关闭

展开

职位空缺

招标资料

联络我们

提升资讯保安 3方面加强防范

上文谈及香港电脑保安事故协调中心预测,以榨取金钱为目标、针对物联网设备、流动支款应用程式及软件更新机制的网络攻击,今年将会恶化,社会各界需提高警惕,加强防范。

企业想全面提升资讯保安,除要找出哪些机构的重要数据或服务需要加强保护,并定期评估对外伺服器及经常被忽略的资讯科技服务的保安风险外,更要把有关评估的适用范围,扩大至供应链伙伴。

企业进行了以上活动后,便可从三方面加强资讯保安,包括:

  1. 程序管理:企业应限制机构的数据及服务暴露于互联网及服务伙伴。同时,使用存取控制收紧权限批出,任何软件更新亦要预先经过测试才进行。资金转移控制亦要加强来应付商务电邮骗案;
  2. 技术控制:企业要採取措施堵塞系统的漏洞,例如安装修补程式、强化设定安全、停用不安全服务等,并控制外界对机构的访问,以及堵截对外的恶意网站的访问。此外要定期备份数据,并储存一个离线副本,以减低勒索软件袭击的影响;以及
  3. 提高保安意识,堵塞人为漏洞:企业应定期举办安全意识教育及保安演习,并规定员工使用其他通讯渠道验证电邮发出的交易要求,及在敏感服务上採用较强的密码及双重认证。员工亦要提防来歷不明的电子邮件和网站,并避免使用公共 Wi-Fi 网络传送敏感资料。