如今，企业的IT主管们都非常清楚网络安全意味着什么。可以说网络安全对维持企业业务正常运转起到了至关重要的作用。然而在20年前，企业对网络安全方面的认识却并非如此，在那个年代，企业的网络安全建设到底是什么样子？是什么促使了企业加大了在网络安全方面的投资与建设？在历经20余年的发展后，IT主管们应该怎样建设“安全的”的信息现代化企业？

带着这些问题，51CTO.com记者采访了北京首钢自动化信息技术有限公司自动化研究所的郭雨春总工程师。郭雨春负责首钢IT系统建设与规划工作已经有20余年了，作为中国企业信息化建设20年发展的见证人，郭雨春对网络安全方面的建设与发展有着更深刻的感受。他把真正意义上的企业网络安全发展分为两个阶段，即数据防护阶段和可持续发展阶段。

20年前，没有真正的网络安全

由于网络技术发展的限制，从80年代中后期，直到90年代初期，企业还谈不上真正意义的网络安全。

郭雨春回忆说，在80年代中期，IT基础设施还非常欠缺，有实力搭建网络的企业少得可怜，大部分企业的微机数量屈指可数。直到90年代初期，虽然出现了简单的网络结构，也开始意识到病毒的概念，但安全措施也基本体现在对企业内部员工的制度管理层面上，几乎没有针对安全的具体设备和产品。
直到90年代中期之前，由于当时的网络技术水平有限，使得安全威胁大部分来自企业内部，例如病毒、误操作等等；相对而言，来自其他因素的主动攻击很少，最多只是这些企业职员由于种种原因刻意破坏微机系统，使系统不能正常运行，从而导致安全问题的产生。这也是为什么“安全”重点放在对人的管理层面。企业所谓的安全措施，几乎都是为了保障单机系统的正常运行、不宕机而建立的。让郭雨春印象深刻的是，当时为了防止计算机系统不中病毒，企业采取了很多管理措施，诸如不允许使用软驱、取下计算机硬盘等等。

网络安全进入数据防护阶段

在依托于网络的各种IT基础设施涌现的同时，企业逐渐发现，数据对企业来说才是至关重要的。

郭雨春认为，近10余年来，随着网络技术的进步和互联网的迅猛发展，才有了中国企业真正意义的网络安全建设。总体看来，10年来的发展，企业网络安全建设的显著特点就是，企业的安全投入逐步增加，数据安全成为企业安全的关键和核心。

1、企业安全防护对象的发展

90年代中后期，网络技术的发展促使企业开始全面开展信息化的建设。在依托于网络的各种IT基础设施涌现的同时，企业逐渐发现，数据对企业来说才是至关重要的，而网络安全威胁也逐渐成为影响企业业务正常运转的重要问题。

1998年通过互联网络传播的CIH病毒首次大范围爆发，全球超过六千万台电脑被不同程度破坏，损失超过十亿美元。此次病毒威胁给很多企业，尤其是中国企业带来了深远的影响，直到现在，反病毒软件依然是企业IT采购中必不可少的内容。更让企业警醒的是美国大停电和“911”事件，企业终于认识到，一旦发生重大安全事故，数据才是企业能否尽快恢复运转的关键和核心！

如今，保护数据已经成为包括杀毒软件和其他各种网络安全技术和产品的重中之重，特别是20世纪末21世纪初以来，VPN技术、入侵检测与防御技术、各种加密技术、身份识别、网络访问控制技术、员工行为管理等技术层出不穷，呈现出多兵种协同作战的局面。

不过，虽然这些技术和产品或直接或间接的保护企业数据不受威胁，但网络安全防护大部分停留在“被动防御”的局面。用郭雨春的话说，目前大多数企业的安全还是以防御为主的安全。这好比是摆好了架子，设置好关卡等着被攻击。企业应该逐渐变被动防御为主动防护，才能最大程度的降低风险。

主动防护的手段有很多，如建立完善的容灾备份体系就是其中的一种，有条件的可以进行异地灾备，没条件的可以对关键数据进行必要的灾备。在美国911恐怖袭击中进行了异地灾备的公司，在很短的时间内就恢复了正常运转，而没有进行任何灾备的公司则很难在短时间内恢复运营，甚至可能面临倒闭的危险。这足以说明，为避免关键业务受影响，进行必要的主动防护是非常必要而且值得的。

