IT风险评估及风险管理之应用安全篇

　　应用安全风险评估及风险管理对于 IT 经理人而言乃至关重要的任务。

当企业用户把网络做为业务运作的主要空间，意味着复杂的应用程序和资源将面临着不断深化的应用(程序)安全风险。这些风险有可能来自黑客和网络罪犯，并导致应用程序受到恶意攻击，知识产权以及客户信息等资源被窃取。对当今企业而言，全面准确的应用安全风险评估已成为IT管理者案头难题。

应用安全风险管理可以在企业预算、法律、道德及安全的限制下，提供优化保护。执行整体的应用安全风险评估，这将使企业能够做出明智的决策。

Web 服务器的应用安全问题是对企业出现应用安全风险的最主要源地。执行Web 服务器的应用安全评估，并实施安全风险管理，这非常重要。以下是导致应用安全的主要安全风险的几个关键项：

1、默认配置 ?默认配置的设置下，Web 服务器可能是不安全的，会遗留不必要的示例、模版和管理工具等等，使之暴露于攻击之下。忽视应用安全风险的IT管理让黑客可进行轻易入侵，完全控制 Web 服务器。

2、数据库 ?Web 站点和应用程序的运行模式是交互性，因而留下风险的后门。不具备足够应用安全保护的 Web 应用程序让黑客能够攻击程序的数据库。无益的输入脚本有可能导致数据库面临多种严重攻击。全面的风险评估则可展示确保应用安全的若干步骤。

3、加密 ?当 Web 服务器遭受入侵时，应用安全加密可减少应用安全风险和降低损失。即使公司的 Intranet 服务器更易于遭受攻击的侵害，加密亦可降低风险程度。

原文转自：http://www.ltesting.net