2） 改善學(xué)校的計(jì)算機(jī)教育體系：在我們傳統(tǒng)的開發(fā)能力教育中，強(qiáng)調(diào)性能和用戶友善性為主，但是缺乏安全的部分。未來(lái)的程序員從學(xué)校中學(xué)習(xí)不到安全，了解不到安全的重要性，掌握不了安全問(wèn)題的機(jī)制和編碼的相關(guān)性，自然編寫出來(lái)的代碼千瘡百孔，漏洞遍地。在我們傳統(tǒng)的軟件工程教育中，對(duì)軟件安全設(shè)計(jì)的原則缺乏描述，對(duì)關(guān)鍵的軟件安全開發(fā)管理過(guò)程也缺乏講解。自然難以在未來(lái)軟件設(shè)計(jì)和軟件工程管理中，將安全作為一個(gè)考量的重要因素。

       3） 用安全開發(fā)過(guò)程（SDL）來(lái)保障代碼安全：微軟從2003年開始認(rèn)識(shí)到必須改進(jìn)自身開發(fā)產(chǎn)品的安全性必須從開發(fā)過(guò)程著手，之后引入了安全開發(fā)過(guò)程（SDL），WIN7、OFFICE2010、IE8等產(chǎn)品都是在SDL過(guò)程下開發(fā)出來(lái)的。這些產(chǎn)品雖然未能完全解決安全漏洞，但是相對(duì)于以前的系統(tǒng)，安全性得以大幅度的提高，在安全業(yè)界也獲得了好評(píng)。微軟的實(shí)踐證實(shí)：即使是在超大型軟件開發(fā)背景下，通過(guò)安全開發(fā)過(guò)程的管控，結(jié)合安全能力與安全意識(shí)的培育，是可能在開發(fā)級(jí)上就非常有效的提升IT系統(tǒng)的安全性的。當(dāng)然采用SDL意味著需要付出很大的成本，而且對(duì)既有的開發(fā)模式、人員沖擊都比較大?？梢酝ㄟ^(guò)采用循序漸進(jìn)的方式，但是基礎(chǔ)的人員安全能力與意識(shí)的培訓(xùn)、系統(tǒng)上線前的安全測(cè)試、漏洞及時(shí)響應(yīng)修復(fù)與公告等措施還是必須具備的。

        4） 建立供應(yīng)鏈安全管理體系：供應(yīng)鏈安全最近越來(lái)越被注重，但如何控制好供應(yīng)鏈的安全還需要各種各樣的管理規(guī)范和技術(shù)體系支撐，但至少，要求供應(yīng)商承諾實(shí)施安全開發(fā)過(guò)程、對(duì)安全漏洞實(shí)施響應(yīng)承諾是必須的，在此基礎(chǔ)上，還需要對(duì)供應(yīng)商交付的組件特別是非大眾公共的組件實(shí)施必要的安全驗(yàn)收和安全監(jiān)理，依據(jù)供應(yīng)商自身組件安全問(wèn)題和響應(yīng)評(píng)估供應(yīng)商的安全能力和安全性，頂起淘汰不合格的供應(yīng)商。才能有效地在供應(yīng)鏈源頭控制安全風(fēng)險(xiǎn)。

       5） 外部防御體系需要不斷依據(jù)攻防發(fā)展作出技術(shù)變革：針對(duì)現(xiàn)有防護(hù)體系的不足，業(yè)界已經(jīng)在反思，從技術(shù)到策略都在作出調(diào)整。下一代防護(hù)墻（NGFW），下一代入侵檢測(cè)系統(tǒng)（NGIDS）都提出了應(yīng)對(duì)IT安全問(wèn)題的新的方向，他們都在綜合安全事件智能分析、對(duì)未知安全漏洞攻擊的檢測(cè)、對(duì)未知入侵事件的及時(shí)感知等能力上有所加強(qiáng)。配合這些外部防御體系，可以更有效地對(duì)IT系統(tǒng)當(dāng)前的安全狀態(tài)進(jìn)行感知和發(fā)現(xiàn)基于未知漏洞的攻擊。

        6） 實(shí)現(xiàn)防護(hù)方共享攻擊信息機(jī)制：安全本身是一種狀態(tài)，當(dāng)用比較低的成本壘高攻擊者攻擊成本導(dǎo)致攻擊者收益小于攻擊者成本時(shí)可以獲得最高的安全性。從防護(hù)者角度，要每個(gè)IT系統(tǒng)都單獨(dú)且面面俱到發(fā)現(xiàn)IT系統(tǒng)的所有未知安全問(wèn)題并及時(shí)分析響應(yīng)作出對(duì)抗策略需要付出太高的成本而且高端安全人力資源也極為短缺，如果防御方能共享攻擊信息，共享專業(yè)安全攻防團(tuán)隊(duì)的分析和響應(yīng)支持，可以大大降低所有IT系統(tǒng)防護(hù)未知安全問(wèn)題和攻防對(duì)抗的成本，針對(duì)黑客最新的攻擊手法和安全漏洞作出快速響應(yīng)，以較小的代價(jià)變相推高攻擊者成本來(lái)實(shí)現(xiàn)IT系統(tǒng)的安全性。

        無(wú)論如何，二十一世紀(jì)是信息網(wǎng)絡(luò)時(shí)代的世紀(jì)，在這個(gè)世紀(jì)，架構(gòu)在互聯(lián)網(wǎng)之上的各種IT系統(tǒng)將更加深刻的勾畫人類的未來(lái)，無(wú)論移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、云計(jì)算，安全會(huì)成為這些IT系統(tǒng)面臨的最迫切需要改進(jìn)的問(wèn)題。努力實(shí)現(xiàn)讓安全成為IT系統(tǒng)的基礎(chǔ)屬性，或許會(huì)付出很高昂的代價(jià)，但是相對(duì)未來(lái)可能因安全問(wèn)題引起的損失，是我們必須要面對(duì)和付出的努力。（FlashSky 南京翰海源 CEO）