+

資訊安全貼士 (2021年6月號) – 如何在外遊時保護您的資料?

/在: /通過:

大學校園配備了可信的 Wi-Fi 網絡以確保您的數據安全,但是當您外出度假、進行學術實地考察或在公共場所進行學習等情況下,需要使用公共無線網絡(Public Wi-Fi)時,請採取額外的預防措施,因為黑客和其他網絡犯罪分子喜歡利用安全保護相對寬鬆的公共場所網絡進行攻擊。

使用公共無線網絡(Public Wi-Fi)時,請注意以下事項以確保數據安全:

  • 驗證網絡、配置和關閉共享
  • 使用虛擬私人網絡(VPN)
  • 使用帶 HTTPS 的連結
  • 保持防火牆啟用
  • 使用防病毒軟件
  • 保持自動連接關閉
  • 使用雙因素身份驗證(2FA)- 即使黑客獲得了您的用戶名稱和密碼,他們仍然無法登入您的帳戶。

在情況許可下,最好還是使用您的智能手機網絡作為熱點,而不是使用不安全的公共無線網絡。

資訊安全貼士(2021年1月號) – 你有多久沒更改帳戶密碼呢?

/在: /通過:

您知道嗎?近年來,世界各地不同行業機構先後發生網絡入侵事件,假如您很久沒有更改密碼,密碼可能已經在不同資訊安全事件中外洩,包括釣魚郵件、虛假網站、木馬程式、程式漏洞、密碼破解等等,您的帳戶密碼可能已落入不法分子手中,因此建議您參考以下安全措施以保帳戶安全。

定期更改密碼 通常最少每 180 天更改密碼一次假如您很久沒有更改密碼,請立即更改密碼

高強度密碼 使用高強度密碼,例如 “gL3ToL@uh%”(請參閱 ICTO 知識庫);

加長密碼 您亦可選擇加長密碼長度代替複雜密碼,建議使用合共多於 15 字元互不相關的單字組合,不單安全還比較容易記憶及輸入例如  ”PersonalOceanAlthough”;

小心資安疲勞 相信您已有一定程度的安全意識並時常保持警覺,但偶然間可能會不自覺地鬆懈而不幸地發生資安事件。因此建議您應善用一些安全工具以減低風險包括:

    • 使用雙重驗證登入帳戶 (2FA)
    • 為移動磁碟進行加密 (BitLocker)
    • 使用 RMS 保護重要文件 (RMS);

資訊及通訊科技部於2019年已推出雙重驗證服務。除此之外,亦建立了自動偵測網絡入侵活動的機制,一旦發現可疑的網絡入侵活動或證實有帳戶被盜用,其相關之網絡連線或帳戶會被自動即時封鎖,以免進一步受到安全威脅。

參考資料

資訊安全貼士 (2020年第4季) – 新型冠狀病毒肺炎疫情下的資訊安全

/在: /通過:

今年 2020 年是艱難的一年,在新型冠狀病毒肺炎蔓延全球下,我們的生活、工作及學習變得更依賴網絡服務,在網上活動變得日趨頻繁下,資訊安全受到嚴峻的挑戰,尤其在未得到充分保護的私人設備及家庭辦公環境,風險也隨之提高。而聖誕長假期及期末考試將至,在應付繁重工作或學習期間,資訊安全往往最容易被忽略。為共建安全的網上工作及學習環境,請參閱以下一些安全貼士以供大家參考:

