近几年国内重大的安全事件,不再是过去操作系统漏洞或网络攻击威胁,而是逐渐转向企业网络对外的Web站点,例如:网络在线交易网站、企业的电子商务网站与企业内部的ERP、CRM系统等,均是Web系统服务(SQL Injection)的问题。
信息资产就和企业其它重要的资产一样,对企业而言是非常具有价值的,应该被妥善加以保护并可被审核。由于信息系统面临着许多安全的威胁,因此对信息系统安全风险应加以管理,以降低系统所提供信息的不及时性、不完整性与不正确性,并设置适当控制及保存审核档案记录,以便及时发现并追踪恶意行为,防范入侵与攻击,进而确保信息系统的安全。