CN109951445A - 网络安全保险理赔评估方法和系统 - Google Patents

Abstract

本发明公开了一种网络安全保险理赔评估方法和系统，所述方法包括如下步骤：网络安全事件评估，收集待评估事件，对大数据样本进行信息聚合整理，并评估所述待评估事件是否属于网络安全事件；承保范围评估，基于网络安全事件评估结果，判断所发生的网络安全事件是否属于网络安全保险所承保的网络安全事件的范围内；网络安全事件影响评估，评估网络安全事件所带来的影响，包括财产、系统、代码、数据损失，其结果作为理赔依据；理赔条件评估，结合上述网络安全事件评估、承保范围评估、网络安全事件影响评估的结果，得出理赔评估结果。本发明根据客观世界的软件和硬件两方面的网络风险，提高了评估的客观性、准确性和可量化性，评估工作也更具可操作性。

Description

网络安全保险理赔评估方法和系统

技术领域

本发明涉及网络安全保险技术领域，具体涉及一种网络安全保险理赔评估 方法和系统。

背景技术

一般而言，网络风险分为第一方和第三方风险。保险产品提供的承保范围 会涵盖其中一方或者双方都涉及的风险。针对第一方的保单涵盖了企业自己的 资产，包括数字资产、网络瘫痪造成的业务中断、网络欺诈、声誉损失、网络 盗窃等等；针对第三方的保单包括他人的资产，尤其是客户的资产，通常包括 安全和隐私泄露、多重媒体责任、第三方数据的丢失等风险。

目前网络安全保险的承保范围通常包括：敏感数据外泄(个人及企业数据)、 黑客入侵、计算机病毒、雇员恶意破坏数据或处理数据失当、数据盗窃、网络 保安系统失效、计算机系统事故所引发的第三方索赔或导致的业务中断，甚至 包括网络勒索相关赎金的保障。

总体来看，网络安全保险在国外已经很发达，而在国内来看，开展这方面 保险计划的保险公司并不多，人们对这类产品的接受度也不高。原因是多方面 的：一方面是立法规范，一方面是保险公司可能承受的不确定风险较大，再者 用户(企业、个人)对于这块的接受度可能还不高。

网络安全保险之所以在国内发展不起来，主要是不确定风险大，没有网络 安全定损的标准；另外国内多数用户认识上还停留在重视硬件、轻视数据的层 面上，而网络安全的主要目标是保证数据的保密、完整与不可否认。

作为新兴产品，目前企业网络安全保险在国内的客户知晓度较低，但随着 国内相关法律法规的健全以及科技、数据和计算机的不断发展，客户的风险意 识会随着提升，企业网络安全保险的市场在未来将会持续增长。

近几年，网络风险抬头的趋势非常明显，不论是大型跨国企业，还是小型 本地公司，其运营成本都因网络风险的增加而显著上升。因为网络风险的成因 和导火索经常变化，公司经营者较难正确地认识到他们所面临的风险本质，以 及无法确认自己需要的是哪种类型的保险产品。在这一背景下，对于网络安全 保险的需求量会有进一步的提升。

对于企业而言，在企业已经发生安全事故的情况下，网络安全保险可以降 低企业的资金损失。和金钱损失相比，真正重要的是理赔评估。因此网络安全 保险理赔评估就显得尤为重要。当前针对于网络系统的理赔评估，还没有体系 化和规范化的评估手段，基本都以经验值估算为主，准确性和可量化性都较低。

发明内容

本发明的目的是通过以下技术方案实现的。

具体的，根据本发明的一个方面，提供了一种网络安全保险理赔评估方法， 包括如下步骤：

网络安全事件评估，收集待评估事件，对大数据样本进行信息聚合整理， 并评估所述待评估事件是否属于网络安全事件；

承保范围评估，基于网络安全事件评估结果，判断所发生的网络安全事件 是否属于网络安全保险所承保的网络安全事件的范围内；

网络安全事件影响评估，评估网络安全事件所带来的影响，包括财产、系 统、代码、数据损失，其结果作为理赔依据；

理赔条件评估，结合上述网络安全事件评估、承保范围评估、网络安全事 件影响评估的结果，得出理赔评估结果。

优选的，所述收集待评估事件，对大数据样本进行信息聚合整理，并评估 所述待评估事件是否属于网络安全事件，包括：

采集待评估事件的详细情况，包括事件发生原因、发生时间、持续时间、 安全类型、同时采集安全检测数据、事件发生前的系统安全监测数据，进行信 息聚合整理，根据预先建立的网络安全事件评估模型进行对待评估事件进行评 估。

