作者:Johnny Mayer
应用安全风险评估及风险管理对于IT经理人而言乃至关重要的任务。
当企业用户把网络做为业务运作的主要空间,意味着复杂的应用程序和资源将面临着不断深化的应用(程序)安全风险。这些风险有可能来自黑客和网络罪犯,并导致应用程序受到恶意攻击,知识产权以及客户信息等资源被窃取。对当今企业而言,全面准确的应用安全风险评估已成为IT管理者案头难题。
应用安全风险管理可以在企业预算、法律、道德及安全的限制下,提供优化保护。执行整体的应用安全风险评估,这将使企业能够做出明智的决策。
Web服务器的应用安全问题是对企业出现应用安全风险的最主要源地。执行Web服务器的应用安全评估,并实施安全风险管理,这非常重要。以下是导致应用安全的主要安全风险的几个关键项:
1.默认配置–默认配置的设置下,Web服务器可能是不安全的,会遗留不必要的示例、模版和管理工具等等,使之暴露于攻击之下。忽视应用安全风险的IT管理让黑客可进行轻易入侵,完全控制 Web 服务器。
2.数据库–Web站点和应用程序的运行模式是交互性,因而留下风险的后门。不具备足够应用安全保护的 Web 应用程序让黑客能够攻击程序的数据库。无益的输入脚本有可能导致数据库面临多种严重攻击。全面的风险评估则可展示确保应用安全的若干步骤。
3.加密–当Web服务器遭受入侵时,应用安全加密可减少应用安全风险和降低损失。即使公司的 Intranet 服务器更易于遭受攻击的侵害,加密亦可降低风险程度。
