主题：【原创】网络安全的故事（一） -- 代码ABC

1.我把SQL注入也归入系统缺陷，只是在应用层面。这是典型的菜鸟程序员造成的问题。老鸟一般都把外部输入参数化。新的web程序一般也不再直接生成SQL，而是透过framework来和数据库交互，framework里也都是参数化的。OS一层的漏洞发现和厂商发布补丁之间的时间差一般小于两三个星期。IT部门如果每月打补丁，则有不到两个月的风险期。流程自动化程度高的话overhead可以忽略。

2.后面的措施就是为了防止木马被加载。

3.不光是流量，还有连接，比如服务器A不应该访问服务器B，现在switch上报告多个A到B的访问企图，可以判断A有问题，下一步控制switch作出反应。

4.网络存储指SAN，支持continuous data protection的SAN，和虚拟层一样，在OS的下层运行。

5.还有一点，前台服务器本身做成state less的虚拟机，如果存疑即将虚拟机状态回滚。或者干脆有个server farm，成员们轮班定期回滚。