  • 保持設備和應用程式處於最新狀態:陳腔濫調但確實很重要,謹記保持設備的操作系統、防毒軟件及應用程式均處於最新狀態,並確保安裝最新的安全修復程式;
  • 在家中工作時:應避免其他家庭成員接觸到與您工作有關的重要資料;
  • 進行資料備份:確保為每個設備做好資料備份,不僅可用作資料還原,假如一旦遺失流動裝置,更可準確地識別遺失的資料,方便匯報及為具安全風險的資料進行適當之行動;
  • 小心錯誤發送重要資料:使用電郵或通訊軟件發送資料時,務必確保發送內容及傳送對象正確無誤,假若錯誤地將一些個人資料發送給未經受權人士,更有可能觸犯本澳法例;
  • 勿隨意開啟網址或附件:當收到帶有網址或附件的消息,尤其是看似網上會議連結,除非確定它的來源是安全可靠,否則不應打開;
  • 保護你的網上會議:請參閱《如何保護您的Zoom 會議》 及 《Using Zoom Effectively in Classroom (英文版)》;
  • 別忽視傳統技巧:用膠帶蓋住筆記本電腦或移動設備的鏡頭以保障隱私。

參考資料

ISO27001是什麼?它和您有關係嗎?

/在: /通過:

  ISO27001是一項資訊安全管理標準,它是基於風險管理原則來建立、實施、運行、監視、評審、保持和改進機構的資訊安全制度。其目的是保障資訊服務安全可靠,並為各用戶提供資訊安全運作標準。簡單來說,在資訊安全管理的範疇裡,資訊是屬於有價值的資產,因此必須維護資訊從生成、傳輸、存儲、使用的過程中均符合下列三要素,一般簡稱CIA,而該等要求亦是本澳《網絡安全法》的要求,大學必須履行有關規定。

  • 機密性 (Confidentiality) 確保不洩露給非授權的用戶
  • 完整性 (Integrity) 確保信息不被非授權篡改
  • 可用性 (Availability) 確保授權的用戶可以正常、可靠的使用資訊和資源

  資訊及通訊科技部一向十分重視資訊安全,為確保大學的資訊管理能符合國際標準及最佳慣例,從去年年底,已積極籌劃分階段考取 ISO27001 資訊安全管理認證,而首階段認證亦即將進行。
  另外,其實資訊安全是大家的共同責任。不同的用戶都有機會需要傳送、處理、讀取和分享不同類別的資料,ICTO 會適時推出及優化一些資訊安全資料、指引及貼士等,以便確保各用戶能容易了解資訊安全相關要求及重要事項。

參考資料

 

網安法現已生效,您準備好了嗎?

/在: /通過:

近年資訊科技發展迅速,隨著人工智能及5G網絡的發展,過往看似遙不可及的科技,現在已漸漸走進每一個人的生活中,這突顯了資訊網絡服務的重要性。尤其近月在抗疫期間,大眾對資訊網絡服務的依賴更為明顯,而資訊安全更成為了人們議論的話題,意味著大眾對資訊安全的要求也會越來越高。

隨著本澳《網絡安全法》正式實施,大學必須履行有關規定,確保資訊網絡、電腦系統及數據資料得到合適保護,以及加強對網絡安全事故之預警和應對。資訊及通訊科技部會持續維護校園網絡的資訊安全,並配合網絡安全事故預警及應急中心的工作,履行對其通報的義務,包括通報資訊安全事故與提供更新互聯網服務資料(如連接互聯網服務供應商的帳號名稱、IP 地址、域名等相關資料)。

另外,如果您需要在大學架設資訊設施或為用戶提供資訊服務,您有義務確保所提供之服務安全可靠。因此,請注意以下事項:

  • 保持系統在最新狀態,更新與修正程式以確保得到最大的保護;
  • 注意系統預設設定是否安全,包括預設密碼、權限與系統服務;
  • 使用各項資訊安全措施、開啟系統日誌及為重要資料進行備份;
  • 如使用外判資訊服務,必須確保其服務符合相關的資訊安全要求;
  • 如需要更改網絡架構或遇到資訊安全事故,必須向資訊及通訊科技部*通報。

註:資訊及通訊科技部會按《網絡安全法》規定,負責為大學執行上述通報之義務,詳情將會另行公佈。

除了服務提供者必須重視資訊安全外,其實資訊安全亦是每一位使用者的責任,使用者必須時刻保持安全意識,才可共建良好的資訊安全環境。

參考資料

騙徒手法層出不窮,你做好應對準備了嗎?

