1.1 Web安全的發展歷程

無數的歷史都證明了一句話：從一個事物發展過程中可給我們一些有益的啟示?？v觀IT發展的歷史，Web安全的概念與內涵也是隨著時間推移有所不同的。

1.1.1 Web安全概念的提出與發展

在早期互聯網中，Web并非互聯網的主流應用，相對來說，基于SMTP、POP3、FTP、IRC等協議的服務擁有著絕大多數的用戶。因此網絡安全主要作用于網絡、操作系統及軟件等領域，Web安全領域的攻擊與防御技術均處于非常原始的階段。但是時代在發展，防火墻技術的興起改變了互聯網安全的格局。尤其是以Cisco、華為等為代表的網絡設備廠商，開始在網絡產品中更加重視網絡安全，最終改變了互聯網安全的走向。防火墻、ACL技術的興起，使得直接暴露在互聯網上的系統得到了保護。例如，一個網站的數據庫，在沒有保護的情況下，數據庫服務端口是允許任何人隨意連接的；在有了防火墻的保護后，通過ACL可以控制只允許信任來源的訪問。這些措施在很大程度上保證了系統軟件處于信任邊界之內，從而杜絕了大部分的攻擊來源。

2003年的沖擊波蠕蟲是一個里程碑式的事件，這個針對Windows操作系統RPC服務（運行在445端口）的蠕蟲，在很短的時間內席卷了全球，造成了數百萬臺機器被感染，損失難以估量。在此次事件后，網絡運營商們很堅決地在骨干網絡上屏蔽了135、445等端口的連接請求。整個互聯網對于安全的重視達到了一個空前的高度。運營商、防火墻對于網絡的封鎖，使得暴露在互聯網上的非Web服務越來越少，且Web技術的成熟使得Web應用的功能越來越強大，最終成為互聯網的主流。黑客們的目光，也漸漸轉移到了Web這塊大蛋糕上。

據考證，“Web安全”概念是1969年提出的。當時美國蘭德公司給美國國防部的報告中指出“計算機太脆弱了，有安全問題”——這是首次公開提到計算機安全。在當時和其后的相當一段時間，“計算機安全”的內涵主要是指實體安全，即物理安全。1997年，隨著萬維網（Wold Wide Web）上Java語言的普及，利用Java語言進行傳播和資料獲取的病毒開始出現，典型的代表是Java Snake病毒，還有一些利用郵件服務器進行傳播和破壞的病毒，如Mail-Bomb病毒，它會嚴重影響因特網的效率。

20世紀80年代開始，互聯網技術飛速發展，各種應用開始增多，“計算機安全”逐步演化為“計算機信息系統安全”。這時，“安全”的概念已經不僅僅是實體的安全，也包括軟件與信息內容等的安全。自從1987年發現了全世界首例計算機病毒以來，病毒的數量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計算機領域的各個行業。1989年，俄羅斯的Eugene Kaspersky開始研究計算機病毒現象。從1991年到1997年，俄羅斯大型計算機公司KAMI的信息技術中心研發出了AVP反病毒程序。這在國際互聯網反病毒領域具有里程碑的意義。

到了20世紀80年代后期，“網絡安全”和“信息安全”才開始逐步被廣泛采用。不過近年“安全”概念，已經不僅僅是安全防范，而且是包含了安全保障的含義，即包括監控、保護、應急處理、恢復等系統性的保障。這一時期，實際上更多是指企業的信息安全，尤為明顯的特點是安全管理變得越來越重要。

進入21世紀，政府部門、金融機構、軍事軍工、企事業單位和商業組織對IT系統的依賴也日益加重，IT系統所承載的信息和服務的安全性就越發顯得重要。

1.1.2 中國Web安全的發展歷程

在中國Web安全成長的道路上，有很多事情我們必須提起，有太多的事情我們必須銘記?；仡櫮嵌螝v史，我們有過迷茫，有過輝煌與理想，同樣也經歷了一次次的困惑與無奈?？v觀中國計算機安全和網絡安全的發展，根據法律、標準、管理、技術與市場、應用系統、人才等多個因素衡量，中國的計算機安全和網絡安全的發展應該分為3個階段。

