資訊安全貼士 (2020年第4季) – 新型冠狀病毒肺炎疫情下的資訊安全

今年 2020 年是艱難的一年,在新型冠狀病毒肺炎蔓延全球下,我們的生活、工作及學習變得更依賴網絡服務,在網上活動變得日趨頻繁下,資訊安全受到嚴峻的挑戰,尤其在未得到充分保護的私人設備及家庭辦公環境,風險也隨之提高。而聖誕長假期及期末考試將至,在應付繁重工作或學習期間,資訊安全往往最容易被忽略。為共建安全的網上工作及學習環境,請參閱以下一些安全貼士以供大家參考:

  • 保持設備和應用程式處於最新狀態:陳腔濫調但確實很重要,謹記保持設備的操作系統、防毒軟件及應用程式均處於最新狀態,並確保安裝最新的安全修復程式;
  • 在家中工作時:應避免其他家庭成員接觸到與您工作有關的重要資料;
  • 進行資料備份:確保為每個設備做好資料備份,不僅可用作資料還原,假如一旦遺失流動裝置,更可準確地識別遺失的資料,方便匯報及為具安全風險的資料進行適當之行動;
  • 小心錯誤發送重要資料:使用電郵或通訊軟件發送資料時,務必確保發送內容及傳送對象正確無誤,假若錯誤地將一些個人資料發送給未經受權人士,更有可能觸犯本澳法例;
  • 勿隨意開啟網址或附件:當收到帶有網址或附件的消息,尤其是看似網上會議連結,除非確定它的來源是安全可靠,否則不應打開;
  • 保護你的網上會議:請參閱《如何保護您的Zoom 會議》 及 《Using Zoom Effectively in Classroom (英文版)》;
  • 別忽視傳統技巧:用膠帶蓋住筆記本電腦或移動設備的鏡頭以保障隱私。

參考資料

ISO27001是什麼?它和您有關係嗎?

  ISO27001是一項資訊安全管理標準,它是基於風險管理原則來建立、實施、運行、監視、評審、保持和改進機構的資訊安全制度。其目的是保障資訊服務安全可靠,並為各用戶提供資訊安全運作標準。簡單來說,在資訊安全管理的範疇裡,資訊是屬於有價值的資產,因此必須維護資訊從生成、傳輸、存儲、使用的過程中均符合下列三要素,一般簡稱CIA,而該等要求亦是本澳《網絡安全法》的要求,大學必須履行有關規定。

  • 機密性 (Confidentiality) 確保不洩露給非授權的用戶
  • 完整性 (Integrity) 確保信息不被非授權篡改
  • 可用性 (Availability) 確保授權的用戶可以正常、可靠的使用資訊和資源

  資訊及通訊科技部一向十分重視資訊安全,為確保大學的資訊管理能符合國際標準及最佳慣例,從去年年底,已積極籌劃分階段考取 ISO27001 資訊安全管理認證,而首階段認證亦即將進行。
  另外,其實資訊安全是大家的共同責任。不同的用戶都有機會需要傳送、處理、讀取和分享不同類別的資料,ICTO 會適時推出及優化一些資訊安全資料、指引及貼士等,以便確保各用戶能容易了解資訊安全相關要求及重要事項。

參考資料

 

網安法現已生效,您準備好了嗎?

近年資訊科技發展迅速,隨著人工智能及5G網絡的發展,過往看似遙不可及的科技,現在已漸漸走進每一個人的生活中,這突顯了資訊網絡服務的重要性。尤其近月在抗疫期間,大眾對資訊網絡服務的依賴更為明顯,而資訊安全更成為了人們議論的話題,意味著大眾對資訊安全的要求也會越來越高。

隨著本澳《網絡安全法》正式實施,大學必須履行有關規定,確保資訊網絡、電腦系統及數據資料得到合適保護,以及加強對網絡安全事故之預警和應對。資訊及通訊科技部會持續維護校園網絡的資訊安全,並配合網絡安全事故預警及應急中心的工作,履行對其通報的義務,包括通報資訊安全事故與提供更新互聯網服務資料(如連接互聯網服務供應商的帳號名稱、IP 地址、域名等相關資料)。

另外,如果您需要在大學架設資訊設施或為用戶提供資訊服務,您有義務確保所提供之服務安全可靠。因此,請注意以下事項:

  • 保持系統在最新狀態,更新與修正程式以確保得到最大的保護;
  • 注意系統預設設定是否安全,包括預設密碼、權限與系統服務;
  • 使用各項資訊安全措施、開啟系統日誌及為重要資料進行備份;
  • 如使用外判資訊服務,必須確保其服務符合相關的資訊安全要求;
  • 如需要更改網絡架構或遇到資訊安全事故,必須向資訊及通訊科技部*通報。

註:資訊及通訊科技部會按《網絡安全法》規定,負責為大學執行上述通報之義務,詳情將會另行公佈。

除了服務提供者必須重視資訊安全外,其實資訊安全亦是每一位使用者的責任,使用者必須時刻保持安全意識,才可共建良好的資訊安全環境。

參考資料

騙徒手法層出不窮,你做好應對準備了嗎?

多年來,社會上出現了層出不窮的街頭騙案,如「祈福黨」及「高科技電子零件黨」,演化成近年之電話詐騙及網絡釣魚詐騙,令受騙者損失大量金錢。根據政府公佈之總體詐騙案統計數字顯示,從 2016 年 743 宗上升至 2019 年 1525 宗,當中涉及電話和網絡之詐騙案約佔詐騙案總數三成。而年初至今本澳及鄰近地區均發生多宗有關網購口罩之詐騙事件,數以千計受害者蒙受高達數千萬澳門元損失,情況不容忽視。

其實不法分子通常會利用近期大家高度關注的話題進行詐騙,如搶購口罩、新冠肺炎、貨品短缺、原油價格、視像會議等話題,再透過社交工程技巧進行各種各樣之詐騙,常見有騙取金錢、個人資料、帳戶密碼,或誘騙種下木馬程式進行長期監視或竊取資料等。

而社交工程最常見會出現於釣魚郵件中,雖然大學電郵系統會特別針對惡意電子郵件加以過濾攔截,然而資訊安全除了運用專業技術外,用戶也必須注重安全意識,以本年二月大學收到其中一封之釣魚郵件為例,其實也不難發現一些可疑破綻(見下圖)。

備註:下圖為大學正式薪酬發放之內部電郵通知樣本截圖。當滑鼠箭頭移向網址連結時,顯示的網址會包含大學網域名稱 “um.edu.mo” 或 “umac.mo”。

雖然不法分子會不時改變詐騙方式,但萬變不離其宗,只要用戶時刻保持警覺,謹記「停一停、想一想、查真偽!」,便不會被不法分子有機可乘。

參考資料

您對資訊安全了解有多少?

近年「進階持續性滲透攻擊」(Advanced Persistent Threat, APT)   是網絡上常見的威脅。入侵者首先嘗試進入目標網絡,然後潛伏多月於網絡中收集線索,再順藤摸瓜直至取得有價值的資訊,甚至會長期隱藏於網絡中進行監視。由於入侵者第一步通常是進入目標網絡,因此不管你有沒有處理重要資料,你都有可能成為下一個被攻擊目標。

事實上資訊安全是每一個人的責任,即使資訊科技人員努力透過各種方法減低受入侵風險,包括網絡安全技術、網絡監察及定期維護等,入侵者仍然可以透過利用釣魚詐騙方式入侵網絡。因此,用戶必須保持良好的資訊安全意識。想知自己對資訊安全了解有多少?不妨接受「資訊安全知識小測驗 挑戰吧!

備註:

    1. 開啟資訊安全知識小測驗連結,然後登入您的 UMPASS
    2. 選擇 “Enrol me“;
    3. 可選擇中文或英文題目作答;
    4. 合共 6 組題目,每組分別有 5 條選擇題。不限次數重複挑戰,測驗結果只供用戶個人參考。

參考資料

提防虛假信息,切勿胡亂轉發!