/在: /通過:

多年來,社會上出現了層出不窮的街頭騙案,如「祈福黨」及「高科技電子零件黨」,演化成近年之電話詐騙及網絡釣魚詐騙,令受騙者損失大量金錢。根據政府公佈之總體詐騙案統計數字顯示,從 2016 年 743 宗上升至 2019 年 1525 宗,當中涉及電話和網絡之詐騙案約佔詐騙案總數三成。而年初至今本澳及鄰近地區均發生多宗有關網購口罩之詐騙事件,數以千計受害者蒙受高達數千萬澳門元損失,情況不容忽視。

其實不法分子通常會利用近期大家高度關注的話題進行詐騙,如搶購口罩、新冠肺炎、貨品短缺、原油價格、視像會議等話題,再透過社交工程技巧進行各種各樣之詐騙,常見有騙取金錢、個人資料、帳戶密碼,或誘騙種下木馬程式進行長期監視或竊取資料等。

而社交工程最常見會出現於釣魚郵件中,雖然大學電郵系統會特別針對惡意電子郵件加以過濾攔截,然而資訊安全除了運用專業技術外,用戶也必須注重安全意識,以本年二月大學收到其中一封之釣魚郵件為例,其實也不難發現一些可疑破綻(見下圖)。

備註:下圖為大學正式薪酬發放之內部電郵通知樣本截圖。當滑鼠箭頭移向網址連結時,顯示的網址會包含大學網域名稱 “um.edu.mo” 或 “umac.mo”。

雖然不法分子會不時改變詐騙方式,但萬變不離其宗,只要用戶時刻保持警覺,謹記「停一停、想一想、查真偽!」,便不會被不法分子有機可乘。

參考資料

您對資訊安全了解有多少?

/在: /通過:

近年「進階持續性滲透攻擊」(Advanced Persistent Threat, APT)   是網絡上常見的威脅。入侵者首先嘗試進入目標網絡,然後潛伏多月於網絡中收集線索,再順藤摸瓜直至取得有價值的資訊,甚至會長期隱藏於網絡中進行監視。由於入侵者第一步通常是進入目標網絡,因此不管你有沒有處理重要資料,你都有可能成為下一個被攻擊目標。

事實上資訊安全是每一個人的責任,即使資訊科技人員努力透過各種方法減低受入侵風險,包括網絡安全技術、網絡監察及定期維護等,入侵者仍然可以透過利用釣魚詐騙方式入侵網絡。因此,用戶必須保持良好的資訊安全意識。想知自己對資訊安全了解有多少?不妨接受「資訊安全知識小測驗 挑戰吧!

備註:

    1. 開啟資訊安全知識小測驗連結,然後登入您的 UMPASS
    2. 選擇 “Enrol me“;
    3. 可選擇中文或英文題目作答;
    4. 合共 6 組題目,每組分別有 5 條選擇題。不限次數重複挑戰,測驗結果只供用戶個人參考。

參考資料

提防虛假信息,切勿胡亂轉發!

/在: /通過:

在2019年末,新冠肺炎疫症於內地爆發,而澳門於其後亦確診首宗病例,引起廣泛關注。根據過往經驗,當社會上發生重大事件,如爆發疫症、嚴重天災、意外事故、社會事件等,都會有相關不實之消息透過不同方式散播,包括電郵、社交網站、即時通訊等。也會有可能發展成釣魚攻擊,對資訊安全帶來一定威脅。因此,建議大家注意以下事項:

  • 切勿輕易相信未經證實的消息,建議瀏覽正式及官方新聞資訊;
  • 當收到帶有網址或附件的消息,除非確定它的來源是安全可靠,否則不應打開
  • 不應隨意轉發未經證實的消息,如散播不實言論或消息更有可能觸犯相關國家或地區的法例。

