請在微信中掃描二維碼然後按「...」以分享
重要提示
香港電腦保安事故協調中心 - 保安博錄: HKCERT 呼籲本地資訊科技用戶盡快修補 Apache “Log4j” 漏洞 (2021年12月16日)
搜尋
按主題搜尋
按文章搜尋
搜尋消息及活動
語言
繁體中文
簡体中文
English
消息及活動
良好作業模式
知識中心
資源中心
< 返回
最新消息
仿冒詐騙攻擊警報
保安警報及建議
網絡安全威脅形勢
活動日誌
< 返回
最新消息
仿冒詐騙攻擊警報
保安警報及建議
網絡安全威脅形勢
活動日誌
< 返回
最新消息
仿冒詐騙攻擊警報
保安警報及建議
網絡安全威脅形勢
活動日誌
< 返回
最新消息
仿冒詐騙攻擊警報
保安警報及建議
網絡安全威脅形勢
活動日誌
< 返回
最新消息
仿冒詐騙攻擊警報
保安警報及建議
網絡安全威脅形勢
活動日誌
< 返回
保護您
保護您的公司機構
參閱資料予
< 返回
保護您
保護您的公司機構
參閱資料予
< 返回
保護您
保護您的公司機構
參閱資料予
< 返回
資訊保安
常見的網絡威脅
電腦相關罪行
常見問題
< 返回
資訊保安
常見的網絡威脅
電腦相關罪行
常見問題
< 返回
資訊保安
常見的網絡威脅
電腦相關罪行
常見問題
< 返回
資訊保安
常見的網絡威脅
電腦相關罪行
常見問題
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
< 返回
當瀏覽互聯網時
當處理用戶帳號時
當處理資料和私隱時
當使用電郵時
當使用流動裝置時
當使用無線服務時
當使用社交媒體時
當使用電腦時
< 返回
接達控制
應用系統保安
業務持續運作管理
數據保護與隱私
電郵保安
人力資源保安
資訊保安管理及計劃
網絡保安
操作保安
外判資訊系統的保安
實體保安
保安事故管理
< 返回
一般使用者
青少年及學生
家長及教師
資訊科技專業人員
中小型企業
重要提示
香港電腦保安事故協調中心 - 保安博錄: HKCERT 呼籲本地資訊科技用戶盡快修補 Apache “Log4j” 漏洞 (2021年12月16日)
重要提示
Eng
|
簡
字型大小
printer
share
消息及活動
最新消息
仿冒詐騙攻擊警報
保安警報及建議
網絡安全威脅形勢
活動日誌
良好作業模式
保護您
- 當瀏覽互聯網時
- 當處理用戶帳號時
- 當處理資料和私隱時
- 當使用電郵時
- 當使用流動裝置時
- 當使用無線服務時
- 當使用社交媒體時
- 當使用電腦時
保護您的公司機構
- 接達控制
- 應用系統保安
- 業務持續運作管理
- 數據保護與隱私
- 電郵保安
- 人力資源保安
- 資訊保安管理及計劃
- 網絡保安
- 操作保安
- 外判資訊系統的保安
- 實體保安
- 保安事故管理
參閱資料予
- 一般使用者
- 青少年及學生
- 家長及教師
- 資訊科技專業人員
- 中小型企業
知識中心
資訊保安
常見的網絡威脅
電腦相關罪行
常見問題
資源中心
有用資訊保安標準及最佳作業守則
保安證書
資訊保安協會及團體
電腦保安事故協調中心
相關條例
多媒體中心
雜項
問答大挑戰
詞彙表
Search
按主題搜尋
按文章搜尋
搜尋消息及活動
中小型企業
主頁
>
保護您
保護您的公司機構
參閱資料予
良好作業模式
>
一般使用者
青少年及學生
家長及教師
資訊科技專業人員
中小型企業
參閱資料予
>
中小型企業
< 返回
相關主題
清除所有
結果:
項
互聯網內容過濾
有些網站也許包含不雅甚至淫褻的內容,這些內容並不適合兒童或是青少年瀏覽,有些軟件工具可幫助過濾含有不適合兒童和青少年內容的網站,監察兒童在網上的活動,並限制你的孩子使用網絡的時間。
釐訂「保證等級」的例子