1．宣傳啟蒙階段：20世紀80年代末之前

這個時期是中國互聯網處于剛剛開始發展的朦朧時期，也就是在這一年，中國互聯網的大門終于面向公眾開放了。但是在那個年代，電腦還是一件非常奢侈的電子用品，而互聯網對于大眾來說更是一個陌生的名詞，我們只有在專業性極強的書刊中能夠找到與網絡相關的名詞，而那些上網的群體也多數為科研人員和年輕資本家。

各地電腦發燒友最大的樂趣就是COPY那些小游戲和DOS等軟件類產品，盜版對我們來說還是一個陌生的名詞，對于廣大計算機用戶來說，COPY就是正版的一種傳播方式。于是那個時代最早的黑客或者說“竊客”誕生了。那個時候我們沒有太多的理想和豪言壯語，一個全新的小軟件就幾乎是計算機的全部生命，而對于這些“竊客”來說能夠COPY到國外的最新產品是他們最大的榮幸，那一張張小軟盤中承載了中國黑客最初的夢想。也正是從這個時期起，雷軍等眾多我們現在熟知的人從這里引領起中國軟件與互聯網業發展的浪潮。

1986年由繆道期牽頭的中國計算機學會計算機安全專業委員會正式開始活動，以及1987年國家信息中心信息安全處，這個第一個專門安全機構的成立，從一個側面反映中國的計算機安全事業的起步。

這個階段的典型特征是國家尚沒有相關的法律法規，沒有較完整意義的專門針對計算機系統安全方面的規章，安全標準也少，談不上國家的統一管理，只是在物理安全及保密通信等個別環節上有些規定；廣大應用部門也基本上沒有意識到計算機安全的重要性，只在個別部門中少數有些計算機安全意識的人們開始在實際工作中進行摸索。

在此階段，計算機安全的主要內容就是實體安全；20世紀80年代后期開始了防范計算機病毒及計算機犯罪的工作，但都沒有形成規模。

2．開始階段：20世紀80年代末至90年代末

20世紀80年代末以后，隨著我國計算機應用的迅速拓展，各個行業、企業的安全需求也開始顯現。除了此前已經出現的病毒問題之外，內部信息泄漏和系統宕機等成為企業不可忽視的問題。此外，20世紀90年代初，世界信息技術革命使許多國家把信息化作為國策，美國“信息高速公路”等政策也讓中國意識到了信息化的重要性，在此背景下我國信息化開始進入較快發展期，中國的計算機安全事業也開始起步。

在這個階段，一個典型的標志就是關于計算機安全的法律法規開始出現——1994年公安部頒布了《中華人民共和國計算機信息系統安全保護條例》，這是我國第一個計算機安全方面的法律，較全面地從法律角度闡述了與計算機信息系統安全相關的概念、內涵、管理、監督、責任。

另一個中國安全產業起步的重要標志是，在這個時期中，許多企事業單位開始把信息安全作為系統建設中的重要內容之一來對待，加大了投入，開始建立專門的安全部門來開展信息安全工作；一大批基于計算機及網絡的信息系統建立起來并開始運行，在本部門業務中起到重要作用，成為不可分割的一部分，如金融與稅務業——可以說，企事業界對信息安全的重視對整個信息安全學術發展起到了推動作用，這是產業市場發展的關鍵之一。

還有一個不能不提到的變化是，在20世紀90年代，一些學校和研究機構開始將信息安全作為大學課程和研究課題，安全人才的培養開始起步，這也是中國安全產業發展的重要標志。

3．逐漸走向正軌階段：20世紀90年代末至今

從1999年前后到現在，中國安全產業進入快速發展階段，逐步走向正軌。

標志安全產業走向正軌的最重要特征，就是國家高層領導開始重視信息安全工作，自1999年起國家出臺了一系列重要政策、措施。1999年國家計算機網絡與信息安全管理協調小組和2001年由國務院信息化工作辦公室成立專門的小組負責網絡與信息安全相關事宜的協調、管理與規劃，這都是國家信息安全走向正軌的重要標志。與此同時，國家在信息安全的法律、規章、原則、方針上都有對應措施，發布了一系列文件。

同時，這個階段安全產業和市場開始迅速發展，增長速度明顯加快。1998年中國信息安全市場銷售額僅4.5億元人民幣左右，之后的時間里便一直以驚人的速度發展。其中，中國自主研發、自主生產的安全設備發展較快，品種也逐步健全。

