資訊安全網: 按文章搜尋

結果: 項

互聯網內容過濾

有些網站也許包含不雅甚至淫褻的內容，這些內容並不適合兒童或是青少年瀏覽，有些軟件工具可幫助過濾含有不適合兒童和青少年內容的網站，監察兒童在網上的活動，並限制你的孩子使用網絡的時間。

保護兒童免受網上威脅

當兒童上網時，他們面對很多新的風險和需要更多保護，風險例子有：軟件和音樂的個人資料保密性，個人資料揭露，間諜軟件 (spyware)，非法下載，濫發電郵等等。因此，你不僅必須要保護兒童，同時也必須保護資料。

給家長的一些小貼士

為人父母，子女的權益和安全必然是你最關心的事，而兒童亦應留意相關的管制法例。以下列出一些家長「要做」和「不要做」的事情，好讓你加以防範，並對使用電腦上網的子女作出指引。

資訊保安常見問題 - 家長篇

孩子在上網時可能會遇到的常見問題

學生輔導資源

當資訊科技即使在本港的小學也已成為一門學科時，作為老師必須要趕上最新知識，以便在有關領域給予學生指引。以下列出一些小貼士，助你指導學生正確使用電腦上網。

設定孩子們使用互聯網的基本規則

良好的家長教育能減低兒童上網的風險

資訊保安問與答 - 年輕人與學生的常見問題

釐訂「保證等級」的例子

幾個例子說明如何評估未獲授權認證的潛在後果所帶來的影響，以釐訂相關服務／交易情況的整體保證等級。

什麼是「電子認證保證等級」

「保證等級」一詞用作描述在註冊及認證程序中的信心程度。

中小型企業的建議和支援

要學習所有必要的保安知識和技巧是不可能的事。因此，你應該學習如何使用其它有用資源，例如與朋友討論、諮詢你的企業夥伴、或在網上搜尋，都是可能要做的事。

電子認證方法

電子認證系統一般可採用三種不同方法：包括「使用者所知的資料」、「使用者擁有的資料」，以及「使用者特徵或行為的資料」。

資訊保安常見問題 - 教師篇

我怎樣知道我的學生是否正確地使用電腦和互聯網呢 ?

電子認證 (商業用戶)

為防止未獲授權的使用者接達受保護的資源，需建立安全的認證系統，以確定使用者聲稱的身分。

電子認證模式

建立「電子認證」系統有兩種基本模式。

公開密碼匙基礎建設

公開密碼匙基礎建設 (公匙基建 )是根據「公開密碼匙加密技術」而成的一個廣被接納的資訊科技保安架構。政府透過制定電子交易條例及在香港郵政成立公共核證機關，為公匙基建的部署打穩基礎。

重要資訊的接達控制

你應該按照需要知道 (need-to-know)原則來發出資料接達權，否則，你將面對保安風險。

網上應用系統保安

網上應用系統可帶來便利和提升效率，但也產生新的保安威脅，若未作好妥善處理，對機構中的資訊科技架構可能會造成潛在而顯著的風險。

開發安全流動應用程式

智能手機和平板電腦的增長令公眾及機構用戶與企業互動的方式產生重大轉變。

使用軟件準則

許多電腦軟件均可作為資訊保安的工具。

修補程式管理

由於被發現的軟件保安漏洞及需要的更新和修補越來越多，系統管理員必須有系統地控制及管理修補程式。成功的修補程式管理需要一個強韌和有系統的程序，即修補程式管理的生命週期。

保護你的網站

假如你擁有電子貿易網站，你會面臨以下風險

虛擬私有網絡（ VPN）保安

虛擬私有網絡（ VPN）保安現今，由遙距網絡接達到內聯網的需求日漸增加，員工經常需要從家裡、酒店、機場或其它外部網絡經互聯網（互聯網基本上是不安全的）接達到內部私有網絡。

持續業務運作規劃

持續業務運作規劃涉及訂定持續業務運作計劃，確保在發生人為事故或天災時，重要業務活動能在預定時間內復原至可接受的水平，從而減少對機構造成的損失。持續業務運作計劃對每種業務而言，均十分重要。

