资讯安全网: 按文章搜寻

结果: 项

互联网内容过滤

有些网站也许包含不雅甚至淫亵的内容，这些内容并不适合儿童或是青少年浏览，有些软件工具可帮助过滤含有不适合儿童和青少年内容的网站，监察儿童在网上的活动，并限制你的孩子使用网络的时间。

保护儿童免受网上威胁

当儿童上网时，他们面对很多新的风险和需要更多保护，风险例子有：软件和音乐的个人资料保密性，个人资料揭露，间谍软件 (spyware)，非法下载，滥发电邮等等。因此，你不仅必须要保护儿童，同时也必须保护资料。

给家长的一些小贴士

为人父母，子女的权益和安全必然是你最关心的事，而儿童亦应留意相关的管制法例。以下列出一些家长「要做」和「不要做」的事情，好让你加以防范，并对使用电脑上网的子女作出指引。

资讯保安常见问题 - 家长篇

孩子在上网时可能会遇到的一些常见问题

学生辅导资源

当资讯科技即使在本港的小学也已成为一门学科时，作为老师必须要赶上最新知识，以便在有关领域给予学生指引。以下列出一些小贴士，助你指导学生正确使用电脑上网。

设定孩子们使用互联网的基本规则

良好的家长教育能减低儿童上网的风险

资讯保安问与答 - 年轻人与学生的常见问题

厘订「保证等级」的例子

几个例子说明如何评估未获授权认证的潜在后果所带来的影响，以厘订相关服务／交易情况的整体保证等级。

什么是「电子认证保证等级」

「保证等级」一词用作描述在注册及认证程序中的信心程度。

中小型企业的建议和支援

要学习所有必要的保安知识和技巧是不可能的事。因此，你应该学习如何使用其它有用资源，例如与朋友讨论、谘询你的企业夥伴、或在网上搜寻，都是可能要做的事。

电子认证方法

电子认证系统一般可采用叁种不同方法：包括「使用者所知的资料」、「使用者拥有的资料」，以及「使用者特征或行为的资料」。

资讯保安常见问题 - 教师篇

我怎样知道我的学生是否正确地使用电脑和互联网呢 ?

电子认证 (商业用户)

为防止未获授权的使用者接达受保护的资源，需建立安全的认证系统，以确定使用者声称的身分。

电子认证模式

建立「电子认证」系统有两种基本模式。

公开密码匙基础建设

公开密码匙基础建设 (公匙基建 )是根据「公开密码匙加密技术」而成的一个广被接纳的资讯科技保安架构。政府透过制定电子交易条例及在香港邮政成立公共核证机关，为公匙基建的部署打稳基础。

重要资讯的接达控制

你应该按照需要知道 (need-to-know)原则来发出资料接达权，否则，你将面对保安风险。

网上应用系统保安

网上应用系统可带来便利和提升效率，但也产生新的保安威胁，若未作好妥善处理，对机构中的资讯科技架构可能会造成潜在而显着的风险。

开发安全流动应用程式

智能手机和平板电脑的增长令公众及机构用户与企业互动的方式产生重大转变。

使用软件准则

许多电脑软件均可作为资讯保安的工具。

修补程式管理

由于被发现的软件保安漏洞及需要的更新和修补越来越多，系统管理员必须有系统地控制及管理修补程式。成功的修补程式管理需要一个强韧和有系统的程序，即修补程式管理的生命週期。

保护你的网站

假如你拥有电子贸易网站，你会面临以下风险

虚拟私有网络（ VPN）保安

虚拟私有网络（ VPN）保安现今，由遥距网络接达到内联网的需求日渐增加，员工经常需要从家里、酒店、机场或其它外部网络经互联网（互联网基本上是不安全的）接达到内部私有网络。

持续业务运作规划

持续业务运作规划涉及订定持续业务运作计划，确保在发生人为事故或天灾时，重要业务活动能在预定时间内复原至可接受的水平，从而减少对机构造成的损失。持续业务运作计划对每种业务而言，均十分重要。

