无数的历史都证明了一句话:从一个事物发展过程中可给我们一些有益的启示。纵观IT发展的历史,信息安全的概念与内涵也是随着时间推移有所不同的。
据考证,“计算机安全”概念应该是1969年提出的。当时美国兰德公司给美国国防部的报告中指出“计算机太脆弱了,有安全问题”——这是首次公开提到计算机安全。在当时和其后的相当一段时间,“计算机安全”的内涵主要是指实体安全,即物理安全。
到了七八十年代(未明确标注均为二十世纪,下同),由于各类计算机管理系统开始发发展,各种应用开始增多,“计算机安全”开始逐步演化为“计算机信息系统安全”。这是,“安全”的概念已经不仅仅是实体的安全,也包括软件与信息内容等的安全。
到了八十年代后期,“网络安全”和“信息安全”才开始逐步被广泛采用。不过近年“安全”概念,已经不仅仅是安全防范,而是包含了安全保障的含义,即包括监控、保护、应急处理、恢复等系统性的保障。这一时期,实际上更多是指企业的信息安全,尤为明显的特点是安全管理变得越来越重要。
作为中国首个计算机安全专业组织的发起人之一,李正男先生20多年来一直关注计算机安全的相关工作,为中国网络安全的发展起到了重要的推动作用。他曾参与发起组织中国计算机学会计算机安全专业委员会,至今也仍然是中国信息协会信息安全专业委员会的名誉主任——可以说,如果寻找中国网络安全发展的见证者,李正男可能是最合适的人之一。
中国计算机用户协会资深副理事长、中国信息协会信息安全专业委员会名誉主任 李正男
中国信息安全发展的三个阶段
纵观中国计算机安全和网络安全的发展。李正男认为,根据法律、标准、管理;技术与市场;应用系统;人才等多个因素衡量,中国的计算机安全和网络安全的发展应该分三个阶段。
◆宣传启蒙阶段:八十年代末之前
1986年由缪道期牵头的中国计算机学会计算机安全专业委员会正式开始活动,以及1987年国家信息中心信息安全处,这个第一个专门安全机构的成立,从一个侧面反映中国的计算机安全事业的起步。
这个阶段的典型特征是国家尚没有相关的法律法规,没有较完整意义的专门针对计算机系统安全方面的规章,安全标准也少,也谈不上国家的统一管理,只是在物理安全及保密通信等个别环节上有些规定;广大应用部门也基本上没有意识到计算机安全的重要性,只在个别部门和部门的少数有些计算机安全的意识的人们开始在实际工作进行摸索。
在此阶段,计算机安全的主要内容就是实体安全;八十年代后期开始了防计算机病毒及计算机犯罪的工作,但都没有形成规模。
◆开始阶段:八十年代末至九十年代末
从八十年代末以后,随着我国计算机应用的迅速拓展,各个行业、企业的安全需求也开始显现。除了此前已经出现的病毒问题,内部信息泄漏和系统宕机等成为企业不可忽视的问题。此外,九十年代初,世界信息技术革命使许多国家把信息化作为国策,美国“信息高速公路”等政策也让中国意识到了信息化的重要性,在此背景下我国信息化开始进入较快发展期,中国的计算机安全事业也开始起步。
在这个阶段,一个典型的标志就是关于计算机安全的法律法规开始出现——1994年公安部颁布了“中华人民共和国计算机信息系统安全保护条例”,这是我国第一个计算机安全方面的法律,较全面地从法规角度阐述了关于计算机信息系统安全相关的概念、内涵、管理、监督、责任。
