提升資訊保安 3方面加強防範 (Chinese only)

上文談及香港電腦保安事故協調中心預測，以榨取金錢為目標、針對物聯網設備、流動支款應用程式及軟件更新機制的網絡攻擊，今年將會惡化，社會各界需提高警惕，加強防範。

企業想全面提升資訊保安，除要找出哪些機構的重要數據或服務需要加強保護，並定期評估對外伺服器及經常被忽略的資訊科技服務的保安風險外，更要把有關評估的適用範圍，擴大至供應鏈伙伴。

企業進行了以上活動後，便可從三方面加強資訊保安，包括：

程序管理：企業應限制機構的數據及服務暴露於互聯網及服務夥伴。同時，使用存取控制收緊權限批出，任何軟件更新亦要預先經過測試才進行。資金轉移控制亦要加強來應付商務電郵騙案；
技術控制：企業要採取措施堵塞系統的漏洞，例如安裝修補程式、強化設定安全、停用不安全服務等，並控制外界對機構的訪問，以及堵截對外的惡意網站的訪問。此外要定期備份數據，並儲存一個離線副本，以減低勒索軟件襲擊的影響；以及
提高保安意識，堵塞人為漏洞：企業應定期舉辦安全意識教育及保安演習，並規定員工使用其他通訊渠道驗證電郵發出的交易要求，及在敏感服務上採用較強的密碼及雙重認證。員工亦要提防來歷不明的電子郵件和網站，並避免使用公共 Wi-Fi 網絡傳送敏感資料。