1.1 Web安全的发展历程

无数的历史都证明了一句话：从一个事物发展过程中可给我们一些有益的启示。纵观IT发展的历史，Web安全的概念与内涵也是随着时间推移有所不同的。

1.1.1 Web安全概念的提出与发展

在早期互联网中，Web并非互联网的主流应用，相对来说，基于SMTP、POP3、FTP、IRC等协议的服务拥有着绝大多数的用户。因此网络安全主要作用于网络、操作系统及软件等领域，Web安全领域的攻击与防御技术均处于非常原始的阶段。但是时代在发展，防火墙技术的兴起改变了互联网安全的格局。尤其是以Cisco、华为等为代表的网络设备厂商，开始在网络产品中更加重视网络安全，最终改变了互联网安全的走向。防火墙、ACL技术的兴起，使得直接暴露在互联网上的系统得到了保护。例如，一个网站的数据库，在没有保护的情况下，数据库服务端口是允许任何人随意连接的；在有了防火墙的保护后，通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内，从而杜绝了大部分的攻击来源。

2003年的冲击波蠕虫是一个里程碑式的事件，这个针对Windows操作系统RPC服务（运行在445端口）的蠕虫，在很短的时间内席卷了全球，造成了数百万台机器被感染，损失难以估量。在此次事件后，网络运营商们很坚决地在骨干网络上屏蔽了135、445等端口的连接请求。整个互联网对于安全的重视达到了一个空前的高度。运营商、防火墙对于网络的封锁，使得暴露在互联网上的非Web服务越来越少，且Web技术的成熟使得Web应用的功能越来越强大，最终成为互联网的主流。黑客们的目光，也渐渐转移到了Web这块大蛋糕上。

据考证，“Web安全”概念是1969年提出的。当时美国兰德公司给美国国防部的报告中指出“计算机太脆弱了，有安全问题”——这是首次公开提到计算机安全。在当时和其后的相当一段时间，“计算机安全”的内涵主要是指实体安全，即物理安全。1997年，随着万维网（Wold Wide Web）上Java语言的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是Java Snake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，如Mail-Bomb病毒，它会严重影响因特网的效率。

20世纪80年代开始，互联网技术飞速发展，各种应用开始增多，“计算机安全”逐步演化为“计算机信息系统安全”。这时，“安全”的概念已经不仅仅是实体的安全，也包括软件与信息内容等的安全。自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。1989年，俄罗斯的Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年，俄罗斯大型计算机公司KAMI的信息技术中心研发出了AVP反病毒程序。这在国际互联网反病毒领域具有里程碑的意义。

到了20世纪80年代后期，“网络安全”和“信息安全”才开始逐步被广泛采用。不过近年“安全”概念，已经不仅仅是安全防范，而且是包含了安全保障的含义，即包括监控、保护、应急处理、恢复等系统性的保障。这一时期，实际上更多是指企业的信息安全，尤为明显的特点是安全管理变得越来越重要。

进入21世纪，政府部门、金融机构、军事军工、企事业单位和商业组织对IT系统的依赖也日益加重，IT系统所承载的信息和服务的安全性就越发显得重要。

1.1.2 中国Web安全的发展历程

在中国Web安全成长的道路上，有很多事情我们必须提起，有太多的事情我们必须铭记。回顾那段历史，我们有过迷茫，有过辉煌与理想，同样也经历了一次次的困惑与无奈。纵观中国计算机安全和网络安全的发展，根据法律、标准、管理、技术与市场、应用系统、人才等多个因素衡量，中国的计算机安全和网络安全的发展应该分为3个阶段。

1．宣传启蒙阶段：20世纪80年代末之前

这个时期是中国互联网处于刚刚开始发展的朦胧时期，也就是在这一年，中国互联网的大门终于面向公众开放了。但是在那个年代，电脑还是一件非常奢侈的电子用品，而互联网对于大众来说更是一个陌生的名词，我们只有在专业性极强的书刊中能够找到与网络相关的名词，而那些上网的群体也多数为科研人员和年轻资本家。

