讓安全成為IT系統的基礎屬性，實際上包含了如下的要求：

        1） IT系統的自主開發的代碼必須是達到一定安全度的：針對IT系統的代碼安全漏洞發起攻擊日益成為當前針對IT系統發起遠程攻擊的重要手段。相對來說：管理等問題帶來的侵害基本都是接觸式的攻擊，而遠程非接觸式的侵害基本都需要配合IT系統的安全漏洞來發起。而安全開發的意識基本還未普遍形成，導致安全漏洞在IT系統中普遍大量存在。必須強化系統設計與開發人員的意識，采用一定的技術手段，來降低IT系統開發時引入大量的安全漏洞和其他各種安全瑕疵。

        2） 針對IT系統的外部來源組件必須有一定的安全監控和管理手段：IT系統是在一個開放式架構復雜組合而成，大多數IT系統必然需要采購或者本身就是建立在其他第三方的外部組件之上來構建的。針對這些第三方來源的組件，必須有一套準入、驗收、保證、響應與追責的體系，來保證第三方來源的組件進入時初步的安全，安全問題產生時的快速響應與修復，對第三方來源的組件的安全問題追責和管理。

        3） IT系統的外部防御體系：目前業界已經建立了一套IT系統的外部防御體系，但是在目前IT系統的安全風險與威脅之下，也遭受著各種各樣的挑戰，原因正在于：

        a) 檢查滯后性：缺乏及時發現最新攻擊和被入侵的能力。IDS/IPS依賴對漏洞和攻擊代碼的已知信息上，殺毒產品依賴于對病毒和木馬的樣本和具體行為信息上。難以針對0DAY和特馬做出及時的響應。

        b) 缺乏智能分析和關聯能力：一般做法要么粗暴的阻斷導致由于誤報導致可用性大幅度降低，要么將非常專業的信息遞交給無專業技能的用戶做決斷，用戶既不能正確判斷也非常煩惱頻繁的提示導致的易用性損失，最后可能導致用戶關閉相關安全功能。

        要想達到以上幾個目標，最終讓安全成為IT系統的基礎屬性，整個IT產業界和安全業界必須做出以下的努力：

         1） 樹立安全意識：通過越來越多的安全事件，IT系統的安全的重要性開始被越來越多的人們所重視。但是如何來解決IT系統的安全問題，很多人都抱有簡單的幻想，希望用一個簡單的改善就能獲取安全；必須認識到安全是一個非常復雜的體系，需要全方面的投入和改善，每一個安全的措施只能提高一點攻擊者的成本或降低特定情況的風險而不能大幅度改善安全境況。用戶信息泄密事件之后，很多廠商號稱自己換用了MD5加密存儲用戶的密碼手段，因此是安全的就非常可笑。問題在于攻擊者是通過安全漏洞獲得用戶敏感信息的，解決方案并沒有解決自身的安全漏洞問題，只是讓攻擊者拿到的是MD5加密的信息，攻擊者通過彩虹表就已經能查詢出大部分強度不夠的密碼，攻擊者甚至可以入侵服務器修改代碼，讓用戶密碼在做MD5運算之前就傳遞給攻擊者等等。當然有了改善總比沒有改善要好，至少攻擊者需要做出更多額外的工作增加了攻擊成本。所以針對有重要信息資產的系統，安全投入會不斷增高，很多企業不愿意在安全上做投入，認為安全只是成本沒有正向收益，但是企業需要想一想，如果沒有安全來保障IT系統的運營，引入IT系統帶來的效益或者依賴IT系統帶來的效益，就只是空中樓閣，在罪犯和競爭對手攻擊之下飛灰湮滅。以安全為看點可能為你爭取到更大的蛋糕，但即使安全不能為你增加什么，但沒有安全你就無法守住你已經獲得的蛋糕。當然，安全也必須在可能的損失、成本、用戶體驗、系統可用性等各種競爭性需求之下尋求一個平衡，但安全必須成為一個重要的考慮因素。