IT風險評估及風險管理之應用安全篇(轉)

IT風險評估及風險管理之應用安全篇(轉)[@more@]

　　應用安全風險評估及風險管理對於 IT 經理人而言乃至關重要的任務。

當企業使用者把網路做為業務運作的主要空間，意味著複雜的應用程式和資源將面臨著不斷深化的應用(程式)安全風險。這些風險有可能來自駭客和網路罪犯，並導致應用程式受到惡意攻擊，智慧財產權以及客戶資訊等資源被竊取。對當今企業而言，全面準確的應用安全風險評估已成為IT管理者案頭難題。

應用安全風險管理可以在企業預算、法律、道德及安全的限制下，提供最佳化保護。執行整體的應用安全風險評估，這將使企業能夠做出明智的決策。

Web 伺服器的應用安全問題是對企業出現應用安全風險的最主要源地。執行Web 伺服器的應用安全評估，並實施安全風險管理，這非常重要。以下是導致應用安全的主要安全風險的幾個關鍵項：

1、預設配置 ?預設配置的設定下，Web 伺服器可能是不安全的，會遺留不必要的示例、模版和管理工具等等，使之暴露於攻擊之下。忽視應用安全風險的IT管理讓駭客可進行輕易入侵，完全控制 Web 伺服器。

2、資料庫 ?Web 站點和應用程式的執行模式是互動性，因而留下風險的後門。不具備足夠應用安全保護的 Web 應用程式讓駭客能夠攻擊程式的資料庫。無益的輸入指令碼有可能導致資料庫面臨多種嚴重攻擊。全面的風險評估則可展示確保應用安全的若干步驟。

3、加密 ?當 Web 伺服器遭受入侵時，應用安全加密可減少應用安全風險和降低損失。即使公司的 Intranet 伺服器更易於遭受攻擊的侵害，加密亦可降低風險程度。