发出促销讯息

为遏止非应邀电子讯息问题，《非应邀电子讯息条例》(「条例」)和《非应邀电子讯息规例》(「规例」)已于二零零七年制定。条例规管有「香港联系」的「商业电子讯息」发送活动。

预防资料盗窃

每分每秒皆有人在不同地方储存、处理或移动大量的数据，身为负责任的用户，你必须知道如何保护你的资料和预防资料从流动设备中被人盗窃。

中小企防范诈骗

公司机构对防范仿冒诈骗攻击，侦察及回应措施的建议。

中小企处理滥发电邮的提示

中小企能够采取多种方法来减少收到滥发电邮的数量。这些方法包括保护公司的电邮地址，为雇员的工作站和电邮伺服器安装过滤软件及采用具体的保安措施。

教育及培训员工

保安培训是确保相关各方了解保安风险，并接受和采取良好保安作业实务的关键。若要保安方案有效，必须经由受过良好培训的员工正确地执行。你必须确定你的员工拥有必要的技能。

拟定资讯保安计划

资讯是你业务最珍贵的资产。使用正确的预防及保护措施可以减少资讯备受攻击的成功机会，否则可能招致巨大的金钱损失。

定期做备份

良好的备份策略对资讯安全来说是必要的。

备份及复原

备份是指在某特定时间保存一份数据的拷贝。「备份及复原」一词，时常指由某一位置传送已拷贝的档案往另一处，传送时会在拷贝的档案上进行不同操作。

评估资讯保安风险

资讯保安管理周期始于评估资讯保安风险。保安风险评估一开始时便要进行，以找出需要什么的保安措施。这是初步评估和识别与保安弱点有关的风险及结果，并提供一个管理基础，以确立具成本效益的保安计划。

推行及维持一个稳妥的保安架构

随着从保安风险评估过程中取得风险评估结果，资讯保安管理周期便进入推行及维持的阶段，以推行适当的保安防护措施来维持一个稳妥的保安架构。这包括制订保安政策和指引、委派保安职务，以及推行技术及行政上的保安防护措施。所有这些步骤均大大有助保卫你的业务资产。

保护你的电脑资产

电脑设备是公司的重要资产，而它们通常储存有价值的资料。因此，你可以采取措施来保护它们。

识别及选择防护措施

检讨保安风险评估结果后，便要定出防护措施，并评估它们能否把识别出来的威胁及漏洞的可能性和其影响力，有效地减低至可以接受的水平。

网络保安

办公室网络是一个企业的核心网络。每个职员都使用这个共用的媒介履行职务，例如分享档案、列印、发放电邮和浏览网页。

防御分布式拒绝服务（DDoS）攻击

分布式拒绝服务攻击基本上会消耗目标机构的频宽和伺服器资源。大规模的分布式拒绝服务攻击通常透过僵尸网络发动，令大量分布在世界各地受到病毒感染的电脑在不知不觉间被操纵而参与攻击。

无线网络保安

推行无线网络的成本较低，因此极受欢迎。虽然低廉的成本是无线网络极具吸引力的卖点，但廉宜的设备也令攻击者更容易发起攻击。无线网络的应用虽然有不少好处，却同时带来新的保安风险。

互联网规约版本 6（ IPv6）的保安

互联网规约版本 6（ IPv6）的保安互联网规约版本 6 （IPv6）是下一代互联网规约之标准，将会取代现行即将被耗尽网路位址空间的互联网规约版本 4 （IPv4）。

域名系统的安全

DNS 没有内置的保安功能，因此 DNS 数据可能会被窜改。如 DNS 的答覆被窜改，用户可能会被转至恶意网站。为免成为 DNS 保安威胁的受害者，我们可以采取不同层面的措施。