优选的，所述信息聚合整理包括如下步骤：

(1)、基于OpenD服务访问相关网站信息；

(2)、根据网站提供的开放式API接口获取网站上的相关用户个性化数据；

(3)、对不同网站获取的用户个性化数据进行预处理；

(4)、基于模糊自适应信任度的值的信息聚合处理；

(5)、基于Mash-up技术根据用户个性化需求进行页面聚合显示。

优选的，上述步骤(3)的预处理过程如下：对用户ID进行识别，然后规 划出用户的会话路径，采用浏览器本地缓存技术对路径完整性和正确性进行检 测，得到完整的正确路径后，根据网站的拓扑结构进行事务分割，生成事务数 据文件存储到事务数据库中；根据抽取的日志数据获取用户的频繁路径长度和 深度，并且识别用户的最大前向访问路径集MFPS，根据MFPS得到频繁最大前 向访问路径集F-MFPS，再由F-MFPS集合搜索得到用户的F-MFPS访问路径的页 面标签和资源集合。

优选的，所述网络安全事件评估模型，包括如下步骤：

第一步：排查是否有流量异常，检查分析流量监测历史日志，无流量异常 则非DDOS攻击，否则进入下一步；

第二步：确认是否网络部署有异常，检查分析网络部署图，是否存在无回 环、广播风暴部署导致问题，否则进入下一步；

第三步：排查是对外访问还是对内访问，抓包分析网站访问流量，如果是 对外访问流量则非DDOS攻击，否则进入下一步；

第四步：排查是否上线新功能或做线上活动，排除是新上线功能或线上活 动影响，否则进入下一步；

第五步：远程分析大流量来源IP，通过抓包分析访问情况，如果是低于预 设百分比的IP，则分析是否用户所属IP，如果是正常用户IP，则检查业务代 码，非DDOS攻击；如果是非用户IP，则为DOS攻击；如果是分散IP，则进入 下一步；

第六步：确认异常流量来源类型，通过抓包分析分散IP情况，如果是非 http流量，则为DDOS攻击；否则进入下一步；

第七步：http异常流量分析，通过分析web服务器日志，结合业务进一步 确认是否正常访问，如果是非正常业务表现，则为CC攻击。

优选的，所述理赔条件评估包括下面的一种或多种：数据恢复理赔条件评 估、网络勒索理赔条件评估。

优选的，其中，对于数据恢复理赔条件评估，步骤如下：

第一步：确认丢失数据物理部署，如果部署在云上，则通过云服务商进行 恢复，并进入下一步；

第二步：确认是否硬件损坏导致数据丢失，如果是硬件损坏导致数据丢失， 则属于非保险范围；否则进入下一步；

第三步：确认数据丢失原因，如果是人为误操作导致数据丢失，则属于非 保险范围；否则如果是云上部署，则进行主机加固和渗透测试，其他的进入下 一步；

第四步：确认数据是否有备份，远程查看部署配置，如果有备份则从备份 恢复，进行主机加固和渗透测试；否则进入下一步；

第五步：确认数据重要性，如果不是关键性数据丢失，进行主机加固和渗 透测试，否则进入下一步；

第六步：确认数据丢失类型，如果是文件丢失/数据库记录丢失，进入下一 步；

第七步：确认数据丢失轨迹，远程分析系统日志、数据库日志、系统访问 操作日志、系统业务，进一步排查不是功能异常/人员误操作导致的数据丢失， 跟踪定位数据丢失原因及轨迹；如果是功能异常/人员误操作导致，非保险范围， 进入下一步；

