作为中国首个计算机安全专业组织的发起人之一，李正男先生20多年来一直关注计算机安全的相关工作，为中国网络安全的发展起到了重要的推动作用。他曾参予发起组织中国计算机学会计算机安全专业委员会，至今也仍然是中国信息协会信息安全专业委员会的名誉主任——可以说，如果寻找中国网络安全发展的见证者，李正男可能是最合适的人之一。

　　2008年4月，51CTO.com独家采访了李正男教授，请他就中国网络安全的发展进行了介绍和评点，为中国网络安全的发展做一个简单的回顾。

　　中国计算机用户协会资深副理事长、中国信息协会信息安全专业委员会名誉主任 李正男

　　“网络安全”概念的发展

　　在介绍“网络安全”发展之前，李正男特别向我们强调了“网络安全”这个词的概念发展。

　　因为从一亇事物的发展过程中可给我们一些有益启示。纵观IT发展的历史，信息安全的概念与内涵也是随着时间推移有所不同的。

　　“计算机安全”概念的最早提出，据考证，应该是在1969年。当时美国兰德公司给美国国防部的报告中指出“计算机太脆弱了，有安全问题”——这是首次公开提到计算机安全。在当时和其后的相当一段时间，“计算机安全”的内涵主要是指实体安全，即物理安全。

　　到了七八十年代(未明确标注均为二十世纪，下同)，由于各类计算机管理系统开始发发展，各种应用开始增多，“计算机安全”开始逐步演化为“计算机信息系统安全”。这是，“安全”的概念已经不仅仅是实体的安全，也包括软件与信息内容等的安全。

　　到了八十年代后期，“网络安全”和“信息安全”才开始逐步被广泛采用。近儿年“安全”概念，已经不仅仅是安全防范，而是包含了安全保障的含义，即包括监控、保护、应急处理、恢复等系统性的保障。

　　这种概念和内i涵还会随着历史发展继续发生变化。中国计算机安全和网络安全发展的三个阶段

　　一、宣传启蒙阶段：八十年代末之前

　　纵观中国计算机安全和网络安全的发展。李正男认为，根据法律、标准、管理;技术与市场;应用系统;人才等多个因素衡量，中国的计算机安全和网络安全的发展应该分三个阶段。

　　中国计算机安全的起步相对国外发达国家来说是比较晚的。这与我国计算机及通信技术发展和应用有关。除了通信保密较早外，其他各个方面还是有不小差距的。李正男介绍说，在七八十年代一个较长的发展阶段，中国的计算机安全整体都处于“宣传启蒙”期，各方面都比较基础。少数院校和研究所开展相关工作。

　　1986年由缪道期牵头的中国计算机学会计算机安全专业委员会正式开始活动，以及1987年国家信息中心信息安全处这个第一个专门安全机构的成立，从一个侧面反映中国的计算机安全事业的起步。

　　这个阶段的典型特征是国家尚没有相关的法律法规，没有较完整意义的专门针对计算机系统安全方面的规章，安全标准也少，也谈不上国家的统一管理，只是在物理安全及保密通信等个别环节上有些规定;广大应用部门也基本上没有意识到计算机安全的重要性，只在个别部门和部门的少数有些计算机安全的意识的人们开始在实际工作进行摸索。

　　在此阶段，计算机安全的主要内容就是实体安全;八十年代后期开始了防计算机病毒及计算机犯罪的工作，但都没有形成规模。

　　二、开始阶段：八十年代末至九十年代末

　　从八十年代末以后，随着我国计算机应用的迅速拓展，各个行业、企业的安全需求也开始显现。除了此前已经出现的病毒问题，内部信息泄漏和系统宕机等成为企业不可忽视的问题。此外，九十年代初，世界信息技术革命使许多国家把信息化作为国策，美国“信息高速公路”等政策也让中国意识到了信息化的重要性，在此背景下我国信息化开始进入较快发展期，中国的计算机安全事业也开始起步。

　　在这个阶段，一个典型的标志就是关于计算机安全的法律法规开始出现——1994年公安部颁布了“中华人民共和国计算机信息系统安全保护条例”，这是我国第一个计算机安全方面的法律，较全面地从法规角度阐述了关于计算机信息系统安全相关的概念、内涵、管理、监督、责任。

　　之后的一段时间，关于信息安全的标准制定工作也有许多进展，同时对产品的质量检测、销售管理、产品认证等管理制度也都相继出台。不过从整体上来讲，这个阶段国家还没有一个整体的规划来论述总的指导原则及相关实施细则和管理方法。

　　在这个阶段，中国整体计算机安全的产品、技术、市场开始明显发展，同时国外信息安全企业开始进入中国市场。我国有些企业意识到这个新兴领域广阔的前景, 逐渐开始在该领域投入人力、物力。产品技术也从单一的加密、物理安全转入更宽阔的领域, 如访问控制(含防火墙)、网络病毒防范，并且在入侵检测、认证识别等方面开始拥有具有自主知识产权的成果。

