據(jù)考證，“計(jì)算機(jī)安全”概念應(yīng)該是1969年提出的。當(dāng)時美國蘭德公司給美國國防部的報(bào)告中指出“計(jì)算機(jī)太脆弱了，有安全問題”——這是首次公開提到計(jì)算機(jī)安全。在當(dāng)時和其后的相當(dāng)一段時間，“計(jì)算機(jī)安全”的內(nèi)涵主要是指實(shí)體安全，即物理安全。

 

到了七八十年代（未明確標(biāo)注均為二十世紀(jì)，下同），由于各類計(jì)算機(jī)管理系統(tǒng)開始發(fā)發(fā)展，各種應(yīng)用開始增多，“計(jì)算機(jī)安全”開始逐步演化為“計(jì)算機(jī)信息系統(tǒng)安全”。這是，“安全”的概念已經(jīng)不僅僅是實(shí)體的安全，也包括軟件與信息內(nèi)容等的安全。

 

到了八十年代后期，“網(wǎng)絡(luò)安全”和“信息安全”才開始逐步被廣泛采用。不過近年“安全”概念，已經(jīng)不僅僅是安全防范，而是包含了安全保障的含義，即包括監(jiān)控、保護(hù)、應(yīng)急處理、恢復(fù)等系統(tǒng)性的保障。這一時期，實(shí)際上更多是指企業(yè)的信息安全，尤為明顯的特點(diǎn)是安全管理變得越來越重要。

 

作為中國首個計(jì)算機(jī)安全專業(yè)組織的發(fā)起人之一，李正男先生20多年來一直關(guān)注計(jì)算機(jī)安全的相關(guān)工作，為中國網(wǎng)絡(luò)安全的發(fā)展起到了重要的推動作用。他曾參與發(fā)起組織中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會，至今也仍然是中國信息協(xié)會信息安全專業(yè)委員會的名譽(yù)主任——可以說，如果尋找中國網(wǎng)絡(luò)安全發(fā)展的見證者，李正男可能是最合適的人之一。

中國計(jì)算機(jī)用戶協(xié)會資深副理事長、中國信息協(xié)會信息安全專業(yè)委員會名譽(yù)主任 李正男

 

縱觀中國計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的發(fā)展。李正男認(rèn)為，根據(jù)法律、標(biāo)準(zhǔn)、管理;技術(shù)與市場;應(yīng)用系統(tǒng);人才等多個因素衡量，中國的計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的發(fā)展應(yīng)該分三個階段。

 

◆宣傳啟蒙階段：八十年代末之前

1986年由繆道期牽頭的中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會正式開始活動，以及1987年國家信息中心信息安全處，這個第一個專門安全機(jī)構(gòu)的成立，從一個側(cè)面反映中國的計(jì)算機(jī)安全事業(yè)的起步。

 

這個階段的典型特征是國家尚沒有相關(guān)的法律法規(guī)，沒有較完整意義的專門針對計(jì)算機(jī)系統(tǒng)安全方面的規(guī)章，安全標(biāo)準(zhǔn)也少，也談不上國家的統(tǒng)一管理，只是在物理安全及保密通信等個別環(huán)節(jié)上有些規(guī)定；廣大應(yīng)用部門也基本上沒有意識到計(jì)算機(jī)安全的重要性，只在個別部門和部門的少數(shù)有些計(jì)算機(jī)安全的意識的人們開始在實(shí)際工作進(jìn)行摸索。

 

在此階段，計(jì)算機(jī)安全的主要內(nèi)容就是實(shí)體安全；八十年代后期開始了防計(jì)算機(jī)病毒及計(jì)算機(jī)犯罪的工作，但都沒有形成規(guī)模。

 

◆開始階段：八十年代末至九十年代末

從八十年代末以后，隨著我國計(jì)算機(jī)應(yīng)用的迅速拓展，各個行業(yè)、企業(yè)的安全需求也開始顯現(xiàn)。除了此前已經(jīng)出現(xiàn)的病毒問題，內(nèi)部信息泄漏和系統(tǒng)宕機(jī)等成為企業(yè)不可忽視的問題。此外，九十年代初，世界信息技術(shù)革命使許多國家把信息化作為國策，美國“信息高速公路”等政策也讓中國意識到了信息化的重要性，在此背景下我國信息化開始進(jìn)入較快發(fā)展期，中國的計(jì)算機(jī)安全事業(yè)也開始起步。