第八步：确认数据载体，通过远程主机查看，确认操作系统类型及版本、 物理硬盘类型及容量、RAID类型、数据库类型及版本、数据表类型、丢失数据 数量。

优选的，所述网络勒索理赔条件评估，步骤如下：

第一步：确认是否勒索，通过远程主机查看，确认检查主机上被加密的文 件情况，确认是否网络勒索，排除误报，进入下一步；

第二步：确认是否存在备份，通过远程主机查看，如有备份则从备份恢复， 再进行主机加固和渗透测试；否则进入下一步；

第三步：确认数据重要性，如果不是关键性数据被加密，重装系统后进行 主机加固和渗透测试，否则进入下一步；

第四步：确认勒索病毒相关信息，通过远程主机查看，确认操作系统类型 及版本、勒索病毒及版本，通过安全服务商进行尝试恢复；如果恢复成功，进 行主机加固和渗透测试；否则恢复失败，进入下一步；

第五步：确认为网络勒索理赔事件。

根据本发明的另一个方面，还提供了一种网络安全保险理赔评估系统，包 括如下模块：

网络安全事件评估模块，收集待评估事件，对大数据样本进行信息聚合整 理，并评估所述待评估事件是否属于网络安全事件；

承保范围评估模块，基于网络安全事件评估结果，判断所发生的网络安全 事件是否属于网络安全保险所承保的网络安全事件的范围内；

网络安全事件影响评估模块，评估网络安全事件所带来的影响，包括财产、 系统、代码、数据损失，其结果作为理赔依据；

理赔条件评估模块，结合上述网络安全事件评估、承保范围评估、网络安 全事件影响评估的结果，得出理赔评估结果。

本发明的优点在于：本发明填补了网络安全保险理赔评估这一空白领域， 根据客观世界的软件和硬件两方面的网络风险，提高了评估的客观性、准确性 和可量化性，评估工作也更具可操作性。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领 域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并 不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的 部件。在附图中：

附图1示出了根据本发明一种实施方式的一种网络安全保险理赔评估方法 流程图。

附图2示出了根据本发明的信息聚合算法流程图。

附图3示出了根据本发明一种实施方式的一种网络安全保险理赔评估系统 图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示 了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开而不 应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻 地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

实施例1

如图1所示，为根据本发明另一种实施方式的一种网络安全保险理赔评估 方法流程图。如图所示本发明实施例的具体方法如下：

S1、网络安全事件评估：收集待评估事件，对大数据样本进行信息聚合整 理，并评估所述待评估事件是否属于网络安全事件。

在本发明的实施例中，首先采集待评估事件的详细情况，包括事件发生原 因、发生时间、持续时间、安全类型、同时采集安全检测数据、事件发生前的 系统安全监测数据，进行信息聚合整理，根据预先建立的网络安全事件评估模 型进行对待评估事件进行评估，如若结果显示不属于网络安全事件，则不进行 后续操作。如若结果显示属于网络安全事件，则继续下面操作。

其中，上面的信息聚合整理，将大数据样本预处理为统一格式的预处理数 据。由于本发明的数据源来自多个数据源系统，例如公安系统、教育系统、金 融系统、身份证系统等等，由于每个系统中数据的格式是不统一的，因此，需 要将其预处理为统一的格式，以利于后续的统一处理。

本发明采用了独特的信息聚合算法，如图2所示，包括如下步骤：

S11、基于OpenD服务访问相关网站信息。

S12、根据网站提供的开放式API接口获取网站上的相关用户个性化数据。 获取用户的兴趣信息，主要从日志系统中访问相关的用户记录。

S13、对不同网站获取的用户个性化数据进行预处理。这里，主要是对用户 ID进行识别，然后规划出用户的会话路径，采用浏览器本地缓存技术对路径完 整性和正确性进行检测，得到完整的正确路径后，根据网站的拓扑结构进行事 务分割，生成事务数据文件存储到事务数据库中。接着根据抽取的日志数据获 取用户的频繁路径长度和深度，并且识别用户的最大前向访问路径集MFPS，根 据MFPS得到频繁最大前向访问路径集F-MFPS，再由F-MFPS集合搜索得到用户 的F-MFPS访问路径的页面标签和资源集合。

S14、基于模糊自适应信任度的值的信息聚合处理；根据不同站点的用户个 性化数据访问集合，聚合生成新的用户个性化信息访问集合，也就是访问资源 和标签集合，即用户需求。

S15、基于Mash-up技术根据用户个性化需求进行页面聚合显示。通过Ajax 技术，根据用户需求进行页面聚合显示，生成更加准确的推荐页面。通过最终 的页面聚合显示，本发明将来自各个不同数据源系统的数据进行统一的聚合并 展示，为下一步利用这些数据进行理赔评估奠定基础。

