本发明专利技术公开了一种网络安全保险保前投保风险评估方法和系统,所述方法包括如下步骤:采集拟投保网络系统的所有者企业相关信息,并根据所述相关信息计算第一分值;采集拟投保网络系统已采取的安全管理设备及措施相关信息,并计算第二分值;对拟投保网络系统进行安全漏洞扫描和可用性及安全性监测,并计算系统当前安全健康度,得到第三分值;对所述第一分值、第二分值、第三分值进行加权平均计算,得出最终分值,与预设阈值比较,得出风险评估结果。本发明专利技术填补了网络安全保险保前投保风险评估这一空白领域,根据客观世界的软件和硬件两方面的网络风险,提高了评估的客观性、准确性和可量化性,评估工作也更具可操作性。
【技术实现步骤摘要】
网络安全保险保前投保风险评估方法和系统
本专利技术涉及网络安全保险
,具体涉及一种网络安全保险保前投保风险评估方法和系统。
技术介绍
一般而言,网络风险分为第一方和第三方风险。保险产品提供的承保范围会涵盖其中一方或者双方都涉及的风险。针对第一方的保单涵盖了企业自己的资产,包括数字资产、网络瘫痪造成的业务中断、网络欺诈、声誉损失、网络盗窃等等;针对第三方的保单包括他人的资产,尤其是客户的资产,通常包括安全和隐私泄露、多重媒体责任、第三方数据的丢失等风险。目前网络安全保险的承保范围通常包括:敏感数据外泄(个人及企业数据)、黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃、网络保安系统失效、计算机系统事故所引发的第三方索赔或导致的业务中断,甚至包括网络勒索相关赎金的保障。总体来看,网络安全保险在国外已经很发达,而在国内来看,开展这方面保险计划的保险公司并不多,人们对这类产品的接受度也不高。原因是多方面的:一方面是立法规范,一方面是保险公司可能承受的不确定风险较大,再者用户(企业、个人)对于这块的接受度可能还不高。网络安全保险之所以在国内发展不起来,主要是不确定风险大,没有网络安全定损的标准;另外国内多数用户认识上还停留在重视硬件、轻视数据的层面上,而网络安全的主要目标是保证数据的保密、完整与不可否认。作为新兴产品,目前企业网络安全保险在国内的客户知晓度较低,但随着国内相关法律法规的健全以及科技、数据和计算机的不断发展,客户的风险意识会随着提升,企业网络安全保险的市场在未来将会持续增长。近几年,网络风险抬头的趋势非常明显,不论是大型跨国企业,还是小型本地公司,其运营成本都因网络风险的增加而显著上升。因为网络风险的成因和导火索经常变化,公司经营者较难正确地认识到他们所面临的风险本质,以及无法确认自己需要的是哪种类型的保险产品。在这一背景下,对于网络安全保险的需求量会有进一步的提升。对于企业而言,在企业已经发生安全事故的情况下,网络安全保险可以降低企业的资金损失。和金钱损失相比,真正重要的是预判风险。因此网络安全保险保前投保风险评估就显得尤为重要。当前针对于网络系统的投保前风险评估,还没有体系化和规范化的评估手段,基本都以经验值估算为主,准确性和可量化性都较低。
技术实现思路
本专利技术的目的是通过以下技术方案实现的。具体的,根据本专利技术的一个方面,提供了一种网络安全保险保前投保风险评估方法,包括如下步骤:采集拟投保网络系统的所有者企业相关信息,并根据所述相关信息计算第一分值;采集拟投保网络系统已采取的安全管理设备及措施相关信息,并计算第二分值;对拟投保网络系统进行安全漏洞扫描和可用性及安全性监测,并计算系统当前安全健康度,得到第三分值;对所述第一分值、第二分值、第三分值进行加权平均计算,得出最终分值,与预设阈值比较,得出风险评估结果。优选的,采用网络爬虫方法进行目标抓取,从而采集拟投保网络系统的所有者企业相关信息。