專家分享：淺談網絡安全的風險管理

作者：EMC 大中華區總裁譚仲良

在這數碼年代，網絡安全已成為影響企業業務運作的重要因素之一，網絡攻擊不但能令業務癱瘓，嚴重的更能導致永久性的傷害，造成重大損失。因此，確保網絡安全一直都是現今企業最關切的問題，亦是最大的挑戰。在剛過去的 5 月勒索軟件 WannaCry 肆虐全球，其頑強的攻擊力在不足兩個星期已令 150 個國家及地區超過 20 萬台電腦感染，遍及各行各業，嚴重影響業務運作。

根據最新的互聯網安全報告指出，針對各行各業的網絡攻擊愈趨嚴重，在日新月異的網絡環境中，攻擊者一直尋找可利用的弱點，開發不同的攻擊方法，所以除了勒索軟件外，DDoS 攻擊及網絡應用程式攻擊的數量均持續增長。既然網絡攻擊令企業們聞風喪膽，何不未雨綢繆，為網絡安全做好準備？

在面對網絡攻擊時，大部份的企業都有兩大問題，（一）我們可以做什麼來預防這種攻擊？；（二）其影響會有多大？但單在 IT 技術層面很難評估攻擊對企業業務的連續性、敏感數據、知識產權和聲譽所帶來的損害及影響。因此，企業最需要的是業務為本的網絡保安方案，其特點是當受到網絡攻擊時，能迅速將保安事故如勒索軟件與業務全面地聯繫起來，經分析後提供最有效的回應以確保企業至關重要業務範疇的安全。

除了採用網絡保安方案外，企業可以利用以下五項網絡安全風險管理措施來預防及減低網絡攻擊影響：

（一）提高管理層對網絡安全風險的意識：要令管理層明白網絡安全風險的重要性，從而制定能兼顧業務及網絡安全的管理方針
（二）加強員工培訓：人為因素通常是在防禦網絡威脅中較脆弱的一環，如在遇到勒索軟件時；只要員工勤換密碼或不亂開含有惡意軟件的電郵便可降低風險。
（三）鎖定業務重要資產：企業應經常進行業務影響分析（Business Impact Analyses），並找出假如遇到網絡攻擊時，應優先進行修復的業務資產。
（四）保持系統更新：企業應定期更新業務系統，減低受到網絡攻擊的機會。
（五）備份業務數據：不能修復因網絡攻擊而遺失的數據能嚴重影響企業的正常運作，所以企業的業務系統必須配備能確保數據自動備份的機制。

總括而言，企業若要取得成功，必須把網絡保安視為業務的一部分，不單只在 IT 技術層面上要有能力對抗現時愈趨嚴重的惡意攻擊軟件，更要清楚明白企業所面對的網絡安全風險，加上相關的非技術層面的安全措施，再配合採用以業務為本的網絡安全風險管理方案，以預防及應對網絡攻擊！