另外，本实施例中所使用的网络安全事件评估模型也是本发明的重要发明 点，包括如下步骤：

第一步：排查是否有流量异常，检查分析流量监测历史日志，无流量异常 则非DDOS攻击，否则进入下一步；

第二步：确认是否网络部署有异常，检查分析网络部署图，是否存在无回 环、广播风暴等部署导致问题，否则进入下一步；

第三步：排查是对外访问还是对内访问，抓包分析网站访问流量，如为对 外访问流量则非DDOS攻击，否则进入下一步；

第四步：排查近期是否上线新功能或做线上活动，排除是新上线功能或近 期活动影响，否则进入下一步；

第五步：远程分析大流量来源IP，通过抓包分析访问情况，如为少数IP， 则分析是否用户所属IP，是正常用户IP，则检查业务代码，非DDOS攻击；如 是非用户IP，则为DOS攻击。如为大量分散IP，否则进入下一步；

第六步：确认异常流量来源类型，通过抓包分析分散IP情况，如为非http 流量，则为DDOS攻击；否则进入下一步；

第七步：http异常流量分析，通过分析web服务器日志，结合业务进一步 确认是否正常访问，如非正常业务表现，则为CC攻击。

S2、承保范围评估：基于网络安全事件评估结果，判断所发生的网络安全 事件是否属于网络安全保险所承保的网络安全事件的范围内，如若结果显示不 属于承保范围内，则此次事件不属于网络安全保险理赔案件；如若结果显示属 于承保范围内，则继续下一步。

S3、网络安全事件影响评估，评估网络安全事件所带来的影响，包括财产、 系统、代码、数据等损失，其结果作为理赔依据。

S4、理赔条件评估，设置相应约定的条件下，结合网络安全事件评估、承 保范围评估、网络安全事件影响评估的结果，得出理赔结果。其中，例如可以 包括数据恢复理赔条件评估、网络勒索理赔条件评估等，是最常见的网络安全 事件，其理赔评估显得尤为重要，本实施例针对这两种网络安全事件，重点设 计了对应的理赔条件评估。

其中，对于数据恢复理赔条件的评估，步骤如下：

第一步：确认丢失数据物理部署，如果部署在云上，则通过云服务商进行 恢复，并进入下一步；

第二步：确认是否硬件损坏导致数据丢失，如为硬件损坏导致数据丢失， 则属于非保险范围；否则进入下一步；

第三步：确认数据丢失原因，如为人为误操作导致数据丢失，则属于非保 险范围；否则如为云上部署，则进行主机加固和渗透测试，其他的进入下一步；

第四步：确认数据是否有备份，远程查看部署配置，确认如有备份，从备 份恢复，进行主机加固和渗透测试；否则进入下一步；

第五步：确认数据重要性，如果不是关键性数据丢失，进行主机加固和渗 透测试，否则进入下一步；

第六步：确认数据丢失类型，如果是文件丢失/数据库记录丢失，进入下一 步；

第七步：确认数据丢失轨迹，远程分析系统日志、数据库日志、系统访问 操作日志、系统业务，进一步排查非功能异常/人员误操作导致的数据丢失；跟 踪定位数据丢失原因及轨迹。如为功能异常/人员误操作导致，非保险范围，进 入下一步；

第八步：确认数据载体，通过远程主机查看，确认操作系统类型及版本、 物理硬盘类型及容量、RAID类型、数据库类型及版本、数据表类型、丢失数据 数量。

其中，对于网络勒索理赔条件的评估，步骤如下：

第一步：确认是否勒索，通过远程主机查看，确认检查主机上被加密的文 件情况，确认是否网络勒索，排除误报，进入下一步；

第二步：确认是否存在备份，通过远程主机查看，如有备份，从备份恢复， 再进行主机加固和渗透测试；否则进入下一步；

第三步：确认数据重要性，如非关键性数据被加密，重装系统后进行主机 加固和渗透测试，否则进入下一步；

第四步：确认勒索病毒相关信息，通过远程主机查看，确认操作系统类型 及版本、勒索病毒及版本，通过安全服务商进行尝试恢复。如恢复成功，进行 主机加固和渗透测试；否则恢复失败，进入下一步；