“每當用戶、網絡、服務器三者之間的關系發生變化時，就會有創新。”這句看上去很簡單的話，卻間接地見證了Web安全25年的發展歷史，甚至毫不夸張地說，也見證了整個IT行業的發展歷程。

但我們也不難發現，縱觀多年的安全發展史，其實一直都是安全在被動局面下的轉變過程。面對安全威脅的層出不窮，想做到完全的主動防御是相當困難的，因此必須保持這種動態發展的原則，了解安全本身的發展和變化，才能采取正確的對策。

雖然已經經過了3個階段、25年的發展，但中國網絡安全和信息安全產業還存在不少的問題，還不能說已經到了全面、正軌的階段。例如，能夠提供專業安全服務的公司越來越少……

中國網絡安全和信息安全這20多年的發展是有一些經驗和教訓的。

首先，安全問題是持續發展的，一定要動態地看待安全問題。安全的概念及內涵也如在其他領域一樣是不斷發展和演變的，尤其是安全具有相對性，隨著信息技術及相關技術和應用的發展，信息安全的實質、形式、意義都會變化，由此也必定引起人們對信息安全的概念、范疇、重要性、特點及保障措施理解的變化。因此，從動態的觀點，從“量”與“質”關系的觀點，從不斷變化的觀點看待安全問題，才尤為重要。

其次，安全不是絕對的，一般單位、企業所需要的是適度的安全。企業應該采購什么級別的安全設備？投入多少才合適？類似的問題幾十年來一直困擾著各個企事業單位的安全管理人員。安全要重視，但一定要看具體情況綜合分析是否值得。對于很多企事業單位來說，盲目追求設備的先進不是最佳方案，也許可以用更簡單、更適用的方案來替代，這樣對企業自身更好。因此，引入實事求是的風險評估機制，對企業來說是非常值得重視的。

最后，安全要重視綜合性和整體性，特別是對管理的重視。多方面的調查都表明，企事業單位的安全問題，有70%出自內部，外部攻擊基本上是少數。因此，加強企事業單位的內部管理機制，實現綜合和整體的安全管理策略，應該是企業需要長期注意的問題。

相對于現在的中國Web現狀來說，中國黑客針對商業犯罪的行為不多，報刊出現一些所謂的商業黑客犯罪行為，實際上多屬于采用物理手段，而非網絡手段。盡管見諸報端的中國黑客行為多體現為某種程度上的愛國情緒的宣泄，但是黑客行為畢竟大部分是個人行為，如果不加以引導，有發展成計算機網絡犯罪的可能?？陀^地說，中國黑客行動對我國網絡安全起到了啟蒙作用，沒有黑客，就沒有網絡安全這個概念。同時，一批黑客高手已轉變為網絡安全專家，他們發現安全漏洞，研發出眾多安全技術和安全軟件，對我國計算機和網絡的安全發展做出了貢獻。

1.1.3 當前Web安全的發展現狀

“沒有網絡安全就沒有國家安全”。網絡空間以其“超領土”的虛擬存在，全面滲透到現實世界政治、經濟、軍事、科技和文化等領域。高度重視網絡安全力量建設已經成為維護網絡空間主權、安全和發展利益的必由之路。

中央領導人在中央網絡安全和信息化領導小組某次會議上強調：“網絡安全和信息化對一個國家很多領域都是牽一發而動全身的，要認清我們面臨的形勢和任務，充分認識做好工作的重要性和緊迫性”。“做好網絡安全和信息化工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業”。這一觀點不僅在國內，而且在國際場合也被一再提出。2015年12月29日，中國網絡安全產業聯盟（籌）在北京成立，如圖1-1所示。

伴隨著各行各業信息化的不斷推進，互聯網的不安全因素也在逐日擴張，病毒木馬、垃圾郵件、間諜軟件等網絡帶來的“副作用”也在困擾著所有網絡用戶，一次又一次給企業敲響警鐘，讓企業認識到網絡安全的重要性。然而在面臨網絡安全產品的選擇時，很多企業都顯得無所適從，因為目前的網絡安全市場正可謂是群雄并起、各成一家。從產品方向而言，不同廠商的理念大相徑庭，甚至出現截然相反的發展趨勢。從渠道方向而言，渠道類型多種多樣，在產品的推廣和應用方面也采取了多樣化的策略。所有這些都表明，目前的網絡安全市場似乎還未走向成熟，而是處于一種群雄逐鹿的局面。

