上星期提到网络保安四招,减低受网络攻击的风险。除了网络,载满财务或敏感资料的企业电脑系统,也是骇客虎视眈眈的目标。因此对于中小企而言,系统保安对防止资料外洩及保持资料完整极为重要。

为方便工作,现时很多内部伺服器都可透过远端服务来存取。中小企因系统的重要档案被勒索软件加密而严重影响运作等事故,经常向香港电脑保安事故协调中心求助;而这类事故的起因,往往是远端伺服器保安出现漏洞或设定不足所致。

最基本的保护措施,是採取安全有效的密码政策。其次,还要留意伺服器的设定是否妥当,并及时更新与修补程式。

若机构提供对外的网上服务,则必须留意网站保安。提到网站保安,企业一般只会留意防火墙或HTTPS加密协定,却忽略了网站应用程式设计,而最常见的情况是并无检查用户所输入的数据,因此导致网站被插入恶意程式码,继而洩露网站资料库的所有资料。

另外,对于敏感资料,机构应留意分类及保密措施,例如为资料设定不同的保密程度,并把敏感资料加密。这样的话,即使资料外洩,骇客也难以解密,无法得到资料详情,从而减低对企业的影响。

系统维护也是保安的重要一环,却经常被人们忽略。许多企业只重视购置防火墙或防毒软件等防御措施,却忽略了定期更新系统的保安设施。现有系统或网站在操作一段时间后,可能会出现各种漏洞,故各企业应定期检查系统,掌握系统的最新问题,才能及早採取应对措施,堵塞漏洞。

下星期将为大家介绍如何加强保安监察,请各位读者留意。