+

資訊安全是每個人的責任

/在: /通過:

您知道嗎?近年來,世界各地不同行業機構先後發生資料外洩事件,當中包括教育機構、航空公司、政府機關、銀行及金融機構、電子商務、互聯網服務供應商等。在這些案例當中,過半數的資料洩漏事件均是人為疏忽而引起,常見有電子設備遺失、文件遺失、以及無意中披露資料等。事實上,只需實行一些基本的資訊安全防護措施,就可避免此類事件的發生。

  • 為了保護數據,您每天能做些什麼呢?不同行業都有機會需要傳送、處理、讀取和分享不同類別的資料,可是沒有一份適用於各行各業的資訊安全通用守則,不過每個人都應該有責任認識一些基本的資訊安全防護措施,並使用來保護資料,以及防止資料被不當處理。
  • 謹慎發佈或傳送資料:很多保密資料洩漏事件,主要就在我們「一時糊塗」間公開發佈、錯誤處理,或者錯誤填寫收件人電郵地址等。因此在發佈或傳送資料前,必須校閱內容及收件人的電郵地址;
  • 使用複雜且獨特的密碼:不同的帳戶應使用不同的登入密碼,尤其是用於處理保密資料的帳戶;
  • 啟動雙重認證:即使帳號及密碼被盜或遺失,雙重認證也能防止帳戶被盜用;
  • 保護您的電子設備:除了使用密碼鎖外,還建議使用一些生物特徵辨識技術,來保護您的智能電話和平板電腦。這樣可防止個人資料、公司電郵資料、以及網購或手機銀行資料,被充滿好奇心的他人讀取。另外,這也能保護不慎遺失或隨意放置的電子設備;
  • 更新您的電子設備:請確保您所有電子設備上的操作系統、瀏覽器和軟件更新至最新的版本;
  • 在發送資料給供應商或簽訂合同前,您準備好了嗎?在日常工作中,我們有義務去確保大學的保密資料得到適當保護,尤其需要使用外判商或雲端服務,如果使用的服務或技術牽涉保密資料,您必須在項目開始前或簽訂合同前,考慮相關的資訊安全技術,確保資料得到適當保護。

相關之資訊安全貼士

你為防範勒索軟件做好了準備嗎?

/在: /通過:

勒索軟件是一種惡意軟件,它透過加密用戶電腦上的文件,並封鎖當中的資料以要脅用戶。通常用戶必須支付「贖金」或費用,以獲得解密金匙才可為資料解鎖。另外,勒索軟件亦可能會通過網絡,散播到其他網絡設備或網絡磁碟機上。預料勒索軟件攻擊事件往後亦會不斷發生。

其實怎樣才會感染勒索軟件?
勒索軟件攻擊常見的載體,包括帶有惡意附件或惡意網站連結的電郵。也可能透過即時通訊軟件散播,而勒索軟件更可能會避過防病毒軟件的偵測,因此用戶必須保持警惕。

如何保護自己免受勒索軟件攻擊?
預防勒索軟件有兩個主要方法:

  • 作好準備:定期備份資料。因為一旦受勒索軟件攻擊,用戶未必能及時發現,通常到發現時已經為時已晚,大部分資料已被加密而無法取用,可能您一些重要研究項目或其他資料將會永久失去;對於由資訊及通訊科技部所提供的電腦,已為連接大學內聯網的桌上電腦和手提電腦,提供基本備份資料功能,詳情請參閱電腦資料備份。另外,用戶可按需要考慮為重要資料定期進行額外備份,建議將相關資料備份至外置儲存裝置中並離線存放;
  • 加強認知:勒索軟件通常利用網絡釣魚電郵進行散播,包括帶有惡意附件或惡意網站連結的電郵。亦可能會透過彈出的視窗進行的勒索軟件攻擊,例如出現電腦已被感染的警告字句,誘騙用戶按鍵進行免費掃描。另一種可能的傳播途徑是惡意廣告,通常會魚目混珠地嵌入其他正常網站中欺騙用戶。

謹記四個確保

  • 確保定期進行資料備份。由於勒索軟件可以加密電腦上的資料,以至任何連接的磁碟機,可能包括連接的雲端磁碟機,如 Dropbox,因此切記如上所述,建議定期將資料備份至外置儲存裝置中並離線存放;
  • 確保能夠從備份中還原文件,用戶可定期從備份中還原部分資料以進行測試;
  • 確保防病毒軟件是最新的並且正常運行;
  • 確保電腦程式在最新的狀態,以確保使用的系統及軟件為最安全的版本。

果受到勒索軟件攻擊該怎麼辦?

