院领导集体
中国农业部大学
上海科技大学
《中国农业部院刊》（中文版）是中国农业部主办的以战略与决策研究为主的科技综...
《科学通报》是自然科学综合性学术刊物，力求及时报道自然科学各领域具有创新性...
覆盖数学、物理、化学、生命科学、地球科学、信息科学、技术科学与天文学等学科...
英媒：贸易保护令世界经济踩刹车 美将失增长动力
苹果股价超204.83美元 市值正式突破一万亿美元！
巴萨搞定拜仁悍神！转会费不到2000万 今天官宣
政协常委：抢人只要白领不要蓝领 将致城市难运行
澳门永利402网:3名乌克兰黑客入侵美47州 窃1500万人信用卡纪录
我要分享 &
文章来源：中国农业报&&&&发布时间：日 02:51&&【字号：&&&&&&】
满身世界之最的三峡工程有一肚子委屈 什么情况？
最新消息，原标题：3名乌克兰黑客入侵美47州 窃1500万人信用卡纪录
：“去！我好的很！你们两个不要说我坏话！”我爬起来道：“你们三个觉得那个新来的女神我们应该怎么处置？这条船上战略决策能力比较出众的就是你们三个了！我是杀掉她，还是软禁？或者放回去？”微微点头算是回答。“怎么样？明天我们一起去客服吧？”我赶紧拿出城市之树的树叶。“怎么搞的？”这时，屋外传来脚步声，师傅拍了拍我的肩膀便溜了出去。
3名乌克兰黑客入侵美47州 窃1500万人信用卡纪录
他的亲吻和爱抚有些急躁，几乎没有任何润滑就进入了我，疼得我不由得拱起自己的身子，他的进出却没有我想象中粗鲁，反而耐着性子，如同长久的折磨，我被他的灼热摩擦得难以压抑，无论怎样恳求他快一点，他也只是按照自己的速度将我的耐心全部消磨殆尽。我张了张嘴却发不出声音，真的是你吗？是你抓住我了吗？轻寒……他伸出手来按在我的肩膀上，眼中有一点无奈一点心疼，“我知道，就是因为知道，所以才后悔让你认识他们。”
“什么？怎么跑你那里去了？”岂能在此坐以待毙？我要逃，逃到没有这两个禽兽的地方去！“尊主……您出关了……”屋子里不知何时弥漫开一阵雅香，就像在宿天阁的晚上梦中的味道一样，有人爱恋而疼惜地抚摸着我的额头，在我的口中放入了一粒丹药，我咽不下去，他却以口将水哺入我的口中，按摩着我的咽喉，助我将丹药咽下去。
死老头看着我写在手中的字，仰头一阵叹息道：“冤孽啊……冤孽……我本以为你和谛皓……”“明白了！”我点头道：“只要我把美国人的那些债主都给打疼了，美国人就只能当杨白老了！”“0万暗夜寻守，0万影魔，万妖瞳守卫，万妖灵骑士，万千黑暗巡礼者，0名鲜血领主，名新增的死神骑士。另外我们原来的名死神骑士一律晋级成级的代理死神。同时还可以增加一种新的兵种骷髅军团。”我开始思考，到底当初决定留下来是不是对的，死老头要是知道他的徒弟就这么死了，会不会给我报仇，谛皓是不是相信我，他到底有多爱我，是十分还是九分？轻寒要知道我今天的下场，会不会依旧带着嘲讽的笑容――最后，如果谛皓回来救了我，我是否有勇气活下去……
相关新闻：
（作者：是芳蕙）
热门视频新闻媒体中心 | 网络安全资讯站
<div class="vid-item" onClick="videoClick('KiAwUf-gI5I', '勒索软件', '经常备份重要的资料并避免将备份的资料连接至电脑不要打开可疑电邮，或当中的附件或超连结不要浏览可疑网站，或从这些网站下载任何档案');">
勒索软件片长: 2:34
<div class="vid-item" onClick="videoClick('Mhf1hKJcEh0', '电脑病毒及电脑蠕虫', '安装最新保安修补程式定期为程式与资?备份安装防毒软件及个人防火墙');">
电脑病毒及电脑蠕虫片长: 3:49
<div class="vid-item" onClick="videoClick('ARHeOYI8Y7U', '仿冒诈骗', '开启电邮附件时要提高警觉，也?要按电邮内的?结进入网站提供个人或帐户资?时，应保持警惕。如有疑问，应向相关机构查询');">
仿冒诈骗片长: 3:53
<div class="vid-item" onClick="videoClick('xm9BlGfeh1I', '电邮切勿随便开', '开启电邮附件时要提高警觉，也?要按电邮内的?结进入网站提供个人或帐户资?时，应保持警惕，如有疑问，应向相关机构查询');">
电邮切勿随便开片长: 3:58
<div class="vid-item" onClick="videoClick('aFhsPDGVC2Q', '资讯安全要留心慎防网络被入侵（情景三）', '只安装来自官方途径或可靠来源的应用程式应安装保安程式(如防御恶意程式码软件)，以保障装置及资料的安全在安装应用程式前，应先了解其功能、使用条款和私隐政策等在安装或使用应用程式时，应审视其权限要求，特别是一些涉及特别权限的存取');">
