论文部分内容阅读
近年随着大数据、区块链、云计算等新型互联网技术的出现,各行业、企业的业务开展与互联网紧密相连,网络风险成为企业在风险管理中不容忽视的威胁。由于突破了地域限制,一次网络安全事件可能造成极其严重的损失。从1990年代中后期开始,美国市场上开始出现第一批网络信息安全保险,但由于网络风险的易变性、相关性等复杂特征使得风险量化存在困难,现阶段全球范围内网络信息安全保险的市场极小。2017年6月,我国《网络安全法》开始实施,意味着网络安全问题开始受到我国重视。与此同时,国内一些保险公司也开始尝试网络信息安全保险的相关业务。网络风险具有厚尾特征、易变性和相关性,使网络信息安全保险的定价面临挑战。本文根据网络风险损失数据的特征,选取适当的定价方法。研究内容主要有两个方面:一是针对网络风险的厚尾特征,运用损失模型和极值理论研究不同类型网络风险的损失分布;二是针对网络风险的相关性特征,运用分层阿基米德Copula模型构建相依关系,通过情景分析方式考察不同相关性假设下、不同保单约定的网络信息安全保险的纯风险保费情况。在相关性研究中,本文主要考察不同类型网络风险之间的相关性。按研究内容构成,本文具体可分为以下几个部分:第一部分对网络风险和网络信息安全保险做了较详细的介绍,对应本文第2章。首先介绍了网络风险的概念和分类,分析了网络风险的损失厚尾性、易变性、相关性特征,并简要介绍目前的损失状况。接着介绍了网络信息安全保险的概念、分类和现有产品的承保范围,描述了该保险市场的现状。最后分析了网络信息安全保险在发展中面临的风险量化难度大、风险分担不成熟和信息不对称问题。第二部分对本文所使用的理论基础和相关方法进行了系统的介绍,对应本文第3章。在对网络风险损失分布的研究中,将用到强度-频率模型、极值理论和POT模型。在对网络风险相关性的研究中,将用到Copula理论和HAC模型。第三部分对不同类型的网络风险进行分布拟合,得出单独承保各类型网络风险时保险公司所承担的风险水平,对应本文第4章。本文选取了一组数据泄露的样本数据,基于损失强度和损失频率相互独立的假设,利用强度-频率模型对不同类型网络风险的损失分布进行了研究。首先将样本分为七种网络风险类型,并考察了不同风险类型和不同损失主体类型的损失情况。接着对七种风险的损失强度和损失频率进行分布拟合,其中损失强度的拟合采用了分段拟合的方式,在其尾部应用POT模型。最后利用强度-频率模型做随机模拟,得到七种风险的月累积损失随机数样本,并采用在险价值进行风险度量。第四部分主要研究对多种类型网络风险同时承保时,相关性在网络信息安全保险定价中的影响,对应本文第5章前两节。这一部分本文基于对不同类型网络风险之间存在相关性的假设,利用情景分析的方法分析其保险定价问题。首先利用Berliner的可保性分析框架分析了网络风险的可保性,从而针对性地提出保险产品设计的建议,并介绍了设置免赔和投保限额情况下的理赔模型。接着,本文建立了以七种类型网络风险为原始随机变量的Gumbel HAC模型,以前文中得出的月累积损失随机数样本为边缘分布,对模型的分层结构、相关参数以及风险单位数进行假设,通过蒙特卡洛模拟得出基准情景下两种保单的纯风险保费结果。最后,采用了情景分析的方式,考察改变变量相关性顺序和相关性程度对结果的影响。第五部分对应第5章第3节。针对信息不对称问题,本文介绍了一种基于企业网络安全等级评分的定价,结合我国网络安全等级保护制度,建议保险人对投保人的网络安全等级进行评分,以此作为依据在基准纯风险保费的基础上加入费率调整系数。最后通过一个案例进行说明。通过上述研究,本文得出了以下结论:第一,网络风险按发生原因可分为蓄意型网络风险和非蓄意型网络风险两种,其中蓄意型网络风险的损失更为严重,以黑客攻击为主。人为因素是造成网络风险与其他可保风险不同的重要原因。第二,不同类型损失主体遭受网络风险的损失程度不同(企业受损最为严重),其原因或可归结于受损主体的网络安全水平和持有信息的价值差异。因而保险公司在对网络风险承保时,需对不同风险水平的投保人约定不同的费率。第三,从数据特征来看,网络风险损失具有严重的厚尾性,利用POT模型拟合样本尾部、其他分布类型拟合样本左中段的分段拟合方式,较单一分布拟合样本整体而言,其效果更佳。第四,设定保单限制条件能有效控制网络风险的相关性影响。网络信息安全保险市场发展初期,承保网络风险的不确定性较大。保险公司可设置免赔额和投保限额,一方面降低了信息不对称的影响,另一方面可有效应对相关性的影响。本文的创新之处在于:第一,根据网络风险损失样本数据的特征,采取分段拟合的方式,不仅能通过POT模型良好地拟合样本的尾部,同时也考虑到样本的整体分布,避免了POT模型使左中段数据浪费的问题。第二,在缺乏相关数据的情况下,本文采用模型假设和情景分析的方式考察不同类型网络风险之间相关性的影响。第三,本文考察了不同类型网络风险之间的相关性,这是人为因素影响的一个重要体现。根据国内外研究现状,对网络风险相关性的研究通常考察受损企业之间的相关性或企业内部各终端之间的相关性,对不同类型网络风险之间相关性的研究极少。当然,本文也存在不足。由于缺乏相关的数据,本文对网络风险损失分布的研究无法基于理赔数据完成,在相关性的研究中也无法采用实证方式估计HAC模型的参数。