如何安全地使用個人及家用網絡設備?

在現今資訊科技普及的年代,個人及家中使用不少連接互聯網的設備,包括智能電話、智能手錶、家用路由器、電子遊戲機,以及各式各樣的智慧家居設備等等。令生活帶來方便的同時,亦可能帶來一些資訊安全風險。因此提供一些安全貼士,希望幫助大家保確使用的設備成為您的資產,而不是負擔。

    • 確保電腦程式在最新的狀態 應定期更新設備的系統及軟件,如果已安裝防惡意軟件程式亦應注意更新,以免受到惡意軟件的破壞或感染;
    • 保護您的網絡 無線網絡亦應受到正當的保護,必須使用WPA2加密連線功能、複雜密碼及定期更新家中的 WiFi 路由器的軟件;
    • 深入了解您的設備 必須了解設備連接到互聯網上的作用、與Internet的連接性質、以及存儲和傳輸的信息類型等;
    • 了解如何保持設備的最佳狀態 細閱使用說明,清楚了解所有必須的安全使用方法,包括更改預設密碼及注意事項;
    • 了解被收集的數據內容 部分智慧型設備都會進行數據收集,務必多了解收集數據的類型,以及相關產品如何管理和使用收集得來的數據內容;
    • 認知您的數據儲存方式 智慧型設備大多都會將收集到的數據,發送並儲存在雲端中,因此用戶應該了解數據的儲存位置,以及保護個人資料的安全措施;
    • 多做些研究 在採用新的智慧型設備之前,請先進行研究,以了解其他用戶對該設備及服務供應商,在安全性和隱私性的評價。

保護重要資料您真的做好了嗎?

隨著電腦設備儲存的資料越來越多,尤其流動設備使用之普及,如智能手機、平板電腦和筆記型電腦等設備,其內在價值及可攜性等原因,容易成為不法分子的目標。透過以下提示,希望一但設備被盜或遺失時,資料亦會受到一定程度的保護:

  • 加密敏感資料 為檔案增加一層防護,可使用電腦操業系統內附的加密工具(如BitLocker或FileVault)。
  • 保護流動設備和進行資料備份 確保為每個設備均做好資料備份,當有需要時便可放心地透過遠程操作為設備上鎖或清除所有資料。另外,進行資料備份不僅能用作資料還原,而且更可準確地識別遺失的資料,方便匯報及為具安全風險的資料進行適當之行動。
  • 於公共場所或辦公室中,切勿任由設備無人看管 如把設備留在車廂內時切忌外露,請把它放置於車廂櫃桶內。另外,亦要注意停泊後車廂內的高溫可能損壞您的設備。
  • 使用密碼保護設備 透過使用密碼、PIN、指紋掃描或其他形式的身份驗證,一旦設備被盜或遺失時,亦可有更多時間為資料進行遠程清除。請緊記,不要選擇允許電腦記住密碼的選項。
  • 善用碎紙機 在清理含個人資料、醫療紀錄、財務狀況或其他敏感資料的文件時,請先把它們碎掉。
  • 勿隨意回收或棄置舊電腦和流動設備 進行前請先銷毀電腦的硬碟資料,把設備進行還原出廠設定、移除或清除SIM卡和記憶卡。
  • 檢查應用程式的許可權限 在安裝應用程式之前,應先細閱使用說明及有關隱私許可權限!
  • 小心使用公共Wi-Fi熱點 在連接到公共Wi-Fi熱點時,避免進行銀行交易或處理敏感資料。
  • 經常進行軟件更新 如果供應商發佈了設備軟件的更新,請儘快安裝,以防止黑客利用漏洞進行攻擊。

萬一設備被盜可考慮報警,並保存警方紀錄或報告。倘若遺失之設備涉及大學敏感資料、職員或學生資料時,請立即向大學報告遺失或被盜情況,以便儘快採取適當行動。

雙重認證 – 可掌控於手中之帳戶安全

假如有人偷取您的帳戶密碼,有沒有方法令您不用擔心帳戶會被盜用?其實很簡單!只要透過使用雙重認證 (Two-Factor Authentication,2FA) 就能輕易實現,令用戶能掌控帳戶登入控制權,沒有用戶的授權就沒法登入帳戶,而只需花幾分鐘簡單完成設置即可使用,操作時亦十分容易!是一項既簡單又高效的措施!