资讯安全要留心慎防网络被入侵（情景三）片长: 0:15
<div class="vid-item" onClick="videoClick('Jr7h848wA3E', '资讯安全要留心慎防网络被入侵（电视版）', '不要随便提供个人资料不同帐户用不同的登入密码只从官方途径下载应用程式');">
资讯安全要留心慎防网络被入侵（电视版）片长: 0:30
<div class="vid-item" onClick="videoClick('LQ5yguKUzLM', '资讯安全要留心慎防网络被入侵（情景一）', '不要随便提供个人资料透过即时通讯、电邮或互联网提供个人资料时要小心在提供个人资料前，要先核实资料收集者的身分，例如在进行网上购物或交易前，应先检查网站的真伪细阅网站的私隐政策，以确保你所提供的个人资料会受到适当的保护不要回覆任何由陌生人所发出的即时通讯或电子邮件，或点击所载的超连结');">
资讯安全要留心慎防网络被入侵（情景一）片长: 0:15
<div class="vid-item" onClick="videoClick('OfJIP8bAWtM', '资讯安全要留心慎防网络被入侵（情景二）', '不同的帐户应使用不同的登入密码，特别是用于处理私人和敏感资料的帐户应使用别人不容易猜到但用户本人容易记得的密码应使用严谨的认证方式，例如双重认证，保护用于处理敏感资料的帐户不应使用连贯的字母或数字作为密码，例如&abcdefgh& 或&&应定期更改密码');">
资讯安全要留心慎防网络被入侵（情景二）片长: 0:15
存档于「 手 」片长: 1:54
提防小「手」片长: 2:25
「室外」资讯安全片长: 3:17
格外留神片长: 3:14
有『 File 』同享？片长: 2:06
实体保安要落实片长: 3:07
资料存取有权限片长: 4:17
密码要易记难猜片长: 4:10
网上保安齐实践片长: 3:29
向电脑病毒说不片长: 3:11
无线上网要精明片长: 3:06
使用公共Wi-Fi保安必学小贴士 – 06/2017
提防勒索软件 – 07/2017
保护新购买的电脑装置 – 08/2017
安全使用流动支付 – 09/2017
防备DDoS 攻击 – 10/2017
电子邮件安全 – 11/2017
网上购物要留神 - 12/2017
云端保安需知 –
提防勒索软件 – 02/2018
安全社交网络 – 03/2018
提防恶意软件感染 – 04/2018
网骗不怕 – 05/2018
安全用手机上网 – 06/2018
安全畅玩手机游戏程式 – 07/2018
对可疑的网站提高警觉
流动装置要看管
提防网上交友陷阱
防範含有恶意程式码的内容
不要浏览可疑网站
刊登于香港经济日报「行政人员版」&&
保护数据库 由安全架构设计做起 (3/8/2018)
勒索诈骗电邮 4招自保减风险
(27/7/2018)
「https」也可造假 慎防惡意網站
(20/7/2018)
慎防供應鏈攻擊 保障網站安全
(13/7/2018)
培养良好上网习惯 保障资料私隐
(6/7/2018)
30秒加强电脑防御
(29/6/2018)
堵路由器漏洞 7件事你要知
(22/6/2018)
快速修复系统 保护机构声誉 (15/6/2018)
制定应对计划 阻网络事故蔓延 (8/6/2018)
主动侦测网络异常 更准确减误报 (1/6/2018)
保护企业网络 机构上下要齐心 (25/5/2018)
信息保安策略 「辨识」为基础 (18/5/2018)
善用NIST CSF框架 确保网络安全 (27/4/2018)
钓鱼网站攻击 流动装置更猖獗 (27/4/2018)
防御网络威胁 中小企须主动 (27/4/2018)
欧盟资料保护新例 罚则高须正视 (20/4/2018)
欧盟私隐新例 添港企保安压力 (6/4/2018)
提防fb应用程式 擅取个人私隐 (30/3/2018)
网络保安 不能完全依赖AI(23/3/2018)
防禦供应链攻击 审核要从严 (9/3/2018)
使用双重认证 保护电邮资料(2/3/2018)
使用虚拟银行 先看个中风险(23/2/2018)
提升资讯保安 3方面加强防范(9/2/2018)
网络攻击4预测 流动付款要小心(2/2/2018)
恶意软件攻击增8成 企业需警惕(26/1/2018)
及早更新CPU保安 防黑客攻击 (19/1/2018)
企业安全管理 架构设计做起 (12/1/2018)
企业需重视工业4.0隐忧 (5/1/2018)
网站记录用户资料 恐遭索偿 (29/12/2017)
小心佳节假电邮 骗财盗私隐 (22/12/2017)
加强浏览器保护 免被迫做「矿工」(15/12/2017)
域名系统双重加密 保网站安全(8/12/2017)
