2） 改善學(xué)校的計算機教育體系：在我們傳統(tǒng)的開發(fā)能力教育中，強調(diào)性能和用戶友善性為主，但是缺乏安全的部分。未來的程序員從學(xué)校中學(xué)習不到安全，了解不到安全的重要性，掌握不了安全問題的機制和編碼的相關(guān)性，自然編寫出來的代碼千瘡百孔，漏洞遍地。在我們傳統(tǒng)的軟件工程教育中，對軟件安全設(shè)計的原則缺乏描述，對關(guān)鍵的軟件安全開發(fā)管理過程也缺乏講解。自然難以在未來軟件設(shè)計和軟件工程管理中，將安全作為一個考量的重要因素。

       3） 用安全開發(fā)過程（SDL）來保障代碼安全：微軟從2003年開始認識到必須改進自身開發(fā)產(chǎn)品的安全性必須從開發(fā)過程著手，之后引入了安全開發(fā)過程（SDL），WIN7、OFFICE2010、IE8等產(chǎn)品都是在SDL過程下開發(fā)出來的。這些產(chǎn)品雖然未能完全解決安全漏洞，但是相對于以前的系統(tǒng)，安全性得以大幅度的提高，在安全業(yè)界也獲得了好評。微軟的實踐證實：即使是在超大型軟件開發(fā)背景下，通過安全開發(fā)過程的管控，結(jié)合安全能力與安全意識的培育，是可能在開發(fā)級上就非常有效的提升IT系統(tǒng)的安全性的。當然采用SDL意味著需要付出很大的成本，而且對既有的開發(fā)模式、人員沖擊都比較大?？梢酝ㄟ^采用循序漸進的方式，但是基礎(chǔ)的人員安全能力與意識的培訓(xùn)、系統(tǒng)上線前的安全測試、漏洞及時響應(yīng)修復(fù)與公告等措施還是必須具備的。

        4） 建立供應(yīng)鏈安全管理體系：供應(yīng)鏈安全最近越來越被注重，但如何控制好供應(yīng)鏈的安全還需要各種各樣的管理規(guī)范和技術(shù)體系支撐，但至少，要求供應(yīng)商承諾實施安全開發(fā)過程、對安全漏洞實施響應(yīng)承諾是必須的，在此基礎(chǔ)上，還需要對供應(yīng)商交付的組件特別是非大眾公共的組件實施必要的安全驗收和安全監(jiān)理，依據(jù)供應(yīng)商自身組件安全問題和響應(yīng)評估供應(yīng)商的安全能力和安全性，頂起淘汰不合格的供應(yīng)商。才能有效地在供應(yīng)鏈源頭控制安全風險。

       5） 外部防御體系需要不斷依據(jù)攻防發(fā)展作出技術(shù)變革：針對現(xiàn)有防護體系的不足，業(yè)界已經(jīng)在反思，從技術(shù)到策略都在作出調(diào)整。下一代防護墻（NGFW），下一代入侵檢測系統(tǒng)（NGIDS）都提出了應(yīng)對IT安全問題的新的方向，他們都在綜合安全事件智能分析、對未知安全漏洞攻擊的檢測、對未知入侵事件的及時感知等能力上有所加強。配合這些外部防御體系，可以更有效地對IT系統(tǒng)當前的安全狀態(tài)進行感知和發(fā)現(xiàn)基于未知漏洞的攻擊。

        6） 實現(xiàn)防護方共享攻擊信息機制：安全本身是一種狀態(tài)，當用比較低的成本壘高攻擊者攻擊成本導(dǎo)致攻擊者收益小于攻擊者成本時可以獲得最高的安全性。從防護者角度，要每個IT系統(tǒng)都單獨且面面俱到發(fā)現(xiàn)IT系統(tǒng)的所有未知安全問題并及時分析響應(yīng)作出對抗策略需要付出太高的成本而且高端安全人力資源也極為短缺，如果防御方能共享攻擊信息，共享專業(yè)安全攻防團隊的分析和響應(yīng)支持，可以大大降低所有IT系統(tǒng)防護未知安全問題和攻防對抗的成本，針對黑客最新的攻擊手法和安全漏洞作出快速響應(yīng)，以較小的代價變相推高攻擊者成本來實現(xiàn)IT系統(tǒng)的安全性。

        無論如何，二十一世紀是信息網(wǎng)絡(luò)時代的世紀，在這個世紀，架構(gòu)在互聯(lián)網(wǎng)之上的各種IT系統(tǒng)將更加深刻的勾畫人類的未來，無論移動互聯(lián)、物聯(lián)網(wǎng)、云計算，安全會成為這些IT系統(tǒng)面臨的最迫切需要改進的問題。努力實現(xiàn)讓安全成為IT系統(tǒng)的基礎(chǔ)屬性，或許會付出很高昂的代價，但是相對未來可能因安全問題引起的損失，是我們必須要面對和付出的努力。（FlashSky 南京翰海源 CEO）