跳转到主要内容

资讯保安随笔 - 香港电脑保安事故协调中心推线上网络安全「验身服务」 助中小企提升网保健康

数码转型或科技升级是各行各业未来发展新策略,特别在新冠疫情持续、百业萧条下,网络营销更成为企业突围而出的重要方式。然而,随着智能科技应用越趋普及,企业高度依赖资讯系统协助日常营运,大量业务交易透过网络进行,当中牵涉到的商业机密或客户私隐资料就须加以保护。若稍有松懈,资讯保安工作不周,导致服务中断或资料洩漏,企业不但声誉受损,更可能就数据保护方面的疏忽被第三方索偿。

中小企或许都明白网络保安的重要性,奈何资源紧绌,缺乏保安技术及知识,往往只能在问题出现时「头痛医头,脚痛医脚」,未有定期评估保安风险,并跟进结果以改善保安技术和管理。针对中小企的难题,生产力局辖下的香港电脑保安事故协调中心(HKCERT)就推出了「评估你的网络保安状况」线上评估工具,助中小企运用有限的资源,应付日趋复杂的网络保安威胁。

「评估你的网络保安状况」线上自我评估。

按用户回答提供合适建议

「评估你的网络保安状况」线上评估工具自2021年9月推出以来,平均每月录得近20间来自不同行业及公司规模的企业使用。评估工具内容全面,涵盖7大网络保安层面:

  • 资讯保安政策和资讯保安管理:企业管理层在网络安全风险管理方面的安全要求和态度
  • 端点保安:业务讯息存取入口点
  • 网络保安:互联网外部侵入企业网络风险
  • 系统保安:执行关键任务的系统安全准则和指引
  • 保安监察:监控和检测讯息系统的机制
  • 保安事故处理:针对不同事故所制订的应对计划
  • 用户意识:了解保护企业讯息资产方面的角色和责任

据统计,表现最差的是「系统保安」,虽然有7成线上评估工具的使用者表示有伺服器密码政策,但只有不足4成表示有聘请专业人员定期对关键任务系统进行渗透测试,更只有不足5成表示机构有既定流程去定期更新系统修补程式。而表现最好的是「网络保安」,超过8成线上评估工具的使用者表示机构有设置防火墙,当中接近7成表示有定期审查防火墙规则。

除此之外,评估工具会计算评估分数并提供合适建议,以及来自HKCERT或其他网络保安机构的实际操作指南,用户可以按照最佳实践来加强企业网络保安较弱的层面:

  1. 资讯保安政策和资讯保安管理
    • 员工应有机会阅读安全政策,了解公司的安全要求,并在入职时确认他们会遵从要求。
  2. 端点保安
    • 端点电脑应受到防病毒和反恶意软件等安全的保护。
    • 病毒特徵档和安全软件应保持最新,以保护端点免受威胁。
    • 端点电脑操作系统的安全补丁也应保持最新。
  3. 网络保安
    • 应正确配置防火墙,尽可能减少企业暴露于互联网的络端口。
    • 应定期审查防火墙规则。
  4. 系统保安
    • 应及时更新系统补丁以防止最新的威胁。
    • 面向互联网的伺服器应避免存储敏感讯息。在伺服器中储存敏感资料时,应把敏感资料屏蔽或加密。
  5. 保安监察
    • 应在网络设备(例如防火墙)和伺服器中启用日志记录。
    • 日志记录应集中储存在某个位置,方便进行定期审查和监控。
    • 应及时检查日志记录,以便正确处理检测到的问题。
  6. 保安事故处理
    • 根据不同的情况制定事件应对计划(包括不同类型的安全事件)。
    • 演练恢復程序以确保可以正确恢復备份。
  7. 用户意识
    • 应定期提醒员工保护机构讯息资产的角色和责任,例如:员工意识培训。
    • 可以执行演习(例如模拟网络钓鱼攻击)来测试员工是否准备好应对常见的网络攻击。

评估结果页面分为6个部分,包括评估分数、评估基准、你的答案、控制理念、最佳实践及更多资源。用户可使用「列印」按钮以打印表或PDF格式输出,方便匯报或记录保存评估结果。

「评估你的网络保安状况」线上自我评估:
https://www.hkcert.org/tc/resources/check-your-cyber-security-readiness