  • 立即向相關技術支援中心報告事件;
  • 隔離或關閉受感染的電腦或設備,或關閉無線網連線或拔出網線;
  • 盡快從網絡中刪除受感染的系統,以防止勒索軟件攻擊網絡或共享驅動器。

如何安全地使用個人及家用網絡設備?

/在: /通過:

在現今資訊科技普及的年代,個人及家中使用不少連接互聯網的設備,包括智能電話、智能手錶、家用路由器、電子遊戲機,以及各式各樣的智慧家居設備等等。令生活帶來方便的同時,亦可能帶來一些資訊安全風險。因此提供一些安全貼士,希望幫助大家保確使用的設備成為您的資產,而不是負擔。

    • 確保電腦程式在最新的狀態 應定期更新設備的系統及軟件,如果已安裝防惡意軟件程式亦應注意更新,以免受到惡意軟件的破壞或感染;
    • 保護您的網絡 無線網絡亦應受到正當的保護,必須使用WPA2加密連線功能、複雜密碼及定期更新家中的 WiFi 路由器的軟件;
    • 深入了解您的設備 必須了解設備連接到互聯網上的作用、與Internet的連接性質、以及存儲和傳輸的信息類型等;
    • 了解如何保持設備的最佳狀態 細閱使用說明,清楚了解所有必須的安全使用方法,包括更改預設密碼及注意事項;
    • 了解被收集的數據內容 部分智慧型設備都會進行數據收集,務必多了解收集數據的類型,以及相關產品如何管理和使用收集得來的數據內容;
    • 認知您的數據儲存方式 智慧型設備大多都會將收集到的數據,發送並儲存在雲端中,因此用戶應該了解數據的儲存位置,以及保護個人資料的安全措施;
    • 多做些研究 在採用新的智慧型設備之前,請先進行研究,以了解其他用戶對該設備及服務供應商,在安全性和隱私性的評價。

保護重要資料您真的做好了嗎?

/在: /通過:

隨著電腦設備儲存的資料越來越多,尤其流動設備使用之普及,如智能手機、平板電腦和筆記型電腦等設備,其內在價值及可攜性等原因,容易成為不法分子的目標。透過以下提示,希望一但設備被盜或遺失時,資料亦會受到一定程度的保護:

  • 加密敏感資料 為檔案增加一層防護,可使用電腦操業系統內附的加密工具(如BitLocker或FileVault)。
  • 保護流動設備和進行資料備份 確保為每個設備均做好資料備份,當有需要時便可放心地透過遠程操作為設備上鎖或清除所有資料。另外,進行資料備份不僅能用作資料還原,而且更可準確地識別遺失的資料,方便匯報及為具安全風險的資料進行適當之行動。
  • 於公共場所或辦公室中,切勿任由設備無人看管 如把設備留在車廂內時切忌外露,請把它放置於車廂櫃桶內。另外,亦要注意停泊後車廂內的高溫可能損壞您的設備。
  • 使用密碼保護設備 透過使用密碼、PIN、指紋掃描或其他形式的身份驗證,一旦設備被盜或遺失時,亦可有更多時間為資料進行遠程清除。請緊記,不要選擇允許電腦記住密碼的選項。
  • 善用碎紙機 在清理含個人資料、醫療紀錄、財務狀況或其他敏感資料的文件時,請先把它們碎掉。
  • 勿隨意回收或棄置舊電腦和流動設備 進行前請先銷毀電腦的硬碟資料,把設備進行還原出廠設定、移除或清除SIM卡和記憶卡。
  • 檢查應用程式的許可權限 在安裝應用程式之前,應先細閱使用說明及有關隱私許可權限!
  • 小心使用公共Wi-Fi熱點 在連接到公共Wi-Fi熱點時,避免進行銀行交易或處理敏感資料。
  • 經常進行軟件更新 如果供應商發佈了設備軟件的更新,請儘快安裝,以防止黑客利用漏洞進行攻擊。

