Web 和企业应用程序控制

随着每天都会发生引人注目的数据泄露事件，越来越多的合规计划现在要求应用程序控制。

制定这些举措是为了应对外部攻击和内部威胁。PCI DSS、SOX 和HIPAA等法规要求应用程序控制作为保护数据机密性和完整性的手段。SAP、Oracle EBS 和 Peoplesoft 等企业应用程序必须遵守针对内部威胁的监管合规性要求。

以下应用程序控制将满足大多数法规遵从性要求：

保护 Web 应用程序免受已知攻击

组织应使用 Web 应用程序防火墙 (WAF) 来强化面向公众的 Web 应用程序。WAF 会在造成任何损害之前自动检测并阻止攻击。WAF 不仅在扫描、修复和测试周期之后提供持续保护，而且完全满足 PCI DSS 要求 6.6。WAF 应防止 OWASP 十大 Web 安全风险列表，阻止已知和自定义应用程序攻击，并以虚拟方式修补特定于应用程序的漏洞。

保护和审核关键企业应用程序

企业将敏感的财务、个人和运营数据存储在企业应用程序数据库中。面对不断增加的安全风险和针对这些数据的监管审查，组织希望在不影响应用程序性能和可用性的情况下提高安全性并证明合规性。用于访问控制、活动监控和审计以及漏洞评估的综合解决方案应该具有应用程序意识，并最大限度地减少对企业应用程序的性能和操作影响。

遵循安全 Web 应用程序开发最佳实践

根据安全最佳实践实施应用程序代码可以有效减少Web应用程序中的漏洞数量。安全 Web 开发是强化应用程序并满足多项联邦和行业法规（包括PCI DSS 和马萨诸塞州数据保护法案）的重要途径。与 Web 应用程序防火墙、数据库防火墙、漏洞扫描和代码审查结合使用，安全 Web 开发提供了全面的深度防御策略。

应用供应商提供的最新安全补丁

为了确保针对漏洞提供最新的保护，组织应该为关键系统和应用程序安装安全补丁。安全补丁可保护关键资产免受已发布和易于利用的漏洞的影响。数据库和 Web漏洞评估工具可以帮助组织发现未打补丁的系统并管理补丁更新并确定其优先级。将数据库评估与数据库防火墙集成可以实现漏洞的虚拟修补——有时甚至可以在供应商补丁发布之前进行。

生成预定义和自定义合规性报告

安全和审计报告记录了法规遵从性。开箱即用的报告应展示应用程序控制的实施方式，而自定义报告则提供根据个人业务需求定制的独特视图。灵活的图形报告以及实时警报和审计分析工具使组织能够轻松了解和呈现安全与合规状态