IT風險評估及風險管理之應用安全篇

　　應用安全風險評估及風險管理對于 IT 經理人而言乃至關重要的任務。

當企業用戶把網絡做為業務運作的主要空間，意味著復雜的應用程序和資源將面臨著不斷深化的應用(程序)安全風險。這些風險有可能來自黑客和網絡罪犯，并導致應用程序受到惡意攻擊，知識產權以及客戶信息等資源被竊取。對當今企業而言，全面準確的應用安全風險評估已成為IT管理者案頭難題。

應用安全風險管理可以在企業預算、法律、道德及安全的限制下，提供優化保護。執行整體的應用安全風險評估，這將使企業能夠做出明智的決策。

Web 服務器的應用安全問題是對企業出現應用安全風險的最主要源地。執行Web 服務器的應用安全評估，并實施安全風險管理，這非常重要。以下是導致應用安全的主要安全風險的幾個關鍵項：

1、默認配置 ?默認配置的設置下，Web 服務器可能是不安全的，會遺留不必要的示例、模版和管理工具等等，使之暴露于攻擊之下。忽視應用安全風險的IT管理讓黑客可進行輕易入侵，完全控制 Web 服務器。

2、數據庫 ?Web 站點和應用程序的運行模式是交互性，因而留下風險的后門。不具備足夠應用安全保護的 Web 應用程序讓黑客能夠攻擊程序的數據庫。無益的輸入腳本有可能導致數據庫面臨多種嚴重攻擊。全面的風險評估則可展示確保應用安全的若干步驟。

3、加密 ?當 Web 服務器遭受入侵時，應用安全加密可減少應用安全風險和降低損失。即使公司的 Intranet 服務器更易于遭受攻擊的侵害，加密亦可降低風險程度。

原文轉自：http://www.anti-gravitydesign.com