在智能科技普及應用的年代,大量業務交易透過網絡進行,企業高度依賴資訊系統協助日常營運,若不做好資訊保安工作,不但有機會令業務癱瘓,甚至洩漏客戶私隱資料,除影響企業形象,更可能因為未有妥善保存資料,招致被第三方索償。中小企可能都察覺網絡保安的重要性,但從何入手提升機構的網絡保安,確是令人頭疼的事。
針對中小企的難題,香港生產力促進局(生產力局)屬下香港電腦保安事故協調中心(協調中心)最近編製了一份《中小企網絡安全七大攻略》,從資訊保安政策和資訊保安管理、端點保安、網絡保安、系統保安、保安監察、保安事故處理及用戶意識七個層面,分享良好作業模式,以及自我保安風險評估的步驟,助中小企運用有限的資源,去應付日趨複雜狡猾的網絡保安威脅。
一、資訊保安政策和資訊保安管理
在資訊保安系統中,制定正確的資訊保安政策,管理員工妥善地執行政策,是決定保安水平的關鍵要素。資訊保安政策應由管理層策劃,須因應本身的營商環境和資源,並配合業務需要和風險管理策略而制定,但絕非是一成不變,機構可根據實際情況及資訊保安要求的變化,適時更新資訊保安政策。
資訊保安政策的制定與管理是一個持續的過程,需要管理層及企業上下員工的通力合作,才能確保資訊保安政策妥善執行。管理層應提供充足資訊和培訓,確保員工了解企業的資訊保安要求,並在工作中積極遵守。
二、端點保安
員工在日常業務中所使用的電腦或設備,只要連接網絡,便可界定為「端點」。最常用的電子郵件通訊、瀏覽網頁或使用商業應用程式,也在端點上進行。所以,端點就是網絡的門戶,駭客一般會從較易存取、保安較差的端點來入侵企業的網絡系統。保護端點就等於守護網絡系統、防止駭客入侵的第一道防線。
要加強端點的保安防護,所有端點電腦都應安裝防毒和防惡意程式軟件,並保持最新版本及定期更新;同時,端點電腦應適時安裝修補程式,以堵塞系統漏洞,由電腦部門監察用戶電腦的更新情況。用戶帳號只應設有最低限度的合適權限,並與擁有管理員權限的帳號分開使用;
而在瀏覽網頁時,可使用代理伺服器阻擋可疑網址。
三、網絡保安
中小企往往因為資源有限,未能有效地保護網絡,成為網絡攻擊的受害者,嚴重者更可能洩漏企業敏感資料,後果不可小覷。若企業能根據網絡保安的最佳實務指引來配置網絡,並定期評估網絡保安水平,便可大幅減低受網絡攻擊的風險。
企業可使用防火牆保護其網絡服務,把公眾可以存取的服務與內部網絡分開,並限制遠端連接和互聯網,更要定期進行專業的網絡保安水平評估,以避免發生網絡事故。
四、系統保安
為方便工作,現時很多內部伺服器都可透過遠端服務來存取。如果遠端伺服器保安出現漏洞或設定不足,黑客便有機可乘,入侵系統將重要檔案加密,向企業作出勒索。
最基本的保護措施,是採取安全有效的密碼政策。其次,留意伺服器的設定是否妥當,並及時更新與修補程式。若機構提供對外的網上服務,必須留意網站保安。另外,對於敏感資料,機構應留意資料分類和保密措施。系統必須定期掃描和安裝保安更新,掌握系統的最新問題,及早採取應對措施和堵塞漏洞。
五、保安監察
生產力局 2018 年 4 月首次發表的「SSH 香港企業網絡保安準備指數調查」結果發現,本港企業縱然正在使用既有的保安方法及技術偵測網絡威脅,惟連基本的門檻都尚未可達。
企業要實行良好的資訊保安監察,可啟用網絡設備(例如防火牆)和伺服器的日誌記錄功能,以便詳盡記錄公司每位員工使用網絡資源時的連接嘗試和活動等日常作業,並把有關記錄儲存於特定的日誌伺服器,方便審查和監察。此外,要定期監察網絡流量(例如互聯網流量),以偵測流量模式是否出現不尋常的變化。
六、保安事故處理
無論擁有強大技術團隊的跨國企業,或是只有寥寥數十人的中小企,根本難以確保其電腦系統保安滴水不漏、百毒不侵;規劃完善的保安事故處理程序,刻不容緩。企業必須要做好資訊保安防禦工作,並建立危機事故處理程序,以便可以及時處理事故,免招損失。
以防萬一,企業須制定危機事故處理政策,包括黑客入侵和災難應變措施,同時要定期為系統和數據進行遙距離線備份。事故發生期間,即時啟動應變程序,務求可以儘快恢復運作。善後工作完成後,應調查及檢討事故發生的原因,評估再次發生事故的風險,同時需要審視現有系統的安全架構及危機事故處理政策,進一步加強安全措施,防患未然。
七、用戶意識
根據美國權威電腦保安培訓機構 SANS Institute 分析指出,95%的網絡安全事故皆由人為。用戶稍一不慎下載了可疑郵件中的惡意檔案,便可能引發安全事故。為防患未然,企業應向員工灌輸最新的網絡安全意識,確保員工了解自身對保護信息資產(Information Assets)的責任。若用戶能成為守護網絡的最後一道防線,定能減低發生網絡保安事故的風險。
企業應定期為員工提供培訓,認識最新的網絡安全事故趨勢,加以學習和提防。現今數碼發展蓬勃,釣魚網站肆虐,企業務必要提醒員工妥善管理電郵,尤其應該即時刪除可疑電郵,還要教導員工如何分辨勒索電郵的真偽。除了培訓之外,企業亦應定期進行網絡安全事故演習,測試員工是否充分準備應對常見的網絡攻擊,藉以提升員工辨別和舉報可疑電郵的意識。
希望中小企能謹記以上的「網絡安全七大攻略」,採取良好作業模式,以應對層出不窮的網絡保安威脅。
如欲下載《中小企網絡安全七大攻略》全文或了解更多電腦保安資訊,請瀏覽香港電腦保安事故協調中心網址:www.hkcert.org。
資料提供:香港生產力促進局屬下香港電腦保安事故協調中心