流動支付工具安全使用小貼士

/在: /通過:

近年流動支付大行其道,只要用手機就可以付款,令購物消費更簡單方便!不過在方便的同時,大家有沒有注意在使用上的安全呢?以下是一些小貼士︰

  • 小心看管財物和手機,除了金錢損失外,您的銀行卡或手機電子錢包可能會被盜用。假如遺失身份證明文件,您的個人資料亦可能會被濫用;
  • 切勿為電子錢包過量充值,避免連接大額存款銀行戶口至電子錢包。設定適當交易限額,定期查閱交易紀錄,及定期更改帳戶和交易密碼;
  • 避免使用公共場所、來歷不明或不安全的網絡進行電子錢包交易,亦應盡量避免暴露付款二維碼畫面;
  • 提防釣魚訊息,尤其涉及紅包、消費優惠、轉帳要求、密碼或個人資料的訊息,必須確認對方身份真偽,以免招致任何損失;
  • 保護流動設備
    • 使用密碼或指紋來保護您的設備;
    • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
    • 確保操作系統及軟件,包括防病毒保護,在最新的版本;
    • 請勿破解操作系統,以及避免從不知名的網站下載及安裝軟件;
  • 啟動電話智能卡密碼(SIM PIN),大部份電子錢包註冊、帳戶找回密碼功能或網上交易,都有可能需要利用電話短訊進行身份驗證。啟動密碼,有助減少因遺失智能卡而被盜用身份的機會;
  • 使用領有牌照的電子錢包服務,以及仔細閱讀相關條款和責任,了解報失程序、盜用保障條款等等。

如遺失手機,請保持冷靜,可嘗試運用手機遠程追蹤尋找手機,或遠程消滅資料功能防止盜用。另外,如有需要請向相關銀行或服務供應商進行報失處理,例如:報失銀行卡、電話智能卡、凍結電子錢包帳戶等。

網上安全與保障的基礎知識

/在: /通過:

在互聯網世界中,每分每秒都進行著各種各樣的活動,如網上購物、瀏覽網頁、電子銀行、網上遊戲等。伴隨這些活動而來的,卻是很多不同的網絡威脅,如釣魚攻擊、身份盜用、欺凌和位置追蹤等。在數之不盡的網絡威脅下,我們應如何在不影響網上活動的同時減低這些網絡威脅風險呢?以下是一些簡單的提示:

  • 為帳戶設定警報 可考慮為您的財務帳戶設定通知。一般銀行都提供帳戶活動通知功能,當您的帳戶發生超出指定金額的交易時,便會以電郵或短訊方式發出通知,從而讓您掌握帳戶的活動。相比於月結單,這類通知能讓您更快地了解賬戶交易狀況。當收到未授權的交易通知時,可以立即向相關銀行查詢。事不宜遲!請盡快在網上銀行為您的帳戶設定活動通知功能吧!
  • 保持設備和應用程式處於最新狀態 陳腔濫調但確實很重要,謹記保持設備的操作系統和應用程式均處於最新狀態,以確保安裝最新的安全修復程式。
  • 小心使用公共 WiFi 熱點 在連接到公共 WiFi 熱點時,避免進行銀行交易或處理敏感資料。
  • 個人資料等同金錢,務必重視及保護它 當進行網購時,請注意網站所收集的資料對其交易是否有必要性, 細心考慮供應商是否有必要獲得這些資料,在結賬時只須填寫必填的資料項目;
  • 保持警惕 請注意,網上有很多假冒網站試圖騙取他人的寶貴資訊。您可透過仔細檢查網址以確保其拼寫正確,以便確認連上合法網站。另外,您必須注意合法網站通常於網址欄中有鎖頭標示,網址亦會以 https:// 開頭。

只要時刻緊記以上安全提示,便可繼續安心上網!