资 讯 保 安 的 趋 势
数据是每家企业最重要的资产之一,随着科技进步及办公室的环境变化,很多文件及数据都透过个人化的数据传输装置和Wi-Fi之类的无线网络来接达互联网作通讯,以及复制、储存和处理大量数据。市场上亦有越来越多新网络介面及解决方案用作数据交换及规管生产流程,例如云端系统。但尽管整个工业系统和服务经互联网串连起来实在是大势所趋, 数据管理却往往是保安链中较弱的一环。
资讯保安在企业数据管理电子化后面对的问题有很多,除了个人化的数据传输装置容易被遗失及受到恶性程式码(如病毒与特洛伊木马)攻击外,无线网络假如没有适当地设定对数据加密的启动,亦很容易成为一个资料外泄的潜在保安漏洞。
自今年初开始,勒索软件肆虐的问题成为了资讯保安首要面对的挑战。网络盛行勒索软件,流动恶意程式数量亦正逐渐增长至2,000多万,当中受害者包括中小企业和非政府组织,香港生产力促进局更表示,今年首八个月加密勒索软件保安事故大幅上升476% ,呼吁本港工商企业加强网站及工业网络系统的保安,遏止有组织性的网络攻击恶化。
资讯保安因而变得十分重要。这些流动恶意程式透过含有恶意代码的网站,会把网站访客重新引导到另一个包含攻击代码的网站,继而尝试透过入侵其电脑系统和应用程式的安全漏洞,包括浏览器及相关应用程式插件,例如Adobe Flash及Reader等,然后再利用这种软件把受感染电脑装置内的档案加密。若需要解密档案,很多时候需要按照勒索软件的指示缴付「赎金」,但有些情恍下被恶意加密的数据甚至无法复原,更有机会使资料泄漏到公众的领域,这全都对企业各系统造成威胁。让电子罪犯有机可乘的主要原因是企业及其员工的危机感和保安意识不足。因此,企业非常需要提升对资讯保安的敏感度和执行有效的防御措施。
要预防勒索软件的侵害及其他资讯保安问题,企业及其员工的个人努力均十分重要。企业应该评估所有数据的固定与临时的储存位置,以及依照数据保护的强度来对其加以分类,不是所有数据都属于相同等级的重要性或敏感性,评估后,企业应该以数据的保安等级来作优先次序,把保安上所用的资源先集中在最重要的数据上,以防范不法份子的入侵。
企业亦可以借着不同的保安方案的协助,市面上有很多保安方案已涵盖防火墙、电邮过滤、身份认证等不同领域,企业能用以作为保安的第一道防线。企业也需要建立一个保安政策配合管理,重要的政策包括接达的限制、安装软件的权限和通讯使用政策等。设立接达的限制及通讯使用政策予以电子邮件和其他公用通讯的渠道极为重要,因为若软件以及机密数据的接达仅能给予经过授权的员工,这样可以有效减少资料泄漏到公众的领域或被病毒入侵的源头。用密码或权标(Token)这类型的认证方式在接达的保护上是属于比较常见的技术。此外,透过设立安装软件的权限,亦可减少恶意软件的感染,员工应只安装来源可靠的软件和流动应用程式。在某些情况下,防止员工携带个人物品(包括流动电话在内)进入工作范围,也可以是有效的方法,这有助排除数据被窃取的机会。除了政策上需要配合,企业也应定期执行持续的评估和备份。企业可定时检视保安状况、政策推行成效及修补系统的保安漏洞,定期更新安全软件以及修补系统和其他软件,例如删除任何可疑的电邮等。另外,做好档案备份的功夫也是不容忽视,因为即使一部电脑出现问题,只要能在安全的电脑取回备份文件,黑客就不会得逞,受害者的损失也可以大大减少。理想的情恍下,企业也可以透过云端技术定期把数据备份及保存离线副本,并定期检查备份的有效性。员工也应和企业合作,按公司政策办事和时刻保持警觉。企业亦有责任去定期教育及提醒员工资讯保安的重要性,借此使内部工作人员能充分意识到企业的资讯保安是一个共同责任。
总括而言,现在科技日新月异,企业实在需要紧贴市场趋势及有足够的危机感和保安意识,以防损失。所以,凡事多留心一点并做好备份功夫,便能防止因小失大,企业各单位也应携手合作,共同努力防御不法份子的攻击和保护企业重要的数据资产。