第五步：确认为网络勒索理赔事件。

通过上述实施例，本发明的方法填补了网络安全保险理赔评估这一空白领 域，根据客观世界的软件和硬件两方面的网络风险，提高了评估的客观性、准 确性和可量化性，评估工作也更具可操作性。

实施例2

如图3所示，根据本发明的另一个方面，还提供了一种网络安全保险理赔 评估系统，包括如下模块：

网络安全事件评估模块110，收集待评估事件，对大数据样本进行信息聚 合整理，并评估所述待评估事件是否属于网络安全事件；

承保范围评估模块120，基于网络安全事件评估结果，判断所发生的网络 安全事件是否属于网络安全保险所承保的网络安全事件的范围内；

网络安全事件影响评估模块130，评估网络安全事件所带来的影响，包括 财产、系统、代码、数据损失，其结果作为理赔依据；

理赔条件评估模块140，结合上述网络安全事件评估、承保范围评估、网 络安全事件影响评估的结果，得出理赔评估结果。

通过上述实施例，本发明的系统填补了网络安全保险理赔评估这一空白领 域，根据客观世界的软件和硬件两方面的网络风险，提高了评估的客观性、准 确性和可量化性，评估工作也更具可操作性。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有 相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构 造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程 语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且 上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发 明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细 示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或 多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一 起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法 解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确 记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发 明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式 的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为 本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适 应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实 施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它 们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的 至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要 求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过 程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要 和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代 替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它 实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意 味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求 书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器 上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解， 可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施 例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本发明还 可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序 (例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在 计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以 从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并 且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施 例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的 限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之 前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包 括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干 装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体 体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局 限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易 想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护 范围应以所述权利要求的保护范围为准。

Claims (9)

1.一种网络安全保险理赔评估方法，其特征在于，包括如下步骤：

网络安全事件评估，收集待评估事件，对大数据样本进行信息聚合整理，并评估所述待评估事件是否属于网络安全事件；

承保范围评估，基于网络安全事件评估结果，判断所发生的网络安全事件是否属于网络安全保险所承保的网络安全事件的范围内；

网络安全事件影响评估，评估网络安全事件所带来的影响，包括财产、系统、代码、数据损失，其结果作为理赔依据；

理赔条件评估，结合上述网络安全事件评估、承保范围评估、网络安全事件影响评估的结果，得出理赔评估结果。

2.根据权利要求1所述的一种网络安全保险理赔评估方法，其特征在于，

所述收集待评估事件，对大数据样本进行信息聚合整理，并评估所述待评估事件是否属于网络安全事件，包括：

采集待评估事件的详细情况，包括事件发生原因、发生时间、持续时间、安全类型、同时采集安全检测数据、事件发生前的系统安全监测数据，进行信息聚合整理，根据预先建立的网络安全事件评估模型进行对待评估事件进行评估。

3.根据权利要求2所述的一种网络安全保险理赔评估方法，其特征在于，

所述信息聚合整理包括如下步骤：

(1)、基于OpenD服务访问相关网站信息；

(2)、根据网站提供的开放式API接口获取网站上的相关用户个性化数据；

(3)、对不同网站获取的用户个性化数据进行预处理；

(4)、基于模糊自适应信任度的值的信息聚合处理；

(5)、基于Mash-up技术根据用户个性化需求进行页面聚合显示。

4.如权利要求3所述的一种网络安全保险理赔评估方法，其特征在于：

上述步骤(3)的预处理过程如下：对用户ID进行识别，然后规划出用户的会话路径，采用浏览器本地缓存技术对路径完整性和正确性进行检测，得到完整的正确路径后，根据网站的拓扑结构进行事务分割，生成事务数据文件存储到事务数据库中；根据抽取的日志数据获取用户的频繁路径长度和深度，并且识别用户的最大前向访问路径集MFPS，根据MFPS得到频繁最大前向访问路径集F-MFPS，再由F-MFPS集合搜索得到用户的F-MFPS访问路径的页面标签和资源集合。