保护您的公司机构

现在的日常生活中，任何人都可藉流行的工具与技术，如流动电话、电子邮件、即时通讯服务、可携式的储存器，以及经无线网络接达互联网的能力，轻易地携带及处理大量数据。

开放源码保安

原始码的开放提供机会给攻击者和防卫者去读取详细编码，并分析软件保安漏洞。

保障你的资讯科技服务外判的安全

资讯科技服务外判是将原本由内部员工负责的资讯服务或功能交给其他公司负责。

资讯科技服务外判保安

资讯科技服务外判保安当机构外判部份资讯科技服务的时候，外判供应商便可能成为公司里另一个”内部人员”，处理公司内敏感而且重要的资料。

加强实体保安

实体保护你的电脑设备也是很重要的，就像其他你所拥有的有价值资产一样，你可考虑以下工具或方法来实体保护你的电脑

处理公司的资讯保安事故

它指在资讯系统及／或网络上的负面事情，对资讯的机密性、完整性、可用性、不可否认性和认证等方面构成威胁。

处理恶意软件爆发

由于攻击者的动机是基于经济掠夺，他们的攻击形式也不只是骚扰或破坏活动而已。恶意程式码攻击已经变得更复杂，甚至成为机构一项严重的隐忧。

机构无线网络的部署

为协助机构了解在无线网络推行期间的最佳作业实务，我们会以一个分为五个阶段的网络发展周期作为基础，逐步指出保安方面需要特别注意的重点。

正确使用互联网的守则

互联网不仅是日常工作中的资料来源或研究工具，更让我们可以随时随地在网上工作、进行交易、与亲友联络，并且提供学习和娱乐的平台。

防范仿冒诈骗网站

要小心避免浏览那些模仿知名公司的仿冒诈骗网站。设立它们的用途是蒐集浏览者的敏感资料，例如个人资料、用户名称及密码。这种行为也是仿冒诈骗的一种，同样是恶名昭彰。

浏览网页及网上购物须知

现在，你可足不出户而尽握世界。由购物、银行服务以至进修等各式各样的事情，现在均可透过互联网来进行。

下载软件

互联网提供了一个虚拟的无穷空间给使用者搜寻与下载资源。然而，互联网也有一些潜在的风险，使用者应要小心留意的。

预防网上攻击的贴士

为防止您的电脑泄密并成为攻击他人的武器，建议参阅以下网上应用系统及网上用户的贴士

处理帐户及密码指引

你处理帐户及密码等个人数据的方式，是资讯保安的前线工作。

处理个人资料须知

浏览互联网时，应小心处理个人资料

单一登入

用户可享受选择单一密码以接达多个应用程式的好处，而毋须紧记不同的密码。然而，如果认证部份被入侵，则表示用户有接达权的所有资源均有机会被破坏。

身分管理

身分管理（ Identity management）是过程和科技的结合体，帮助企业管理和保护组织内资讯和资源的接达。

提高本身的资讯保安意识

保护自己的资讯资产免受电脑相关罪行的攻击，是我们每个人应负的责任。以下是一些帮你提高资讯保安意识的贴士。

使用电子认证确保接达安全

电子认证是确立对使用者以电子形式向资讯系统提交的身分的信心，当中可涉及核实「使用者所知的资料」、「使用者拥有的资料」及／或「使用者特征或行为的资料」。经核实的项目愈多，确立的信心便愈高。

加密你的资料

加密技术是一个把易于读取和了解的数据格式（原文）加以更改及转变的过程，使其转为不可读取的格式（加密文本），令人看起来是一组无用及难以了解的文本。

安全地玩网上游戏

许多电脑游戏都可以透过互联网与其他玩家一起玩。玩家可利用以电脑输入的文字信息，或有时候使用麦克风来通讯。

保护你的私隐

许多网站，如网上购物的网站、互联网社群的网站与社交网络的网站，都会收集你的个人资料。在不必要的情况下，大量的个人资料便很容易在网上洩漏。你必须详阅他们的私隐权声明以及他们将如何使用你的个人资料，以及如何去处理你的个人帐户与密码。

