Q：您认为web2.0的安全重点是什么?未来的发展趋势如何?

　　dreamice：对于WEB2.0来说，传统的注入、跨站等安全问题依然不容忽视，虽然他拥有众多令人激动的崭新应用，同时也带来了一些新的安全威胁与挑战。采用Ajax技术带来同时也引入了新的安全威胁。网站与浏览器高度的互动机制，采用了更多的javascript代码，使得程序的代码质量控制更加困难，受XSS，CSRF以及SQL注入攻击风险增大。

　　但是，我们不能因为面临的威胁和困难大就拒绝使用新的技术，本身攻击和防护就是“矛与盾”的关系，发现潜在的安全问题，如何去加固与防范安全事件的发生，以此来为新技术的推广了应用保驾护航，这样才能推动技术的革新和发展。我个人是非常看好Web2.0的普及与应用的。

　　Q：企业安全应该如何管理?对国外的一些安全框架您又是如何应用的呢?能不能向大家推荐一些比较优秀的框架。

　　dreamice：对于IT行业以及互联网的不断衍化发展，安全已经成为一个专门的领域。因此，在具备条件的情况下，强烈建议企业能成立专门的安全部门。这些年，不管海外的sony事件，还是国内的某银行事件，以及CSDN与putty事件，都无不为企业在安全问题方面敲响了警钟，如果不加重视，可能对企业造成的是致命的打击。安全不是生产力，但安全是保障生产力的必要条件。

　　对于安全框架来说，目前很多有很多理论概念以及一些实质性的实施，都还不够成熟，大公司如IBM提出了“企业信息安全框架”，在开发方面又诞生了一些基于某些语言开发平台的安全框架。总之，在选择方面，大家尽量考虑成熟的框架，同时也可以借助一些开源的项目，自主搭建安全平台。总之，无论是个人还是企业，安全问题必须引起足够的重视。用一句话来总结：安全不可怕，可怕的是无视安全问题和排斥安全知识。

　　Q：如何从开发上，从源头来把控安全问题?如何做好安全开发流程，安全测试，做好安全需求?

　　dreamice：安全开发也是目前在引起普遍关注的一个重要问题，总体来说，目前实施起来比较难。虽然诞生了一些诸如“代码审计”与“代码安全性检测”的研究项目，但实用性并没有体现出来。安全有时候本身是一把双刃剑，过于严厉的安全就会制约生产力，对效率产生极大的影响。因此，安全的推广也需要足够的专业知识，正式基于这样一种原因，目前绝大多数开发人员缺乏安全知识，开发方面也没有去重视安全问题。如何解决这个问题?必须要从观念上去深入重视安全，甚至作为开发人员能力目标的一项考核指标，并加以持续性的培训，让黑客攻击行为以及一些安全利用行为不再神秘。从项目开展之初就做好安全需求，把安全需求当作一项功能需求对待;在开发流程控制上，注重每一个缓解的安全测试，把安全测试作为测试目标，作为质量的一项衡量指标。要做到这些，对于目前IT行业的现状来说，还有很长一段路要走。

　　Q：从职业发展的角度上，您是怎么看待网络安全这方面的前景，能否给新人一些建议?

　　dreamice：网络安全是近些年一个热门的领域，从物理安全，无线安全，系统安全到应用安全，以及现在的终端安全，它本身并不单一，涉及到非常广阔的领域。在浩瀚的安全领域，具备广阔的从业空间，而且因为安全事件的发生，对安全的担忧，是对安全从业人员有利的催化。可以说，在未来人们越来越重视隐私问题，在网络辐射每一个角落的发展需求下，安全人员具备极大的施展空间。目前职业发展。可以选择安全产品开发，安全服务工程师，安全架构师，信息安全咨询顾问，漏洞挖掘专家等等。

　　对于想进入安全行业的新手来说，建议不要忽视任何一门计算机课程，打下坚实的计算机基础，然后选择一两个最感兴趣的方向，深入做下去。那些黑客大拿，不但具备极高的智商，在知识能力方面都非常全面，很多人从web程序，高级语言，汇编语言，甚至机器代码都非常敏感。这里想表达的并不是指安全就是指黑客，但是我们在面临的问题往往是非常高明的，知识的力量既能带来有利的价值，也能带来极大的破坏。所以，选择一条适合自己的安全发展之路，必须要履行神圣的道德问题。

　　关注CU访谈录：http://star.chinaunix.net/