萬一設備被盜可考慮報警,並保存警方紀錄或報告。倘若遺失之設備涉及大學敏感資料、職員或學生資料時,請立即向大學報告遺失或被盜情況,以便儘快採取適當行動。

雙重認證 – 可掌控於手中之帳戶安全

/在: /通過:

假如有人偷取您的帳戶密碼,有沒有方法令您不用擔心帳戶會被盜用?其實很簡單!只要透過使用雙重認證 (Two-Factor Authentication,2FA) 就能輕易實現,令用戶能掌控帳戶登入控制權,沒有用戶的授權就沒法登入帳戶,而只需花幾分鐘簡單完成設置即可使用,操作時亦十分容易!是一項既簡單又高效的措施!

  • 雙重認證的工作原理如何?為帳戶啟動雙重認證後,只要任何人試圖登入帳戶,便會在預先註冊的智能手機或其他設備中,收到授權登入的要求,在沒有您的授權下,騙徒即使取得正確密碼亦無法登入帳戶。
  • 設置雙重認證是否很困難?現時,雙重認證的應用已相當普遍,而且簡單易用。在一般情況下,只需在智能手機安裝雙重認證應用程式及完成簡單註冊程序後,便能在有需要時作出授權操作。
  • 可否不用每次登入時都作出授權?儘管有些帳戶對登入或進行特定操作時,每次均必須進行授權操作。但在大多數情況下,雙重認證會提供一些便捷功能。例如默認授權功能,通常用戶在首次完成授權操作後的預設時間內,於同一電腦的瀏覽器中再次登入時不會再要求授權,但切勿在公用電腦上使用默認授權功能。
  • 應該透過雙重認證保護哪些帳戶?其實建議儘可能為所有的帳戶啟動雙重認證,建議先保護以下帳戶:
    • 工作的帳戶:理所當然的,員工必須遵守一些保護資料相關法律,以及公司或機構的保護資料政策、指引和程序;
    • 財務賬戶:保護您的財產!
    • 網上購物帳戶:保護存儲的信用卡和個人資料免受盜用!
    • 社交媒體帳戶和個人電郵帳戶:可能會被盜用身份,關乎您的個人聲譽!

參考資料

保護流動設備您真的做好了嗎?

/在: /通過:

流動電話、平板電腦和手提電腦,一直以來為我們提供隨時隨地的工作方便,與此同時也額外帶來一些安全隱患。這些流動設備,一方面令存儲和使用資訊變得容易,另一方面卻也很容易遺失或被偷竊。假如您的設備丟失或被盜,您知道該怎麼辦嗎?以下提供一些資訊安全貼士:

  • 保護您的設備,使用密碼或指紋來保護您的設備,以免被其他人使用;
  • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
  • 保護您的資料,定期進行資料備份,並考慮為您的設備啟用加密功能;(請參閱《重要資料遺失隨時會發生,資料備份做好了嗎?》)
  • 確保電腦程式在最新的狀態,更新軟件,包括防病毒保護,以確保使用的系統及軟件為最安全的版本。避免從不知名的網站下載及安裝軟件;
  • 別忽略設備的實體安全措施
    • 如有需要,可蓋住筆記本電腦或移動設備的鏡頭以保障隱私;
    • 可在設備上標示基本的聯絡資料,一旦遺失設備較容易尋回!
    • 記錄並妥善保存設備資料,包括生產商名稱、型號、設備序號,以及能提供支援的聯絡資料等;
    • 萬一設備被盜可考慮報警,並保存警方紀錄或報告。

參考資料

慎防釣魚陷阱

/在: /通過:

   「網絡釣魚」是社交工程中的一種誘騙手法,網絡犯罪分子會透過這種手法來誘騙受害人作出某種預期的行為。社交工程是所有網絡釣魚攻擊的核心,尤其是通過電子郵件來進行攻擊。資訊科技發達的同時使網絡釣魚變得簡單,要設置及操作網絡釣魚攻擊是非常快捷、廉價和低風險的,任何網絡犯罪分子都可以發起這種攻擊。在回覆任何電郵之前,必須確認寄件人身份,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心。大多數的釣魚電郵都有一些如下特徵:

1. 小心非官方電郵地址 舉例說,ICTO服務中心大概不會使用類似如下兩個電郵地址,進行用戶通訊。請注意當帶有寄件人名稱格式的電郵地址,其寄件人電郵地址必須包含於”< >”或”[ ]”內,而前半部分只屬於顯示名稱,不能用於識別寄件人身份;
  • @ — ICTO服務中心的正式郵件不會使用第三方電郵服務的地址域名;
  • @ — 由於@connect.um.edu.mo是學生或校友電郵服務的地址域名,ICTO服務中心的正式郵件不會使用@connect.um.edu.mo。
2. 提防電郵附件 電郵附件是傳送惡意軟件最常見途徑。當收到帶附件的郵件時,除非確定它的來源是安全可靠,否則不要打開;
3. 催促收件人是典型釣魚郵件技倆,催促收件人使其更有可能合作,例如催促檢證帳、協助購買網絡預付卡、轉帳金錢等等。如果電郵內容指示您必須立即採取某些行動否則會終止使用權限等,請務必冷靜應對,網絡犯罪分子常以恐嚇手段,希望您不假思索地跟隨行動;
4. 不正確的URL連結 通常會引導連接到一個欺詐網站,而非合法網站;
5. 偽冒電郵署名 黑客可能從某處獲得真實的電郵署名樣式,即使看起來真實,但不建議以電郵署名來判斷電郵真偽。不過如果發現署名樣式不尋常,當然必須提高警覺;
6. 不能信任寄件人頭像相片 黑客可能從某處盜取寄件人頭像相片,例如社交網站;
7. 使用不同通訊渠道 如寄件人提出可疑要求,您可使用不同的通訊渠道查明真實,例如透過即時通訊軟件或話音通訊等。

個人資料私隱保障與電郵使用技巧

/在: /通過:

在現今資訊化時代,電子郵件成為日常不可或缺的通信工具,而且也成了主要的溝通工具之一。郵件的安全性變得愈來愈重要,對於外來攻擊如電訊詐騙及惡意軟件攻擊等,雖然用戶的防範意識日漸提高,但用戶使用電郵可能出現的問題也不容忽視。尤其涉及與他人的個人資料有關的工作時,必須加倍小心謹慎。為進一步提升用戶使用電郵的安全技巧,提供以下一些安全小貼士:

  • 發送電郵之前,必須校閱電郵內容、附件、以及收件人的電郵地址是否正確;
  • 回覆電郵之前,必須確認寄件人身份,勿隨意回覆電郵,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心;
  • 轉發電郵之前,必須了解郵件內容是否適合轉發,包括附件及電郵的對話歷史紀錄內容,亦可考慮按需要摘錄部份內容,以代替轉發整封電郵。亦不要隨意轉發未經證實的內容,以免散播謠言誤觸法網;
  • 群發電郵時,謹慎考慮其群發必要性,善用電郵系統資源。詳細請參閱「群發電郵與使用郵件群組的指引(英文)」;
    慎用「回覆所有人」功能,任意回覆所有人,可能製造不必要的打擾,謹慎考慮其必要性;
  • 善用密件副本(Bcc),使用密件副本,確保不讓收件者彼此間看到其他收件人的電郵地址,從而保障各收件人的私隱;
  • 注意郵件內容及附件請勿傳送過多內容或附件,尤其涉及個人資料。如含有敏感內容,更必須考慮是否適合透過電郵方式傳送。另外,使用電郵時亦必須遵守本校政策及本澳現行法律,以及其他司法管轄區可能適用的法律。(請參閱參考資料)
  • 不要依賴電郵回收功能,畢竟覆水難收,其實電郵回收功能屬於輔助功能,只能盡量減少影響,但絕不能保證百分百能收回誤寄的電郵。

另外,用戶可以習慣在撰寫電郵後,才填寫收件人的電郵地址,以免誤寄未完成的電郵。如有需要在聯絡人資料中選擇電郵地址,必須注意避免誤選相似的電郵地址。

*參考資料

Data Privacy and Skills in Using Email

/在: /通過:

In today’s information age, email service has become an indispensable communication tool in daily work, as well as one of the major communication tools. Hence, email security are becoming more and more important. For external attacks such as telecommunications fraud and malware attacks, although user’s information security awareness is increasing, the possible problems arising from the use of email cannot be ignored. In particular, for any jobs that involved personal data, you must handle them with special care. To further enhance users’ skills in using email more secure, here are some security tips:

  • Before sending an email, you must review the email content, attachments, and the recipients’ email addresses;
  • Before replying to email, you must confirm the identity of the sender. Do not reply to the email casually. For those emails that involve sensitive content such as money, personal information or account password, etc, please pay special attention;
  • Before forwarding emails, you must understand whether the email content, which included attachments and contents of reply history, is suitable for forwarding. You can also consider extracting some necessary contents instead of forwarding the entire email. Do not arbitrarily forward unconfirmed content, so as not to spread the rumors;
  • To consider carefully the necessity of mass emailing and make good use of email system resources. For more details, please refer to the “Guidelines for Mass Email and E-mail Groups“;
  • Be aware of using “Reply to all”. It may cause unnecessary distortion. Please carefully consider the necessity;
  • Make good use of Bcc., to ensure that the recipients are not allowed to see each other’s email addresses, thus protecting the privacy of each recipient;
  • Note the email contents and attachments. Do not send too much content or attachments, especially personal information. If it contains sensitive content, you must consider whether it is suitable for transmission via email. In addition, the use of email must also comply with the policies of the University and existing local laws and regulations, as well as other laws that may need to be complied in other jurisdictions. (Please refer to the Reference information.)
  • Do not rely on “email recall”! Actually, the email recall is a facilitating function that can only minimize the impact, but it cannot guarantee recalling the email you sent successfully.

In addition, users can get used to writing emails before filling in the recipients’ email addresses, so as not to send unfinished emails by mistake. If you need to select an email address from the contacts, be careful when selecting an email address as some email addresses may look similar.

 

* Reference information

  1. Office for Personal Data Protection, Macao
  2. Personal Data Protection Act, Macao
  3. Privacy Policy, UM
  4. Guidelines for Handling Confidential Information, UM
  5. Acceptable Use Policy on ICTO Computing Facilities Campus Network and Internet
  6. Guidelines for Mass Email and E-mail Groups
  7. How can I identify a phishing, fake email and websites?
  8. What you need to know about EU General Data Protection Regulation?
  9. Data Privacy in an Era of Compliance
  10. Other Information Security Tips

合規時代的資料私隱保障

/在: /通過:

「合規」是指符合法律、法規、標準和其他的要求。

  今時今日,互聯網已成為人們日常生活中必不可少的工具,但是您是否知道其實互聯網上充滿大量有關您的資料嗎?每當玩遊戲、網上購物、瀏覽網站或使用應用程序時,您的活動和一些個人資料都可能被收集和共享。同樣地,我們在日常工作上也可能需要收集、處理和存儲他人的個人資料。每當我們處理這些資料時,必須謹慎和尊重地對待這些資料,正如您亦希望別人妥善處理您的個人資料一樣。

保護自己的個人資料

  • 了解您分享的內容:檢查所有社交媒體帳戶的私隱設置,有些可能提供設定精靈協助您完成設置,對公開發佈的內容亦應該經常保持謹慎;
  • 保護您的出生日期和電話號碼:這些是用於身份和帳戶驗證的關鍵資料,不應任意公開分享。如果一些網上服務或網站要求分享這些關鍵信息時,務必考慮其必要性及網站安全性;
  • 請注意網絡釣魚電子郵件和虛假網站:一不小心個人資料隨時可能會被騙取!*6

保護他人的個人資料、身份和私隱:

  • 了解相關適用的法律、政策及指引:適用於規範如何收集、處理、存儲和刪除個人資料;*1,2,3,4,5
  • 僅將資料用於其預期目的:如果由於其他原因需要使用資料,請先查閱上述的政策和指引;
  • 務必保護他人的個人資料機密性,並限制對其資料的存取;
  • 銷毀或去除識別身份的資訊:在不再需要使用的資料時,應銷毀或把資料去除識別身份的相關資訊。

* 參考資料

  1. 澳門個人資料保護辦公室
  2. 澳門個人資料保護法
  3. 澳門大學私隱政策
  4. 澳門大學處理機密資料指引
  5. 歐盟《資料保護總規章》與您有什麼關係?
  6. 如何識別釣魚、虛假電子郵件及假網站?