據考證，“計算機安全”概念應該是1969年提出的。當時美國蘭德公司給美國國防部的報告中指出“計算機太脆弱了，有安全問題”——這是首次公開提到計算機安全。在當時和其后的相當一段時間，“計算機安全”的內涵主要是指實體安全，即物理安全。

 

到了七八十年代（未明確標注均為二十世紀，下同），由于各類計算機管理系統開始發發展，各種應用開始增多，“計算機安全”開始逐步演化為“計算機信息系統安全”。這是，“安全”的概念已經不僅僅是實體的安全，也包括軟件與信息內容等的安全。

 

到了八十年代后期，“網絡安全”和“信息安全”才開始逐步被廣泛采用。不過近年“安全”概念，已經不僅僅是安全防范，而是包含了安全保障的含義，即包括監控、保護、應急處理、恢復等系統性的保障。這一時期，實際上更多是指企業的信息安全，尤為明顯的特點是安全管理變得越來越重要。

 

作為中國首個計算機安全專業組織的發起人之一，李正男先生20多年來一直關注計算機安全的相關工作，為中國網絡安全的發展起到了重要的推動作用。他曾參與發起組織中國計算機學會計算機安全專業委員會，至今也仍然是中國信息協會信息安全專業委員會的名譽主任——可以說，如果尋找中國網絡安全發展的見證者，李正男可能是最合適的人之一。

中國計算機用戶協會資深副理事長、中國信息協會信息安全專業委員會名譽主任 李正男

 

縱觀中國計算機安全和網絡安全的發展。李正男認為，根據法律、標準、管理;技術與市場;應用系統;人才等多個因素衡量，中國的計算機安全和網絡安全的發展應該分三個階段。

 

◆宣傳啟蒙階段：八十年代末之前

1986年由繆道期牽頭的中國計算機學會計算機安全專業委員會正式開始活動，以及1987年國家信息中心信息安全處，這個第一個專門安全機構的成立，從一個側面反映中國的計算機安全事業的起步。

 

這個階段的典型特征是國家尚沒有相關的法律法規，沒有較完整意義的專門針對計算機系統安全方面的規章，安全標準也少，也談不上國家的統一管理，只是在物理安全及保密通信等個別環節上有些規定；廣大應用部門也基本上沒有意識到計算機安全的重要性，只在個別部門和部門的少數有些計算機安全的意識的人們開始在實際工作進行摸索。

 

在此階段，計算機安全的主要內容就是實體安全；八十年代后期開始了防計算機病毒及計算機犯罪的工作，但都沒有形成規模。

 

◆開始階段：八十年代末至九十年代末

從八十年代末以后，隨著我國計算機應用的迅速拓展，各個行業、企業的安全需求也開始顯現。除了此前已經出現的病毒問題，內部信息泄漏和系統宕機等成為企業不可忽視的問題。此外，九十年代初，世界信息技術革命使許多國家把信息化作為國策，美國“信息高速公路”等政策也讓中國意識到了信息化的重要性，在此背景下我國信息化開始進入較快發展期，中國的計算機安全事業也開始起步。

 

在這個階段，一個典型的標志就是關于計算機安全的法律法規開始出現——1994年公安部頒布了“中華人民共和國計算機信息系統安全保護條例”，這是我國第一個計算機安全方面的法律，較全面地從法規角度闡述了關于計算機信息系統安全相關的概念、內涵、管理、監督、責任。

 

另一個中國安全產業起步的重要標志是，在這個時期中，許多企事業單位開始把信息安全作為系統建設中的重要內容之一來對待，加大了投入，開始建立專門的安全部門來開展信息安全工作；一大批基于計算機及網絡的信息系統建立起來并開始運行，在本部門業務中起到重要作用，成為不可分的部分, 如金融與稅務業——可以說，企事業界對信息安全的重視對整個信息安全學術發展起到了推動作用，這是產業市場發展的關鍵之一。

 

還有一個不能不提到的變化是，在九十年代，一些學校和研究機構開始將信息安全作為大學課程和研究課題，安全人才的培養開始起步，這也是中國安全產業發展的重要標志。

 