發出促銷訊息

為遏止非應邀電子訊息問題，《非應邀電子訊息條例》(「條例」)和《非應邀電子訊息規例》(「規例」)已於二零零七年制定。條例規管有「香港聯繫」的「商業電子訊息」發送活動。

預防資料盜竊

每分每秒皆有人在不同地方儲存、處理或移動大量的數據，身為負責任的用戶，你必須知道如何保護你的資料和預防資料從流動設備中被人盜竊。

中小企防範詐騙

公司機構對防範仿冒詐騙攻擊，偵察及回應措施的建議。

中小企處理濫發電郵的提示

中小企能夠採取多種方法來減少收到濫發電郵的數量。這些方法包括保護公司的電郵地址，為雇員的工作站和電郵伺服器安裝過濾軟件及採用具體的保安措施。

教育及培訓員工

保安培訓是確保相關各方了解保安風險，並接受和采取良好保安作業實務的關鍵。若要保安方案有效，必須經由受過良好培訓的員工正確地執行。你必須確定你的員工擁有必要的技能。

擬定資訊保安計劃

資訊是你業務最珍貴的資產。使用正確的預防及保護措施可以減少資訊備受攻擊的成功機會，否則可能招致巨大的金錢損失。

定期做備份

良好的備份策略對資訊安全來說是必要的。

備份及復原

備份是指在某特定時間保存一份數據的拷貝。「備份及復原」一詞，時常指由某一位置傳送已拷貝的檔案往另一處，傳送時會在拷貝的檔案上進行不同操作。

評估資訊保安風險

資訊保安管理周期始於評估資訊保安風險。保安風險評估一開始時便要進行，以找出需要甚麼的保安措施。這是初步評估和識別與保安弱點有關的風險及結果，並提供一個管理基礎，以確立具成本效益的保安計劃。

推行及維持一個穩妥的保安架構

隨著從保安風險評估過程中取得風險評估結果，資訊保安管理周期便進入推行及維持的階段，以推行適當的保安防護措施來維持一個穩妥的保安架構。這包括制訂保安政策和指引、委派保安職務，以及推行技術及行政上的保安防護措施。所有這些步驟均大大有助保衛你的業務資產。

保護你的電腦資產

電腦設備是公司的重要資產，而它們通常儲存有價值的資料。因此，你可以採取措施來保護它們。

識別及選擇防護措施

檢討保安風險評估結果後，便要定出防護措施，並評估它們能否把識別出來的威脅及漏洞的可能性和其影響力，有效地減低至可以接受的水平。

網絡保安

辦公室網絡是一個企業的核心網絡。每個職員都使用這個共用的媒介履行職務，例如分享檔案、列印、發放電郵和瀏覽網頁。

防禦分布式拒絕服務（DDoS）攻擊

分布式拒絕服務攻擊基本上會消耗目標機構的頻寬和伺服器資源。大規模的分布式拒絕服務攻擊通常透過殭屍網絡發動，令大量分布在世界各地受到病毒感染的電腦在不知不覺間被操縱而參與攻擊。

無線網絡保安

推行無線網絡的成本較低，因此極受歡迎。雖然低廉的成本是無線網絡極具吸引力的賣點，但廉宜的設備也令攻擊者更容易發起攻擊。無線網絡的應用雖然有不少好處，卻同時帶來新的保安風險。

互聯網規約版本 6（ IPv6）的保安

互聯網規約版本 6（ IPv6）的保安互聯網規約版本 6 （IPv6）是下一代互聯網規約之標準，將會取代現行即將被耗盡網路位址空間的互聯網規約版本 4 （IPv4）。

域名系統的保安

DNS 沒有內置的保安功能，因此 DNS 數據可能會被竄改。如 DNS 的答覆被竄改，用戶可能會被轉至惡意網站。為免成為 DNS 保安威脅的受害者，我們可以採取不同層面的措施。