 

在這個階段，一個典型的標(biāo)志就是關(guān)于計(jì)算機(jī)安全的法律法規(guī)開始出現(xiàn)——1994年公安部頒布了“中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例”，這是我國第一個計(jì)算機(jī)安全方面的法律，較全面地從法規(guī)角度闡述了關(guān)于計(jì)算機(jī)信息系統(tǒng)安全相關(guān)的概念、內(nèi)涵、管理、監(jiān)督、責(zé)任。

 

另一個中國安全產(chǎn)業(yè)起步的重要標(biāo)志是，在這個時期中，許多企事業(yè)單位開始把信息安全作為系統(tǒng)建設(shè)中的重要內(nèi)容之一來對待，加大了投入，開始建立專門的安全部門來開展信息安全工作；一大批基于計(jì)算機(jī)及網(wǎng)絡(luò)的信息系統(tǒng)建立起來并開始運(yùn)行，在本部門業(yè)務(wù)中起到重要作用，成為不可分的部分, 如金融與稅務(wù)業(yè)——可以說，企事業(yè)界對信息安全的重視對整個信息安全學(xué)術(shù)發(fā)展起到了推動作用，這是產(chǎn)業(yè)市場發(fā)展的關(guān)鍵之一。

 

還有一個不能不提到的變化是，在九十年代，一些學(xué)校和研究機(jī)構(gòu)開始將信息安全作為大學(xué)課程和研究課題，安全人才的培養(yǎng)開始起步，這也是中國安全產(chǎn)業(yè)發(fā)展的重要標(biāo)志。

 

◆逐漸走向正軌階段：九十年代末至今

李正男認(rèn)為，從1999年前后到現(xiàn)在，中國安全產(chǎn)業(yè)進(jìn)入快速發(fā)展階段，逐步走向正軌。

 

標(biāo)志走向正軌的最重要特征，就是國家高層領(lǐng)導(dǎo)重視信息安全工作，國家出臺了一系列重要政策、措施。1999年國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理協(xié)調(diào)小組和2001年國務(wù)院信息化工作辦公室成立專門的小組負(fù)責(zé)網(wǎng)絡(luò)與信息安全相關(guān)事宜的協(xié)調(diào)、管理與規(guī)劃，都是國家信息安全走向正軌的重要標(biāo)志。與此同時，國家在信息安全的法律、規(guī)章、原則、方針上都有對應(yīng)措施。發(fā)布了一系列文件。

 

同時，這個階段安全產(chǎn)業(yè)和市場開始迅速發(fā)展，增長速度明顯加快。1998年中國信息安全市場銷售額僅4.5億元人民幣左右，之后十年間以驚人的速度發(fā)展，至2012年，市場預(yù)計(jì)接近300億人民帀左古。其中，中國自主研發(fā)、自主生產(chǎn)的安全設(shè)備發(fā)展較快，品種也逐步健全。

 

雖然已經(jīng)經(jīng)過了三個階段、二十五年的發(fā)展，但中國網(wǎng)絡(luò)安全和信息安全產(chǎn)業(yè)還是存在不少的問題，還不能說全面、正軌的階段。比如能夠提供專業(yè)安全服務(wù)的公司越來越少……

 

 

從一家安全企業(yè)這25年的發(fā)展，我們也可以辯證的看到一些歷史留給“信息安全”的內(nèi)涵。

 

長期以來，能夠見證這25年發(fā)展歷程的安全廠商并不多見，能夠一直堅(jiān)守這塊利潤不算太豐厚的陣地，也算是歷史的一次考驗(yàn)。尤其是能夠堅(jiān)持始終在信息安全領(lǐng)域而不被誘惑的安全廠商實(shí)在是少的可憐。縱觀全球知名信息安全廠商，賽門鐵克已經(jīng)不純粹是安全公司了，McAfee雖然做著安全的事情，但名字已經(jīng)被冠以Intel了，唯獨(dú)趨勢科技在這25年里，始終如一的堅(jiān)持這份信念，為企業(yè)安全保駕護(hù)航。這一點(diǎn)，難能可貴，也有足夠理由見證中國信息安全發(fā)展的25年。

