安全损害给企业带来的消极影响巨大且深远。例如，企业有可能会消耗大量的时间和努力来修复系统、打官司及恢复声誉等。在涉及到安全问题时，企业需要做的功课还很多。

　　许多IT的决策者倾向于将其安全工作的重点几乎完全放在了网络外围。他们忽视了每天都在运行着其日常业务的应用程序，这些操作可以使客户和厂商与内部系统发生交互。这些应用程序往往与信用卡、个人身份信息等有密切的关联，容易被攻击者利用。

　　但仅仅重视基础架构和应用程序级的安全功能是不够的。企业还必须考虑其设计和实施中的缺陷。搜索企业应用程序内部的安全缺陷的黑客常常能够发现这些缺陷，因而能够不受限制地访问硬件、操作系统和应用程序与其进行交互的数据。事实上，多数安全损害都是由应用程序造成的。

　　企业等待解决安全问题的时间越长，其代价就越高昂。因为每个应用程序都可能包含安全缺陷，因而尽早地确认和减轻这些缺陷可以为企业节省大量的金钱。所以，不应当忽视或拖延应用程序的安全问题。

　　有些公司也能够理解应用程序的安全风险，并且为使风险最小化还分配了责任。建立首席信息安全官(CISO)这个角色的目的就是如此。企业应当为每个应用程序的开发小组都指派一个安全专家，确保所有的开发者都可以轻易地访问应用程序的安全问题的解决方法，这应当成为一种常识和惯例。

　　然而，确认安全漏洞的方法有着很大的不同。例如，在渗透测试中，软件从网络的外部模仿黑客的行为，而且这种测试还可以由“白帽”黑客手工突破应用程序的安全性，对软件测试起到补充作用。很不幸的是，渗透测试的效用是很有限的。在测试结束时，它只能发现问题，并不是解决问题，而且也不能保证发现所有潜在的问题。所以国外有人将“渗透测试”戏称为“恶劣状态指示器”。

　　还有些企业通过Web应用程序防火墙来解决应用程序的安全问题。这种设备可以监视进出应用程序的通信，进而分析并阻止通信中的异常。这种技术在实际使用时可能会面临困难，因为所发现的异常模式有可能实际上是合法通信。

　　为保证数据的安全，健全的方法必须能够检查应用程序的内部运作，能够发现产生安全漏洞的代码在哪一行。该方法需要在代码级别上解决这些漏洞。最后，该方法必须用一种全面的防御策略来应对风险因素。

　　作为一位首席信息安全官，应当采取哪些措施来避免安全危害呢?

　　一、发现并评估潜在的漏洞

　　1、对所有的应用程序实施风险管理方法

　　对所有企业来说，这个阶段的首要一步是部署一种能够创建每个应用程序的最新特征(这包括版本号、更新、补丁、当前配置等)的资产管理系统。这种信息可以与已知的漏洞建立关联，并可以跟踪必要的更改。这种信息还支持应用程序的风险等级排队，并且为保护应用程序的安全，还需要确定为此付出的努力的优先顺序。

　　2、确认与某个特定应用程序进行交互的所有应用软件进程

　　检查端到端的应用程序的数据流，确认每个应用程序与其它应用程序、硬件或数据发生交互的点。这些点最有可能成为攻击者的目标。必须注意，应用程序组件，如web2.0组件、面向服务的架构、开源库、老系统等都常常用于新开发的应用程序内部，并有可能成为数据流的一部分。知道这些组件在哪里，并知道每个组件中会发生什么，就可以更轻松地分析数据和操作通过的路径。

　　3、区分漏洞的优先顺序

　　上述步骤会产生一个需要解决的多种漏洞的清单。不要从小漏洞开始，应当优先考虑对企业运营和战略最有可能产生潜在影响的漏洞。虽然你可以也应当使用这个漏洞清单作为下一步的行动指南，但这些漏洞仅仅代表许多企业需要马上就解决的一部分问题。系统性的问题来自于开发过程。许多正在使用中的老应用程序常常易于遭受攻击。

(责任编辑：)