幾個例子說明如何評估未獲授權認證的潛在後果所帶來的影響,以釐訂相關服務/交易情況的整體保證等級。
什麼是「電子認證保證等級」
「保證等級」一詞用作描述在註冊及認證程序中的信心程度。
中小型企業的建議和支援
要學習所有必要的保安知識和技巧是不可能的事。因此,你應該學習如何使用其它有用資源,例如與朋友討論、諮詢你的企業夥伴、或在網上搜尋,都是可能要做的事。
電子認證方法
電子認證系統一般可採用三種不同方法:包括「使用者所知的資料」、「使用者擁有的資料」,以及「使用者特徵或行為的資料」。
電子認證 (商業用戶)
為防止未獲授權的使用者接達受保護的資源,需建立安全的認證系統,以確定使用者聲稱的身分。
電子認證模式
建立「電子認證」系統有兩種基本模式。
重要資訊的接達控制
你應該按照需要知道 (need-to-know)原則來發出資料接達權,否則,你將面對保安風險。
網上應用系統保安
網上應用系統可帶來便利和提升效率,但也產生新的保安威脅,若未作好妥善處理,對機構中的資訊科技架構可能會造成潛在而顯著的風險。
開發安全流動應用程式
智能手機和平板電腦的增長令公眾及機構用戶與企業互動的方式產生重大轉變。
使用軟件準則
許多電腦軟件均可作為資訊保安的工具。
保護你的網站
假如你擁有電子貿易網站,你會面臨以下風險
虛擬私有網絡( VPN)保安
虛擬私有網絡( VPN)保安現今,由遙距網絡接達到內聯網的需求日漸增加,員工經常需要從家裡、酒店、機場或其它外部網絡經互聯網(互聯網基本上是不安全的)接達到內部私有網絡。
持續業務運作規劃
持續業務運作規劃涉及訂定持續業務運作計劃,確保在發生人為事故或天災時,重要業務活動能在預定時間內復原至可接受的水平,從而減少對機構造成的損失。持續業務運作計劃對每種業務而言,均十分重要。
發出促銷訊息
為遏止非應邀電子訊息問題,《非應邀電子訊息條例》(「條例」)和《非應邀電子訊息規例》(「規例」)已於二零零七年制定。條例規管有「香港聯繫」的「商業電子訊息」發送活動。
預防資料盜竊
每分每秒皆有人在不同地方儲存、處理或移動大量的數據,身為負責任的用戶,你必須知道如何保護你的資料和預防資料從流動設備中被人盜竊。
中小企防範詐騙
公司機構對防範仿冒詐騙攻擊,偵察及回應措施的建議。
中小企處理濫發電郵的提示
中小企能夠採取多種方法來減少收到濫發電郵的數量。這些方法包括保護公司的電郵地址,為雇員的工作站和電郵伺服器安裝過濾軟件及採用具體的保安措施。
教育及培訓員工
保安培訓是確保相關各方了解保安風險,並接受和采取良好保安作業實務的關鍵。若要保安方案有效,必須經由受過良好培訓的員工正確地執行。你必須確定你的員工擁有必要的技能。
擬定資訊保安計劃
資訊是你業務最珍貴的資產。使用正確的預防及保護措施可以減少資訊備受攻擊的成功機會,否則可能招致巨大的金錢損失。
定期做備份
良好的備份策略對資訊安全來說是必要的。
備份及復原
備份是指在某特定時間保存一份數據的拷貝。「備份及復原」一詞,時常指由某一位置傳送已拷貝的檔案往另一處,傳送時會在拷貝的檔案上進行不同操作。
評估資訊保安風險
資訊保安管理周期始於評估資訊保安風險。保安風險評估一開始時便要進行,以找出需要甚麼的保安措施。這是初步評估和識別與保安弱點有關的風險及結果,並提供一個管理基礎,以確立具成本效益的保安計劃。
推行及維持一個穩妥的保安架構
隨著從保安風險評估過程中取得風險評估結果,資訊保安管理周期便進入推行及維持的階段,以推行適當的保安防護措施來維持一個穩妥的保安架構。這包括制訂保安政策和指引、委派保安職務,以及推行技術及行政上的保安防護措施。所有這些步驟均大大有助保衛你的業務資產。
保護你的電腦資產
電腦設備是公司的重要資產,而它們通常儲存有價值的資料。因此,你可以採取措施來保護它們。
識別及選擇防護措施