我们不难看出，无论是各种安全防护技术的出现，还是灾备系统的实施，都只有一个目的，那就是最大限度地保护企业数据中心，不受威胁或减少威胁。可以说，现在的网络安全是以数据中心为主要防护对象的各种安全技术与产品的应用。

2、企业安全投资的加大

在10年前，也许有人会说，把资金用于网络安全建设不值，不投入这部分资金，也不会有什么事情发生。之所以那时会有这种观点，原因有两方面，首先是安全威胁对企业造成的损失远不如生产经营带来的营收大，致使企业短期内看不到安全投资方面的收益。另外，网络技术的不成熟，使得业务无法通过网络来实现，来自网络的威胁也就无从谈起，这成为另一方面原因。

进入新世纪后，随着网络攻击技术和手段的发展，企业信息数据丢失的情况屡见不鲜。国外研究机构Gartner 07年的一份相关调查显示：在经历了数据完全丢失而导致系统停运的企业中，有2/5再也没能恢复运营，余下的企业也有1/3在两年内宣告破产。也就是说，六成企业因数据完全丢失而倒闭。而部分数据丢失或被盗同样会给企业造成损失，但很多企业仍未采取相应措施。但报告同样显示了一个令人振奋的结果：如果企业通过实施安全方面的建设，可以大幅降低这些风险。比如，在规模较大的企业中，如果当前的安全运营较为落后，每3年便可能出现1次公开披露的数据丢失。相比之下，业绩最佳的企业已将数据丢失的可能性降低到每42年出现1次。这表明，进行安全方面投资建设是企业走向更快发展的有效保障措施。

我国企业的IT主管也逐渐认识到这一点。无数次国内外的安全事故已经充分证明，在企业与IT系统紧密结合的今天，安全事故对企业造成的损失已经成为企业无法承受之重——安全，不再是一个“玄虚”的话题，而是可预计的、可衡量的；而在安全方面进行一定的投资建设，却能最大限度降低安全风险，所有企业在这方面的投入都是值得的。

郭雨春介绍说，以首钢为例，在二期信息化改造中，就投入了相当比例的资金用于网络安全建设当中，而且未来还会持续加大这部分的投入。

企业安全发展展望：构建可持续发展的网络安全体系

为了保障业务的连续性和可靠性，未来企业网络安全建设也必将是融合各种技术，构建可持续发展的安全体系。

如今，企业信息化建设已经进入一个崭新的阶段，随着网络技术架构的多元化发展，企业业务也呈现出融合的趋势，网络不再承载单一的数据业务，语音和视频也逐渐成为企业网络上的主要信息元，网络安全同样成为企业所关注的重点。

郭雨春认为，为了保障业务的连续性和可靠性，未来企业网络安全建设也必将是融合各种技术，构建可持续发展的安全体系。虽然现在多数企业部署了保护数据为目的的安全防护产品，但这些技术和产品的功能并没有完全发挥出来，用到的只是一小部分，使安全方面的投资回报不成比例，而安全服务方面又没有跟上，导致很多企业无法将各种安全技术有序有效的融合在一起，够不成可持续发展的安全体系。但郭雨春非常肯定的是，未来的企业网络安全一定是促进业务发展，以保护数据中心为目的，可持续发展的安全体系。

企业在安全建设方面的建议

在结束采访时，郭雨春根据自己二十多年的大型企业网络管理经验，对当前的企业IT管理同行提出了一些建议。他认为，企业应该根据自身的情况和实力，选择适合自身的安全建设目标——小企业可以参考中型企业的安全建设，中型企业可以参考大型企业的安全建设，从中一定能找到让自己受益的好思路、好方法。

此外，郭雨春认为，企业的网络和安全管理，说到底要从企业自身出发，一味寄希望于设备提供商拿出适合的解决方案是不可取的。这方面，企业无论大小，在投资网络安全建设时，都要尽量找第三方的安全咨询服务商，这样可以本着从实际出发，弱化企业与厂商之间的利益，从而彻底解决企业安全问题。