數(shù)十年來(lái)，網(wǎng)絡(luò)安全、法規(guī)遵從和網(wǎng)絡(luò)威脅經(jīng)歷了不斷的演變，但核心思想依然一樣：攻擊者試圖找到系統(tǒng)中的弱點(diǎn)，然后企圖趁虛而入。另一方面，防御者試圖找到自身系統(tǒng)的薄弱環(huán)節(jié)，力圖搭建更安全的系統(tǒng)來(lái)保護(hù)數(shù)字化資產(chǎn)。為了更好地理解現(xiàn)代網(wǎng)絡(luò)安全的發(fā)展格局，《福布斯》雜志技術(shù)委員會(huì)成員、GRSee咨詢公司CEO Ben.Aderet梳理總結(jié)了現(xiàn)代網(wǎng)絡(luò)安全格局形成中的7個(gè)代表性歷史時(shí)刻。

1971年：Reaper蠕蟲誕生

1971年，全球最早的蠕蟲病毒出現(xiàn)在阿帕網(wǎng)（ARPANET）系統(tǒng)中。這個(gè)蠕蟲是由Bob Thomas編寫的試驗(yàn)性作品，也是史上第一個(gè)真實(shí)感染計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的蠕蟲病毒。雖然其初衷只是為了測(cè)試一個(gè)自我復(fù)制的應(yīng)用程序，并且沒(méi)有對(duì)系統(tǒng)造成任何破壞。但是，這個(gè)事件直接促使了Ray Tomlinson開發(fā)出史上第一個(gè)反病毒軟件，該軟件可以在阿帕網(wǎng)上搜尋并刪除蠕蟲病毒程序。

1972年：首次滲透測(cè)試活動(dòng)

James P. Anderson是滲透測(cè)試領(lǐng)域的最早期先驅(qū)之一，其原因是出于他想在自己的系統(tǒng)中驗(yàn)證是否存在漏洞。在1972年的一份報(bào)告中，他系統(tǒng)性地總結(jié)了安全團(tuán)隊(duì)可以采取的一系列步驟，以測(cè)試計(jì)算機(jī)環(huán)境有多脆弱，其中的幾個(gè)關(guān)鍵概念包括了模擬攻擊、漏洞識(shí)別，以及如何修補(bǔ)這些漏洞，以防止任何外部攻擊。這套特定的安全性測(cè)試方法后來(lái)被正式名為滲透測(cè)試，至今仍在業(yè)界廣泛使用。大多數(shù)網(wǎng)絡(luò)安全合規(guī)需求也都明確將滲透測(cè)試作為一項(xiàng)基本性的防護(hù)要求。

1983年：首套網(wǎng)絡(luò)安全控制措施發(fā)布

1983年，NSA（美國(guó)國(guó)家安全局）發(fā)布了史上第一套網(wǎng)絡(luò)安全控制措施，即廣為人知的《可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)》橙皮書。這套措施相當(dāng)于第一套官方版網(wǎng)絡(luò)安全防護(hù)指南，用于評(píng)估測(cè)試計(jì)算機(jī)Zion給是否存在安全問(wèn)題及其防護(hù)的效果。

借助這套安全控制措施，企業(yè)組織可以使用以下三種安全策略評(píng)估機(jī)密信息的處理和存儲(chǔ)：

1. 強(qiáng)制性安全策略；
2. 安全標(biāo)記；
3. 選擇性安全政策。

后來(lái)，這套安全措施逐漸演變?yōu)樾袠I(yè)性的網(wǎng)絡(luò)安全合規(guī)標(biāo)準(zhǔn)，眾多用戶、系統(tǒng)和企業(yè)是以合規(guī)標(biāo)準(zhǔn)的要求為指引開展網(wǎng)絡(luò)安全保護(hù)工作。

1986年：Morris蠕蟲作者被判刑

1983年，一部名為《戰(zhàn)爭(zhēng)游戲》的好萊塢電影在科技界與法律界引發(fā)了巨大討論，之后《計(jì)算機(jī)欺詐與濫用法》正式出臺(tái)。在電影中，一個(gè)少年黑客闖入一臺(tái)軍用超級(jí)計(jì)算機(jī)，給多個(gè)國(guó)家造成了嚴(yán)重破壞。而在正式頒布的《計(jì)算機(jī)欺詐與濫用法》中規(guī)定，未經(jīng)授權(quán)訪問(wèn)計(jì)算機(jī)或網(wǎng)絡(luò)，并企圖造成破壞的行為屬于嚴(yán)重的違法行為，將會(huì)受到國(guó)家司法部門的懲罰。

