安全服务的思考

你在火车上的时候，我跟王博士通过邮件，聊了很多。现在的安全服务，应该如何做呢？ 依据标准和一些成熟的操作方法，能找出潜在的风险和各类问题吗？用户关注的问题解决了吗？还是被我们引导转移了？通过我们的努力，能让用户的信息资产，更好地发挥作用了吗？
我觉的，现在我们做的，都没有解决好这些问题。用了这么大的投入，是不是一做完，就不会发生损害，或者发生前能够预知风险吗？ 老感觉里面遗漏了什么东西。当然，比国内其它安全公司来说，靳兄经验老道，最全面最深入，我无论如何努力，也无法做到这么好的效果。但这里面，我觉的主要的疑惑，现在的安全防护模式，其实是有很大问题吧。如果安全防护模式不完备，评估能做到什么程度呢？有多少人在研究更好的安全防护模式？有多少公司掌握了攻与防的精粹？现在什么模式能有效的检测攻击，抵御攻击，有效地进行系统防护？一千多万种病毒，杀毒软件靠特征码能解决多少？新病毒呢？防火墙更不用说。了，在新的攻击方法下，作用更来更小，尤其注入、跨站一类的攻击，防火墙基本毫无作用。。。。。。。

前几天晚上做梦，想了一种很好的模式，可惜现在怎么也想不起来了，是怎么来着呢？
瞎想一下吧，思考使人清爽嘛