數碼轉型或科技升級是各行各業未來發展新策略,特別在新冠疫情持續、百業蕭條下,網絡營銷更成為企業突圍而出的重要方式。然而,隨著智能科技應用越趨普及,企業高度依賴資訊系統協助日常營運,大量業務交易透過網絡進行,當中牽涉到的商業機密或客戶私隱資料就須加以保護。若稍有鬆懈,資訊保安工作不周,導致服務中斷或資料洩漏,企業不但聲譽受損,更可能就數據保護方面的疏忽被第三方索償。
中小企或許都明白網絡保安的重要性,奈何資源緊絀,缺乏保安技術及知識,往往只能在問題出現時「頭痛醫頭,腳痛醫腳」,未有定期評估保安風險,並跟進結果以改善保安技術和管理。針對中小企的難題,生產力局轄下的香港電腦保安事故協調中心(HKCERT)就推出了「評估你的網絡保安狀況」線上評估工具,助中小企運用有限的資源,應付日趨複雜的網絡保安威脅。
按用戶回答提供合適建議
「評估你的網絡保安狀況」線上評估工具自2021年9月推出以來,平均每月錄得近20間來自不同行業及公司規模的企業使用。評估工具内容全面,涵蓋7大網絡保安層面:
- 資訊保安政策和資訊保安管理:企業管理層在網絡安全風險管理方面的安全要求和態度
- 端點保安:業務訊息存取入口點
- 網絡保安:互聯網外部侵入企業網絡風險
- 系統保安:執行關鍵任務的系統安全準則和指引
- 保安監察:監控和檢測訊息系統的機制
- 保安事故處理:針對不同事故所製訂的應對計劃
- 用戶意識:了解保護企業訊息資產方面的角色和責任
據統計,表現最差的是「系統保安」,雖然有7成線上評估工具的使用者表示有伺服器密碼政策,但只有不足4成表示有聘請專業人員定期對關鍵任務系統進行滲透測試,更只有不足5成表示機構有既定流程去定期更新系統修補程式。而表現最好的是「網絡保安」,超過8成線上評估工具的使用者表示機構有設置防火牆,當中接近7成表示有定期審查防火牆規則。
除此之外,評估工具會計算評估分數並提供合適建議,以及來自HKCERT或其他網絡保安機構的實際操作指南,用戶可以按照最佳實踐來加強企業網絡保安較弱的層面:
- 資訊保安政策和資訊保安管理:
- 員工應有機會閱讀安全政策,了解公司的安全要求,並在入職時確認他們會遵從要求。
- 端點保安:
- 端點電腦應受到防病毒和反惡意軟件等安全的保護。
- 病毒特徵檔和安全軟件應保持最新,以保護端點免受威脅。
- 端點電腦操作系統的安全補丁也應保持最新。
- 網絡保安:
- 應正確配置防火牆,盡可能減少企業暴露於互聯網的絡端口。
- 應定期審查防火牆規則。
- 系統保安:
- 應及時更新系統補丁以防止最新的威脅。
- 面向互聯網的伺服器應避免存儲敏感訊息。在伺服器中儲存敏感資料時,應把敏感資料屏蔽或加密。
- 保安監察:
- 應在網絡設備(例如防火牆)和伺服器中啟用日誌記錄。
- 日誌記錄應集中儲存在某個位置,方便進行定期審查和監控。
- 應及時檢查日誌記錄,以便正確處理檢測到的問題。
- 保安事故處理:
- 根據不同的情況制定事件應對計劃(包括不同類型的安全事件)。
- 演練恢復程序以確保可以正確恢復備份。
- 用戶意識:
- 應定期提醒員工保護機構訊息資產的角色和責任,例如:員工意識培訓。
- 可以執行演習(例如模擬網絡釣魚攻擊)來測試員工是否準備好應對常見的網絡攻擊。
評估結果頁面分為6個部分,包括評估分數、評估基準、你的答案、控制理念、最佳實踐及更多資源。用戶可使用「列印」按鈕以打印表或PDF格式輸出,方便匯報或記錄保存評估結果。
「評估你的網絡保安狀況」線上自我評估:
https://www.hkcert.org/tc/resources/check-your-cyber-security-readiness
撰文:陳仲文 香港生產力促進局數碼轉型部總經理兼HKCERT發言人