盡管市場環境錯綜復雜，但是網絡安全市場的增長是有目共睹的。且無論網絡安全市場如何混亂，如何競爭激烈，對從業者而言，這本身就是一塊“大蛋糕”，成長迅速的網絡安全市場是不容錯過的機遇。除了未來的前景相當誘人之外，目前行業內的盈利狀況也十分樂觀。業內人士指出，從以往一些國外的網絡安全公司的經營情況看，大都有比較豐厚的盈利。從國內市場上看，由于目前國內的網絡安全行業還沒有出現領導者，專業公司比較少，整個行業呈現一片蓬勃的生機，一些剛起步的安全公司大多數也都有盈利。另外，網絡安全核心技術具有的較大的不可模仿性使得行業從整體上看仍然屬于賣方市場。

對一般人來說，打開計算機很少會聯想到“危險”二字，然而專業人士告誡說：“一條信息從美國傳到中國不過600毫秒，這意味著一個來自地球對面的黑客在一秒鐘之內就能到達你的計算機。”

業內人士指出，如今的網絡經營者和使用者如果不重視自身的安全防范，就很有可能受到入侵者的光顧。黑客們的破壞形形色色，有的丑化網站頁面，損害網站聲譽；有的竊取用戶的機密數據，并將其復制和散播，甚至將竊得的重要資料（如網站的程序和數據庫等）賣給用戶的競爭對手；有的則修改系統文件和重要資料，造成系統無法正常運行，甚至導致不可預測的嚴重結果；有的竊取用戶網絡系統控制權以后“借刀殺人”，利用用戶機器瘋狂作案，破壞諸如金融、國防等重要部門的系統，使用戶成為替罪羔羊；有的則攻擊牽涉資金周轉的網站，借機肥己，使用戶蒙受巨大的經濟損失。

據了解，當今世界平均每20秒就有一起黑客事件發生，僅在美國黑客事件每年造成的經濟損失就超過100億美元，而且損失還在以驚人的速度增長。在中國，網絡安全問題更加不容忽視，國內一家著名的網絡安全組織“綠盟軍團”在搜索了國內電子商務站點后宣稱，90%以上的網站存在嚴重安全漏洞。而中國電子商務網絡近期的一項調查發現，44%公司的網上資訊曾被黑客篡改，另有40%曾遭到惡意攻擊。

面對漏洞百出的網絡系統和無孔不入的黑客，越來越多的人認識到網絡安全的重要性。

隨著政府對網絡安全研究日益重視，一些專注于黑客技術的民間組織相繼轉為商業公司，最近國內出現了一些比較專業的組織和公司，一些大公司開始涉足網絡安全行業，政府有關部門對網絡安全的投入力度也日漸加大。業內人士認為，就目前國內市場需求的特點來看，兼顧服務和產品開發的公司最有發展前途。雖然發展勢頭十分強勁，但行業尚處于初期發展階段，仍然相當稚嫩，一些相關的技術和政策標準也還在制定之中。

就中國國情而言，國人開發的網絡安全產品是有很大市場優勢的。雖然從整體技術水平上看，國外安全產品存在一些優勢，品種齊全，也能提供全面的解決方案，但費用高昂，而且不太符合中國的國情，往往不能解決實際問題，在技術支持和服務上也難以跟上。而國內安全產品提供商在價格和售后服務上就具有相當大的優勢。

在談到進入行業的條件時，幾乎所有的業內人士都認為人才和技術是關鍵。同樣，要在行業內立足、保持競爭優勢，除了加大市場推廣的力度外，技術領先的重要性也是不可小視的。業內人士指出，網絡安全行業是一個比較特殊的行業，技術含量相當高。一個合格的網絡安全公司，其技術研究幾乎必須覆蓋當今計算機領域的所有軟硬件產品。這是因為網絡安全專家的主要對手是“黑客”，他們掌握了精深的計算機技術，破壞力超乎平常人的想象。