1986年，23歲的Tappan Morris通過(guò)其編寫的Morris蠕蟲病毒程序發(fā)起了真實(shí)網(wǎng)絡(luò)中的第一起拒絕服務(wù)（DDoS）攻擊，影響了大約6萬(wàn)臺(tái)與阿帕網(wǎng)連接的計(jì)算機(jī)系統(tǒng)。根據(jù)《計(jì)算機(jī)欺詐與濫用法》，Tappan Morris被判有罪，并被處以1萬(wàn)美元罰款、400小時(shí)社區(qū)服務(wù)和3年有期徒刑。不久之后，Morris蠕蟲病毒事件還促成了美國(guó)國(guó)家計(jì)算機(jī)緊急響應(yīng)小組（CERT）的成立。

1996年：HIPAA合規(guī)標(biāo)準(zhǔn)頒布

HIPAA是美國(guó)克林頓總統(tǒng)在1996年8月頒布的第一部健康隱私法案。該法案有助于規(guī)范商業(yè)性機(jī)構(gòu)存儲(chǔ)和處理個(gè)人醫(yī)療信息的方式，旨在保護(hù)以電子形式存儲(chǔ)或傳輸?shù)膫€(gè)人健康隱私信息。當(dāng)醫(yī)療保健業(yè)開始由紙質(zhì)系統(tǒng)轉(zhuǎn)向數(shù)字系統(tǒng)時(shí)，出臺(tái)這項(xiàng)合規(guī)標(biāo)準(zhǔn)非常重要而適時(shí)。

2004年：PCI DSS合規(guī)標(biāo)準(zhǔn)頒布

2004年，維薩、萬(wàn)士達(dá)、Discover和美國(guó)運(yùn)通四大信用卡公司聯(lián)合發(fā)起成立了支付卡安全和數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）委員會(huì)。PCI DSS合規(guī)標(biāo)準(zhǔn)確保所有使用、處理或存儲(chǔ)信用卡信息的金融企業(yè)都在高度安全且精心維護(hù)的環(huán)境中進(jìn)行操作。目前，PCI DSS合規(guī)標(biāo)準(zhǔn)已被全球的金融機(jī)構(gòu)采用并實(shí)施，以保護(hù)其支付系統(tǒng)和敏感數(shù)據(jù)，遠(yuǎn)離在線交易和信用卡欺詐及盜竊。

2005年：ISO 27001合規(guī)標(biāo)準(zhǔn)頒布

國(guó)際標(biāo)準(zhǔn)化組織（ISO）正式發(fā)布了這項(xiàng)合規(guī)標(biāo)準(zhǔn)，以幫助企業(yè)了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、投入必要資源并確保利益相關(guān)者的責(zé)任能夠落實(shí)到位。ISO 27001合規(guī)標(biāo)準(zhǔn)涉及的控制措施幫助全球各大公司企業(yè)有序開展網(wǎng)絡(luò)安全建設(shè)工作，制定可靠的治理戰(zhàn)略，以防范網(wǎng)絡(luò)安全威脅。

展望未來(lái)

據(jù)報(bào)道，美國(guó)證券交易委員會(huì)（SEC）正在推動(dòng)在每家上市企業(yè)的董事會(huì)中強(qiáng)制要求設(shè)置CISO，以提高企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力，并加大上市公司對(duì)其客戶和全社會(huì)負(fù)有的安全責(zé)任。這可能會(huì)給網(wǎng)絡(luò)安全業(yè)帶來(lái)更加積極的變革。不過(guò)，雖然網(wǎng)絡(luò)安全行業(yè)正在迅猛發(fā)展，各種監(jiān)管法規(guī)可以為企業(yè)提供更好的安全發(fā)展環(huán)境，但企業(yè)還須積極加強(qiáng)網(wǎng)絡(luò)安全意識(shí)宣教，真正把網(wǎng)絡(luò)安全建設(shè)作為數(shù)字化業(yè)務(wù)轉(zhuǎn)型和發(fā)展的賦能者。