數(shù)十年來，網絡安全、法規(guī)遵從和網絡威脅經歷了不斷的演變，但核心思想依然一樣：攻擊者試圖找到系統(tǒng)中的弱點，然后企圖趁虛而入。另一方面，防御者試圖找到自身系統(tǒng)的薄弱環(huán)節(jié)，力圖搭建更安全的系統(tǒng)來保護數(shù)字化資產。為了更好地理解現(xiàn)代網絡安全的發(fā)展格局，《福布斯》雜志技術委員會成員、GRSee咨詢公司CEO Ben.Aderet梳理總結了現(xiàn)代網絡安全格局形成中的7個代表性歷史時刻。

1971年：Reaper蠕蟲誕生

1971年，全球最早的蠕蟲病毒出現(xiàn)在阿帕網（ARPANET）系統(tǒng)中。這個蠕蟲是由Bob Thomas編寫的試驗性作品，也是史上第一個真實感染計算機網絡系統(tǒng)的蠕蟲病毒。雖然其初衷只是為了測試一個自我復制的應用程序，并且沒有對系統(tǒng)造成任何破壞。但是，這個事件直接促使了Ray Tomlinson開發(fā)出史上第一個反病毒軟件，該軟件可以在阿帕網上搜尋并刪除蠕蟲病毒程序。

1972年：首次滲透測試活動

James P. Anderson是滲透測試領域的最早期先驅之一，其原因是出于他想在自己的系統(tǒng)中驗證是否存在漏洞。在1972年的一份報告中，他系統(tǒng)性地總結了安全團隊可以采取的一系列步驟，以測試計算機環(huán)境有多脆弱，其中的幾個關鍵概念包括了模擬攻擊、漏洞識別，以及如何修補這些漏洞，以防止任何外部攻擊。這套特定的安全性測試方法后來被正式名為滲透測試，至今仍在業(yè)界廣泛使用。大多數(shù)網絡安全合規(guī)需求也都明確將滲透測試作為一項基本性的防護要求。

1983年：首套網絡安全控制措施發(fā)布

1983年，NSA（美國國家安全局）發(fā)布了史上第一套網絡安全控制措施，即廣為人知的《可信計算機系統(tǒng)評估標準》橙皮書。這套措施相當于第一套官方版網絡安全防護指南，用于評估測試計算機Zion給是否存在安全問題及其防護的效果。

借助這套安全控制措施，企業(yè)組織可以使用以下三種安全策略評估機密信息的處理和存儲：

1. 強制性安全策略；
2. 安全標記；
3. 選擇性安全政策。

后來，這套安全措施逐漸演變?yōu)樾袠I(yè)性的網絡安全合規(guī)標準，眾多用戶、系統(tǒng)和企業(yè)是以合規(guī)標準的要求為指引開展網絡安全保護工作。

1986年：Morris蠕蟲作者被判刑

1983年，一部名為《戰(zhàn)爭游戲》的好萊塢電影在科技界與法律界引發(fā)了巨大討論，之后《計算機欺詐與濫用法》正式出臺。在電影中，一個少年黑客闖入一臺軍用超級計算機，給多個國家造成了嚴重破壞。而在正式頒布的《計算機欺詐與濫用法》中規(guī)定，未經授權訪問計算機或網絡，并企圖造成破壞的行為屬于嚴重的違法行為，將會受到國家司法部門的懲罰。

1986年，23歲的Tappan Morris通過其編寫的Morris蠕蟲病毒程序發(fā)起了真實網絡中的第一起拒絕服務（DDoS）攻擊，影響了大約6萬臺與阿帕網連接的計算機系統(tǒng)。根據(jù)《計算機欺詐與濫用法》，Tappan Morris被判有罪，并被處以1萬美元罰款、400小時社區(qū)服務和3年有期徒刑。不久之后，Morris蠕蟲病毒事件還促成了美國國家計算機緊急響應小組（CERT）的成立。

1996年：HIPAA合規(guī)標準頒布

HIPAA是美國克林頓總統(tǒng)在1996年8月頒布的第一部健康隱私法案。該法案有助于規(guī)范商業(yè)性機構存儲和處理個人醫(yī)療信息的方式，旨在保護以電子形式存儲或傳輸?shù)膫€人健康隱私信息。當醫(yī)療保健業(yè)開始由紙質系統(tǒng)轉向數(shù)字系統(tǒng)時，出臺這項合規(guī)標準非常重要而適時。

2004年：PCI DSS合規(guī)標準頒布

2004年，維薩、萬士達、Discover和美國運通四大信用卡公司聯(lián)合發(fā)起成立了支付卡安全和數(shù)據(jù)安全標準（PCI DSS）委員會。PCI DSS合規(guī)標準確保所有使用、處理或存儲信用卡信息的金融企業(yè)都在高度安全且精心維護的環(huán)境中進行操作。目前，PCI DSS合規(guī)標準已被全球的金融機構采用并實施，以保護其支付系統(tǒng)和敏感數(shù)據(jù)，遠離在線交易和信用卡欺詐及盜竊。

2005年：ISO 27001合規(guī)標準頒布

國際標準化組織（ISO）正式發(fā)布了這項合規(guī)標準，以幫助企業(yè)了解網絡安全風險、投入必要資源并確保利益相關者的責任能夠落實到位。ISO 27001合規(guī)標準涉及的控制措施幫助全球各大公司企業(yè)有序開展網絡安全建設工作，制定可靠的治理戰(zhàn)略，以防范網絡安全威脅。

展望未來

據(jù)報道，美國證券交易委員會（SEC）正在推動在每家上市企業(yè)的董事會中強制要求設置CISO，以提高企業(yè)的網絡安全防護能力，并加大上市公司對其客戶和全社會負有的安全責任。這可能會給網絡安全業(yè)帶來更加積極的變革。不過，雖然網絡安全行業(yè)正在迅猛發(fā)展，各種監(jiān)管法規(guī)可以為企業(yè)提供更好的安全發(fā)展環(huán)境，但企業(yè)還須積極加強網絡安全意識宣教，真正把網絡安全建設作為數(shù)字化業(yè)務轉型和發(fā)展的賦能者。