优选的,所述网络爬虫方法包括如下步骤:(一)、使用杜威十进分类法,在网页特征提取阶段,快速找出网页文本与锚文本关键词主题相近的关键词;(二)、提取主题候选链接特征文本;(三)、使用朴素贝叶斯文本分类器对候选链接主题边缘文本进行分类,获取主题相关网页;如果文本属于特定主题,那么相对应的候选链接以分类权值作为优先级值,以优先级的大小顺序插入爬行队列,爬虫优先访问分类值大的链接,如果文本不属于特定主题,则丢弃候选链接;(四)、对相关网页的Web链接信息用HITS算法计算出其对应的权威度和中心度,综合锚文本、锚文本附近信息、反向网页、反向链接的兄弟链接、URL链接,预判待爬取网页与主题的相关度。优选的,所述提取主题候选链接特征文本包括如下步骤:(1)对网页的锚文本和正文进行分词处理,去掉停用词,得到关键词;(2)查找关键词的杜威分类号码;(3)运用杜威十进制分类法的特性并结合二维坐标提取主题候选链接特征文本;把关键词分类号码的长度作为X轴,关键词分类号码作为Y轴,将关键词对应的杜威十进分类号码在二维坐标中绘制相应的点;(4)提取二维坐标中锚文本关键点以及锚文本周围的关键点对应的关键词作为主题候选链接特征文本。优选的,根据企业行业相关占比因子、企业规模相关占比因子、系统属性相关占比因子通过线性拟合得到所述第一分值。优选的,所述安全管理设备及措施相关信息包括:系统建设物理环境、系统存储信息类型、系统合规性情况、系统信息安全管理体系情况、系统安全部门及岗位设置情况、系统安全制度和规范建立及实施情况、系统应急响应人员和预案情况。优选的,通过线性拟合下述安全管理参数计算第二分值:(1)信息系统基本信息参数,包括系统建设物理环境、系统存储信息类型、系统等保安全级别信息、信息安全管理体系认证信息;(2)网络安全日常管理信息参数,包括人员管理和资产管理;(3)网络安全防护信息参数,包括网络边界安全防护和网站安全防护;(4)网络安全应急工作信息参数,包括应急预案和系统数据备份;(5)网络安全教育培训信息参数。优选的,所述对拟投保网络系统进行安全漏洞扫描和可用性及安全性监测,包括:所述系统安全漏洞扫描利用漏扫工具和人工验证的方法从SQL注入检测、跨站攻击检测、web应用脚本检测、检测页面隐藏字段、第三方软件误配置检测方面检测系统安全性;所述可用性和安全性监测通过监测系统可用性、服务端口可用性、页面疑似篡改、敏感词、死链、恶链、DNS劫持收集一周的监测数据。优选的,所述加权平均的计算公式如下:其中y表示最终分值,X1、X2、X3分别表示第一分值、第二分值、第三分值;α表示拟投保网络系统的所有者企业相关信息系数;β表示拟投保网络系统已采取的安全管理设备及措施相关信息系统;γ表示系统当前安全健康度系数。根据本专利技术的另一个方面,还提供了一种网络安全保险保前投保风险评估系统,包括如下模块:第一采集计算模块,用于采集拟投保网络系统的所有者企业相关信息,并根据所述相关信息计算第一分值;第二采集计算模块,用于采集拟投保网络系统已采取的安全管理设备及措施相关信息,并计算第二分值;第三采集计算模块,用于对拟投保网络系统进行安全漏洞扫描和可用性及安全性监测,并计算系统当前安全健康度,得到第三分值;评估模块,用于对所述第一分值、第二分值、第三分值进行加权平均计算,得出最终分值,与预设阈值比较,得出风险评估结果。本专利技术的优点在于:本专利技术填补了网络安全保险保前投保风险评估这一空白领域,根据客观世界的软件和硬件两方面的网络风险,提高了评估的客观性、准确性和可量化性,评估工作也更具可操作性。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:附图1示出了根据本专利技术一种实施方式的一种网络安全保险保前投保风险评估方法流程图。附图2示出了根据本专利技术另一种实施方式的一种网络安全保险保前投保风险评估方法流程图。附图3示出了根据本专利技术另一种实施方式的网络系统所有者企业相关规模从事行业信息评估模型示意图。附图4示出了根据本专利技术另一种实施方式的网络系统安全防护及设备管理措施相关信息评估模本文档来自技高网...