  • 雙重認證的工作原理如何?為帳戶啟動雙重認證後,只要任何人試圖登入帳戶,便會在預先註冊的智能手機或其他設備中,收到授權登入的要求,在沒有您的授權下,騙徒即使取得正確密碼亦無法登入帳戶。
  • 設置雙重認證是否很困難?現時,雙重認證的應用已相當普遍,而且簡單易用。在一般情況下,只需在智能手機安裝雙重認證應用程式及完成簡單註冊程序後,便能在有需要時作出授權操作。
  • 可否不用每次登入時都作出授權?儘管有些帳戶對登入或進行特定操作時,每次均必須進行授權操作。但在大多數情況下,雙重認證會提供一些便捷功能。例如默認授權功能,通常用戶在首次完成授權操作後的預設時間內,於同一電腦的瀏覽器中再次登入時不會再要求授權,但切勿在公用電腦上使用默認授權功能。
  • 應該透過雙重認證保護哪些帳戶?其實建議儘可能為所有的帳戶啟動雙重認證,建議先保護以下帳戶:
    • 工作的帳戶:理所當然的,員工必須遵守一些保護資料相關法律,以及公司或機構的保護資料政策、指引和程序;
    • 財務賬戶:保護您的財產!
    • 網上購物帳戶:保護存儲的信用卡和個人資料免受盜用!
    • 社交媒體帳戶和個人電郵帳戶:可能會被盜用身份,關乎您的個人聲譽!

參考資料

保護流動設備您真的做好了嗎?

流動電話、平板電腦和手提電腦,一直以來為我們提供隨時隨地的工作方便,與此同時也額外帶來一些安全隱患。這些流動設備,一方面令存儲和使用資訊變得容易,另一方面卻也很容易遺失或被偷竊。假如您的設備丟失或被盜,您知道該怎麼辦嗎?以下提供一些資訊安全貼士:

  • 保護您的設備,使用密碼或指紋來保護您的設備,以免被其他人使用;
  • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
  • 保護您的資料,定期進行資料備份,並考慮為您的設備啟用加密功能;(請參閱《重要資料遺失隨時會發生,資料備份做好了嗎?》)
  • 確保電腦程式在最新的狀態,更新軟件,包括防病毒保護,以確保使用的系統及軟件為最安全的版本。避免從不知名的網站下載及安裝軟件;
  • 別忽略設備的實體安全措施
    • 如有需要,可蓋住筆記本電腦或移動設備的鏡頭以保障隱私;
    • 可在設備上標示基本的聯絡資料,一旦遺失設備較容易尋回!
    • 記錄並妥善保存設備資料,包括生產商名稱、型號、設備序號,以及能提供支援的聯絡資料等;
    • 萬一設備被盜可考慮報警,並保存警方紀錄或報告。

參考資料

慎防釣魚陷阱

   「網絡釣魚」是社交工程中的一種誘騙手法,網絡犯罪分子會透過這種手法來誘騙受害人作出某種預期的行為。社交工程是所有網絡釣魚攻擊的核心,尤其是通過電子郵件來進行攻擊。資訊科技發達的同時使網絡釣魚變得簡單,要設置及操作網絡釣魚攻擊是非常快捷、廉價和低風險的,任何網絡犯罪分子都可以發起這種攻擊。在回覆任何電郵之前,必須確認寄件人身份,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心。大多數的釣魚電郵都有一些如下特徵:

1. 小心非官方電郵地址 舉例說,ICTO服務中心大概不會使用類似如下兩個電郵地址,進行用戶通訊。請注意當帶有寄件人名稱格式的電郵地址,其寄件人電郵地址必須包含於”< >”或”[ ]”內,而前半部分只屬於顯示名稱,不能用於識別寄件人身份;
  • @ — ICTO服務中心的正式郵件不會使用第三方電郵服務的地址域名;
  • @ — 由於@connect.um.edu.mo是學生或校友電郵服務的地址域名,ICTO服務中心的正式郵件不會使用@connect.um.edu.mo。
2. 提防電郵附件 電郵附件是傳送惡意軟件最常見途徑。當收到帶附件的郵件時,除非確定它的來源是安全可靠,否則不要打開;
3. 催促收件人是典型釣魚郵件技倆,催促收件人使其更有可能合作,例如催促檢證帳、協助購買網絡預付卡、轉帳金錢等等。如果電郵內容指示您必須立即採取某些行動否則會終止使用權限等,請務必冷靜應對,網絡犯罪分子常以恐嚇手段,希望您不假思索地跟隨行動;
4. 不正確的URL連結 通常會引導連接到一個欺詐網站,而非合法網站;
5. 偽冒電郵署名 黑客可能從某處獲得真實的電郵署名樣式,即使看起來真實,但不建議以電郵署名來判斷電郵真偽。不過如果發現署名樣式不尋常,當然必須提高警覺;
6. 不能信任寄件人頭像相片 黑客可能從某處盜取寄件人頭像相片,例如社交網站;
7. 使用不同通訊渠道 如寄件人提出可疑要求,您可使用不同的通訊渠道查明真實,例如透過即時通訊軟件或話音通訊等。

個人資料私隱保障與電郵使用技巧

在現今資訊化時代,電子郵件成為日常不可或缺的通信工具,而且也成了主要的溝通工具之一。郵件的安全性變得愈來愈重要,對於外來攻擊如電訊詐騙及惡意軟件攻擊等,雖然用戶的防範意識日漸提高,但用戶使用電郵可能出現的問題也不容忽視。尤其涉及與他人的個人資料有關的工作時,必須加倍小心謹慎。為進一步提升用戶使用電郵的安全技巧,提供以下一些安全小貼士:

  • 發送電郵之前,必須校閱電郵內容、附件、以及收件人的電郵地址是否正確;
  • 回覆電郵之前,必須確認寄件人身份,勿隨意回覆電郵,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心;
  • 轉發電郵之前,必須了解郵件內容是否適合轉發,包括附件及電郵的對話歷史紀錄內容,亦可考慮按需要摘錄部份內容,以代替轉發整封電郵。亦不要隨意轉發未經證實的內容,以免散播謠言誤觸法網;
  • 群發電郵時,謹慎考慮其群發必要性,善用電郵系統資源。詳細請參閱「群發電郵與使用郵件群組的指引(英文)」;
    慎用「回覆所有人」功能,任意回覆所有人,可能製造不必要的打擾,謹慎考慮其必要性;
  • 善用密件副本(Bcc),使用密件副本,確保不讓收件者彼此間看到其他收件人的電郵地址,從而保障各收件人的私隱;
  • 注意郵件內容及附件請勿傳送過多內容或附件,尤其涉及個人資料。如含有敏感內容,更必須考慮是否適合透過電郵方式傳送。另外,使用電郵時亦必須遵守本校政策及本澳現行法律,以及其他司法管轄區可能適用的法律。(請參閱參考資料)
  • 不要依賴電郵回收功能,畢竟覆水難收,其實電郵回收功能屬於輔助功能,只能盡量減少影響,但絕不能保證百分百能收回誤寄的電郵。