檢討保安風險評估結果後,便要定出防護措施,並評估它們能否把識別出來的威脅及漏洞的可能性和其影響力,有效地減低至可以接受的水平。
網絡保安
辦公室網絡是一個企業的核心網絡。每個職員都使用這個共用的媒介履行職務,例如分享檔案、列印、發放電郵和瀏覽網頁。
防禦分布式拒絕服務(DDoS)攻擊
分布式拒絕服務攻擊基本上會消耗目標機構的頻寬和伺服器資源。大規模的分布式拒絕服務攻擊通常透過殭屍網絡發動,令大量分布在世界各地受到病毒感染的電腦在不知不覺間被操縱而參與攻擊。
域名系統的保安
DNS 沒有內置的保安功能,因此 DNS 數據可能會被竄改。如 DNS 的答覆被竄改,用戶可能會被轉至惡意網站。為免成為 DNS 保安威脅的受害者,我們可以採取不同層面的措施。
保護您的公司機構
現在的日常生活中,任何人都可藉流行的工具與技術,如流動電話、電子郵件、即時通訊服務、可攜式的儲存器,以及經無線網絡接達互聯網的能力,輕易地攜帶及處理大量數據。
開放源碼保安
原始碼的開放提供機會給攻擊者和防衛者去讀取詳細編碼,並分析軟件保安漏洞。
保障你的資訊科技服務外判的安全
資訊科技服務外判是將原本由內部員工負責的資訊服務或功能交給其他公司負責。
資訊科技服務外判保安
資訊科技服務外判保安當機構外判部份資訊科技服務的時候,外判供應商便可能成為公司裡另一個”內部人員”,處理公司內敏感而且重要的資料。
加強實體保安
實體保護你的電腦設備也是很重要的,就像其他你所擁有的有價值資產一樣,你可考慮以下工具或方法來實體保護你的電腦
處理公司的資訊保安事故
它指在資訊系統及/或網絡上的負面事情,對資訊的機密性、完整性、可用性、不可否認性和認證等方面構成威脅。
處理惡意軟件爆發
由於攻擊者的動機是基於經濟掠奪,他們的攻擊形式也不只是騷擾或破壞活動而已。惡意程式碼攻擊已經變得更複雜,甚至成為機構一項嚴重的隱憂。
機構無線網絡的部署
為協助機構了解在無線網絡推行期間的最佳作業實務,我們會以一個分為五個階段的網絡發展周期作為基礎,逐步指出保安方面需要特別注意的重點。
防範仿冒詐騙網站
要小心避免瀏覽那些模仿知名公司的仿冒詐騙網站。設立它們的用途是蒐集瀏覽者的敏感資料,例如個人資料、用戶名稱及密碼。這種行為也是 仿冒詐騙 的一種,同樣是惡名昭彰。
身分管理
身分管理( Identity management)是過程和科技的結合體,幫助企業管理和保護組織內資訊和資源的接達。
使用電子認證確保接達安全
電子認證是確立對使用者以電子形式向資訊系統提交的身分的信心,當中可涉及核實「使用者所知的資料」、「使用者擁有的資料」及/或「使用者特徵或行為的資料」。經核實的項目愈多,確立的信心便愈高。
加密你的資料
加密技術是一個把易於讀取和了解的數據格式(原文)加以更改及轉變的過程,使其轉為不可讀取的格式(加密文本),令人看起來是一組無用及難以了解的文本。
處理電子郵件須知
今時今日,電郵是與人通訊的普遍方式。它帶來了極大的方便,但亦對你的電腦系統構成威脅。
防範仿冒詐騙攻擊
不要連接濫發電郵等不可信賴來源或電郵所載的URL連結,以免被看似合法的惡意連結轉往惡意網站。
防範濫發電郵
濫發電郵對每個電郵用戶來說都已經變成了一個問題。例如,電郵的終端用戶必需每天花時間去清理這些沒有必要且未經要求便發出的訊息。
明智地使用網絡郵件
以下是提供終端用戶關於使用網上電郵的貼士。
防範電話詐騙
犯罪者使用電話(特別是互聯網的電話系統)來欺騙他人。
小心保管手提電腦
小心保管手提電腦以免被賊人有機可乘。
安全地使用即時通訊
以下是給終端用戶使用即時通訊作為一般通訊工具的貼士
保護你的新電腦
當你設定你的家用新電腦時,不要忘記安裝一些必要的保安措施。單單打開盒子取出電腦然後連線是不安全的,因為此舉會把電腦處於一些保安風險:如感染病毒及惡意程式碼,接收濫發電郵,拒絕服務攻擊,個人或敏感資料被洩露。