处理电子邮件须知

今时今日，电邮是与人通讯的普遍方式。它带来了极大的方便，但亦对你的电脑系统构成威胁。

防范仿冒诈骗攻击

不要连接滥发电邮等不可信赖来源或电邮所载的URL连结，以免被看似合法的恶意连结转往恶意网站。

防范滥发电邮

滥发电邮对每个电邮用户来说都已经变成了一个问题。例如，电邮的终端用户必需每天花时间去清理这些没有必要且未经要求便发出的讯息。

明智地使用网络邮件

以下是提供终端用户关于使用网上电邮的贴士。

防范电话诈骗

犯罪者使用电话（特别是互联网的电话系统）来欺骗他人。

小心使用二维码（ QR Code ）

二维码（ QR code ）是一种可被机器读取和储存资料的二维条码。扫描二维码可连接至某个网站或应用程式。随著流动装置普及，二维码大行其道，并广泛用于广告、推广活动，甚至用作流动支付。善用二维码确实能带来各种方便，但如果低估其风险，亦可能会堕入陷阱。

小心保管手提电脑

小心保管手提电脑以免被贼人有机可乘。

使用流动应用程式的保安提示

流动装置（例如智能手机及平板电脑）已成为我们日常生活中不可或缺的一部份。流动应用程式会处理大量资料，包括个人及敏感资料。用户应小心使用流动应用程式，及采取预防措施，以免敏感资料外泄。

保护你的无线网络

在连接到无线网络之前，重要的是要确保您的装置受到保护。只要在讯号强度的有效范围内，一个流动装置可随时随地连接到你的无线网络上。

使用公共 Wi-Fi 的保安贴士

很多本地及海外公众场所（例如商场、咖啡店、酒店、机场或政府场地等）都会提供免费 Wi-Fi 上网设施。用户使用 Wi-Fi 服务时，须注意相关保安风险。

安全地使用网志

网志是一个相当便利的地方供网友们共享日志及意见。然而，你必须小心注意，你在网志上所发布的资讯可供每个人阅览，包括一些犯罪者都可利用这些资讯作恶意用途。

处理网上欺凌

网上欺凌一般指发生在资讯科技通讯平台上的欺凌事件，涉及故意使受害人不快的行为。

安全地使用即时通讯

以下是给终端用户使用即时通讯作为一般通讯工具的贴士

保护你的新电脑

当你设定你的家用新电脑时，不要忘记安装一些必要的保安措施。单单打开盒子取出电脑然后连线是不安全的，因为此举会把电脑处于一些保安风险：如感染病毒及恶意程式码，接收滥发电邮，拒绝服务攻击，个人或敏感资料被泄露。

获取防火墙

所谓防火墙可以是软件或是硬件的一种工具。它可用于保护电脑，以避免来自互联网攻击者的威胁。

定期安装保安修补程式

当软件商在软件发现程式错误，便会向用户提供一些修补程式去修补这些漏洞。同时，骇客也会利用这些漏洞去攻击一些还未安装修补程式的电脑。

防范恶意软件

最佳作业实务可以保护您的电脑更有效地对抗恶意软件的攻击。

使用有安全更新的软件

凡软件产品，包括操作系统和应用软件，皆有其生命週期，任何软件产品都会有终止支援的一日，而成为过时产品。终止支援是指软件供应商不再提供安全更新、修补程式或支援服务等，在支援结束后被发现的安全漏洞，就没有安全更新以解决问题。

