讓安全成為IT系統(tǒng)的基礎(chǔ)屬性，實際上包含了如下的要求：

        1） IT系統(tǒng)的自主開發(fā)的代碼必須是達到一定安全度的：針對IT系統(tǒng)的代碼安全漏洞發(fā)起攻擊日益成為當(dāng)前針對IT系統(tǒng)發(fā)起遠程攻擊的重要手段。相對來說：管理等問題帶來的侵害基本都是接觸式的攻擊，而遠程非接觸式的侵害基本都需要配合IT系統(tǒng)的安全漏洞來發(fā)起。而安全開發(fā)的意識基本還未普遍形成，導(dǎo)致安全漏洞在IT系統(tǒng)中普遍大量存在。必須強化系統(tǒng)設(shè)計與開發(fā)人員的意識，采用一定的技術(shù)手段，來降低IT系統(tǒng)開發(fā)時引入大量的安全漏洞和其他各種安全瑕疵。

        2） 針對IT系統(tǒng)的外部來源組件必須有一定的安全監(jiān)控和管理手段：IT系統(tǒng)是在一個開放式架構(gòu)復(fù)雜組合而成，大多數(shù)IT系統(tǒng)必然需要采購或者本身就是建立在其他第三方的外部組件之上來構(gòu)建的。針對這些第三方來源的組件，必須有一套準入、驗收、保證、響應(yīng)與追責(zé)的體系，來保證第三方來源的組件進入時初步的安全，安全問題產(chǎn)生時的快速響應(yīng)與修復(fù)，對第三方來源的組件的安全問題追責(zé)和管理。

        3） IT系統(tǒng)的外部防御體系：目前業(yè)界已經(jīng)建立了一套IT系統(tǒng)的外部防御體系，但是在目前IT系統(tǒng)的安全風(fēng)險與威脅之下，也遭受著各種各樣的挑戰(zhàn)，原因正在于：

        a) 檢查滯后性：缺乏及時發(fā)現(xiàn)最新攻擊和被入侵的能力。IDS/IPS依賴對漏洞和攻擊代碼的已知信息上，殺毒產(chǎn)品依賴于對病毒和木馬的樣本和具體行為信息上。難以針對0DAY和特馬做出及時的響應(yīng)。

        b) 缺乏智能分析和關(guān)聯(lián)能力：一般做法要么粗暴的阻斷導(dǎo)致由于誤報導(dǎo)致可用性大幅度降低，要么將非常專業(yè)的信息遞交給無專業(yè)技能的用戶做決斷，用戶既不能正確判斷也非常煩惱頻繁的提示導(dǎo)致的易用性損失，最后可能導(dǎo)致用戶關(guān)閉相關(guān)安全功能。

        要想達到以上幾個目標，最終讓安全成為IT系統(tǒng)的基礎(chǔ)屬性，整個IT產(chǎn)業(yè)界和安全業(yè)界必須做出以下的努力：

         1） 樹立安全意識：通過越來越多的安全事件，IT系統(tǒng)的安全的重要性開始被越來越多的人們所重視。但是如何來解決IT系統(tǒng)的安全問題，很多人都抱有簡單的幻想，希望用一個簡單的改善就能獲取安全；必須認識到安全是一個非常復(fù)雜的體系，需要全方面的投入和改善，每一個安全的措施只能提高一點攻擊者的成本或降低特定情況的風(fēng)險而不能大幅度改善安全境況。用戶信息泄密事件之后，很多廠商號稱自己換用了MD5加密存儲用戶的密碼手段，因此是安全的就非常可笑。問題在于攻擊者是通過安全漏洞獲得用戶敏感信息的，解決方案并沒有解決自身的安全漏洞問題，只是讓攻擊者拿到的是MD5加密的信息，攻擊者通過彩虹表就已經(jīng)能查詢出大部分強度不夠的密碼，攻擊者甚至可以入侵服務(wù)器修改代碼，讓用戶密碼在做MD5運算之前就傳遞給攻擊者等等。當(dāng)然有了改善總比沒有改善要好，至少攻擊者需要做出更多額外的工作增加了攻擊成本。所以針對有重要信息資產(chǎn)的系統(tǒng)，安全投入會不斷增高，很多企業(yè)不愿意在安全上做投入，認為安全只是成本沒有正向收益，但是企業(yè)需要想一想，如果沒有安全來保障IT系統(tǒng)的運營，引入IT系統(tǒng)帶來的效益或者依賴IT系統(tǒng)帶來的效益，就只是空中樓閣，在罪犯和競爭對手攻擊之下飛灰湮滅。以安全為看點可能為你爭取到更大的蛋糕，但即使安全不能為你增加什么，但沒有安全你就無法守住你已經(jīng)獲得的蛋糕。當(dāng)然，安全也必須在可能的損失、成本、用戶體驗、系統(tǒng)可用性等各種競爭性需求之下尋求一個平衡，但安全必須成為一個重要的考慮因素。