資訊科技專業人員
主頁 > 
資訊科技專業人員
< 返回
結果:
釐訂「保證等級」的例子
幾個例子說明如何評估未獲授權認證的潛在後果所帶來的影響,以釐訂相關服務/交易情況的整體保證等級。
什麼是「電子認證保證等級」
「保證等級」一詞用作描述在註冊及認證程序中的信心程度。
電子認證方法
電子認證系統一般可採用三種不同方法:包括「使用者所知的資料」、「使用者擁有的資料」,以及「使用者特徵或行為的資料」。
電子認證 (商業用戶)
為防止未獲授權的使用者接達受保護的資源,需建立安全的認證系統,以確定使用者聲稱的身分。
電子認證模式
建立「電子認證」系統有兩種基本模式。
公開密碼匙基礎建設
公開密碼匙基礎建設 (公匙基建 )是根據「公開密碼匙加密技術」而成的一個廣被接納的資訊科技保安架構。政府透過制定電子交易條例及在香港郵政成立公共核證機關,為公匙基建的部署打穩基礎。
網上應用系統保安
網上應用系統可帶來便利和提升效率,但也產生新的保安威脅,若未作好妥善處理,對機構中的資訊科技架構可能會造成潛在而顯著的風險。
開發安全流動應用程式
智能手機和平板電腦的增長令公眾及機構用戶與企業互動的方式產生重大轉變。
使用軟件準則
許多電腦軟件均可作為資訊保安的工具。
修補程式管理
由於被發現的軟件保安漏洞及需要的更新和修補越來越多,系統管理員必須有系統地控制及管理修補程式。成功的修補程式管理需要一個強韌和有系統的程序,即修補程式管理的生命週期。
虛擬私有網絡( VPN)保安
虛擬私有網絡( VPN)保安現今,由遙距網絡接達到內聯網的需求日漸增加,員工經常需要從家裡、酒店、機場或其它外部網絡經互聯網(互聯網基本上是不安全的)接達到內部私有網絡。
持續業務運作規劃
持續業務運作規劃涉及訂定持續業務運作計劃,確保在發生人為事故或天災時,重要業務活動能在預定時間內復原至可接受的水平,從而減少對機構造成的損失。持續業務運作計劃對每種業務而言,均十分重要。
發出促銷訊息
為遏止非應邀電子訊息問題,《非應邀電子訊息條例》(「條例」)和《非應邀電子訊息規例》(「規例」)已於二零零七年制定。條例規管有「香港聯繫」的「商業電子訊息」發送活動。
中小企防範詐騙
公司機構對防範仿冒詐騙攻擊,偵察及回應措施的建議。
教育及培訓員工
保安培訓是確保相關各方了解保安風險,並接受和采取良好保安作業實務的關鍵。若要保安方案有效,必須經由受過良好培訓的員工正確地執行。你必須確定你的員工擁有必要的技能。
擬定資訊保安計劃
資訊是你業務最珍貴的資產。使用正確的預防及保護措施可以減少資訊備受攻擊的成功機會,否則可能招致巨大的金錢損失。
定期做備份
良好的備份策略對資訊安全來說是必要的。
備份及復原
備份是指在某特定時間保存一份數據的拷貝。「備份及復原」一詞,時常指由某一位置傳送已拷貝的檔案往另一處,傳送時會在拷貝的檔案上進行不同操作。
評估資訊保安風險
資訊保安管理周期始於評估資訊保安風險。保安風險評估一開始時便要進行,以找出需要甚麼的保安措施。這是初步評估和識別與保安弱點有關的風險及結果,並提供一個管理基礎,以確立具成本效益的保安計劃。
推行及維持一個穩妥的保安架構
隨著從保安風險評估過程中取得風險評估結果,資訊保安管理周期便進入推行及維持的階段,以推行適當的保安防護措施來維持一個穩妥的保安架構。這包括制訂保安政策和指引、委派保安職務,以及推行技術及行政上的保安防護措施。所有這些步驟均大大有助保衛你的業務資產。