各地电脑发烧友最大的乐趣就是COPY那些小游戏和DOS等软件类产品，盗版对我们来说还是一个陌生的名词，对于广大计算机用户来说，COPY就是正版的一种传播方式。于是那个时代最早的黑客或者说“窃客”诞生了。那个时候我们没有太多的理想和豪言壮语，一个全新的小软件就几乎是计算机的全部生命，而对于这些“窃客”来说能够COPY到国外的最新产品是他们最大的荣幸，那一张张小软盘中承载了中国黑客最初的梦想。也正是从这个时期起，雷军等众多我们现在熟知的人从这里引领起中国软件与互联网业发展的浪潮。

1986年由缪道期牵头的中国计算机学会计算机安全专业委员会正式开始活动，以及1987年国家信息中心信息安全处，这个第一个专门安全机构的成立，从一个侧面反映中国的计算机安全事业的起步。

这个阶段的典型特征是国家尚没有相关的法律法规，没有较完整意义的专门针对计算机系统安全方面的规章，安全标准也少，谈不上国家的统一管理，只是在物理安全及保密通信等个别环节上有些规定；广大应用部门也基本上没有意识到计算机安全的重要性，只在个别部门中少数有些计算机安全意识的人们开始在实际工作中进行摸索。

在此阶段，计算机安全的主要内容就是实体安全；20世纪80年代后期开始了防范计算机病毒及计算机犯罪的工作，但都没有形成规模。

2．开始阶段：20世纪80年代末至90年代末

20世纪80年代末以后，随着我国计算机应用的迅速拓展，各个行业、企业的安全需求也开始显现。除了此前已经出现的病毒问题之外，内部信息泄漏和系统宕机等成为企业不可忽视的问题。此外，20世纪90年代初，世界信息技术革命使许多国家把信息化作为国策，美国“信息高速公路”等政策也让中国意识到了信息化的重要性，在此背景下我国信息化开始进入较快发展期，中国的计算机安全事业也开始起步。

在这个阶段，一个典型的标志就是关于计算机安全的法律法规开始出现——1994年公安部颁布了《中华人民共和国计算机信息系统安全保护条例》，这是我国第一个计算机安全方面的法律，较全面地从法律角度阐述了与计算机信息系统安全相关的概念、内涵、管理、监督、责任。

另一个中国安全产业起步的重要标志是，在这个时期中，许多企事业单位开始把信息安全作为系统建设中的重要内容之一来对待，加大了投入，开始建立专门的安全部门来开展信息安全工作；一大批基于计算机及网络的信息系统建立起来并开始运行，在本部门业务中起到重要作用，成为不可分割的一部分，如金融与税务业——可以说，企事业界对信息安全的重视对整个信息安全学术发展起到了推动作用，这是产业市场发展的关键之一。

还有一个不能不提到的变化是，在20世纪90年代，一些学校和研究机构开始将信息安全作为大学课程和研究课题，安全人才的培养开始起步，这也是中国安全产业发展的重要标志。

3．逐渐走向正轨阶段：20世纪90年代末至今

从1999年前后到现在，中国安全产业进入快速发展阶段，逐步走向正轨。

标志安全产业走向正轨的最重要特征，就是国家高层领导开始重视信息安全工作，自1999年起国家出台了一系列重要政策、措施。1999年国家计算机网络与信息安全管理协调小组和2001年由国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划，这都是国家信息安全走向正轨的重要标志。与此同时，国家在信息安全的法律、规章、原则、方针上都有对应措施，发布了一系列文件。

同时，这个阶段安全产业和市场开始迅速发展，增长速度明显加快。1998年中国信息安全市场销售额仅4.5亿元人民币左右，之后的时间里便一直以惊人的速度发展。其中，中国自主研发、自主生产的安全设备发展较快，品种也逐步健全。