　　另一个中国安全产业起步的重要标志是，在这个时期中，许多企事业单位开始把信息安全作为系统建设中的重要内容之一来对待，加大了投入，开始建立专门的安全部门来开展信息安全工作;一大批基于计算机及网络的信息系统建立起来并开始运行，在本部门业务中起到重要作用，成为不可分的部分, 如金融与税务业——可以说，企事业界对信息安全的重视对整个信息安全学术发展起到了推动作用，这是产业市场发展的关键之一。

　　还有一个不能不提到的变化是，在九十年代，一些学校和研究机构开始将信息安全作为大学课程和研究课题，安全人才的培养开始起步，这也是中国安全产业发展的重要标志。

　　三、逐渐走向正轨阶段：九十年代末至今

　　李正男认为，从1999年前后到现在，中国安全产业进入快速发展阶段，逐步走向正轨。

　　标志走向正轨的最重要特征，就是国家高层领导重视信息安全工作，国家出台了一系列重要政策、措施。1999年国家计算机网络与信息安全管理协调小组和2001年国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划，都是国家信息安全走向正轨的重要标志。与此同时，国家在信息安全的法律、规章、原则、方针上都有对应措施。发布了一系列文件。

　　同时，这个阶段安全产业和市场开始迅速发展，增长速度明显加快。1998年中国信息安全市场销售额仅4.5亿元人民币左右，之后十年间以惊人的速度发展，至2007年，市场予汁接近80亿人民帀左古。其中，中国自主研发、自主生产的安全设备发展较快，品种也逐步健全。

　　在企事业单位的应用和管理方面，除加大了投入外，用户也逐渐成熟，要求更加合理和理性。此外在人才方面，大学的安全人才教育正逐渐形成形成体系，信息安全专业2000年开始招大学本科生，2001年22个院校经教育部批准设立信息网络安全本科专业，2005年达79亇。约40个高等院校和研究所招收信息安全类专业研究方向硕士/博士生;此外各种培训和短训班也发展迅速，公安部门对安全管理员已有较规范的培训考核要求。中国网络安全当前问题

　　虽然已经经过了三个阶段、二十多年的发展，但李正男同时指出，中国网络安全和信息安全产业还是存在不少的问题，还不能说全面、正轨的阶段。

　　首先很重要的一个问题就是我国关于网络安全和信息安全的法律、法规、标准及管理协调仍有缺陷，整体尚不完善;，一些基础设施不完善。己确定的法律，规定在实际执行，操作中的相关保证措施还不够系统，不配套，使实施有一定困难。

　　其次，从技术、市场看，目前一些核心技术及产品是国外的技术与产品，自主產权的技术及产品还难满足需要，。总体市场上看，我国安全产业整体规模还很小，占整个IT产业的比例也较低。

　　从实际应用方面，对信息安全的完整认识、投入、管理及人才方面也需大力加强。

　　因此总体上看，我国的网络安全和信息安全仍处在初级阶段，开姥走上正轨的道路上，离满足需求还有一定距离。

　　中国信息安全发展的思考

　　如何看待中国网络安全和信息安全这二十多年的发展?有哪些经验和教训?李正男特别强调了三个较虚的方面的问题：

　　首先，安全问题是持续发展的，一定要动态地看待安全问题。

　　李正男指出，安全的概念及内涵也如在其他领域一样是不断发展和演变的，尤其是安全具有相对性, 随着信息技术及相关技术和应用的发展，信息安全的实质、形式、、意义都会变化，而此也必定引起人们对信息安全的概念、范畴、重要性、特点以及保障措施的变化。因此，从动态的观点，从“量”与“质”关系的观点，从不断变化的观点看待安全问题，才尤为重要。

　　纵观多年的安全发展史，其实一直都是安全在被动局面下的转变过程。面对安全威胁的层出不穷，想做到完全的主动防御是相当困难的，因此必须保持这种动态发展的原则，了解安全本身的发展和变化，才能采取正确的对策。

　　其次，安全不是绝对的，一般单位、企业所需要的是适度的安全。

　　企业应该采购什么级别的安全设备?投入多少才合适?类似的问题几十年来一直困扰着各个企事业单位的安全管理人员。李正男给51CTO.com记者特别介绍了一个他记忆犹新的例子。那是在九十年代初，他和一个国外的银行I丅专家进行讨论，当问到对方在安全方面的投入时，对方的回答竟然是“基本是零”，没有采购任何安全设备!细问之下，对方给李正男算了一笔账：根据当时情况，由于可能出现的损失问起有限，出现问题银行用于赔偿的钱，远远小于一套完备的网络安全设备本身和运维的成本。因此该银行仅仅建立了较简单的备份系统。

　　这个例子给李正男很深的印象：安全要重视，但一定要看具体情况，综合分折是否值得。对于很多企事业单位来说，盲目追求设备的先进不是最佳方案，也许可以用更简单、更适用的方案来替代，对企业自身更好。因此，引入实事求足的风险评估机制，对企业来说是非常值得重视的。

　　最后，安全要重视综合性和整体性，特别是对管理的重视。

　　由于工作的关系，在计算机安全起步时李正男就已经注意到了管理对安全的重要性。多方面的调查都表明，企事业单位的安全问题，有70%出自内部，外部攻击基本上是少数。因此，加强企事业单位的内部管理机制，实现综合和整体的安全管理策略，应该是企业需要长期注意的问题。