目前在中國乃至世界范圍內，網絡安全方面的人才都十分稀缺，因此絕大多數的網絡安全公司對人才的需求非常迫切，其中一些網絡安全公司開始在“亦正亦邪”的黑客中吸納人才，一方面可以發揮他們的特長，促進國內網絡安全，另一方面也可以將他們的不利影響降到最低。

除了具備精深而廣博的專業技術人才，資金也是一家網絡安全公司能否生存壯大的決定性因素。由于網絡安全公司必須不斷加強基礎研究才能提高產品的技術含量和不可模仿性，因此公司必須投入大量資金購置相關的軟件和硬件，并進行各種計算機產品的大規模研究測試。另外，由于行業內人才緊俏，只有高薪才可能留住人才，對技術人員的人工費用投資也相當大。據業內人士透露，雖然不少網絡安全公司依靠幾十萬元就開始起步，但真正要具備一定的開發能力和規模氣候，投資規模通常在幾千萬元以上。

關于網絡安全市場，不同的廠商所看到的趨勢也不盡相同。部分廠商認為，伴隨著信息化基礎設施逐漸增加，應用功能不斷擴展，企業公共出口的網絡安全是最為重要的。在這種情況下，單一功能的防火墻已經不能完全滿足用戶的需求，而集成了防火墻、防病毒、IDP、反垃圾郵件、VPN、內容過濾等多功能于一身的安防軟件將成為網絡安全市場的翹楚。與此同時，也有部分廠商認為，目前網絡安全市場存在明顯的“重開發，輕應用”的現象。很多安全方案都被設計得非常宏觀，功能與效益覆蓋范圍卻過于全面，沒有按照客戶的實際需求來構建，從而造成價格昂貴但是實際效果未必盡如人意。

由于資金和技術等方面的原因，中小企業的網絡安全問題一直存在著各種隱患。據了解，大部分中小企業并沒有設置專門的網絡管理員，有些企業采用兼職管理的方式，而有些中小企業甚至完全沒有網絡安全方面的維護意識。正因為這樣，很多中小企業的網絡管理都存在嚴重的安全漏洞。事實上，很多中小企業已經受到過網絡病毒的侵害，甚至有些也經受了嚴重的損失，但是考慮到網絡安全的投入成本高、維護起來有一定難度，這也使得善于精打細算的中小企業在防范病毒問題上進退兩難。

盡管如此，考慮到中小型企業占中國企業主體比重95%以上，其規模消費能力絕不能低估。不少網絡安全廠商已經意識到，雖然把目標客戶定位于購買力強的大中型企業能夠獲得豐厚的利潤，但是如今的競爭已經越來越激烈，要想在這個客戶群體中有快速的業績增長是非常困難的。相反，開發中小企業客戶，無須過大投入，并且客戶基數遠大于大中型企業，使得網絡安全廠商和渠道在低風險的情況下，能夠盡可能多地增加新客戶，也有利于實現空白領域的快速增長。因此，越來越多的網絡安全廠商和渠道開始重視起中小型企業市場，共同推動中小型企業網絡安全的進程。

從產品方向來看，雖然市場上的安全產品五花八門、種類繁多，防病毒、防火墻、信息加密、入侵檢測、安全認證、核心防護無不囊括其中，但從其應用范圍來看，這些方案大多數面向銀行、證券、電信、政府等行業用戶和大型企業用戶，針對中小型企業的安全解決方案寥寥無幾，產品僅僅是簡單的客戶端加服務器，不能完全解決中小型企業用戶所遭受的安全威脅。目前，國內廠商推出了網絡版病毒軟件，但由于功能單一，并不能為中小型企業提供完善的防護。這一現狀也要求網絡安全廠商必須做出進一步的努力，為中小型企業用戶量身打造最佳的安全解決方案。對網絡安全的從業者而言，只有從中小型企業用戶的實際出發，切實打造適合的網絡安全產品，降低服務和維護的成本，讓中小型企業切實感受到網絡安全是高性價比的投入，才能使這一市場真正快速火熱起來。

在全球信息化步伐不斷加快的關鍵時刻，保證網絡安全不僅是國家穩定、社會和諧的現實要求，也是國家綜合實力不斷得到提升、民族文化得到繼承和發揚的重要保障。