◆逐漸走向正軌階段：九十年代末至今

李正男認為，從1999年前后到現在，中國安全產業進入快速發展階段，逐步走向正軌。

 

標志走向正軌的最重要特征，就是國家高層領導重視信息安全工作，國家出臺了一系列重要政策、措施。1999年國家計算機網絡與信息安全管理協調小組和2001年國務院信息化工作辦公室成立專門的小組負責網絡與信息安全相關事宜的協調、管理與規劃，都是國家信息安全走向正軌的重要標志。與此同時，國家在信息安全的法律、規章、原則、方針上都有對應措施。發布了一系列文件。

 

同時，這個階段安全產業和市場開始迅速發展，增長速度明顯加快。1998年中國信息安全市場銷售額僅4.5億元人民幣左右，之后十年間以驚人的速度發展，至2012年，市場預計接近300億人民帀左古。其中，中國自主研發、自主生產的安全設備發展較快，品種也逐步健全。

 

雖然已經經過了三個階段、二十五年的發展，但中國網絡安全和信息安全產業還是存在不少的問題，還不能說全面、正軌的階段。比如能夠提供專業安全服務的公司越來越少……

 

 

從一家安全企業這25年的發展，我們也可以辯證的看到一些歷史留給“信息安全”的內涵。

 

長期以來，能夠見證這25年發展歷程的安全廠商并不多見，能夠一直堅守這塊利潤不算太豐厚的陣地，也算是歷史的一次考驗。尤其是能夠堅持始終在信息安全領域而不被誘惑的安全廠商實在是少的可憐?？v觀全球知名信息安全廠商，賽門鐵克已經不純粹是安全公司了，McAfee雖然做著安全的事情，但名字已經被冠以Intel了，唯獨趨勢科技在這25年里，始終如一的堅持這份信念，為企業安全保駕護航。這一點，難能可貴，也有足夠理由見證中國信息安全發展的25年。

 

在趨勢科技全球CEO陳怡樺看來，能夠見證25年的信息安全發展史，本身就是一家值得榮耀的事情。面對無數貪婪的資本家，能夠堅持著趨勢科技沒有被賣掉，能夠堅持25年如一的為中國大中小型企業提供專業的安全服務，在記者看來，這是不可思議的。

 

舉個簡單的例子，如果你的公司市值在100億，那么有資本的投資方或競爭對手給你500億，憑空多出來400億，這看上去是好的事情，但是給你錢人又會說：

我現在是你的老板，你的人員太臃腫了，需要裁員；

你現在的產品沒有太多利潤，怎么給我們回報？

你現在需要加一些新的產品線，這可能不是安全的，但它能給你帶來更高的利潤……

 

諸如此類，如果你是這家公司的CEO，你是不是會感到這400億不是那么好拿的呢？對此，陳怡樺很坦誠，她向51CTO.com記者介紹說，首先趨勢科技這25年來，的確曾經面臨很多類似的多金投資方，但無論是哪種，從張明正（趨勢科技公司創始人）開始，我們始終堅持幾點原則：

◆這樣的投資是否對客戶比較好

◆是否對我們的員工足夠好

◆我們是上市公司，對我們的股東是否有利

 

事實上，由于趨勢科技這樣的原則，他們的投資關系也相對簡單，也能夠按自己的想法做事情。這從陳怡樺始終強調的一句話里不難看出：“我們一定要做自己能夠控制的事情！”

 

這25年來如趨勢科技公司一樣的安全廠商已經沒有了，大多都倒在金錢的魅力之下，這不能說這些企業就不做安全了，他們也還在做，但是味道和理想似乎與趨勢科技相比有那么一些變化。開公司就是為了賺錢，這無可厚非，有好的渠道可以賺更多的錢，這是天經地義，不過姜文在電影中說過的一句話，似乎說明了保留一點節操也是很可貴的事：“我們站著把錢掙了”

 

