線探討