 

在趨勢科技全球CEO陳怡樺看來，能夠見證25年的信息安全發(fā)展史，本身就是一家值得榮耀的事情。面對無數(shù)貪婪的資本家，能夠堅(jiān)持著趨勢科技沒有被賣掉，能夠堅(jiān)持25年如一的為中國大中小型企業(yè)提供專業(yè)的安全服務(wù)，在記者看來，這是不可思議的。

 

舉個簡單的例子，如果你的公司市值在100億，那么有資本的投資方或競爭對手給你500億，憑空多出來400億，這看上去是好的事情，但是給你錢人又會說：

我現(xiàn)在是你的老板，你的人員太臃腫了，需要裁員；

你現(xiàn)在的產(chǎn)品沒有太多利潤，怎么給我們回報(bào)？

你現(xiàn)在需要加一些新的產(chǎn)品線，這可能不是安全的，但它能給你帶來更高的利潤……

 

諸如此類，如果你是這家公司的CEO，你是不是會感到這400億不是那么好拿的呢？對此，陳怡樺很坦誠，她向51CTO.com記者介紹說，首先趨勢科技這25年來，的確曾經(jīng)面臨很多類似的多金投資方，但無論是哪種，從張明正（趨勢科技公司創(chuàng)始人）開始，我們始終堅(jiān)持幾點(diǎn)原則：

◆這樣的投資是否對客戶比較好

◆是否對我們的員工足夠好

◆我們是上市公司，對我們的股東是否有利

 

事實(shí)上，由于趨勢科技這樣的原則，他們的投資關(guān)系也相對簡單，也能夠按自己的想法做事情。這從陳怡樺始終強(qiáng)調(diào)的一句話里不難看出：“我們一定要做自己能夠控制的事情！”

 

這25年來如趨勢科技公司一樣的安全廠商已經(jīng)沒有了，大多都倒在金錢的魅力之下，這不能說這些企業(yè)就不做安全了，他們也還在做，但是味道和理想似乎與趨勢科技相比有那么一些變化。開公司就是為了賺錢，這無可厚非，有好的渠道可以賺更多的錢，這是天經(jīng)地義，不過姜文在電影中說過的一句話，似乎說明了保留一點(diǎn)節(jié)操也是很可貴的事：“我們站著把錢掙了”

 

25年的發(fā)展，不是僅靠資本運(yùn)作的，靠的是經(jīng)營的理念和創(chuàng)新的能力。在談到安全業(yè)內(nèi)的創(chuàng)新與變革時，陳怡樺向記者說了這么一句話：“每當(dāng)用戶、網(wǎng)絡(luò)、服務(wù)器三者之間的關(guān)系發(fā)生變化時，就會有創(chuàng)新“

 

這句看上去很簡單的話，卻間接的見證了信息安全25年的發(fā)展歷史，甚至毫不夸張的說，也見證了整個IT行業(yè)的發(fā)展歷程。

 

第一次創(chuàng)新是在用戶與網(wǎng)絡(luò)之間發(fā)生的，無盤工作站消失、單機(jī)操作系統(tǒng)流行，隨之而來的病毒開始肆虐，趨勢科技也是在那個時期成立的。

第二次創(chuàng)新是在網(wǎng)絡(luò)與服務(wù)器之間發(fā)生的，數(shù)據(jù)中心開始興起，安全管理變得重要，趨勢科技也把握了最好的時機(jī)，第一個推出企業(yè)級信息安全解決方案，幫助他們的客戶提升信息安全管理能力。

第三次創(chuàng)新是在用戶與服務(wù)器之間發(fā)生的，云計(jì)算開始興起，安全變得詭異而復(fù)雜，趨勢科技也抓住了這樣的機(jī)會，推出基于云計(jì)算和云數(shù)據(jù)中心的安全服務(wù)于產(chǎn)品。

 