处理个人资讯保安事故须知

家居电脑用户提供指引，说明当遇到资讯保安事故时应采取的一些基本措施。

弃置处理电脑设备

本部分提供一些关于数据删除的资料，和正确弃置电脑或储存媒体的方法，以防止资料被未预期地外泄。

使用公用电脑的保安贴士

公用电脑是指在公众地方的各式各样的电脑设施。在香港提供公用电脑使用的地方包括图书馆，咖啡室，餐厅或政府营办的设施。由于每天有许多人使用公用电脑，所以在使用上可能构成一些保安问题。

保护流动电子装置

流动电子装置的例子包括智能手机，平板电脑和手提电脑。

遥距工作的保安

以下贴士可供各有关方面（包括机构和个人）参考，以维持遥距工作或学习环境安全稳妥。

安全使用视像会议指南

在主持视像会议或使用视像会议方案时，可参考以下一些保安措施／良好做法，以减低风险和避免私隐外泄。

CIA指机密性，完整性和可用性三重奏是资讯保安的核心。

资讯保安与我何干

资讯保安与我们息息相关，因为每个人很多时都会面对资讯保安的风险。

资讯保安与公司何干

要知道你公司的资讯是否已经妥善保安，请检阅下列几点说明

电子服务与资讯保安

电子服务是指透过电子媒介来获取和传送服务。电子商贸亦属这个范畴

殭尸网络

殭尸网络为互联网带来严重的保安威胁，大部分的滥发电子邮件、身分盗用、仿冒诈骗和分布式拒绝服务(DDoS)攻击均由殭尸网络引致。

暴力攻击

暴力攻击暴力攻击是通过试误法以破解凭證，反覆试验所有可能的组合，直至猜到正确密码。

核心保安原则

核心保安原则是一些广为接纳并从宏观角度应对资讯保安事宜的原则。这些原则属基本原则，甚少改变。

区块链的保安威胁

虽然区块链技术产生一个防止窜改的交易分类账，但应注意区块链并非可以不受所有网络攻击影响。

针对域名系统（DNS）伺服器的网络威胁

除了DNS相关的攻击规模与复杂程度大幅增加之外，攻击者还采用多种不同的攻击技术，来针对DNS的不同组件。

资料外泄

资料外泄属于网络安全事件，涉及未经系统拥有人授权下接达、更改、移除、窃取或公开披露的资料。

深度伪造

近年，由於深度偽造惡意用於製造假視像、偽造圖像和金融欺詐，所傳播的錯誤訊息或虛假訊息可能會侵蝕企業的聲譽和社會之間的信任，因而引起大眾關注。現在要取用創作深度偽造的工具十分容易，引起公眾對於以假亂真的深度偽造製成品的關注，認為須加以偵察，以及限制其使用。

拒绝服务 / 分布式拒绝服务攻击

拒绝服务攻击和分布式拒绝服务攻击是互联网上一种常见的网络威胁。

身分盗窃

身分盗窃是一种刑事行为，在他人不知情或没有得到其同意的情况下取得其个人资料，意图诈骗。身分盗贼利用有关个人资料冒充资料当事人作欺诈用途。

内部威胁

内部威胁是源自机构内的人士所带来的保安风险，通常涉及在职或前雇员，以及可以接达敏感讯息或特权帐户的外判商业伙伴。

恶意软件

恶意软件是不同类型的恶意程式码的一个统称。恶意软件可用于破坏正常的计算机功能，窃取数据，获得未经授权的访问，或形成殭尸网络以发起有组织的攻击。

仿冒诈骗

仿冒诈骗攻击邮件几可乱真，有些收件人会作出回应，结果导致财务损失、身份盗用和其他欺诈行为。

预防勒索软件

勒索软件是一种恶意软件。电脑罪犯会利用这种软件把受感染电脑装置内的档案锁上。这些被锁的档案就好像人质一样，受害人如要取回这些资料，便需按照勒索软件的指示缴付「赎金」，才可把档案解锁。

供应链攻击

供应链攻击日趋普遍，因为攻击者通过获信赖的第三方供应商可以接达多个机构的系统。