5.如权利要求2所述的一种网络安全保险理赔评估方法，其特征在于：

所述网络安全事件评估模型，包括如下步骤：

第一步：排查是否有流量异常，检查分析流量监测历史日志，无流量异常则非DDOS攻击，否则进入下一步；

第二步：确认是否网络部署有异常，检查分析网络部署图，是否存在无回环、广播风暴部署导致问题，否则进入下一步；

第三步：排查是对外访问还是对内访问，抓包分析网站访问流量，如果是对外访问流量则非DDOS攻击，否则进入下一步；

第四步：排查是否上线新功能或做线上活动，排除是新上线功能或线上活动影响，否则进入下一步；

第五步：远程分析大流量来源IP，通过抓包分析访问情况，如果是低于预设百分比的IP，则分析是否用户所属IP，如果是正常用户IP，则检查业务代码，非DDOS攻击；如果是非用户IP，则为DOS攻击；如果是分散IP，则进入下一步；

第六步：确认异常流量来源类型，通过抓包分析分散IP情况，如果是非http流量，则为DDOS攻击；否则进入下一步；

第七步：http异常流量分析，通过分析web服务器日志，结合业务进一步确认是否正常访问，如果是非正常业务表现，则为CC攻击。

6.如权利要求1所述的一种网络安全保险理赔评估方法，其特征在于：

所述理赔条件评估包括下面的一种或多种：数据恢复理赔条件评估、网络勒索理赔条件评估。

7.如权利要求6所述的一种网络安全保险理赔评估方法，其特征在于：

其中，对于数据恢复理赔条件评估，步骤如下：

第一步：确认丢失数据物理部署，如果部署在云上，则通过云服务商进行恢复，并进入下一步；

第二步：确认是否硬件损坏导致数据丢失，如果是硬件损坏导致数据丢失，则属于非保险范围；否则进入下一步；

第三步：确认数据丢失原因，如果是人为误操作导致数据丢失，则属于非保险范围；否则如果是云上部署，则进行主机加固和渗透测试，其他的进入下一步；

第四步：确认数据是否有备份，远程查看部署配置，如果有备份则从备份恢复，进行主机加固和渗透测试；否则进入下一步；

第五步：确认数据重要性，如果不是关键性数据丢失，进行主机加固和渗透测试，否则进入下一步；

第六步：确认数据丢失类型，如果是文件丢失/数据库记录丢失，进入下一步；

第七步：确认数据丢失轨迹，远程分析系统日志、数据库日志、系统访问操作日志、系统业务，进一步排查不是功能异常/人员误操作导致的数据丢失，跟踪定位数据丢失原因及轨迹；如果是功能异常/人员误操作导致，非保险范围，进入下一步；

第八步：确认数据载体，通过远程主机查看，确认操作系统类型及版本、物理硬盘类型及容量、RAID类型、数据库类型及版本、数据表类型、丢失数据数量。

8.如权利要求6所述的一种网络安全保险理赔评估方法，其特征在于：

所述网络勒索理赔条件评估，步骤如下：

第一步：确认是否勒索，通过远程主机查看，确认检查主机上被加密的文件情况，确认是否网络勒索，排除误报，进入下一步；

第二步：确认是否存在备份，通过远程主机查看，如有备份则从备份恢复，再进行主机加固和渗透测试；否则进入下一步；

第三步：确认数据重要性，如果不是关键性数据被加密，重装系统后进行主机加固和渗透测试，否则进入下一步；

第四步：确认勒索病毒相关信息，通过远程主机查看，确认操作系统类型及版本、勒索病毒及版本，通过安全服务商进行尝试恢复；如果恢复成功，进行主机加固和渗透测试；否则恢复失败，进入下一步；

第五步：确认为网络勒索理赔事件。

9.一种网络安全保险理赔评估系统，其特征在于，包括如下模块：

网络安全事件评估模块，收集待评估事件，对大数据样本进行信息聚合整理，并评估所述待评估事件是否属于网络安全事件；

承保范围评估模块，基于网络安全事件评估结果，判断所发生的网络安全事件是否属于网络安全保险所承保的网络安全事件的范围内；

网络安全事件影响评估模块，评估网络安全事件所带来的影响，包括财产、系统、代码、数据损失，其结果作为理赔依据；

理赔条件评估模块，结合上述网络安全事件评估、承保范围评估、网络安全事件影响评估的结果，得出理赔评估结果。