“每当用户、网络、服务器三者之间的关系发生变化时，就会有创新。”这句看上去很简单的话，却间接地见证了Web安全25年的发展历史，甚至毫不夸张地说，也见证了整个IT行业的发展历程。

但我们也不难发现，纵观多年的安全发展史，其实一直都是安全在被动局面下的转变过程。面对安全威胁的层出不穷，想做到完全的主动防御是相当困难的，因此必须保持这种动态发展的原则，了解安全本身的发展和变化，才能采取正确的对策。

虽然已经经过了3个阶段、25年的发展，但中国网络安全和信息安全产业还存在不少的问题，还不能说已经到了全面、正轨的阶段。例如，能够提供专业安全服务的公司越来越少……

中国网络安全和信息安全这20多年的发展是有一些经验和教训的。

首先，安全问题是持续发展的，一定要动态地看待安全问题。安全的概念及内涵也如在其他领域一样是不断发展和演变的，尤其是安全具有相对性，随着信息技术及相关技术和应用的发展，信息安全的实质、形式、意义都会变化，由此也必定引起人们对信息安全的概念、范畴、重要性、特点及保障措施理解的变化。因此，从动态的观点，从“量”与“质”关系的观点，从不断变化的观点看待安全问题，才尤为重要。

其次，安全不是绝对的，一般单位、企业所需要的是适度的安全。企业应该采购什么级别的安全设备？投入多少才合适？类似的问题几十年来一直困扰着各个企事业单位的安全管理人员。安全要重视，但一定要看具体情况综合分析是否值得。对于很多企事业单位来说，盲目追求设备的先进不是最佳方案，也许可以用更简单、更适用的方案来替代，这样对企业自身更好。因此，引入实事求是的风险评估机制，对企业来说是非常值得重视的。

最后，安全要重视综合性和整体性，特别是对管理的重视。多方面的调查都表明，企事业单位的安全问题，有70%出自内部，外部攻击基本上是少数。因此，加强企事业单位的内部管理机制，实现综合和整体的安全管理策略，应该是企业需要长期注意的问题。

相对于现在的中国Web现状来说，中国黑客针对商业犯罪的行为不多，报刊出现一些所谓的商业黑客犯罪行为，实际上多属于采用物理手段，而非网络手段。尽管见诸报端的中国黑客行为多体现为某种程度上的爱国情绪的宣泄，但是黑客行为毕竟大部分是个人行为，如果不加以引导，有发展成计算机网络犯罪的可能。客观地说，中国黑客行动对我国网络安全起到了启蒙作用，没有黑客，就没有网络安全这个概念。同时，一批黑客高手已转变为网络安全专家，他们发现安全漏洞，研发出众多安全技术和安全软件，对我国计算机和网络的安全发展做出了贡献。

1.1.3 当前Web安全的发展现状

“没有网络安全就没有国家安全”。网络空间以其“超领土”的虚拟存在，全面渗透到现实世界政治、经济、军事、科技和文化等领域。高度重视网络安全力量建设已经成为维护网络空间主权、安全和发展利益的必由之路。

中央领导人在中央网络安全和信息化领导小组某次会议上强调：“网络安全和信息化对一个国家很多领域都是牵一发而动全身的，要认清我们面临的形势和任务，充分认识做好工作的重要性和紧迫性”。“做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业”。这一观点不仅在国内，而且在国际场合也被一再提出。2015年12月29日，中国网络安全产业联盟（筹）在北京成立，如图1-1所示。

伴随着各行各业信息化的不断推进，互联网的不安全因素也在逐日扩张，病毒木马、垃圾邮件、间谍软件等网络带来的“副作用”也在困扰着所有网络用户，一次又一次给企业敲响警钟，让企业认识到网络安全的重要性。然而在面临网络安全产品的选择时，很多企业都显得无所适从，因为目前的网络安全市场正可谓是群雄并起、各成一家。从产品方向而言，不同厂商的理念大相径庭，甚至出现截然相反的发展趋势。从渠道方向而言，渠道类型多种多样，在产品的推广和应用方面也采取了多样化的策略。所有这些都表明，目前的网络安全市场似乎还未走向成熟，而是处于一种群雄逐鹿的局面。