另一个中国安全产业起步的重要标志是,在这个时期中,许多企事业单位开始把信息安全作为系统建设中的重要内容之一来对待,加大了投入,开始建立专门的安全部门来开展信息安全工作;一大批基于计算机及网络的信息系统建立起来并开始运行,在本部门业务中起到重要作用,成为不可分的部分, 如金融与税务业——可以说,企事业界对信息安全的重视对整个信息安全学术发展起到了推动作用,这是产业市场发展的关键之一。
还有一个不能不提到的变化是,在九十年代,一些学校和研究机构开始将信息安全作为大学课程和研究课题,安全人才的培养开始起步,这也是中国安全产业发展的重要标志。
◆逐渐走向正轨阶段:九十年代末至今
李正男认为,从1999年前后到现在,中国安全产业进入快速发展阶段,逐步走向正轨。
标志走向正轨的最重要特征,就是国家高层领导重视信息安全工作,国家出台了一系列重要政策、措施。1999年国家计算机网络与信息安全管理协调小组和2001年国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划,都是国家信息安全走向正轨的重要标志。与此同时,国家在信息安全的法律、规章、原则、方针上都有对应措施。发布了一系列文件。
同时,这个阶段安全产业和市场开始迅速发展,增长速度明显加快。1998年中国信息安全市场销售额仅4.5亿元人民币左右,之后十年间以惊人的速度发展,至2012年,市场预计接近300亿人民帀左古。其中,中国自主研发、自主生产的安全设备发展较快,品种也逐步健全。
虽然已经经过了三个阶段、二十五年的发展,但中国网络安全和信息安全产业还是存在不少的问题,还不能说全面、正轨的阶段。比如能够提供专业安全服务的公司越来越少……
趋势科技见证25年中国信息安全发展史
从一家安全企业这25年的发展,我们也可以辩证的看到一些历史留给“信息安全”的内涵。
长期以来,能够见证这25年发展历程的安全厂商并不多见,能够一直坚守这块利润不算太丰厚的阵地,也算是历史的一次考验。尤其是能够坚持始终在信息安全领域而不被诱惑的安全厂商实在是少的可怜。纵观全球知名信息安全厂商,赛门铁克已经不纯粹是安全公司了,McAfee虽然做着安全的事情,但名字已经被冠以Intel了,唯独趋势科技在这25年里,始终如一的坚持这份信念,为企业安全保驾护航。这一点,难能可贵,也有足够理由见证中国信息安全发展的25年。
在趋势科技全球CEO陈怡桦看来,能够见证25年的信息安全发展史,本身就是一家值得荣耀的事情。面对无数贪婪的资本家,能够坚持着趋势科技没有被卖掉,能够坚持25年如一的为中国大中小型企业提供专业的安全服务,在记者看来,这是不可思议的。
趋势科技全球CEO 陈怡桦
举个简单的例子,如果你的公司市值在100亿,那么有资本的投资方或竞争对手给你500亿,凭空多出来400亿,这看上去是好的事情,但是给你钱人又会说:
我现在是你的老板,你的人员太臃肿了,需要裁员;
你现在的产品没有太多利润,怎么给我们回报?
你现在需要加一些新的产品线,这可能不是安全的,但它能给你带来更高的利润……
诸如此类,如果你是这家公司的CEO,你是不是会感到这400亿不是那么好拿的呢?对此,陈怡桦很坦诚,她向51CTO.com记者介绍说,首先趋势科技这25年来,的确曾经面临很多类似的多金投资方,但无论是哪种,从张明正(趋势科技公司创始人)开始,我们始终坚持几点原则:
◆这样的投资是否对客户比较好
◆是否对我们的员工足够好
◆我们是上市公司,对我们的股东是否有利
事实上,由于趋势科技这样的原则,他们的投资关系也相对简单,也能够按自己的想法做事情。这从陈怡桦始终强调的一句话里不难看出:“我们一定要做自己能够控制的事情!”
