安全損害給企業帶來的消極影響巨大且深遠。例如，企業有可能會消耗大量的時間和努力來修復系統、打官司及恢復聲譽等。在涉及到安全問題時，企業需要做的功課還很多。

許多IT的決策者傾向于將其安全工作的重點幾乎完全放在了網絡外圍。他們忽視了每天都在運行著其日常業務的應用程序，這些操作可以使客戶和廠商與內部系統發生交互。這些應用程序往往與信用卡、個人身份信息等有密切的關聯，容易被攻擊者利用。

但僅僅重視基礎架構和應用程序級的安全功能是不夠的。企業還必須考慮其設計和實施中的缺陷。搜索企業應用程序內部的安全缺陷的黑客常常能夠發現這些缺陷，因而能夠不受限制地訪問硬件、操作系統和應用程序與其進行交互的數據。事實上，多數安全損害都是由應用程序造成的。

企業等待解決安全問題的時間越長，其代價就越高昂。因為每個應用程序都可能包含安全缺陷，因而盡早地確認和減輕這些缺陷可以為企業節省大量的金錢。所以，不應當忽視或拖延應用程序的安全問題。

有些公司也能夠理解應用程序的安全風險，并且為使風險最小化還分配了責任。建立首席信息安全官（CISO）這個角色的目的就是如此。企業應當為每個應用程序的開發小組都指派一個安全專家，確保所有的開發者都可以輕易地訪問應用程序的安全問題的解決方法，這應當成為一種常識和慣例。

然而，確認安全漏洞的方法有著很大的不同。例如，在滲透測試中，軟件從網絡的外部模仿黑客的行為，而且這種測試還可以由“白帽”黑客手工突破應用程序的安全性，對軟件測試起到補充作用。很不幸的是，滲透測試的效用是很有限的。在測試結束時，它只能發現問題，并不是解決問題，而且也不能保證發現所有潛在的問題。所以國外有人將“滲透測試”戲稱為“惡劣狀態指示器”。

還有些企業通過Web應用程序防火墻來解決應用程序的安全問題。這種設備可以監視進出應用程序的通信，進而分析并阻止通信中的異常。這種技術在實際使用時可能會面臨困難，因為所發現的異常模式有可能實際上是合法通信。

為保證數據的安全，健全的方法必須能夠檢查應用程序的內部運作，能夠發現產生安全漏洞的代碼在哪一行。該方法需要在代碼級別上解決這些漏洞。最后，該方法必須用一種全面的防御策略來應對風險因素。

作為一位首席信息安全官，應當采取哪些措施來避免安全危害呢？

一、發現并評估潛在的漏洞

1、對所有的應用程序實施風險管理方法

對所有企業來說，這個階段的首要一步是部署一種能夠創建每個應用程序的最新特征（這包括版本號、更新、補丁、當前配置等）的資產管理系統。這種信息可以與已知的漏洞建立關聯，并可以跟蹤必要的更改。這種信息還支持應用程序的風險等級排隊，并且為保護應用程序的安全，還需要確定為此付出的努力的優先順序。

2、確認與某個特定應用程序進行交互的所有應用軟件進程。

檢查端到端的應用程序的數據流，確認每個應用程序與其它應用程序、硬件或數據發生交互的點。這些點最有可能成為攻擊者的目標。必須注意，應用程序組件，如web2.0組件、面向服務的架構、開源庫、老系統等都常常用于新開發的應用程序內部，并有可能成為數據流的一部分。知道這些組件在哪里，并知道每個組件中會發生什么，就可以更輕松地分析數據和操作通過的路徑。

3、區分漏洞的優先順序

上述步驟會產生一個需要解決的多種漏洞的清單。不要從小漏洞開始，應當優先考慮對企業運營和戰略最有可能產生潛在影響的漏洞。雖然你可以也應當使用這個漏洞清單作為下一步的行動指南，但這些漏洞僅僅代表許多企業需要馬上就解決的一部分問題。系統性的問題來自于開發過程。許多正在使用中的老應用程序常常易于遭受攻擊。
 