另外,用戶可以習慣在撰寫電郵後,才填寫收件人的電郵地址,以免誤寄未完成的電郵。如有需要在聯絡人資料中選擇電郵地址,必須注意避免誤選相似的電郵地址。

*參考資料

Data Privacy and Skills in Using Email

In today’s information age, email service has become an indispensable communication tool in daily work, as well as one of the major communication tools. Hence, email security are becoming more and more important. For external attacks such as telecommunications fraud and malware attacks, although user’s information security awareness is increasing, the possible problems arising from the use of email cannot be ignored. In particular, for any jobs that involved personal data, you must handle them with special care. To further enhance users’ skills in using email more secure, here are some security tips:

  • Before sending an email, you must review the email content, attachments, and the recipients’ email addresses;
  • Before replying to email, you must confirm the identity of the sender. Do not reply to the email casually. For those emails that involve sensitive content such as money, personal information or account password, etc, please pay special attention;
  • Before forwarding emails, you must understand whether the email content, which included attachments and contents of reply history, is suitable for forwarding. You can also consider extracting some necessary contents instead of forwarding the entire email. Do not arbitrarily forward unconfirmed content, so as not to spread the rumors;
  • To consider carefully the necessity of mass emailing and make good use of email system resources. For more details, please refer to the “Guidelines for Mass Email and E-mail Groups“;
  • Be aware of using “Reply to all”. It may cause unnecessary distortion. Please carefully consider the necessity;
  • Make good use of Bcc., to ensure that the recipients are not allowed to see each other’s email addresses, thus protecting the privacy of each recipient;
  • Note the email contents and attachments. Do not send too much content or attachments, especially personal information. If it contains sensitive content, you must consider whether it is suitable for transmission via email. In addition, the use of email must also comply with the policies of the University and existing local laws and regulations, as well as other laws that may need to be complied in other jurisdictions. (Please refer to the Reference information.)
  • Do not rely on “email recall”! Actually, the email recall is a facilitating function that can only minimize the impact, but it cannot guarantee recalling the email you sent successfully.

In addition, users can get used to writing emails before filling in the recipients’ email addresses, so as not to send unfinished emails by mistake. If you need to select an email address from the contacts, be careful when selecting an email address as some email addresses may look similar.

 

* Reference information

  1. Office for Personal Data Protection, Macao
  2. Personal Data Protection Act, Macao
  3. Privacy Policy, UM
  4. Guidelines for Handling Confidential Information, UM
  5. Acceptable Use Policy on ICTO Computing Facilities Campus Network and Internet
  6. Guidelines for Mass Email and E-mail Groups
  7. How can I identify a phishing, fake email and websites?
  8. What you need to know about EU General Data Protection Regulation?
  9. Data Privacy in an Era of Compliance
  10. Other Information Security Tips

合規時代的資料私隱保障

「合規」是指符合法律、法規、標準和其他的要求。

  今時今日,互聯網已成為人們日常生活中必不可少的工具,但是您是否知道其實互聯網上充滿大量有關您的資料嗎?每當玩遊戲、網上購物、瀏覽網站或使用應用程序時,您的活動和一些個人資料都可能被收集和共享。同樣地,我們在日常工作上也可能需要收集、處理和存儲他人的個人資料。每當我們處理這些資料時,必須謹慎和尊重地對待這些資料,正如您亦希望別人妥善處理您的個人資料一樣。

保護自己的個人資料

  • 了解您分享的內容:檢查所有社交媒體帳戶的私隱設置,有些可能提供設定精靈協助您完成設置,對公開發佈的內容亦應該經常保持謹慎;
  • 保護您的出生日期和電話號碼:這些是用於身份和帳戶驗證的關鍵資料,不應任意公開分享。如果一些網上服務或網站要求分享這些關鍵信息時,務必考慮其必要性及網站安全性;
  • 請注意網絡釣魚電子郵件和虛假網站:一不小心個人資料隨時可能會被騙取!*6

保護他人的個人資料、身份和私隱:

  • 了解相關適用的法律、政策及指引:適用於規範如何收集、處理、存儲和刪除個人資料;*1,2,3,4,5
  • 僅將資料用於其預期目的:如果由於其他原因需要使用資料,請先查閱上述的政策和指引;
  • 務必保護他人的個人資料機密性,並限制對其資料的存取;
  • 銷毀或去除識別身份的資訊:在不再需要使用的資料時,應銷毀或把資料去除識別身份的相關資訊。

* 參考資料

  1. 澳門個人資料保護辦公室
  2. 澳門個人資料保護法
  3. 澳門大學私隱政策
  4. 澳門大學處理機密資料指引
  5. 歐盟《資料保護總規章》與您有什麼關係?
  6. 如何識別釣魚、虛假電子郵件及假網站?

如何在外遊時保護您的資料和電子設備?

  現今資訊科技令外遊或公幹都變得更加便利,你可以用於處理公務、娛樂以及保持聯繫。對於許多人來說,攜帶手機或其他電子設備,是良好旅行體驗和日常生活不可或缺的一部分。但同時可能會增加個人資訊外洩風險以及設備被盜的可能性。為免因資訊安全事故而影響行程,可參考以下一些貼士來保障你的資訊安全。

  • 只使用需要的資料 可將某些設備留在家中、使用臨時設備、從設備中刪除個人資料或將資料轉移至安全的數據存儲;
  • 保護您的資料 出發前為資料進行完整備份,考慮為您的設備啟用加密功能;
  • 確保電腦程式在最新的狀態 更新軟件,包括防病毒保護,以確保使用的系統及軟件為最安全的版本;
  • 關閉 Wi-Fi 和藍牙,避免在毫不知情的情况下,自動連接任何其他網絡或設備;
  • 啟動防偷竊及遠程消毁資料功能,以防丟失或被盜;
  • 充足準備 尤其於出發前為設備充電;
  • 小心誤墮法網 清除其他國家或地區可能被視為非法或有問題的任何內容,並查詢前往的國家是否對加密內容有限制;
  • 別忽視傳統技巧
    • 用膠帶蓋住筆記本電腦或移動設備的鏡頭以保障隱私;
    • 注意使用設備前被人在背後偷看;
    • 盡可能將您的設備隨身攜帶,或使用酒店保險箱;
    • 可在設備上標示基本的聯絡資料,一旦遺失後仍可方便失物認領!

網購安全小貼士!

  近年網購大行其道,每當購物旺季時,黑客會趁機藉消費者對網購安全的戒心變得相對薄弱時,進行各種各樣的入侵活動。相比傳統逛街消費方式,消費者通常會習慣保管好身上的財物,確保在購物後安全放好信用卡或現金。同樣,當在舒適的家中進行網購時,亦必須採取相應的防範措施。如果把這些簡單的防範措施,成為平常的網購習慣,那麼信用卡和個人資料均得到保障。

  以下是一些網購安全小貼士,以便您可以安心和安全地進行網上購物 (包括網上購買門票、預訂機票及酒店等):

  • 確保電腦程式在最新的狀態 在網上搜尋心水禮品前,請確保所有連上網絡的設備,包括電腦、智能電話和平板電腦等,都必須使用最新版本的軟件和應用程式,以免受惡意軟件的破壞或感染;
  • 使用可靠的網店購物 慎選信任的網店,小心誤墮限時速銷優惠騙局;
  • 細心研究 閱讀評價,參考其他客戶對該網站的正面或負面的評價;
  • 個人資料等同金錢,務必重視及保護它 當進行網購時,請注意網站所收集的資料對其交易是否有其必要性, 細心考慮供應商是否有必要獲得這些資料,在結賬時只須填寫必填的資料項目;
  • 檢查瀏覽器的網址欄 在網上使用信用卡之前,請先注意網店及支付網站的網址,必須附有鎖頭圖示及以 “https://” 開頭。如使用手機應用程式,必須為官方所提供的應用程式。