7月2日上午， 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边，可信创未来”为主题，由中国信息通信研究院主办。在下午举行的云安全及风险管理论坛上，人保财险责任保险事业部高端业务处处长助理高晓鹏出席并发表了“云计算及网络安全保险介绍”为主题的演讲。

人保财险责任保险事业部高端业务处处长助理高晓鹏

大家好，我是人保财险的高晓鹏，我们每年都在参加这个论坛，今天在这里做一个简单的分享，介绍一下云计算和网络安全。

人保财险是亚洲大的财险公司，从技术能力来讲车险占到三分之一，非车的市场占比，特别是责任险的市场占比大概占到将近40%，比第二名平安、第三名太平洋保险加起来都要多，能力是非常强的。

今天分享内容包括三个部分，第一部分是信息安全的现状；第二风险防范；第三人保财险的现状。移动互联的时代能够感受到的是信息交互越来越多，越来越方便，交互越来越多导致个人信息频繁在不同的场合里出现，这样信息交互的频次越高，个人信息被泄露的风险越大，网络安全面临新的挑战，包括新的问题和旧的问题。

对于新的问题，网络安全事件通常是运维人员的过失和系统的问题，运维圈有一个说法，70%的故障来自于内部人员的操作，内部人员的操作可能是找不到原因的时候运维人员去背这个黑锅，出现不可控的因素，包括网络配置的变更，包括软件开发的小的BUG，包括运维的故障导致网络的小问题，引发连锁反应，导致系统的不可用或者软件数据丢了。

不仅仅是小公司，大公司也经常出现这样的问题，包括亚马逊、Facebook、谷歌、腾讯、阿里，都会出现各种各样小的问题。对于国外最新的波音公司的事件，他们把锅甩给了外包人员。不管从哪个角度来看，通过自己的数据来看，发现系统故障或者过失操作时发生案件更多一点。

对于信息风险来说信息泄露已经成为主要的威胁，数据时代企业通过个人信息数据来获取很多商业的机遇，我们可以了解到个人的消费习惯，个人的隐私状况，可能面临的问题会收到一些广告，营销推荐的骚扰电话，甚至一些诈骗电话。对于企业而言数据安全威胁到企业的生存，Facebook爆出了一个很大的问题，数据泄露了五千多名的客户信息，泄露之后在政府的压力下，他的股价蒸发了500亿，对于他们的首席执行官做了很多的澄清和道歉来扭转大家对网络安全、个人信息的意识。包括万豪酒店，酒店的消费信息和个人信息造成了泄露，也引起了消费者的困扰。

新的风险还来自于系统漏洞、网络勒索，我们也接到很多客户的需求，咨询相应的保险产品，可以了解到风险，企业在网络安全里遇到的风险越来越高。还有波音公司WannaCry的病毒，造成很大的损失。还有一个损失来自于云平台，因为越来越多的企业用到云的技术，云技术有网络规模化和数据集成化，效率非常高，成本非常低，更多企业通过云技术节约成本，大量企业上云之后造成的后果，个人的信息包括企业的关键信息普遍都到云上，不法份子发现云的漏洞进行攻击以及被勒索。对于云来说不光是被攻击的对象，也是发起攻击的源泉，操作起来更方便，隐秘性更强。

有没有法律法规改善网络环境呢，2017年6月1日《网络安全法》实施，虽然国家的网络安全环境没有像欧洲一般数据保护条例给予那么严格的规范、要求，但是我们国家的法律环境通过《网络安全法》和相关的《电子商务法》相关的法律不断的完善，我们的法律环境也在不断的提升老百姓的安全意识，包括风险防范的意识，包括隐私保护的意识。《电子商务法》保护用户信息安全和网络安全，2018年《网络安全等保条例》要求更多的企业满足等保要求，做相应的等级保护、用户的保护，关键网信系统发布的关键信息基础设施的安全保护条例要求有相应的机构，包括像云和金融系统做相应的保护。对于数据安全金融，5月29日发布了《数据安全管理条例》做了征求意见，这个征求意见对数据安全、数据收集、数据处理、数据持有都做了相应的监督和要求。

对于企业来讲，为了降低网络风险，企业越来越重视网络安全，投入越来越大，每年都发布相应的数据，这些数据增速远低于云计算的发展速度和网络发展速度，从云的安全投入和信息化应用投入来讲，不是非常匹配的。保险作为风险管理的备选方案，虽然保险不能抵御网络的攻击，保险可以转移风险，可以减少风险的概率，减少损失之后，维护企业的正常经营，特别对中小企业来讲都是非常有利的。

我们公司和信通院在2014年进行了很多的探索，积累了很多的经验，在不断的探索中，之前做云计算保险的时候更多是提出了，从保险原理来讲，我们和企业作为风险共担的角色，但是合作中摸索了网络风险检验管理的办法，我们和合作伙伴通过信通院，用他们专业的技术减少运行中的相对风险，优化网络，对风险隐患进行排查，对风险进行评估，事中、事后进行风险防控，事后做风险的转移，通过这几年的探索跟我们的合作伙伴进行了非常好的合作，减少了企业发生网络安全的风险，风险事故发生的减少，企业损失就减少，虽然我们在前期通过保险、通过合作伙伴风险安全的防控这种手段，前端花的很多的成本，总体上来看，如果减少了风险事件发生之后，对客户来讲还是利益大化。

