2） 改善學校的計算機教育體系：在我們傳統的開發能力教育中，強調性能和用戶友善性為主，但是缺乏安全的部分。未來的程序員從學校中學習不到安全，了解不到安全的重要性，掌握不了安全問題的機制和編碼的相關性，自然編寫出來的代碼千瘡百孔，漏洞遍地。在我們傳統的軟件工程教育中，對軟件安全設計的原則缺乏描述，對關鍵的軟件安全開發管理過程也缺乏講解。自然難以在未來軟件設計和軟件工程管理中，將安全作為一個考量的重要因素。

       3） 用安全開發過程（SDL）來保障代碼安全：微軟從2003年開始認識到必須改進自身開發產品的安全性必須從開發過程著手，之后引入了安全開發過程（SDL），WIN7、OFFICE2010、IE8等產品都是在SDL過程下開發出來的。這些產品雖然未能完全解決安全漏洞，但是相對于以前的系統，安全性得以大幅度的提高，在安全業界也獲得了好評。微軟的實踐證實：即使是在超大型軟件開發背景下，通過安全開發過程的管控，結合安全能力與安全意識的培育，是可能在開發級上就非常有效的提升IT系統的安全性的。當然采用SDL意味著需要付出很大的成本，而且對既有的開發模式、人員沖擊都比較大。可以通過采用循序漸進的方式，但是基礎的人員安全能力與意識的培訓、系統上線前的安全測試、漏洞及時響應修復與公告等措施還是必須具備的。

        4） 建立供應鏈安全管理體系：供應鏈安全最近越來越被注重，但如何控制好供應鏈的安全還需要各種各樣的管理規范和技術體系支撐，但至少，要求供應商承諾實施安全開發過程、對安全漏洞實施響應承諾是必須的，在此基礎上，還需要對供應商交付的組件特別是非大眾公共的組件實施必要的安全驗收和安全監理，依據供應商自身組件安全問題和響應評估供應商的安全能力和安全性，頂起淘汰不合格的供應商。才能有效地在供應鏈源頭控制安全風險。

       5） 外部防御體系需要不斷依據攻防發展作出技術變革：針對現有防護體系的不足，業界已經在反思，從技術到策略都在作出調整。下一代防護墻（NGFW），下一代入侵檢測系統（NGIDS）都提出了應對IT安全問題的新的方向，他們都在綜合安全事件智能分析、對未知安全漏洞攻擊的檢測、對未知入侵事件的及時感知等能力上有所加強。配合這些外部防御體系，可以更有效地對IT系統當前的安全狀態進行感知和發現基于未知漏洞的攻擊。

        6） 實現防護方共享攻擊信息機制：安全本身是一種狀態，當用比較低的成本壘高攻擊者攻擊成本導致攻擊者收益小于攻擊者成本時可以獲得最高的安全性。從防護者角度，要每個IT系統都單獨且面面俱到發現IT系統的所有未知安全問題并及時分析響應作出對抗策略需要付出太高的成本而且高端安全人力資源也極為短缺，如果防御方能共享攻擊信息，共享專業安全攻防團隊的分析和響應支持，可以大大降低所有IT系統防護未知安全問題和攻防對抗的成本，針對黑客最新的攻擊手法和安全漏洞作出快速響應，以較小的代價變相推高攻擊者成本來實現IT系統的安全性。

        無論如何，二十一世紀是信息網絡時代的世紀，在這個世紀，架構在互聯網之上的各種IT系統將更加深刻的勾畫人類的未來，無論移動互聯、物聯網、云計算，安全會成為這些IT系統面臨的最迫切需要改進的問題。努力實現讓安全成為IT系統的基礎屬性，或許會付出很高昂的代價，但是相對未來可能因安全問題引起的損失，是我們必須要面對和付出的努力。（FlashSky 南京翰海源 CEO）