【技术保护点】
1.一种网络安全保险保前投保风险评估方法,其特征在于,包括如下步骤:采集拟投保网络系统的所有者企业相关信息,并根据所述相关信息计算第一分值;采集拟投保网络系统已采取的安全管理设备及措施相关信息,并计算第二分值;对拟投保网络系统进行安全漏洞扫描和可用性及安全性监测,并计算系统当前安全健康度,得到第三分值;对所述第一分值、第二分值、第三分值进行加权平均计算,得出最终分值,与预设阈值比较,得出风险评估结果。
【技术特征摘要】
1.一种网络安全保险保前投保风险评估方法,其特征在于,包括如下步骤:采集拟投保网络系统的所有者企业相关信息,并根据所述相关信息计算第一分值;采集拟投保网络系统已采取的安全管理设备及措施相关信息,并计算第二分值;对拟投保网络系统进行安全漏洞扫描和可用性及安全性监测,并计算系统当前安全健康度,得到第三分值;对所述第一分值、第二分值、第三分值进行加权平均计算,得出最终分值,与预设阈值比较,得出风险评估结果。2.根据权利要求1所述的一种网络安全保险保前投保风险评估方法,其特征在于,采用网络爬虫方法进行目标抓取,从而采集拟投保网络系统的所有者企业相关信息。3.如权利要求2所述的一种网络安全保险保前投保风险评估方法,其特征在于:所述网络爬虫方法包括如下步骤:(一)、使用杜威十进分类法,在网页特征提取阶段,快速找出网页文本与锚文本关键词主题相近的关键词;(二)、提取主题候选链接特征文本;(三)、使用朴素贝叶斯文本分类器对候选链接主题边缘文本进行分类,获取主题相关网页;如果文本属于特定主题,那么相对应的候选链接以分类权值作为优先级值,以优先级的大小顺序插入爬行队列,爬虫优先访问分类值大的链接,如果文本不属于特定主题,则丢弃候选链接;(四)、对相关网页的Web链接信息用HITS算法计算出其对应的权威度和中心度,综合锚文本、锚文本附近信息、反向网页、反向链接的兄弟链接、URL链接,预判待爬取网页与主题的相关度。4.如权利要求3所述的一种网络安全保险保前投保风险评估方法,其特征在于:所述提取主题候选链接特征文本包括如下步骤:(1)对网页的锚文本和正文进行分词处理,去掉停用词,得到关键词;(2)查找关键词的杜威分类号码;(3)运用杜威十进制分类法的特性并结合二维坐标提取主题候选链接特征文本;把关键词分类号码的长度作为X轴,关键词分类号码作为Y轴,将关键词对应的杜威十进分类号码在二维坐标中绘制相应的点;(4)提取二维坐标中锚文本关键点以及锚文本周围的关键点对应的关键词作为主题候选链接特征文本。5.根据权利要求1所述的一种网络安全保险保前投保风险评估方法,其特征在于,根据企业行业相关占比因子、企业规模相关占比因子、系统属性相关占比因子通过线性拟合得到所述第一分值。6.根据权利要求1所述的一种网络安...
【专利技术属性】
技术研发人员:张俊峰,舒首衡,俞优,黄震中,陆臻,何升文,顾健,翁越龙,刘文钢,蔡仲,孙晓明,蒋星兰,
申请(专利权)人:上海嘉韦思信息技术有限公司,公安部第三研究所,北京璇玑信息科技有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。