在2019年末,新冠肺炎疫症於內地爆發,而澳門於其後亦確診首宗病例,引起廣泛關注。根據過往經驗,當社會上發生重大事件,如爆發疫症、嚴重天災、意外事故、社會事件等,都會有相關不實之消息透過不同方式散播,包括電郵、社交網站、即時通訊等。也會有可能發展成釣魚攻擊,對資訊安全帶來一定威脅。因此,建議大家注意以下事項:

  • 切勿輕易相信未經證實的消息,建議瀏覽正式及官方新聞資訊;
  • 當收到帶有網址或附件的消息,除非確定它的來源是安全可靠,否則不應打開
  • 不應隨意轉發未經證實的消息,如散播不實言論或消息更有可能觸犯相關國家或地區的法例。

流動支付工具安全使用小貼士

近年流動支付大行其道,只要用手機就可以付款,令購物消費更簡單方便!不過在方便的同時,大家有沒有注意在使用上的安全呢?以下是一些小貼士︰

  • 小心看管財物和手機,除了金錢損失外,您的銀行卡或手機電子錢包可能會被盜用。假如遺失身份證明文件,您的個人資料亦可能會被濫用;
  • 切勿為電子錢包過量充值,避免連接大額存款銀行戶口至電子錢包。設定適當交易限額,定期查閱交易紀錄,及定期更改帳戶和交易密碼;
  • 避免使用公共場所、來歷不明或不安全的網絡進行電子錢包交易,亦應盡量避免暴露付款二維碼畫面;
  • 提防釣魚訊息,尤其涉及紅包、消費優惠、轉帳要求、密碼或個人資料的訊息,必須確認對方身份真偽,以免招致任何損失;
  • 保護流動設備
    • 使用密碼或指紋來保護您的設備;
    • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
    • 確保操作系統及軟件,包括防病毒保護,在最新的版本;
    • 請勿破解操作系統,以及避免從不知名的網站下載及安裝軟件;
  • 啟動電話智能卡密碼(SIM PIN),大部份電子錢包註冊、帳戶找回密碼功能或網上交易,都有可能需要利用電話短訊進行身份驗證。啟動密碼,有助減少因遺失智能卡而被盜用身份的機會;
  • 使用領有牌照的電子錢包服務,以及仔細閱讀相關條款和責任,了解報失程序、盜用保障條款等等。

如遺失手機,請保持冷靜,可嘗試運用手機遠程追蹤尋找手機,或遠程消滅資料功能防止盜用。另外,如有需要請向相關銀行或服務供應商進行報失處理,例如:報失銀行卡、電話智能卡、凍結電子錢包帳戶等。

網上安全與保障的基礎知識

在互聯網世界中,每分每秒都進行著各種各樣的活動,如網上購物、瀏覽網頁、電子銀行、網上遊戲等。伴隨這些活動而來的,卻是很多不同的網絡威脅,如釣魚攻擊、身份盜用、欺凌和位置追蹤等。在數之不盡的網絡威脅下,我們應如何在不影響網上活動的同時減低這些網絡威脅風險呢?以下是一些簡單的提示:

  • 為帳戶設定警報 可考慮為您的財務帳戶設定通知。一般銀行都提供帳戶活動通知功能,當您的帳戶發生超出指定金額的交易時,便會以電郵或短訊方式發出通知,從而讓您掌握帳戶的活動。相比於月結單,這類通知能讓您更快地了解賬戶交易狀況。當收到未授權的交易通知時,可以立即向相關銀行查詢。事不宜遲!請盡快在網上銀行為您的帳戶設定活動通知功能吧!
  • 保持設備和應用程式處於最新狀態 陳腔濫調但確實很重要,謹記保持設備的操作系統和應用程式均處於最新狀態,以確保安裝最新的安全修復程式。
  • 小心使用公共 WiFi 熱點 在連接到公共 WiFi 熱點時,避免進行銀行交易或處理敏感資料。
  • 個人資料等同金錢,務必重視及保護它 當進行網購時,請注意網站所收集的資料對其交易是否有必要性, 細心考慮供應商是否有必要獲得這些資料,在結賬時只須填寫必填的資料項目;
  • 保持警惕 請注意,網上有很多假冒網站試圖騙取他人的寶貴資訊。您可透過仔細檢查網址以確保其拼寫正確,以便確認連上合法網站。另外,您必須注意合法網站通常於網址欄中有鎖頭標示,網址亦會以 https:// 開頭。

只要時刻緊記以上安全提示,便可繼續安心上網!