二、培養風險意識和解決問題

1、向相關人員發出風險警告及補救的需要

僅僅告知相關人員：應用程序的安全是整個信息安全的一個關鍵組成部分，這是遠遠不夠的。他們需要理解不安全的應用程序威脅企業的特定方面及其潛在后果：損害客戶信息、違規、丟失客戶、影響銷售等。安全專業人員要教育IT人員，特別是要教育應用程序的所有開發者，發現并解決安全漏洞。

2、教育開發人員

修復錯誤的最佳方法是一開始就不犯錯誤。不幸的是，多數培訓機構（包括大學）都沒有教育程序員如何安全地編程。用高效的教育方法，向軟件的開發人員展示其代碼中的漏洞，就可以強調在開發周期的多個時點上審計和測試源代碼的重要性。

3、強化內部人員的安全意識

企業可使用海報、T恤衫、重要會議等方式來強化安全意識，要求開發人員的安全培訓能夠傳遞保障應用程序安全的概念和重要性。在安全有重要影響的企業中，安全也是性能評估過程的一部分。

三、創建并部署、配置應用程序安全功能

1、制定保障應用程序環境安全的要求

企業必須從明確定義的要求開始。每一個應用程序以及應用程序環境都要作為一個整體，必須包含能夠將預防、檢測和糾正問題作為一個安全整體的特性，必須包含防止安全損害的能力，必須在用戶無法防止時能夠檢測安全損害，并能夠補救由于未檢測到的威脅所造成的任何損害。

2、為應用程序制定多層安全訪問控制機制

當今的應用程序不能僅靠口令來保障其安全。新的認證方法可以使公司領先于黑客社團的有組織犯罪，而深度防御是應對日漸猖獗的間諜軟件一種好方法。關于深度防御，本人在日后的文章中將深入闡述。

3、將防止、檢測、修復安全損害的功能納入到已經購買的、外包的、內建的或其它來源的應用程序中

首先，購買的應用程序往往包含自己的防御和檢測功能，卻很少包括修復和恢復功能。應向開發人員或廠商要求已知漏洞的補丁，并要知道已經應用了哪些安全補丁。在簽訂任何合同之前，要求加入一條必須對任何確認的漏洞立即打補丁的條款，還要規定相應的違約責任。

其次，外包的應用程序通常也包含安全功能，但未必滿足公司的所有需求。你必須批判地分析這些功能，并用內部開發的方案或插件來補充。對于已經為公司定制的外包應用程序，你必須確保該程序能夠與客戶端身份管理系統或其它訪問控制機制相集成。

第三，內部開發的應用程序必須根據已經認可的可用組件并包含防御、檢測、糾正等功能。所有的內部開發人員必須對每一個應用程序使用同樣的安全組件，以確保連續性并使創建的代碼數量最少化。必須在多個時點上在多個應用程序之間測試這些可用組件，以確保跨應用程序的安全性。

第四，開源軟件必須與內建軟件一樣遵循同樣的規則，內部的開發人員要能夠影響可用組件的創建和可用性。開發人員最好是開源社區的一部分，只有這樣他們才能參與到確認安全問題并針對漏洞打補丁的過程中。

4、在打補丁或編碼后，要測試修復程序，以確保該過程能夠解決漏洞及其根源。

在應用了補丁后，要執行壓力測試，檢查整個系統的安全性而不僅僅是檢查補丁是否正常工作。例如，假設你的登錄功能有一個漏洞，其中的系統能夠將口令中的星號（*）當作是一個通配符，從而可以使任何人都可以訪問系統。在常規測試中，開發人員要增加一個補丁程序，用星號測試大量的口令，確保系統不會將星號當作通配符，然后再把打了補丁的軟件投入到實際的工作（生產）環境中。而在壓力測試中，開發人員必須測試每一類用戶名和口令，確保系統不會將某個其它符號當作一個通配符。