这25年来如趋势科技公司一样的安全厂商已经没有了,大多都倒在金钱的魅力之下,这不能说这些企业就不做安全了,他们也还在做,但是味道和理想似乎与趋势科技相比有那么一些变化。开公司就是为了赚钱,这无可厚非,有好的渠道可以赚更多的钱,这是天经地义,不过姜文在电影中说过的一句话,似乎说明了保留一点节操也是很可贵的事:“我们站着把钱挣了”
25年的发展,不是仅靠资本运作的,靠的是经营的理念和创新的能力。在谈到安全业内的创新与变革时,陈怡桦向记者说了这么一句话:“每当用户、网络、服务器三者之间的关系发生变化时,就会有创新“
这句看上去很简单的话,却间接的见证了信息安全25年的发展历史,甚至毫不夸张的说,也见证了整个IT行业的发展历程。
第一次创新是在用户与网络之间发生的,无盘工作站消失、单机操作系统流行,随之而来的病毒开始肆虐,趋势科技也是在那个时期成立的。
第二次创新是在网络与服务器之间发生的,数据中心开始兴起,安全管理变得重要,趋势科技也把握了最好的时机,第一个推出企业级信息安全解决方案,帮助他们的客户提升信息安全管理能力。
第三次创新是在用户与服务器之间发生的,云计算开始兴起,安全变得诡异而复杂,趋势科技也抓住了这样的机会,推出基于云计算和云数据中心的安全服务于产品。
历史已经证明趋势科技每次把握机会的能力,但这并不能直接说明其价值体现。对此,陈怡桦向记者介绍了趋势科技的营销策略:两个角色对应两种产品
两个角色是指:新客户和旧客户;两种产品是指:新产品和旧产品
“我们不能把旧产品卖给新客户,这太难了。新客户一定要卖给他们新产品,向旧客户推销新产品是最容易的,也是趋势科技25年来成长的驱动力;同时,旧客户使用旧产品是趋势科技的固有市场,这部分占有50%的销售额。以新产品为例,通常我们需要花5-7年时间的研发”——趋势科技全球CEO陈怡桦。
这套理念实际上并不怎么稀奇,重要的是在这25年的时间里,他们能够始终坚持这样的理念,让新老客户都能够及时享受到专业的安全服务,这才是重要的。因为在51CTO.com记者看来,趋势科技25年的公司发展史,恰恰是中国信息安全的25年动态发展历程。
趋势科技作为一家安全厂商,从某些侧面见证了25年来中国信息安全发展的历史,也从产业的角度诠释了“信息安全”的概念和内涵,当然或许这种概念和内涵还会随着历史发展继续发生变化。
但我们也不难发现,纵观多年的安全发展史,其实一直都是安全在被动局面下的转变过程。面对安全威胁的层出不穷,想做到完全的主动防御是相当困难的,因此必须保持这种动态发展的原则,了解安全本身的发展和变化,才能采取正确的对策。
中国信息安全的破局之路
中国网络安全和信息安全这二十多年的发展是有一些经验和教训,对此李正男特别强调了三个较虚的方面的问题:
首先,安全问题是持续发展的,一定要动态地看待安全问题。
李正男指出,安全的概念及内涵也如在其他领域一样是不断发展和演变的,尤其是安全具有相对性, 随着信息技术及相关技术和应用的发展,信息安全的实质、形式、、意义都会变化,而此也必定引起人们对信息安全的概念、范畴、重要性、特点以及保障措施的变化。因此,从动态的观点,从“量”与“质”关系的观点,从不断变化的观点看待安全问题,才尤为重要。
其次,安全不是绝对的,一般单位、企业所需要的是适度的安全。
企业应该采购什么级别的安全设备?投入多少才合适?类似的问题几十年来一直困扰着各个企事业单位的安全管理人员。
安全要重视,但一定要看具体情况综合分折是否值得。对于很多企事业单位来说,盲目追求设备的先进不是最佳方案,也许可以用更简单、更适用的方案来替代,对企业自身更好。因此,引入实事求是的风险评估机制,对企业来说是非常值得重视的。
最后,安全要重视综合性和整体性,特别是对管理的重视。
由于工作的关系,在计算机安全起步时李正男就已经注意到了管理对安全的重要性。多方面的调查都表明,企事业单位的安全问题,有70%出自内部,外部攻击基本上是少数。因此,加强企事业单位的内部管理机制,实现综合和整体的安全管理策略,应该是企业需要长期注意的问题。