資訊安全是每個人的責任

您知道嗎?近年來,世界各地不同行業機構先後發生資料外洩事件,當中包括教育機構、航空公司、政府機關、銀行及金融機構、電子商務、互聯網服務供應商等。在這些案例當中,過半數的資料洩漏事件均是人為疏忽而引起,常見有電子設備遺失、文件遺失、以及無意中披露資料等。事實上,只需實行一些基本的資訊安全防護措施,就可避免此類事件的發生。

  • 為了保護數據,您每天能做些什麼呢?不同行業都有機會需要傳送、處理、讀取和分享不同類別的資料,可是沒有一份適用於各行各業的資訊安全通用守則,不過每個人都應該有責任認識一些基本的資訊安全防護措施,並使用來保護資料,以及防止資料被不當處理。
  • 謹慎發佈或傳送資料:很多保密資料洩漏事件,主要就在我們「一時糊塗」間公開發佈、錯誤處理,或者錯誤填寫收件人電郵地址等。因此在發佈或傳送資料前,必須校閱內容及收件人的電郵地址;
  • 使用複雜且獨特的密碼:不同的帳戶應使用不同的登入密碼,尤其是用於處理保密資料的帳戶;
  • 啟動雙重認證:即使帳號及密碼被盜或遺失,雙重認證也能防止帳戶被盜用;
  • 保護您的電子設備:除了使用密碼鎖外,還建議使用一些生物特徵辨識技術,來保護您的智能電話和平板電腦。這樣可防止個人資料、公司電郵資料、以及網購或手機銀行資料,被充滿好奇心的他人讀取。另外,這也能保護不慎遺失或隨意放置的電子設備;
  • 更新您的電子設備:請確保您所有電子設備上的操作系統、瀏覽器和軟件更新至最新的版本;
  • 在發送資料給供應商或簽訂合同前,您準備好了嗎?在日常工作中,我們有義務去確保大學的保密資料得到適當保護,尤其需要使用外判商或雲端服務,如果使用的服務或技術牽涉保密資料,您必須在項目開始前或簽訂合同前,考慮相關的資訊安全技術,確保資料得到適當保護。

相關之資訊安全貼士

你為防範勒索軟件做好了準備嗎?

勒索軟件是一種惡意軟件,它透過加密用戶電腦上的文件,並封鎖當中的資料以要脅用戶。通常用戶必須支付「贖金」或費用,以獲得解密金匙才可為資料解鎖。另外,勒索軟件亦可能會通過網絡,散播到其他網絡設備或網絡磁碟機上。預料勒索軟件攻擊事件往後亦會不斷發生。

其實怎樣才會感染勒索軟件?
勒索軟件攻擊常見的載體,包括帶有惡意附件或惡意網站連結的電郵。也可能透過即時通訊軟件散播,而勒索軟件更可能會避過防病毒軟件的偵測,因此用戶必須保持警惕。

如何保護自己免受勒索軟件攻擊?
預防勒索軟件有兩個主要方法:

  • 作好準備:定期備份資料。因為一旦受勒索軟件攻擊,用戶未必能及時發現,通常到發現時已經為時已晚,大部分資料已被加密而無法取用,可能您一些重要研究項目或其他資料將會永久失去;對於由資訊及通訊科技部所提供的電腦,已為連接大學內聯網的桌上電腦和手提電腦,提供基本備份資料功能,詳情請參閱電腦資料備份。另外,用戶可按需要考慮為重要資料定期進行額外備份,建議將相關資料備份至外置儲存裝置中並離線存放;
  • 加強認知:勒索軟件通常利用網絡釣魚電郵進行散播,包括帶有惡意附件或惡意網站連結的電郵。亦可能會透過彈出的視窗進行的勒索軟件攻擊,例如出現電腦已被感染的警告字句,誘騙用戶按鍵進行免費掃描。另一種可能的傳播途徑是惡意廣告,通常會魚目混珠地嵌入其他正常網站中欺騙用戶。

謹記四個確保

  • 確保定期進行資料備份。由於勒索軟件可以加密電腦上的資料,以至任何連接的磁碟機,可能包括連接的雲端磁碟機,如 Dropbox,因此切記如上所述,建議定期將資料備份至外置儲存裝置中並離線存放;
  • 確保能夠從備份中還原文件,用戶可定期從備份中還原部分資料以進行測試;
  • 確保防病毒軟件是最新的並且正常運行;
  • 確保電腦程式在最新的狀態,以確保使用的系統及軟件為最安全的版本。

果受到勒索軟件攻擊該怎麼辦?

  • 立即向相關技術支援中心報告事件;
  • 隔離或關閉受感染的電腦或設備,或關閉無線網連線或拔出網線;
  • 盡快從網絡中刪除受感染的系統,以防止勒索軟件攻擊網絡或共享驅動器。