2017 | ISSUE 1 English繁體简体
Integrated Solutions eNewsletter
THEME STORY: Hong Kong Re-industrialization. Opportunity?


Let's look into the STANDARD WORKING HOURS

資 訊 保 安 的 趨 勢


數據是每家企業最重要的資產之一,隨著科技進步及辦公室的環境變化,很多文件及數據都透過個人化的數據傳輸裝置和Wi-Fi之類的無線網絡來接達互聯網作通訊,以及複製、儲存和處理大量數據。市場上亦有越來越多新網絡介面及解決方案用作數據交換及規管生產流程,例如雲端系統。但儘管整個工業系統和服務經互聯網串連起來實在是大勢所趨, 數據管理卻往往是保安鏈中較弱的一環。

資訊保安在企業數據管理電子化後面對的問題有很多,除了個人化的數據傳輸裝置容易被遺失及受到惡性程式碼(如病毒與特洛伊木馬)攻擊外,無線網絡假如沒有適當地設定對數據加密的啟動,亦很容易成為一個資料外洩的潛在保安漏洞。

自今年初開始,勒索軟件肆虐的問題成為了資訊保安首要面對的挑戰。網絡盛行勒索軟件,流動惡意程式數量亦正逐漸增長至2,000多萬,當中受害者包括中小企業和非政府組織,香港生產力促進局更表示,今年首八個月加密勒索軟件保安事故大幅上升 476%,呼籲本港工商企業加強網站及工業網絡系統的保安,遏止有組織性的網絡攻擊惡化。

資訊保安因而變得十分重要。這些流動惡意程式透過含有惡意代碼的網站,會把網站訪客重新引導到另一個包含攻擊代碼的網站,繼而嘗試透過入侵其電腦系統和應用程式的安全漏洞,包括瀏覽器及相關應用程式插件,例如Adobe Flash及Reader等,然後再利用這種軟件把受感染電腦裝置內的檔案加密。若需要解密檔案,很多時候需要按照勒索軟件的指示繳付「贖金」,但有些情怳下被惡意加密的數據甚至無法復原,更有機會使資料洩漏到公眾的領域,這全都對企業各系統造成威脅。讓電子罪犯有機可乘的主要原因是企業及其員工的危機感和保安意識不足。因此,企業非常需要提升對資訊保安的敏感度和執行有效的防禦措施。

要預防勒索軟件的侵害及其他資訊保安問題,企業及其員工的個人努力均十分重要。企業應該評估所有數據的固定與臨時的儲存位置,以及依照數據保護的強度來對其加以分類,不是所有數據都屬於相同等級的重要性或敏感性,評估後,企業應該以數據的保安等級來作優先次序,把保安上所用的資源先集中在最重要的數據上,以防範不法份子的入侵。

企業亦可以藉著不同的保安方案的協助,市面上有很多保安方案已涵蓋防火牆、電郵過濾、身份認證等不同領域,企業能用以作為保安的第一道防線。企業也需要建立一個保安政策配合管理,重要的政策包括接達的限制、安裝軟件的權限和通訊使用政策等。設立接達的限制及通訊使用政策予以電子郵件和其他公用通訊的渠道極為重要,因為若軟件以及機密數據的接達僅能給予經過授權的員工,這樣可以有效減少資料洩漏到公眾的領域或被病毒入侵的源頭。用密碼或權標(Token)這類型的認證方式在接達的保護上是屬於比較常見的技術。此外,透過設立安裝軟件的權限,亦可減少惡意軟件的感染,員工應只安裝來源可靠的軟件和流動應用程式。在某些情況下,防止員工攜帶個人物品(包括流動電話在內)進入工作範圍,也可以是有效的方法,這有助排除數據被竊取的機會。除了政策上需要配合,企業也應定期執行持續的評估和備份。企業可定時檢視保安狀況、政策推行成效及修補系統的保安漏洞,定期更新安全軟件以及修補系統和其他軟件,例如刪除任何可疑的電郵等。另外,做好檔案備份的功夫也是不容忽視,因為即使一部電腦出現問題,只要能在安全的電腦取回備份文件,黑客就不會得逞,受害者的損失也可以大大減少。理想的情怳下,企業也可以透過雲端技術定期把數據備份及保存離線副本,並定期檢查備份的有效性。 員工也應和企業合作,按公司政策辦事和時刻保持警覺。企業亦有責任去定期教育及提醒員工資訊保安的重要性,藉此使內部工作人員能充分意識到企業的資訊保安是一個共同責任。

總括而言,現在科技日新月異,企業實在需要緊貼市場趨勢及有足夠的危機感和保安意識,以防損失。所以,凡事多留心一點並做好備份功夫,便能防止因小失大,企業各單位也應攜手合作,共同努力防禦不法份子的攻擊和保護企業重要的數據資產。