通过合作也探索出一套合作服务的方式，包括评估、法律服务、咨询、公共服务、数据安全服务，我们在事前做了风险减量的服务，通过信通院做了一些在云计算风险上的框架，梳理企业风险点，尽可能指出企业IT系统中的问题，包括管理风险、人员风险、技术风险、合规风险等，从风险当中发现问题帮助企业解决问题，信通院协助我们做了很多的工作，包括我们很多客户也很认可。

事后，出了问题，信通院协助我们做定责的工作，包括事故的出险报告，有没有问题，通过堡垒机和数据，为我们提供事故发生报告，协助我们做一些准备工作，第一时间非常快速的把违约款送到客户的手里。通过多年的探索，保险产品不断积累、不断完善，从合作开始2014年不断研究外部的风险、运营风险，逐渐形成了一套产品体系，包括企业自身发生风险的时候相应费用损失的补偿，包括企业发生责任事故之后的损失，形成了一套产品体系。虽然保险产品需要到监管部门报备，但是产品可以拼接组合，有些产品不断迭代的过程，形成既保证自身，又能保证第三者的损失，除了专利的侵权罚金，为什么罚金不赔，罚金在保险法里面也是不赔，鉴定起来非常困难，设备损坏发生更换的费用，这一块有些通过维保去做，现在后续也在探索新的保护，把保险的保障内容，用保险代替维保，也能做一些代替，但是大产品暂时不包含这些内容。

下面详细介绍一下产品：

第一是云计算服务责任保险，这个产品是在2015年发布的，时间比较长了，很多服务商一起讨论出来的成果，成果属于大家。以服务商与客户签订的服务协议为基础，代服务提供商承担相应赔偿责任。

第二保障内容包括四大部分：一个是故障责任，被保险人，云服务商的软件故障，存储的故障和自有的故障、电力的故障。第二是误操作责任，因为技术人员操作失误造成的主机、存储、网络设备重启、关机、网络、软件配置变更等。

第三是第三方责任，供电公司供电电力故障，电信运营商的网络中断、第三方数据中心电力故障或网络中断等。

第四是数据丢失责任，因被保险人存储设备损坏、数据无法恢复，导致委托人数据丢失。

这四个责任之外还有一个法律责任，法律责任保险通常都会带，相应的法律费用由保险公司承担，第五部分内容也有涉及。

网络安全的责任保险是在云计算责任保险基础上做的一个升级，主要增加了黑客的攻击和网络勒索的内容，对原来的保险条款做了拓展，对被保险人也做了拓展，造成第三方损失包括恶意软件、包括黑客攻击、非法使用等等。包括出版书过失造成的第三者的损失，这个主要是国外来的，在国内发生的比较少。还有外部服务商造成第三者的损失。

介绍一下大家比较关心的信息技术应用服务保险，企业希望为自身的信息网络安全上一个保险，当时2.0的产品信息技术应用服务保险，接受第三方服务的时候也给自己买一个保险。网络安全发生风险事故之后对你的利润可能有影响，但是利润计算起来非常复杂，如果上市公司详细对一下上市公司的报表，工作量非常大，操作起来大家扯皮的事件比较多，我们为了这个事做的更简单，让云服务商和客户更容易理解，我们做了一个指数性的保险，这个事故发生免赔时间是多少，几个小时开始，服务中断几个小时之后开始启动保险赔偿，启动保险赔偿每一分钟保险公司需要支付多少钱，把你利润的损失换算成非常简单的数学公式，算起来对发生服务中断的企业非常好算。我们做具体方案的时候会根据企业具体的情况把这个事情做的很清楚，如果企业发生频度比较高，我们会把中断时间拉的比较长，如果发现大风险，会保大风险，如果企业不经常发生这些中断事故，我们会把时间相对的缩小，我们也会做相应的费用补偿，都做一些附加的保险。

最后再介绍一下保险的流程，通常情况下对于大的云服务商来讲，希望信通院一起做一个简单的评估，做一个体检，至少知道发生概率的情况。

第二通过风险的评估发现企业的风险点，信通院把风险报告发给云服务企业，根据报告做一些简单风险的排查，尽可能减少漏洞完善修复，还有人员管理。如果事件发生让信通院去定损，去出一个报告，这个报告客户也会认可，我们也会认可，保险也是需要做最后的核损，报告出来在很短的时间内做赔付。

以上是我简要的介绍，希望云企业如果有感兴趣下来可以跟我们做进一步的沟通，也可以跟信通院做沟通，设计一些合理的，云计算也好，网络安全也好，做相应的保险保障的方案定制，我们期待进一步的沟通和合作，谢谢大家。