識別及選擇防護措施
檢討保安風險評估結果後,便要定出防護措施,並評估它們能否把識別出來的威脅及漏洞的可能性和其影響力,有效地減低至可以接受的水平。
網絡保安
辦公室網絡是一個企業的核心網絡。每個職員都使用這個共用的媒介履行職務,例如分享檔案、列印、發放電郵和瀏覽網頁。
防禦分布式拒絕服務(DDoS)攻擊
分布式拒絕服務攻擊基本上會消耗目標機構的頻寬和伺服器資源。大規模的分布式拒絕服務攻擊通常透過殭屍網絡發動,令大量分布在世界各地受到病毒感染的電腦在不知不覺間被操縱而參與攻擊。
無線網絡保安
推行無線網絡的成本較低,因此極受歡迎。雖然低廉的成本是無線網絡極具吸引力的賣點,但廉宜的設備也令攻擊者更容易發起攻擊。無線網絡的應用雖然有不少好處,卻同時帶來新的保安風險。
互聯網規約版本 6( IPv6)的保安
互聯網規約版本 6( IPv6)的保安互聯網規約版本 6 (IPv6)是下一代互聯網規約之標準,將會取代現行即將被耗盡網路位址空間的互聯網規約版本 4 (IPv4)。
域名系統的保安
DNS 沒有內置的保安功能,因此 DNS 數據可能會被竄改。如 DNS 的答覆被竄改,用戶可能會被轉至惡意網站。為免成為 DNS 保安威脅的受害者,我們可以採取不同層面的措施。
保護您的公司機構
現在的日常生活中,任何人都可藉流行的工具與技術,如流動電話、電子郵件、即時通訊服務、可攜式的儲存器,以及經無線網絡接達互聯網的能力,輕易地攜帶及處理大量數據。
開放源碼保安
原始碼的開放提供機會給攻擊者和防衛者去讀取詳細編碼,並分析軟件保安漏洞。
保障你的資訊科技服務外判的安全
資訊科技服務外判是將原本由內部員工負責的資訊服務或功能交給其他公司負責。
資訊科技服務外判保安
資訊科技服務外判保安當機構外判部份資訊科技服務的時候,外判供應商便可能成為公司裡另一個”內部人員”,處理公司內敏感而且重要的資料。
處理公司的資訊保安事故
它指在資訊系統及/或網絡上的負面事情,對資訊的機密性、完整性、可用性、不可否認性和認證等方面構成威脅。
處理惡意軟件爆發
由於攻擊者的動機是基於經濟掠奪,他們的攻擊形式也不只是騷擾或破壞活動而已。惡意程式碼攻擊已經變得更複雜,甚至成為機構一項嚴重的隱憂。
機構無線網絡的部署
為協助機構了解在無線網絡推行期間的最佳作業實務,我們會以一個分為五個階段的網絡發展周期作為基礎,逐步指出保安方面需要特別注意的重點。
處理個人資料須知
瀏覽互聯網時,應小心處理個人資料
單一登入
用戶可享受選擇單一密碼以接達多個應 用程式的好處,而毋須緊記不同的密碼。然而,如果認證部份被入侵,則表示用戶有接 達權的所有資源均有機會被破壞。
身分管理
身分管理( Identity management)是過程和科技的結合體,幫助企業管理和保護組織內資訊和資源的接達。
使用電子認證確保接達安全
電子認證是確立對使用者以電子形式向資訊系統提交的身分的信心,當中可涉及核實「使用者所知的資料」、「使用者擁有的資料」及/或「使用者特徵或行為的資料」。經核實的項目愈多,確立的信心便愈高。
加密你的資料
加密技術是一個把易於讀取和了解的數據格式(原文)加以更改及轉變的過程,使其轉為不可讀取的格式(加密文本),令人看起來是一組無用及難以了解的文本。
處理電子郵件須知
今時今日,電郵是與人通訊的普遍方式。它帶來了極大的方便,但亦對你的電腦系統構成威脅。
防範濫發電郵
