+

您對資訊安全了解有多少?

/在: /通過:

近年「進階持續性滲透攻擊」(Advanced Persistent Threat, APT)   是網絡上常見的威脅。入侵者首先嘗試進入目標網絡,然後潛伏多月於網絡中收集線索,再順藤摸瓜直至取得有價值的資訊,甚至會長期隱藏於網絡中進行監視。由於入侵者第一步通常是進入目標網絡,因此不管你有沒有處理重要資料,你都有可能成為下一個被攻擊目標。

事實上資訊安全是每一個人的責任,即使資訊科技人員努力透過各種方法減低受入侵風險,包括網絡安全技術、網絡監察及定期維護等,入侵者仍然可以透過利用釣魚詐騙方式入侵網絡。因此,用戶必須保持良好的資訊安全意識。想知自己對資訊安全了解有多少?不妨接受「資訊安全知識小測驗 挑戰吧!

備註:

    1. 開啟資訊安全知識小測驗連結,然後登入您的 UMPASS
    2. 選擇 “Enrol me“;
    3. 可選擇中文或英文題目作答;
    4. 合共 6 組題目,每組分別有 5 條選擇題。不限次數重複挑戰,測驗結果只供用戶個人參考。

參考資料

提防虛假信息,切勿胡亂轉發!

/在: /通過:

在2019年末,新冠肺炎疫症於內地爆發,而澳門於其後亦確診首宗病例,引起廣泛關注。根據過往經驗,當社會上發生重大事件,如爆發疫症、嚴重天災、意外事故、社會事件等,都會有相關不實之消息透過不同方式散播,包括電郵、社交網站、即時通訊等。也會有可能發展成釣魚攻擊,對資訊安全帶來一定威脅。因此,建議大家注意以下事項:

  • 切勿輕易相信未經證實的消息,建議瀏覽正式及官方新聞資訊;
  • 當收到帶有網址或附件的消息,除非確定它的來源是安全可靠,否則不應打開
  • 不應隨意轉發未經證實的消息,如散播不實言論或消息更有可能觸犯相關國家或地區的法例。

流動支付工具安全使用小貼士

/在: /通過:

近年流動支付大行其道,只要用手機就可以付款,令購物消費更簡單方便!不過在方便的同時,大家有沒有注意在使用上的安全呢?以下是一些小貼士︰

  • 小心看管財物和手機,除了金錢損失外,您的銀行卡或手機電子錢包可能會被盜用。假如遺失身份證明文件,您的個人資料亦可能會被濫用;
  • 切勿為電子錢包過量充值,避免連接大額存款銀行戶口至電子錢包。設定適當交易限額,定期查閱交易紀錄,及定期更改帳戶和交易密碼;
  • 避免使用公共場所、來歷不明或不安全的網絡進行電子錢包交易,亦應盡量避免暴露付款二維碼畫面;
  • 提防釣魚訊息,尤其涉及紅包、消費優惠、轉帳要求、密碼或個人資料的訊息,必須確認對方身份真偽,以免招致任何損失;
  • 保護流動設備
    • 使用密碼或指紋來保護您的設備;
    • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
    • 確保操作系統及軟件,包括防病毒保護,在最新的版本;
    • 請勿破解操作系統,以及避免從不知名的網站下載及安裝軟件;
  • 啟動電話智能卡密碼(SIM PIN),大部份電子錢包註冊、帳戶找回密碼功能或網上交易,都有可能需要利用電話短訊進行身份驗證。啟動密碼,有助減少因遺失智能卡而被盜用身份的機會;
  • 使用領有牌照的電子錢包服務,以及仔細閱讀相關條款和責任,了解報失程序、盜用保障條款等等。

如遺失手機,請保持冷靜,可嘗試運用手機遠程追蹤尋找手機,或遠程消滅資料功能防止盜用。另外,如有需要請向相關銀行或服務供應商進行報失處理,例如:報失銀行卡、電話智能卡、凍結電子錢包帳戶等。

網上安全與保障的基礎知識

/在: /通過:

在互聯網世界中,每分每秒都進行著各種各樣的活動,如網上購物、瀏覽網頁、電子銀行、網上遊戲等。伴隨這些活動而來的,卻是很多不同的網絡威脅,如釣魚攻擊、身份盜用、欺凌和位置追蹤等。在數之不盡的網絡威脅下,我們應如何在不影響網上活動的同時減低這些網絡威脅風險呢?以下是一些簡單的提示:

  • 為帳戶設定警報 可考慮為您的財務帳戶設定通知。一般銀行都提供帳戶活動通知功能,當您的帳戶發生超出指定金額的交易時,便會以電郵或短訊方式發出通知,從而讓您掌握帳戶的活動。相比於月結單,這類通知能讓您更快地了解賬戶交易狀況。當收到未授權的交易通知時,可以立即向相關銀行查詢。事不宜遲!請盡快在網上銀行為您的帳戶設定活動通知功能吧!
  • 保持設備和應用程式處於最新狀態 陳腔濫調但確實很重要,謹記保持設備的操作系統和應用程式均處於最新狀態,以確保安裝最新的安全修復程式。
  • 小心使用公共 WiFi 熱點 在連接到公共 WiFi 熱點時,避免進行銀行交易或處理敏感資料。
  • 個人資料等同金錢,務必重視及保護它 當進行網購時,請注意網站所收集的資料對其交易是否有必要性, 細心考慮供應商是否有必要獲得這些資料,在結賬時只須填寫必填的資料項目;
  • 保持警惕 請注意,網上有很多假冒網站試圖騙取他人的寶貴資訊。您可透過仔細檢查網址以確保其拼寫正確,以便確認連上合法網站。另外,您必須注意合法網站通常於網址欄中有鎖頭標示,網址亦會以 https:// 開頭。

只要時刻緊記以上安全提示,便可繼續安心上網!

資訊安全是每個人的責任

/在: /通過:

您知道嗎?近年來,世界各地不同行業機構先後發生資料外洩事件,當中包括教育機構、航空公司、政府機關、銀行及金融機構、電子商務、互聯網服務供應商等。在這些案例當中,過半數的資料洩漏事件均是人為疏忽而引起,常見有電子設備遺失、文件遺失、以及無意中披露資料等。事實上,只需實行一些基本的資訊安全防護措施,就可避免此類事件的發生。

  • 為了保護數據,您每天能做些什麼呢?不同行業都有機會需要傳送、處理、讀取和分享不同類別的資料,可是沒有一份適用於各行各業的資訊安全通用守則,不過每個人都應該有責任認識一些基本的資訊安全防護措施,並使用來保護資料,以及防止資料被不當處理。
  • 謹慎發佈或傳送資料:很多保密資料洩漏事件,主要就在我們「一時糊塗」間公開發佈、錯誤處理,或者錯誤填寫收件人電郵地址等。因此在發佈或傳送資料前,必須校閱內容及收件人的電郵地址;
  • 使用複雜且獨特的密碼:不同的帳戶應使用不同的登入密碼,尤其是用於處理保密資料的帳戶;
  • 啟動雙重認證:即使帳號及密碼被盜或遺失,雙重認證也能防止帳戶被盜用;
  • 保護您的電子設備:除了使用密碼鎖外,還建議使用一些生物特徵辨識技術,來保護您的智能電話和平板電腦。這樣可防止個人資料、公司電郵資料、以及網購或手機銀行資料,被充滿好奇心的他人讀取。另外,這也能保護不慎遺失或隨意放置的電子設備;
  • 更新您的電子設備:請確保您所有電子設備上的操作系統、瀏覽器和軟件更新至最新的版本;
  • 在發送資料給供應商或簽訂合同前,您準備好了嗎?在日常工作中,我們有義務去確保大學的保密資料得到適當保護,尤其需要使用外判商或雲端服務,如果使用的服務或技術牽涉保密資料,您必須在項目開始前或簽訂合同前,考慮相關的資訊安全技術,確保資料得到適當保護。

相關之資訊安全貼士

你為防範勒索軟件做好了準備嗎?

/在: /通過:

勒索軟件是一種惡意軟件,它透過加密用戶電腦上的文件,並封鎖當中的資料以要脅用戶。通常用戶必須支付「贖金」或費用,以獲得解密金匙才可為資料解鎖。另外,勒索軟件亦可能會通過網絡,散播到其他網絡設備或網絡磁碟機上。預料勒索軟件攻擊事件往後亦會不斷發生。

其實怎樣才會感染勒索軟件?
勒索軟件攻擊常見的載體,包括帶有惡意附件或惡意網站連結的電郵。也可能透過即時通訊軟件散播,而勒索軟件更可能會避過防病毒軟件的偵測,因此用戶必須保持警惕。

如何保護自己免受勒索軟件攻擊?
預防勒索軟件有兩個主要方法:

  • 作好準備:定期備份資料。因為一旦受勒索軟件攻擊,用戶未必能及時發現,通常到發現時已經為時已晚,大部分資料已被加密而無法取用,可能您一些重要研究項目或其他資料將會永久失去;對於由資訊及通訊科技部所提供的電腦,已為連接大學內聯網的桌上電腦和手提電腦,提供基本備份資料功能,詳情請參閱電腦資料備份。另外,用戶可按需要考慮為重要資料定期進行額外備份,建議將相關資料備份至外置儲存裝置中並離線存放;
  • 加強認知:勒索軟件通常利用網絡釣魚電郵進行散播,包括帶有惡意附件或惡意網站連結的電郵。亦可能會透過彈出的視窗進行的勒索軟件攻擊,例如出現電腦已被感染的警告字句,誘騙用戶按鍵進行免費掃描。另一種可能的傳播途徑是惡意廣告,通常會魚目混珠地嵌入其他正常網站中欺騙用戶。

謹記四個確保

  • 確保定期進行資料備份。由於勒索軟件可以加密電腦上的資料,以至任何連接的磁碟機,可能包括連接的雲端磁碟機,如 Dropbox,因此切記如上所述,建議定期將資料備份至外置儲存裝置中並離線存放;
  • 確保能夠從備份中還原文件,用戶可定期從備份中還原部分資料以進行測試;
  • 確保防病毒軟件是最新的並且正常運行;
  • 確保電腦程式在最新的狀態,以確保使用的系統及軟件為最安全的版本。

果受到勒索軟件攻擊該怎麼辦?

  • 立即向相關技術支援中心報告事件;
  • 隔離或關閉受感染的電腦或設備,或關閉無線網連線或拔出網線;
  • 盡快從網絡中刪除受感染的系統,以防止勒索軟件攻擊網絡或共享驅動器。

如何安全地使用個人及家用網絡設備?

/在: /通過:

在現今資訊科技普及的年代,個人及家中使用不少連接互聯網的設備,包括智能電話、智能手錶、家用路由器、電子遊戲機,以及各式各樣的智慧家居設備等等。令生活帶來方便的同時,亦可能帶來一些資訊安全風險。因此提供一些安全貼士,希望幫助大家保確使用的設備成為您的資產,而不是負擔。

    • 確保電腦程式在最新的狀態 應定期更新設備的系統及軟件,如果已安裝防惡意軟件程式亦應注意更新,以免受到惡意軟件的破壞或感染;
    • 保護您的網絡 無線網絡亦應受到正當的保護,必須使用WPA2加密連線功能、複雜密碼及定期更新家中的 WiFi 路由器的軟件;
    • 深入了解您的設備 必須了解設備連接到互聯網上的作用、與Internet的連接性質、以及存儲和傳輸的信息類型等;
    • 了解如何保持設備的最佳狀態 細閱使用說明,清楚了解所有必須的安全使用方法,包括更改預設密碼及注意事項;
    • 了解被收集的數據內容 部分智慧型設備都會進行數據收集,務必多了解收集數據的類型,以及相關產品如何管理和使用收集得來的數據內容;
    • 認知您的數據儲存方式 智慧型設備大多都會將收集到的數據,發送並儲存在雲端中,因此用戶應該了解數據的儲存位置,以及保護個人資料的安全措施;
    • 多做些研究 在採用新的智慧型設備之前,請先進行研究,以了解其他用戶對該設備及服務供應商,在安全性和隱私性的評價。

保護重要資料您真的做好了嗎?

/在: /通過:

隨著電腦設備儲存的資料越來越多,尤其流動設備使用之普及,如智能手機、平板電腦和筆記型電腦等設備,其內在價值及可攜性等原因,容易成為不法分子的目標。透過以下提示,希望一但設備被盜或遺失時,資料亦會受到一定程度的保護:

  • 加密敏感資料 為檔案增加一層防護,可使用電腦操業系統內附的加密工具(如BitLocker或FileVault)。
  • 保護流動設備和進行資料備份 確保為每個設備均做好資料備份,當有需要時便可放心地透過遠程操作為設備上鎖或清除所有資料。另外,進行資料備份不僅能用作資料還原,而且更可準確地識別遺失的資料,方便匯報及為具安全風險的資料進行適當之行動。
  • 於公共場所或辦公室中,切勿任由設備無人看管 如把設備留在車廂內時切忌外露,請把它放置於車廂櫃桶內。另外,亦要注意停泊後車廂內的高溫可能損壞您的設備。
  • 使用密碼保護設備 透過使用密碼、PIN、指紋掃描或其他形式的身份驗證,一旦設備被盜或遺失時,亦可有更多時間為資料進行遠程清除。請緊記,不要選擇允許電腦記住密碼的選項。
  • 善用碎紙機 在清理含個人資料、醫療紀錄、財務狀況或其他敏感資料的文件時,請先把它們碎掉。
  • 勿隨意回收或棄置舊電腦和流動設備 進行前請先銷毀電腦的硬碟資料,把設備進行還原出廠設定、移除或清除SIM卡和記憶卡。
  • 檢查應用程式的許可權限 在安裝應用程式之前,應先細閱使用說明及有關隱私許可權限!
  • 小心使用公共Wi-Fi熱點 在連接到公共Wi-Fi熱點時,避免進行銀行交易或處理敏感資料。
  • 經常進行軟件更新 如果供應商發佈了設備軟件的更新,請儘快安裝,以防止黑客利用漏洞進行攻擊。

萬一設備被盜可考慮報警,並保存警方紀錄或報告。倘若遺失之設備涉及大學敏感資料、職員或學生資料時,請立即向大學報告遺失或被盜情況,以便儘快採取適當行動。

雙重認證 – 可掌控於手中之帳戶安全

/在: /通過:

假如有人偷取您的帳戶密碼,有沒有方法令您不用擔心帳戶會被盜用?其實很簡單!只要透過使用雙重認證 (Two-Factor Authentication,2FA) 就能輕易實現,令用戶能掌控帳戶登入控制權,沒有用戶的授權就沒法登入帳戶,而只需花幾分鐘簡單完成設置即可使用,操作時亦十分容易!是一項既簡單又高效的措施!

  • 雙重認證的工作原理如何?為帳戶啟動雙重認證後,只要任何人試圖登入帳戶,便會在預先註冊的智能手機或其他設備中,收到授權登入的要求,在沒有您的授權下,騙徒即使取得正確密碼亦無法登入帳戶。
  • 設置雙重認證是否很困難?現時,雙重認證的應用已相當普遍,而且簡單易用。在一般情況下,只需在智能手機安裝雙重認證應用程式及完成簡單註冊程序後,便能在有需要時作出授權操作。
  • 可否不用每次登入時都作出授權?儘管有些帳戶對登入或進行特定操作時,每次均必須進行授權操作。但在大多數情況下,雙重認證會提供一些便捷功能。例如默認授權功能,通常用戶在首次完成授權操作後的預設時間內,於同一電腦的瀏覽器中再次登入時不會再要求授權,但切勿在公用電腦上使用默認授權功能。
  • 應該透過雙重認證保護哪些帳戶?其實建議儘可能為所有的帳戶啟動雙重認證,建議先保護以下帳戶:
    • 工作的帳戶:理所當然的,員工必須遵守一些保護資料相關法律,以及公司或機構的保護資料政策、指引和程序;
    • 財務賬戶:保護您的財產!
    • 網上購物帳戶:保護存儲的信用卡和個人資料免受盜用!
    • 社交媒體帳戶和個人電郵帳戶:可能會被盜用身份,關乎您的個人聲譽!

參考資料

保護流動設備您真的做好了嗎?

/在: /通過:

流動電話、平板電腦和手提電腦,一直以來為我們提供隨時隨地的工作方便,與此同時也額外帶來一些安全隱患。這些流動設備,一方面令存儲和使用資訊變得容易,另一方面卻也很容易遺失或被偷竊。假如您的設備丟失或被盜,您知道該怎麼辦嗎?以下提供一些資訊安全貼士:

  • 保護您的設備,使用密碼或指紋來保護您的設備,以免被其他人使用;
  • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
  • 保護您的資料,定期進行資料備份,並考慮為您的設備啟用加密功能;(請參閱《重要資料遺失隨時會發生,資料備份做好了嗎?》)
  • 確保電腦程式在最新的狀態,更新軟件,包括防病毒保護,以確保使用的系統及軟件為最安全的版本。避免從不知名的網站下載及安裝軟件;
  • 別忽略設備的實體安全措施
    • 如有需要,可蓋住筆記本電腦或移動設備的鏡頭以保障隱私;
    • 可在設備上標示基本的聯絡資料,一旦遺失設備較容易尋回!
    • 記錄並妥善保存設備資料,包括生產商名稱、型號、設備序號,以及能提供支援的聯絡資料等;
    • 萬一設備被盜可考慮報警,並保存警方紀錄或報告。

參考資料