关闭

展开

职位空缺

招标资料

联络我们

中小企网站不设防 成黑客宝藏

香港电脑保安事故协调中心去年共接获485宗资讯科技系统保安漏洞事故报告,其中涉及网站伺服器的便有405宗,佔84%,可见不少网站负责人的基本保安意识不足。

针对这情况,协调中心去年推出一项先导计划,推动中小企採用「检查、行动、验证」方法提升网站安全。这计划为参与企业免费检查网站,从中找出保安漏洞,并提供改善建议;再由企业以本身资源在两个月内执行修復方案,然后进行第二次检查,以验证成效。先导计划已于去年底完成。

协调中心分析企业的检查及修復情况后,综合成为报告。当中发现,首次网站安全检查找出的保安漏洞,84%属需要即时处理的「危险」或「严重」级别漏洞。漏洞种类方面,未有适时安装保安更新佔最多(38%),其次为採用薄弱的输入确认程式(24%)。纵使如此,在第二次检查中仍有高达一半参加者没有修復任何已侦测到的漏洞,近一成更拒绝参与检查,情况令人担忧。

中小企或认为网站没甚么敏感资料,便以资源有限为藉口,将网站保安投闲置散。其实,网站本身就是一个丰富的资产,黑客可透过控制网站伺服器散播恶意软件,甚至发动分散式阻断服务攻击,因此中小企必须做好网站保安。其实很多修復措施只需少量资源和时间,便能大大提升网站的安全。至于可以採用哪些措施,下文续谈。