濫發電郵對每個電郵用戶來說都已經變成了一個問題。例如,電郵的終端用戶必需每天花時間去清理這些沒有必要且未經要求便發出的訊息。
獲取防火牆
所謂防火牆可以是軟件或是硬件的一種工具。它可用於保護電腦,以避免來自互聯網攻擊者的威脅。
定期安裝保安修補程式
當軟件商在軟件發現程式錯誤,便會向用戶提供一些修補程式去修補這些漏洞。同時,駭客也會利用這些漏洞去攻擊一些還未安裝修補程式的電腦。
防範惡意軟件
最佳作業實務可以保護您的電腦更有效地對抗惡意軟件的攻擊。
棄置處理電腦設備
本部分提供一些關於數據刪除的資料,和正確棄置電腦或儲存媒體的方法,以防止資料被未預期地外泄。
遙距工作的保安
以下貼士可供各有關方面(包括機構和個人)參考,以維持遙距工作或學習環境安全穩妥。
安全使用視像會議指南
在主持視像會議或使用視像會議方案時,可參考以下一些保安措施/良好做法,以減低風險和避免私隱外泄。
何謂資訊保安
CIA指機密性,完整性和可用性三重奏是資訊保安的核心。
資訊保安與公司何干
要知道你公司的資訊是否已經妥善保安,請檢閱下列幾點說明
電子服務與資訊保安
電子服務是指透過電子媒介來獲取和傳送服務。電子商貿亦屬這個範疇。
殭屍網絡
殭屍網絡為互聯網帶來嚴重的保安威脅,大部分的濫發電子郵件、身分盜用、仿冒詐騙和分布式拒絕服務(DDoS)攻擊均由殭屍網絡引致 。
暴力攻擊
暴力攻擊是通過試誤法以破解憑證,反覆試驗所有可能的組合,直至猜到正確密碼。
核心保安原則
核心保安原則是一些廣為接納並從宏觀角度應對資訊保安事宜的原則。這些原則屬基本原則,甚少改變。
區塊鏈的保安威脅
雖然區塊鏈技術產生一個防止竄改的交易分類帳,但應注意區塊鏈並非可以不受所有網絡攻擊影響。
針對域名系統(DNS)伺服器的網絡威脅
除了DNS相關的攻擊規模與複雜程度大幅增加之外,攻擊者還採用多種不同的攻擊技術,來針對DNS的不同組件。
資料外泄
資料外泄屬於網絡安全事件,涉及未經系統擁有人授權下接達、更改、移除、竊取或公開披露的資料。
深度偽造
近年,由於深度偽造惡意用於製造假視像、偽造圖像和金融欺詐,所傳播的錯誤訊息 或虛假訊息 可能會侵蝕企業的聲譽和社會之間的信任,因而引起大眾關注。現在要取用創作深度偽造的工具十分容易,引起公眾對於以假亂真的深度偽造製成品的關注,認為須加以偵察,以及限制其使用。
拒絕服務 / 分布式拒絕服務攻擊
拒絕服務攻擊和分布式拒絕服務攻擊是互聯網上一種常見的網絡威脅。
身分盜竊
身分盜竊是一種刑事行為,在他人不知情或沒有得到其同意的情況下取得其個人資料,意圖詐騙。身分盜賊利用有關個人資料冒充資料當事人作欺詐用途。
內部威脅
內部威脅是源自機構內的人士所帶來的保安風險,通常涉及在職或前僱員,以及可以接達敏感訊息或特權帳戶的外判商業夥伴。
惡意軟件
惡意軟件是不同類型的惡意程式碼的一個統稱。惡意軟件可用於破壞正常的電腦功能,竊取數據,獲得未經授權的訪問,或形成殭屍網絡以發起有組織的攻擊。
仿冒詐騙
仿冒詐騙攻擊郵件幾可亂真,有些收件人會作出回應,結果導致財務損失、身份盜用和其他欺詐行為。
預防勒索軟件
勒索軟件是一種惡意軟件。電腦罪犯會利用這種軟件把受感染電腦裝置內的檔案鎖上。這些被鎖的檔案就好像人質一樣,受害人如要取回這些資料,便需按照勒索軟件的指示繳付「贖金」,才可把檔案解鎖。
供應鏈攻擊
供應鏈攻擊日趨普遍,因為攻擊者通過獲信賴的第三方供應商可以接達多個機構的系統。