25年的發展，不是僅靠資本運作的，靠的是經營的理念和創新的能力。在談到安全業內的創新與變革時，陳怡樺向記者說了這么一句話：“每當用戶、網絡、服務器三者之間的關系發生變化時，就會有創新“

 

這句看上去很簡單的話，卻間接的見證了信息安全25年的發展歷史，甚至毫不夸張的說，也見證了整個IT行業的發展歷程。

 

第一次創新是在用戶與網絡之間發生的，無盤工作站消失、單機操作系統流行，隨之而來的病毒開始肆虐，趨勢科技也是在那個時期成立的。

第二次創新是在網絡與服務器之間發生的，數據中心開始興起，安全管理變得重要，趨勢科技也把握了最好的時機，第一個推出企業級信息安全解決方案，幫助他們的客戶提升信息安全管理能力。

第三次創新是在用戶與服務器之間發生的，云計算開始興起，安全變得詭異而復雜，趨勢科技也抓住了這樣的機會，推出基于云計算和云數據中心的安全服務于產品。

 

歷史已經證明趨勢科技每次把握機會的能力，但這并不能直接說明其價值體現。對此，陳怡樺向記者介紹了趨勢科技的營銷策略：兩個角色對應兩種產品

 

 

“我們不能把舊產品賣給新客戶，這太難了。新客戶一定要賣給他們新產品，向舊客戶推銷新產品是最容易的，也是趨勢科技25年來成長的驅動力；同時，舊客戶使用舊產品是趨勢科技的固有市場，這部分占有50%的銷售額。以新產品為例，通常我們需要花5-7年時間的研發”——趨勢科技全球CEO陳怡樺。

 

這套理念實際上并不怎么稀奇，重要的是在這25年的時間里，他們能夠始終堅持這樣的理念，讓新老客戶都能夠及時享受到專業的安全服務，這才是重要的。因為在51CTO.com記者看來，趨勢科技25年的公司發展史，恰恰是中國信息安全的25年動態發展歷程。

 

趨勢科技作為一家安全廠商，從某些側面見證了25年來中國信息安全發展的歷史，也從產業的角度詮釋了“信息安全”的概念和內涵，當然或許這種概念和內涵還會隨著歷史發展繼續發生變化。

 

但我們也不難發現，縱觀多年的安全發展史，其實一直都是安全在被動局面下的轉變過程。面對安全威脅的層出不窮，想做到完全的主動防御是相當困難的，因此必須保持這種動態發展的原則，了解安全本身的發展和變化，才能采取正確的對策。

 

 

中國網絡安全和信息安全這二十多年的發展是有一些經驗和教訓，對此李正男特別強調了三個較虛的方面的問題：

 

首先，安全問題是持續發展的，一定要動態地看待安全問題。

李正男指出，安全的概念及內涵也如在其他領域一樣是不斷發展和演變的，尤其是安全具有相對性, 隨著信息技術及相關技術和應用的發展，信息安全的實質、形式、、意義都會變化，而此也必定引起人們對信息安全的概念、范疇、重要性、特點以及保障措施的變化。因此，從動態的觀點，從“量”與“質”關系的觀點，從不斷變化的觀點看待安全問題，才尤為重要。

 

其次，安全不是絕對的，一般單位、企業所需要的是適度的安全。

企業應該采購什么級別的安全設備？投入多少才合適？類似的問題幾十年來一直困擾著各個企事業單位的安全管理人員。

安全要重視，但一定要看具體情況綜合分折是否值得。對于很多企事業單位來說，盲目追求設備的先進不是最佳方案，也許可以用更簡單、更適用的方案來替代，對企業自身更好。因此，引入實事求是的風險評估機制，對企業來說是非常值得重視的。

 

最后，安全要重視綜合性和整體性，特別是對管理的重視。

由于工作的關系，在計算機安全起步時李正男就已經注意到了管理對安全的重要性。多方面的調查都表明，企事業單位的安全問題，有70%出自內部，外部攻擊基本上是少數。因此，加強企事業單位的內部管理機制，實現綜合和整體的安全管理策略，應該是企業需要長期注意的問題。