尽管市场环境错综复杂，但是网络安全市场的增长是有目共睹的。且无论网络安全市场如何混乱，如何竞争激烈，对从业者而言，这本身就是一块“大蛋糕”，成长迅速的网络安全市场是不容错过的机遇。除了未来的前景相当诱人之外，目前行业内的盈利状况也十分乐观。业内人士指出，从以往一些国外的网络安全公司的经营情况看，大都有比较丰厚的盈利。从国内市场上看，由于目前国内的网络安全行业还没有出现领导者，专业公司比较少，整个行业呈现一片蓬勃的生机，一些刚起步的安全公司大多数也都有盈利。另外，网络安全核心技术具有的较大的不可模仿性使得行业从整体上看仍然属于卖方市场。

对一般人来说，打开计算机很少会联想到“危险”二字，然而专业人士告诫说：“一条信息从美国传到中国不过600毫秒，这意味着一个来自地球对面的黑客在一秒钟之内就能到达你的计算机。”

业内人士指出，如今的网络经营者和使用者如果不重视自身的安全防范，就很有可能受到入侵者的光顾。黑客们的破坏形形色色，有的丑化网站页面，损害网站声誉；有的窃取用户的机密数据，并将其复制和散播，甚至将窃得的重要资料（如网站的程序和数据库等）卖给用户的竞争对手；有的则修改系统文件和重要资料，造成系统无法正常运行，甚至导致不可预测的严重结果；有的窃取用户网络系统控制权以后“借刀杀人”，利用用户机器疯狂作案，破坏诸如金融、国防等重要部门的系统，使用户成为替罪羔羊；有的则攻击牵涉资金周转的网站，借机肥己，使用户蒙受巨大的经济损失。

据了解，当今世界平均每20秒就有一起黑客事件发生，仅在美国黑客事件每年造成的经济损失就超过100亿美元，而且损失还在以惊人的速度增长。在中国，网络安全问题更加不容忽视，国内一家著名的网络安全组织“绿盟军团”在搜索了国内电子商务站点后宣称，90%以上的网站存在严重安全漏洞。而中国电子商务网络近期的一项调查发现，44%公司的网上资讯曾被黑客篡改，另有40%曾遭到恶意攻击。

面对漏洞百出的网络系统和无孔不入的黑客，越来越多的人认识到网络安全的重要性。

随着政府对网络安全研究日益重视，一些专注于黑客技术的民间组织相继转为商业公司，最近国内出现了一些比较专业的组织和公司，一些大公司开始涉足网络安全行业，政府有关部门对网络安全的投入力度也日渐加大。业内人士认为，就目前国内市场需求的特点来看，兼顾服务和产品开发的公司最有发展前途。虽然发展势头十分强劲，但行业尚处于初期发展阶段，仍然相当稚嫩，一些相关的技术和政策标准也还在制定之中。

就中国国情而言，国人开发的网络安全产品是有很大市场优势的。虽然从整体技术水平上看，国外安全产品存在一些优势，品种齐全，也能提供全面的解决方案，但费用高昂，而且不太符合中国的国情，往往不能解决实际问题，在技术支持和服务上也难以跟上。而国内安全产品提供商在价格和售后服务上就具有相当大的优势。

在谈到进入行业的条件时，几乎所有的业内人士都认为人才和技术是关键。同样，要在行业内立足、保持竞争优势，除了加大市场推广的力度外，技术领先的重要性也是不可小视的。业内人士指出，网络安全行业是一个比较特殊的行业，技术含量相当高。一个合格的网络安全公司，其技术研究几乎必须覆盖当今计算机领域的所有软硬件产品。这是因为网络安全专家的主要对手是“黑客”，他们掌握了精深的计算机技术，破坏力超乎平常人的想象。

