香港電腦保安事故協調中心去年共接獲485宗資訊科技系統保安漏洞事故報告,其中涉及網站伺服器的便有405宗,佔84%,可見不少網站負責人的基本保安意識不足。

針對這情況,協調中心去年推出一項先導計劃,推動中小企採用「檢查、行動、驗證」方法提升網站安全。這計劃為參與企業免費檢查網站,從中找出保安漏洞,並提供改善建議;再由企業以本身資源在兩個月內執行修復方案,然後進行第二次檢查,以驗證成效。先導計劃已於去年底完成。

協調中心分析企業的檢查及修復情況後,綜合成為報告。當中發現,首次網站安全檢查找出的保安漏洞,84%屬需要即時處理的「危險」或「嚴重」級別漏洞。漏洞種類方面,未有適時安裝保安更新佔最多(38%),其次為採用薄弱的輸入確認程式(24%)。縱使如此,在第二次檢查中仍有高達一半參加者沒有修復任何已偵測到的漏洞,近一成更拒絕參與檢查,情況令人擔憂。

中小企或認為網站沒甚麼敏感資料,便以資源有限為藉口,將網站保安投閒置散。其實,網站本身就是一個豐富的資產,黑客可透過控制網站伺服器散播惡意軟件,甚至發動分散式阻斷服務攻擊,因此中小企必須做好網站保安。其實很多修復措施只需少量資源和時間,便能大大提升網站的安全。至於可以採用哪些措施,下文續談。