保護您的公司機構

現在的日常生活中，任何人都可藉流行的工具與技術，如流動電話、電子郵件、即時通訊服務、可攜式的儲存器，以及經無線網絡接達互聯網的能力，輕易地攜帶及處理大量數據。

開放源碼保安

原始碼的開放提供機會給攻擊者和防衛者去讀取詳細編碼，並分析軟件保安漏洞。

保障你的資訊科技服務外判的安全

資訊科技服務外判是將原本由內部員工負責的資訊服務或功能交給其他公司負責。

資訊科技服務外判保安

資訊科技服務外判保安當機構外判部份資訊科技服務的時候，外判供應商便可能成為公司裡另一個”內部人員”，處理公司內敏感而且重要的資料。

加強實體保安

實體保護你的電腦設備也是很重要的，就像其他你所擁有的有價值資產一樣，你可考慮以下工具或方法來實體保護你的電腦

處理公司的資訊保安事故

它指在資訊系統及／或網絡上的負面事情，對資訊的機密性、完整性、可用性、不可否認性和認證等方面構成威脅。

處理惡意軟件爆發

由於攻擊者的動機是基於經濟掠奪，他們的攻擊形式也不只是騷擾或破壞活動而已。惡意程式碼攻擊已經變得更複雜，甚至成為機構一項嚴重的隱憂。

機構無線網絡的部署

為協助機構了解在無線網絡推行期間的最佳作業實務，我們會以一個分為五個階段的網絡發展周期作為基礎，逐步指出保安方面需要特別注意的重點。

正確使用互聯網的守則

互聯網不僅是日常工作中的資料來源或研究工具，更讓我們可以隨時隨地在網上工作、進行交易、與親友聯絡，並且提供學習和娛樂的平台。

防範仿冒詐騙網站

要小心避免瀏覽那些模仿知名公司的仿冒詐騙網站。設立它們的用途是蒐集瀏覽者的敏感資料，例如個人資料、用戶名稱及密碼。這種行為也是仿冒詐騙的一種，同樣是惡名昭彰。

瀏覽網頁及網上購物須知

現在，你可足不出戶而盡握世界。由購物、銀行服務以至進修等各式各樣的事情，現在均可透過互聯網來進行。

下載軟件

互聯網提供了一個虛擬的無窮空間給使用者搜尋與下載資源。然而，互聯網也有一些潛在的風險，使用者應要小心留意的。

預防網上攻擊的貼士

為防止您的電腦洩密並成為攻擊他人的武器，建議參閱以下網上應用系統及網上用戶的貼士

處理帳戶及密碼指引

你處理帳戶及密碼等個人數據的方式，是資訊保安的前線工作。

處理個人資料須知

瀏覽互聯網時，應小心處理個人資料

單一登入

用戶可享受選擇單一密碼以接達多個應用程式的好處，而毋須緊記不同的密碼。然而，如果認證部份被入侵，則表示用戶有接達權的所有資源均有機會被破壞。

身分管理

身分管理（ Identity management）是過程和科技的結合體，幫助企業管理和保護組織內資訊和資源的接達。

提高本身的資訊保安意識

保護自己的資訊資產免受電腦相關罪行的攻擊，是我們每個人應負的責任。以下是一些幫你提高資訊保安意識的貼士。

使用電子認證確保接達安全

電子認證是確立對使用者以電子形式向資訊系統提交的身分的信心，當中可涉及核實「使用者所知的資料」、「使用者擁有的資料」及／或「使用者特徵或行為的資料」。經核實的項目愈多，確立的信心便愈高。

加密你的資料

加密技術是一個把易於讀取和了解的數據格式（原文）加以更改及轉變的過程，使其轉為不可讀取的格式（加密文本），令人看起來是一組無用及難以了解的文本。

安全地玩網上遊戲

許多電腦遊戲都可以透過互聯網與其他玩家一起玩。玩家可利用以電腦輸入的文字信息，或有時候使用麥克風來通訊。

保護你的私隱

許多網站，如網上購物的網站、互聯網社群的網站與社交網絡的網站，都會收集你的個人資料。在不必要的情況下，大量的個人資料便很容易在網上洩漏。你必須詳閱他們的私隱權聲明以及他們將如何使用你的個人資料，以及如何去處理你的個人帳戶與密碼。

