Charles Mok 可圈可點

電腦發展已經今非昔比，網上流通的數據量暴增，各種形式的資料和記錄在有意無意間被製造出來。這變改除了意味著電腦網絡為我們帶來生活上的便利和無限的商機以外，就是同等份量的資訊保安、網絡安全的挑戰。

雖然我們不時強調資訊保安的重要性，但公眾卻因為沒有相關知識，對資訊安全的危機意識欠奉，又或者是一知半解，對資訊保安威脅抱著愛理不理、不以為然的態度，這才是真正的資訊保安的最大隱憂。

疏於資訊保安的理由有很多，卻是不能推卸的責任，個人以至企業應該從最基本的習慣做起提升整體的資訊安全。由個人開始講起，現時BYOD 的風氣盛行，身為員工少不免會用自家手機或電腦處理工作，一但遺失或遭入侵，招至的損失的再不是員工的個人事情。所以個人的流動裝置應安裝防毒硬件和加密程式以防萬一，當然設定密碼鎖這第一道防線也是少不免的。

由於資訊保安威脅層出不窮，不少難以預測，因此近年不少大企業都注重網絡資訊保安策略，都由單靠防禦性措施改為系統和數據分析主導。例如定期進行風險評估和審計、資料安全監控、整合內部資訊保安工具的反饋並利用海量數據進行分析，並參考外部情報評估高風險的漏洞和威脅，預測和制訂即時回應方案等。

當然，中小企業未必有資源做到上述的評估，但近年企業遭黑客入侵洩露私隱頻密發生，來自商業對手或黑客的網絡攻擊、入侵盜取資料、內部疏忽等種種因素，已足以為公司帶來各方面損失。中小企制訂公司資訊保安政策並加強員工培訓，例如必須設定多重確認登入帳戶、必需加密載有重要資料的儲存裝置、重要資料不准帶離公司或複製副本。

此外，不論是「釣魚式」或「魚叉式」的惡意垃圾電郵，都是中小企面對的常見威脅。以下有幾項小貼士提醒員工如何分辨可疑電郵：

(一)  盡量先用網上預覽方式打開附件，有問題附件可能無法預覽。電郵內的網址連結也需小心留意，可能會連到惡意網站。

(二)  細心留意發件人的電郵地址是否有異樣，如以數字代替字母、中間加上底綫之類，黑   客或會假扮你朋友發件。

(三)  如有懷疑電郵真偽，請以回覆該電郵以外方式聯絡發件人加以確認。

順帶一提，資訊保安絕對是值得投資的企業成本，即使普通不過的惡意電郵也足以感染公司的電腦系統，資料被盜甚至電腦被利用來建立起殭屍網絡，繼續向其他電腦散播病毒。市面上有一站式的資訊保安配套服務，價格水平各異，建議企業採購服務或產品之前，應花時間比較各產品的防病毒、隔離垃圾郵件、防火牆、反惡意軟件和間諜軟件攻擊功能。

刊於 2013.08 IT Pro Magazine 第76期