目前在中国乃至世界范围内，网络安全方面的人才都十分稀缺，因此绝大多数的网络安全公司对人才的需求非常迫切，其中一些网络安全公司开始在“亦正亦邪”的黑客中吸纳人才，一方面可以发挥他们的特长，促进国内网络安全，另一方面也可以将他们的不利影响降到最低。

除了具备精深而广博的专业技术人才，资金也是一家网络安全公司能否生存壮大的决定性因素。由于网络安全公司必须不断加强基础研究才能提高产品的技术含量和不可模仿性，因此公司必须投入大量资金购置相关的软件和硬件，并进行各种计算机产品的大规模研究测试。另外，由于行业内人才紧俏，只有高薪才可能留住人才，对技术人员的人工费用投资也相当大。据业内人士透露，虽然不少网络安全公司依靠几十万元就开始起步，但真正要具备一定的开发能力和规模气候，投资规模通常在几千万元以上。

关于网络安全市场，不同的厂商所看到的趋势也不尽相同。部分厂商认为，伴随着信息化基础设施逐渐增加，应用功能不断扩展，企业公共出口的网络安全是最为重要的。在这种情况下，单一功能的防火墙已经不能完全满足用户的需求，而集成了防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等多功能于一身的安防软件将成为网络安全市场的翘楚。与此同时，也有部分厂商认为，目前网络安全市场存在明显的“重开发，轻应用”的现象。很多安全方案都被设计得非常宏观，功能与效益覆盖范围却过于全面，没有按照客户的实际需求来构建，从而造成价格昂贵但是实际效果未必尽如人意。

由于资金和技术等方面的原因，中小企业的网络安全问题一直存在着各种隐患。据了解，大部分中小企业并没有设置专门的网络管理员，有些企业采用兼职管理的方式，而有些中小企业甚至完全没有网络安全方面的维护意识。正因为这样，很多中小企业的网络管理都存在严重的安全漏洞。事实上，很多中小企业已经受到过网络病毒的侵害，甚至有些也经受了严重的损失，但是考虑到网络安全的投入成本高、维护起来有一定难度，这也使得善于精打细算的中小企业在防范病毒问题上进退两难。

尽管如此，考虑到中小型企业占中国企业主体比重95%以上，其规模消费能力绝不能低估。不少网络安全厂商已经意识到，虽然把目标客户定位于购买力强的大中型企业能够获得丰厚的利润，但是如今的竞争已经越来越激烈，要想在这个客户群体中有快速的业绩增长是非常困难的。相反，开发中小企业客户，无须过大投入，并且客户基数远大于大中型企业，使得网络安全厂商和渠道在低风险的情况下，能够尽可能多地增加新客户，也有利于实现空白领域的快速增长。因此，越来越多的网络安全厂商和渠道开始重视起中小型企业市场，共同推动中小型企业网络安全的进程。

从产品方向来看，虽然市场上的安全产品五花八门、种类繁多，防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护无不囊括其中，但从其应用范围来看，这些方案大多数面向银行、证券、电信、政府等行业用户和大型企业用户，针对中小型企业的安全解决方案寥寥无几，产品仅仅是简单的客户端加服务器，不能完全解决中小型企业用户所遭受的安全威胁。目前，国内厂商推出了网络版病毒软件，但由于功能单一，并不能为中小型企业提供完善的防护。这一现状也要求网络安全厂商必须做出进一步的努力，为中小型企业用户量身打造最佳的安全解决方案。对网络安全的从业者而言，只有从中小型企业用户的实际出发，切实打造适合的网络安全产品，降低服务和维护的成本，让中小型企业切实感受到网络安全是高性价比的投入，才能使这一市场真正快速火热起来。

在全球信息化步伐不断加快的关键时刻，保证网络安全不仅是国家稳定、社会和谐的现实要求，也是国家综合实力不断得到提升、民族文化得到继承和发扬的重要保障。