(中央社记者潘姿羽台北16日电)网络时代来临,产业资安意识也应同步提升。数字发展部资通安全署近日发布「中小企业基本资安防护指引」,通过帐号管理、设备与数据管理、资安意识培训3大面向,协助企业创建资安基础。 资安署今天发布新闻稿指出,黑客偏好攻击防护较薄弱的对象,没有专职资安人力的中小企业,很容易成为黑客优先攻击的目标;一组重复使用的密码、一台3年未曾更新的桌机,看似日常,却可能导致企业整周无法接单出货。 资安署表示,资安防护不一定要花大钱买设备,关键在于应创建正确的作业流程与使用习惯,建议企业运用「中小企业基本资安防护指引」,快速评估自身防御能力;此指引附带「中小企业基本资安防护自检表」,列出16项基础检核点,像是「密码是否超过15码?」以及「是否使用3-2-1原则备份?」等,企业主只需勾选「是」或「否」,就能知道自家的防御漏洞 。 至于中小企业如何进行资安防护,资安署建议落实「帐号管理」、「设备与数据管理」与「资安意识培训」3面向。 帐号管理方面,密码建议至少15码,且每组帐号都有专属密码,可大幅降低被破解的风险;并注意不共用帐号,每位员工应有独立帐号、禁止多人共用,员工离职当天则应立即停用帐户,避免重要数据外流。 设备与数据管理方面,目的是守护公司的资产。不论是Windows还是常用软件(如LINE、Chrome),都要打开「自动更新」,并安装杀毒软件,定期扫描系统、修补漏洞,让黑客进不来。 资安署特别提醒,应落实「3-2-1备份原则」,公司数据至少要有3份备份、存放在2种不同保存媒体、至少1份异地存放,并建议其中1份要脱机存放(如外置硬盘),这是企业在遇到勒索软件攻击时,把数据救回来的机会。 此外,装好设备第一件事,就是改密码。摄影机、打印机、路由器等设备出厂时都使用相同的缺省密码,攻击者对这些密码了若指掌。设备连上网络后,第一步就是改掉缺省密码。 资安意识培训部分,培养员工识破钓鱼陷阱的能力,建议企业内部创建内部规则,如涉及权限变更、金流或文件下载,一律先用电话向对方确认,不直接点击信中链接或附件。 企业也应创建资安事件应变计划,当电脑出现不明程序、文件突然被加密、系统异常缓慢,这些征兆很容易被企业当成普通故障而忽略。发现异常时,第一步先中断网络连接,第二步通报指定窗口,第三步保留现场画面或纪录。3个步骤不需要技术背景,任何员工都能运行。 资安署并呼吁企业善用政府资源,免费注册「台湾电脑网络危机处理暨协调中心 (TWCERT/CC)」会员,可接收最新威胁警报,获取即时的资安情资。另外,也可通过指引中附件的「中小企业资安参考数据资源」,从中小企业网络大学校、国家资通安全研究院及TWCERT/CC等,获取免费的资安防护资源。 资安署强调,资安并非额外的营运开销,而是企业经营基础,希望能与全国中小企业共同打造更安全、更具数字韧性的营运环境。(编辑:张均懋)1150416