處理電子郵件須知

今時今日，電郵是與人通訊的普遍方式。它帶來了極大的方便，但亦對你的電腦系統構成威脅。

防範仿冒詐騙攻擊

不要連接濫發電郵等不可信賴來源或電郵所載的URL連結，以免被看似合法的惡意連結轉往惡意網站。

防範濫發電郵

濫發電郵對每個電郵用戶來說都已經變成了一個問題。例如，電郵的終端用戶必需每天花時間去清理這些沒有必要且未經要求便發出的訊息。

明智地使用網絡郵件

以下是提供終端用戶關於使用網上電郵的貼士。

防範電話詐騙

犯罪者使用電話（特別是互聯網的電話系統）來欺騙他人。

小心使用二維碼（ QR Code ）

二維碼（ QR code ）是一種可被機器讀取和儲存資料的二維條碼。掃描二維碼可連接至某個網站或應用程式。隨著流動裝置普及，二維碼大行其道，並廣泛用於廣告、推廣活動，甚至用作流動支付。善用二維碼確實能帶來各種方便，但如果低估其風險，亦可能會墮入陷阱。

小心保管手提電腦

小心保管手提電腦以免被賊人有機可乘。

使用流動應用程式的保安提示

流動裝置（例如智能手機及平板電腦）已成為我們日常生活中不可或缺的一部份。流動應用程式會處理大量資料，包括個人及敏感資料。用戶應小心使用流動應用程式，及採取預防措施，以免敏感資料外泄。

保護你的無線網絡

在連接到無線網絡之前，重要的是要確保您的裝置受到保護。只要在訊號強度的有效範圍內，一個流動裝置可隨時隨地連接到你的無線網絡上。

使用公共 Wi-Fi 的保安貼士

很多本地及海外公眾場所（例如商場、咖啡店、酒店、機場或政府場地等）都會提供免費Wi-Fi上網設施。用戶使用Wi-Fi服務時，須注意相關保安風險。

安全地使用網誌

網誌是一個相當便利的地方供網友們共享日誌及意見。然而，你必須小心注意，你在網誌上所發布的資訊可供每個人閱覽，包括一些犯罪者都可利用這些資訊作惡意用途。

處理網上欺凌

網上欺凌一般指發生在資訊科技通訊平台上的欺凌事件，涉及故意使受害人不快的行為。

安全地使用即時通訊

以下是給終端用戶使用即時通訊作為一般通訊工具的貼士

保護你的新電腦

當你設定你的家用新電腦時，不要忘記安裝一些必要的保安措施。單單打開盒子取出電腦然後連線是不安全的，因為此舉會把電腦處於一些保安風險：如感染病毒及惡意程式碼，接收濫發電郵，拒絕服務攻擊，個人或敏感資料被洩露。

獲取防火牆

所謂防火牆可以是軟件或是硬件的一種工具。它可用於保護電腦，以避免來自互聯網攻擊者的威脅。

定期安裝保安修補程式

當軟件商在軟件發現程式錯誤，便會向用戶提供一些修補程式去修補這些漏洞。同時，駭客也會利用這些漏洞去攻擊一些還未安裝修補程式的電腦。

防範惡意軟件

最佳作業實務可以保護您的電腦更有效地對抗惡意軟件的攻擊。

使用有安全更新的軟件

凡軟件產品，包括操作系統和應用軟件，皆有其生命週期，任何軟件產品都會有終止支援的一日，而成為過時產品。終止支援是指軟件供應商不再提供安全更新、修補程式或支援服務等，在支援結束後被發現的安全漏洞，就沒有安全更新以解決問題。

