上文提及香港電腦保安事故協調中心總結「中小企業網站免費保安檢查先導計劃」,指出不需花太多資源和時間,也能做好網站保安。現在續談簡單有效的網站保安措施。

首先,網站負責人需定期掃描網站,並根據具公信力的網絡保安標準進行評核,例如網上應用程式安全計劃(OWASP)十大保安風險、PCI安全標準等。完成網站掃描後,要跟進由掃描結果提供的補救建議修復漏洞;若超出自己的執行能力,應向所屬的網頁寄存公司尋求協助。

網站基礎設施保護方面,除要執行網絡應用程式防火牆外,網站負責人還需確保網頁寄存公司有足夠的保安功能。若網頁寄存公司未能滿足網絡保安需要,可考慮轉用雲端寄存服務,以獲得更合適及貼身的保護。

網絡威脅偵測亦是網站保安的重要一環,網站負責人可利用Google網站管理員的支援工具,協助監測及修復網站。還可善用在線聲譽管理工具,識別涉及惡意軟件事件、欺詐活動和釣魚網站的網址。

另外,網站負責人亦要在其辦公用的電腦及裝置做足基本的保安措施,例如定期更新作業系統及應用軟件、安裝保安程式等;並定期備份數據,及儲存一個離線副本。

網站負責人亦要評估網站對業務運作的重要性。若預料網站出現問題會影響機構的日常業務,便要制定應變方案,並定期進行演習,以便一旦受到網絡攻擊時,可立即採取應變行動,減低服務中斷所帶來的損失。