随着计算机和网络技术的飞速发展以及应用程度的不断提高，信息安全问题已逐渐渗透到政治、经济、军事、社会生活等各个领域。目前，对网络的各类攻击与破坏与日俱增，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。信息安全已成为国家网络经济发展的关键，作为国家与国防安全的重要组成部分，也培育出了一个新兴的产业领域。为了对信息安全产业有较为深刻的认识和把握，本文将从重点产品的演进分析信息安全产业的经济学特征和发展趋势，并提出在信息安全产品已经日渐丰富的今天，作为信息安全产业发展方向的信息安全测评等相关服务业，并应在考虑信息安全特点的基础上，不断发展和完善。

一、信息安全起源及其形成

根据美国国家安全系统委员会（CNSS，以前是美国国家安全电信和信息系统安全委员会）公布的标准，信息安全定义为保护信息及其重要元素，包括使用、存储和传输这些信息的系统和硬件。信息安全包括了信息安全管理、计算机和数据安全、网络安全等广阔的领域。要保护信息及其相关系统，用户必须采用诸如政策、认识、培训和教育、技术等手段。而信息安全产业正是在满足用户这些需求的过程中产生的。

1.信息安全的起源

Whitman和Mattord（2005年）认为，信息安全起源于计算机安全。自从第二次世界大战期间开发出第一代用于帮助分段计算代码的大型计算机以来，计算机安全的需求诞生了。

刚开始的时候，计算机安全就是要确保硬件和软件的物理位置远离外部威胁，当时主要的安全威胁在于偷盗物理设备，对系统产品进行间谍和破坏等活动，此时的安全问题更多是物质安全的问题。而随着软件的逐步发展，计算机安全的非物理问题出现了。早在20世纪60年代，在两个系统管理员分别对消息目志文件和密码文件进行操作时，一个软件障碍混合了这两个文件，结果每个输出文件都打印出了整个密码文件。由此，非物理的计算机安全问题浮出了水面，由此单纯的计算机安全开始向信息安全演进。

信息是重要的资产，信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。当前，信息系统正面临着来自各方面越来越多的安全威胁，如，计算机诈骗、间谍、阴谋、破坏和火灾或水灾等。特别是计算机病毒、黑客袭击和拒绝服务攻击等对信息系统的损害已变得越来越巨大；安全事件越来越普遍；安全保障的任务越来越艰巨；安全防护人员的业务水平要求越来越高。随着社会信息化步伐的加快，人们对信息系统和信息服务的依赖性也越来越强，这意味着信息系统更容易受到安全威胁的攻击，而且，一旦被攻击，造成的影响也就越来越大。公众网与专用网的互联互通，各种信息资源的共享，又加大了实现信息安全访问控制的难度。分布式计算的趋势，在很大程度上，减弱了集中式安全控制的有效性。很多信息系统在设计时都没有充分考虑安全问题。2004年美国计算机安全学会和联邦调查局进行的计算机犯罪及安全调查发现，在过去的12个月内，79%的机构（主要是大公司和政府部门）反映发现了计算机漏洞安全，54%的机构因为计算机漏洞遭受损失的金额超过1.41亿美元。发现未授权使用计算机的为53%。

总的来看，信息安全之所以产生和存在，是因为有两种类型的行为存在：（1）威胁；（2）攻击。

Whitman和Mattord（2005年）将“威胁”定义为“机构的人员、信息和系统面对的危险”，并将其分为12类，分别是：（1）人为过失或失败行为：授权用户无意或非恶意的行为；（2）损害软件所有者的知识产权；（3）间谍或蓄意入侵行为：未授权的人获得了机构尽力保护的信息的访问权；（4）信息敲诈行为：攻击者或内部工作人员从计算机系统中窃取信息，在获得赎金后，将信息返还或允许不泄密；（5）蓄意破坏行为：对网站的攻击；（6）蓄意窃取行为；（7）蓄意软件攻击；（8）自然灾害；（9）服务质量差；（10）技术硬件故障或错误；（11）技术软件故障或错误；（12）技术淘汰。

Whitman和Mattord（2005年）将“攻击”定义为“一种利用漏洞来破坏控制系统的行为。它由能够毁坏或者窃取机构信息或者物质资产的威胁代理来完成。漏洞是控制系统中已经标识出来的缺陷，但没有对缺陷进行控制，或控制不再有效”。攻击的主要类型有：（1）恶意代码；（2）后门；（3）密码破译；（4）拒绝服务；（5）伪装成入侵者向计算机发送信息，而该消息的IP地址表明消息来自于一台可信赖的主机；（6）中间人或者TCP劫持攻击；（7）垃圾邮件；（8）邮件炸弹，即攻击者向目标发送大量的电子邮件；（9）能够监视在网络上传输的数据的程序或设备，几乎可以嵌入到任何地方；（10）社交工程：使用社交技能欺骗人们，将访问证书或者其他有价值的信息泄漏给攻击者；（11）利用缓冲区溢出的错误，控制目标系统，造成损害；（12）通过探测Web浏览器缓存的内容进行定时攻击。

正是由于这两大类行为的存在，使得想要排他性地保持系统的原样，变得非常困难。为了防止这两大类行为对系统产生恶性影响，不得不支付除了建设系统之外的费用来维持其正常的运行。而因此所产生的需求则诞生了围绕解决信息安全问题的信息安全产业。

2.三大类型的市场需求

信息安全区别于其他信息技术的最大特点之一，是确使系统及其内容保持不变。对于信息系统的威胁和攻击是随着计算机应用水平的提高而日益广泛和深入的，因此除了从产业起源来看形成产业的基本条件外，从用户层次分析信息安全的市场需求则是挖掘信息安全产业特点的另一个基本条件。

Whitman和Mattord（2005年）认为，总的来说，对于一个用户而言，信息安全应执行并实现3种功能：

（1）确保在用户的IT系统上实现的应用程序能安全地操作。

（2）保护用户收集并使用的数据。

（3）保护用户系统运转的能力。

3.市场竞争产品

针对以上三大类型的信息安全需求，肖红跃（2004）认为目前市场上信息安全产品分为6种，分别满足不同层次的用户要求：网络安全产品类；应用安全产品类；信息安全基础设施类；终端保密产品类；密码芯片与密码模块类；前沿密码理论、密码算法与安全体系结构。

将市场上现有的产品与技术与相应的市场需求相匹配，在满足用户需求的三个层面上的产品及技术类型分别是如表1所示：

表1　产品和技术类型与用户需求匹配表