歷史已經(jīng)證明趨勢科技每次把握機(jī)會的能力，但這并不能直接說明其價值體現(xiàn)。對此，陳怡樺向記者介紹了趨勢科技的營銷策略：兩個角色對應(yīng)兩種產(chǎn)品

 

 

“我們不能把舊產(chǎn)品賣給新客戶，這太難了。新客戶一定要賣給他們新產(chǎn)品，向舊客戶推銷新產(chǎn)品是最容易的，也是趨勢科技25年來成長的驅(qū)動力；同時，舊客戶使用舊產(chǎn)品是趨勢科技的固有市場，這部分占有50%的銷售額。以新產(chǎn)品為例，通常我們需要花5-7年時間的研發(fā)”——趨勢科技全球CEO陳怡樺。

 

這套理念實(shí)際上并不怎么稀奇，重要的是在這25年的時間里，他們能夠始終堅(jiān)持這樣的理念，讓新老客戶都能夠及時享受到專業(yè)的安全服務(wù)，這才是重要的。因?yàn)樵?1CTO.com記者看來，趨勢科技25年的公司發(fā)展史，恰恰是中國信息安全的25年動態(tài)發(fā)展歷程。

 

趨勢科技作為一家安全廠商，從某些側(cè)面見證了25年來中國信息安全發(fā)展的歷史，也從產(chǎn)業(yè)的角度詮釋了“信息安全”的概念和內(nèi)涵，當(dāng)然或許這種概念和內(nèi)涵還會隨著歷史發(fā)展繼續(xù)發(fā)生變化。

 

但我們也不難發(fā)現(xiàn)，縱觀多年的安全發(fā)展史，其實(shí)一直都是安全在被動局面下的轉(zhuǎn)變過程。面對安全威脅的層出不窮，想做到完全的主動防御是相當(dāng)困難的，因此必須保持這種動態(tài)發(fā)展的原則，了解安全本身的發(fā)展和變化，才能采取正確的對策。

 

 

中國網(wǎng)絡(luò)安全和信息安全這二十多年的發(fā)展是有一些經(jīng)驗(yàn)和教訓(xùn)，對此李正男特別強(qiáng)調(diào)了三個較虛的方面的問題：

 

首先，安全問題是持續(xù)發(fā)展的，一定要動態(tài)地看待安全問題。

李正男指出，安全的概念及內(nèi)涵也如在其他領(lǐng)域一樣是不斷發(fā)展和演變的，尤其是安全具有相對性, 隨著信息技術(shù)及相關(guān)技術(shù)和應(yīng)用的發(fā)展，信息安全的實(shí)質(zhì)、形式、、意義都會變化，而此也必定引起人們對信息安全的概念、范疇、重要性、特點(diǎn)以及保障措施的變化。因此，從動態(tài)的觀點(diǎn)，從“量”與“質(zhì)”關(guān)系的觀點(diǎn)，從不斷變化的觀點(diǎn)看待安全問題，才尤為重要。

 

其次，安全不是絕對的，一般單位、企業(yè)所需要的是適度的安全。

企業(yè)應(yīng)該采購什么級別的安全設(shè)備？投入多少才合適？類似的問題幾十年來一直困擾著各個企事業(yè)單位的安全管理人員。

安全要重視，但一定要看具體情況綜合分折是否值得。對于很多企事業(yè)單位來說，盲目追求設(shè)備的先進(jìn)不是最佳方案，也許可以用更簡單、更適用的方案來替代，對企業(yè)自身更好。因此，引入實(shí)事求是的風(fēng)險(xiǎn)評估機(jī)制，對企業(yè)來說是非常值得重視的。

 

最后，安全要重視綜合性和整體性，特別是對管理的重視。

由于工作的關(guān)系，在計(jì)算機(jī)安全起步時李正男就已經(jīng)注意到了管理對安全的重要性。多方面的調(diào)查都表明，企事業(yè)單位的安全問題，有70%出自內(nèi)部，外部攻擊基本上是少數(shù)。因此，加強(qiáng)企事業(yè)單位的內(nèi)部管理機(jī)制，實(shí)現(xiàn)綜合和整體的安全管理策略，應(yīng)該是企業(yè)需要長期注意的問題。