處理個人資訊保安事故須知

家居電腦用戶提供指引，說明當遇到資訊保安事故時應採取的一些基本措施。

棄置處理電腦設備

本部分提供一些關於數據刪除的資料，和正確棄置電腦或儲存媒體的方法，以防止資料被未預期地外泄。

使用公用電腦的保安貼士

公用電腦是指在公眾地方的各式各樣的電腦設施。在香港提供公用電腦使用的地方包括圖書館，咖啡室，餐廳或政府營辦的設施。由於每天有許多人使用公用電腦，所以在使用上可能構成一些保安問題。

保護流動電子裝置

流動電子裝置的例子包括智能手機、平板電腦和手提電腦。

遙距工作的保安

以下貼士可供各有關方面（包括機構和個人）參考，以維持遙距工作或學習環境安全穩妥。

安全使用視像會議指南

在主持視像會議或使用視像會議方案時，可參考以下一些保安措施／良好做法，以減低風險和避免私隱外泄。

CIA指機密性，完整性和可用性三重奏是資訊保安的核心。

資訊保安與我何干

資訊保安與我們息息相關，因為每個人很多時都會面對資訊保安的風險。

資訊保安與公司何干

要知道你公司的資訊是否已經妥善保安，請檢閱下列幾點說明

電子服務與資訊保安

電子服務是指透過電子媒介來獲取和傳送服務。電子商貿亦屬這個範疇。

殭屍網絡

殭屍網絡為互聯網帶來嚴重的保安威脅，大部分的濫發電子郵件、身分盜用、仿冒詐騙和分布式拒絕服務(DDoS)攻擊均由殭屍網絡引致。

暴力攻擊

暴力攻擊是通過試誤法以破解憑證，反覆試驗所有可能的組合，直至猜到正確密碼。

核心保安原則

核心保安原則是一些廣為接納並從宏觀角度應對資訊保安事宜的原則。這些原則屬基本原則，甚少改變。

區塊鏈的保安威脅

雖然區塊鏈技術產生一個防止竄改的交易分類帳，但應注意區塊鏈並非可以不受所有網絡攻擊影響。

針對域名系統（DNS）伺服器的網絡威脅

除了DNS相關的攻擊規模與複雜程度大幅增加之外，攻擊者還採用多種不同的攻擊技術，來針對DNS的不同組件。

資料外泄

資料外泄屬於網絡安全事件，涉及未經系統擁有人授權下接達、更改、移除、竊取或公開披露的資料。

深度偽造

近年，由於深度偽造惡意用於製造假視像、偽造圖像和金融欺詐，所傳播的錯誤訊息或虛假訊息可能會侵蝕企業的聲譽和社會之間的信任，因而引起大眾關注。現在要取用創作深度偽造的工具十分容易，引起公眾對於以假亂真的深度偽造製成品的關注，認為須加以偵察，以及限制其使用。

拒絕服務 / 分布式拒絕服務攻擊

拒絕服務攻擊和分布式拒絕服務攻擊是互聯網上一種常見的網絡威脅。

身分盜竊

身分盜竊是一種刑事行為，在他人不知情或沒有得到其同意的情況下取得其個人資料，意圖詐騙。身分盜賊利用有關個人資料冒充資料當事人作欺詐用途。

內部威脅

內部威脅是源自機構內的人士所帶來的保安風險，通常涉及在職或前僱員，以及可以接達敏感訊息或特權帳戶的外判商業夥伴。

惡意軟件

惡意軟件是不同類型的惡意程式碼的一個統稱。惡意軟件可用於破壞正常的電腦功能，竊取數據，獲得未經授權的訪問，或形成殭屍網絡以發起有組織的攻擊。

仿冒詐騙

仿冒詐騙攻擊郵件幾可亂真，有些收件人會作出回應，結果導致財務損失、身份盜用和其他欺詐行為。

預防勒索軟件

勒索軟件是一種惡意軟件。電腦罪犯會利用這種軟件把受感染電腦裝置內的檔案鎖上。這些被鎖的檔案就好像人質一樣，受害人如要取回這些資料，便需按照勒索軟件的指示繳付「贖金」，才可把檔案解鎖。

供應鏈攻擊

供應鏈攻擊日趨普遍，因為攻擊者通過獲信賴的第三方供應商可以接達多個機構的系統。