為免著涼病倒,你會多穿一件外套保暖;同樣道理,企業「辨識」了電腦網絡的風險之後,下一步就要好好「保護」網絡,減低發生事故的風險。

以勒索軟件為例,一旦「中招」,電腦檔案甚至整部電腦都會被加密,並遭黑客勒索交「贖金」,癱瘓公司的運作。

上星期本欄提到,根據美國NIST CSF 資訊保安框架,在制訂資訊保安策略時,首要是「辨識」(Identify)機構面對的網絡保安風險,並釐訂風險管理的優先次序。「辨識」是CSF框架的基石,而「保護」(Protect)就在這基石之上,為機構提供最佳的數據保護和整體保安方式,以減低出現資訊保安事故的機會,確保核心運作不受影響。

知易行難,要保護機構的網絡並不容易。要方便運作,可能導致網絡保護出現漏洞;但處處限制資訊分享,則影響工作效率。所以,機構必須衡量對外連接網絡的利弊風險,採取適當的存取控制(Access Control)措施,避免系統、數據及資料在未經授權下被存取或修改。

保護措施再完善,只要任何一位人員稍一鬆懈,黑客便有機會乘虛而入。機構應透過定期的培訓(Training),提升人員的網絡保安意識,確保網絡保護政策得以順利執行。

當機構上下都具備了網絡保安意識,企業便可展開數據保安(Data Security)工作,管理方針應與其商業風險策略一致,並制定完善的網絡保安政策和處理程序(Procedures),例如:事故協調、無間業務、災後恢復等計劃,以保護重要資料。

為確保「保護網」完好無缺,必須定期進行系統及數據維護(Maintenance),並採用適當的保護技術(Protective Technology)方案來保護數據。

當網絡得到妥善的保護後,機構便需採取方法「偵測」(Detect)網絡事故,本欄下星期再談。