关闭

展开

职位空缺

招标资料

联络我们

企业安全管理 架构设计做起

最近,再有本地旅行社遭黑客入侵伺服器盗取客户资料并勒索赎金,这些拥有大量个人资料的机构採用的保安措施究竟是否足够?

其实,企业若缺乏有效的资讯科技系统安全管理,当系统出现漏洞或弱点而未能及时处理,黑客便有机可乘,入侵系统进行不法勾当。当事故发生时,企业如没有妥善的备份管理,系统将无法还原。

因此企业应从保护数据、加强系统及数据存取的保安,及强化系统安全设计三方面,妥善保护数据资料。首先,保护数据方面,企业须採用加密技术加密数据及资料,还要定期备份,并最少要有三份备份,以至少两种不同形式存放,其中一份备份需储存于工作地点以外的地方。

至于加强系统及数据存取的保护,企业需定时更新伺服器修补程式,并限制帐户的存取权限。同时,网站管理员的登入介面及遥距存取等敏感服务,可採用双重认证。最后,强化系统安全设计方面,企业要小心验证,及确认用户在网上应用程式输入的资料;更要把网络伺服器和数据库伺服器分开存放,后者应设于内部网络及只接受从内部网络存取。

长远来说,企业须提升资讯安全管理至国际认可水平,从安全架构设计做起,除进行安全审核及培训外,还要定期审查网络安全架构和设计,以及建立并行的系统,提供无间断服务。