獲取防火牆
所謂防火牆可以是軟件或是硬件的一種工具。它可用於保護電腦,以避免來自互聯網攻擊者的威脅。
定期安裝保安修補程式
當軟件商在軟件發現程式錯誤,便會向用戶提供一些修補程式去修補這些漏洞。同時,駭客也會利用這些漏洞去攻擊一些還未安裝修補程式的電腦。
防範惡意軟件
最佳作業實務可以保護您的電腦更有效地對抗惡意軟件的攻擊。
使用有安全更新的軟件
凡軟件產品,包括操作系統和應用軟件,皆有其生命週期,任何軟件產品都會有終止支援的一日,而成為過時產品。終止支援是指軟件供應商不再提供安全更新、修補程式或支援服務等,在支援結束後被發現的安全漏洞,就沒有安全更新以解決問題。
棄置處理電腦設備
本部分提供一些關於數據刪除的資料,和正確棄置電腦或儲存媒體的方法,以防止資料被未預期地外泄。
遙距工作的保安
以下貼士可供各有關方面(包括機構和個人)參考,以維持遙距工作或學習環境安全穩妥。
安全使用視像會議指南
在主持視像會議或使用視像會議方案時,可參考以下一些保安措施/良好做法,以減低風險和避免私隱外泄。
電腦相關罪行
電腦、互聯網和電訊或資訊器材的應用在學習、消閒、個人通訊和商務等日常生活各方面均為我們帶來極大的方便。不過,與此同時,這虛擬空間所帶來的方便亦為犯罪分子製造了濫用有關科技的潛在危機。
棄置處理敏感性資訊的電腦設備的常見問題
何謂資訊保安
CIA指機密性,完整性和可用性三重奏是資訊保安的核心。
資訊保安與公司何干
要知道你公司的資訊是否已經妥善保安,請檢閱下列幾點說明
電子服務與資訊保安
電子服務是指透過電子媒介來獲取和傳送服務。電子商貿亦屬這個範疇。
殭屍網絡
殭屍網絡為互聯網帶來嚴重的保安威脅,大部分的濫發電子郵件、身分盜用、仿冒詐騙和分布式拒絕服務(DDoS)攻擊均由殭屍網絡引致 。
暴力攻擊
暴力攻擊是通過試誤法以破解憑證,反覆試驗所有可能的組合,直至猜到正確密碼。
核心保安原則
核心保安原則是一些廣為接納並從宏觀角度應對資訊保安事宜的原則。這些原則屬基本原則,甚少改變。
針對域名系統(DNS)伺服器的網絡威脅
除了DNS相關的攻擊規模與複雜程度大幅增加之外,攻擊者還採用多種不同的攻擊技術,來針對DNS的不同組件。
資料外泄
資料外泄屬於網絡安全事件,涉及未經系統擁有人授權下接達、更改、移除、竊取或公開披露的資料。
深度偽造
近年,由於深度偽造惡意用於製造假視像、偽造圖像和金融欺詐,所傳播的錯誤訊息 或虛假訊息 可能會侵蝕企業的聲譽和社會之間的信任,因而引起大眾關注。現在要取用創作深度偽造的工具十分容易,引起公眾對於以假亂真的深度偽造製成品的關注,認為須加以偵察,以及限制其使用。
拒絕服務 / 分布式拒絕服務攻擊
拒絕服務攻擊和分布式拒絕服務攻擊是互聯網上一種常見的網絡威脅。
身分盜竊
身分盜竊是一種刑事行為,在他人不知情或沒有得到其同意的情況下取得其個人資料,意圖詐騙。身分盜賊利用有關個人資料冒充資料當事人作欺詐用途。
內部威脅
內部威脅是源自機構內的人士所帶來的保安風險,通常涉及在職或前僱員,以及可以接達敏感訊息或特權帳戶的外判商業夥伴。
惡意軟件
惡意軟件是不同類型的惡意程式碼的一個統稱。惡意軟件可用於破壞正常的電腦功能,竊取數據,獲得未經授權的訪問,或形成殭屍網絡以發起有組織的攻擊。
仿冒詐騙
仿冒詐騙攻擊郵件幾可亂真,有些收件人會作出回應,結果導致財務損失、身份盜用和其他欺詐行為。
預防勒索軟件
勒索軟件是一種惡意軟件。電腦罪犯會利用這種軟件把受感染電腦裝置內的檔案鎖上。這些被鎖的檔案就好像人質一樣,受害人如要取回這些資料,便需按照勒索軟件的指示繳付「贖金」,才可把檔案解鎖。
供應鏈攻擊
供應鏈攻擊日趨普遍,因為攻擊者通過獲信賴的第三方供應商可以接達多個機構的系統。