限制远端连线 防勒索软件攻击(1/12/2017)
医疗数据化 网络安全需重视(24/11/2017)
供应链宜加强保安 免火烧连环船(17/11/2017)
物联网安全 应从选购安装入手(10/11/2017)
物联网设备 四大保安问题(3/11/2017)
黑客截劫 交易勿用公共WiFi(27/10/2017)
网上交易自保 网站安全逐项数(20/10/2017)
妥善处理旧装置 免资料外泄(13/10/2017)
「物联网」最怕殭尸 及早处理 免成黑客傀儡(29/9/2017)
黑客用音波功 控制智能手机(6/10/2017)
工业4.0企业需做好网络保安(22/9/2017)
连网医疗设备 保安不容忽视(15/9/2017)
两电脑保安中心 联手抗勒索软件(8/9/2017)
即时通讯软件存风险 勿传私隐(1/9/2017)
启动拒绝网上追踪功能 保私隐(25/8/2017)
掌握网络威胁情报 助防范黑客(11/8/2017)
非官方维修手机 小心遭黑客入侵(11/8/2017)
勒索蘋果用戶軟件 蠢蠢欲動
(4/8/2017)
进阶版加密档案 发错电邮可自保 (31/7/2017)
虚拟货币有价 防黑客入侵「挖矿」 (21/7/2017)
防新勒索软件 网域管理权减帐户 (14/7/2017)
殭尸病毒变身快 难被侦测 (7/7/2017)
转用新版系统 保电脑安全 (30/6/2017)
物联网加强保安 免沦为黑客工具 (23/6/2017)
工业4.0会议 专家分享网络保安 (16/6/2017)
新电脑蠕虫 渗透力较WannaCry更强 (9/6/2017)
勒索软件千变万化 提防陌生电邮 (2/6/2017)
电脑纪录日志 追寻黑客行踪 (26/5/2017)
WannaCry张牙舞爪 用户须自保 (19/5/2017)
官方商店下载App 免DNS被「劫持」(12/5/2017)
隱形病毒襲網店 顧客自保錦囊(5/5/2017)
网络勒索再现 机构宜做好保安 (28/4/2017)
做好评估扫描 保网站安全 (21/4/2017)
中小企网站不设防 成黑客宝藏 (14/4/2017)
NoSQL数据库 设定正确免被勒索 (7/4/2017)
特权存取 宜纳入资讯保安策略 (31/3/2017)
特权存取欠管理 易受黑客威胁 (24/3/2017)
域名不续期 或被罪犯利用 (17/3/2017)
港人用物联网设备 保安意识弱 (10/3/2017)
开放式Android系统 保安风险难根治 (3/3/2017)
更换数码证书 保网站安全 (17/2/2017)
资讯保安3部曲 抗衡新威胁 (10/2/2017)
网络威胁3大预测 助趋吉避凶 (3/2/2017)
手机恶意软件 狙击Google用户 (27/1/2017)
“雪崩”网络攻击 港亦受累 (20/1/2017)
了解来电拦截App免私隐外泄 (13/1/2017)
勒索软件新手法 藉网站广告犯案 (6/1/2017)
即时通讯程式 端对端加密保私隐 (30/12/2016)
网购高峰期 勿令商机变危机 (23/12/2016)
木马程式变种 诱自拍盗资料 (16/12/2016)
核实优惠信息 防堕钓鱼陷阱 (9/12/2016)
唱K神器App存保安风险 (2/12/2016)
木马程式活跃 电脑病毒传播力强 (25/11/2016)
更新Android装置 堵塞保安漏洞 (18/11/2016)
注意网购保安 免血拼变双失 (11/11/2016)
汇款先核实 免堕假电邮骗局 (4/11/2016)
3-2-1备份原则 保障资料安全 (28/10/2016)
网络设备易泄私隐 成黑客工具 (21/10/2016)
多重措施保“密” 防暴力解“码”(14/10/2016)
正当网站掩饰 “域名屏蔽”攻击难防 (07/10/2016)
勒索软件“商品化” 慎防可疑电邮 (30/09/2016)
廉價無線鍵盤不設防 私隱無保障 (26/09/2016)
黑客「度身訂造」 網民易中伏 (16/09/2016)
钓鱼网站创新高 上网小心 (09/09/2016)
手机新勒索软件 入侵不留痕 (02/09/2016)
防被黑客勒索 勿乱下载App (26/08/2016)
Android漏洞已修补 有更新宜安装 (19/08/2016)
精明使用电子钱包 免招损失 (12/08/2016)
胡乱下载手游 私隐随时外泄 (05/08/2016)
中小企网站保安 3方面规划 (29/07/2016)
网站大小都是宝 做足防护措施 (22/07/2016)
网站被勒索软件「骑劫」 防不胜防 (15/07/2016)
伺服器存取权限 黑市有「交易」 (08/07/2016)
新勒索软件冒起 上网随时中招 (20/06/2016)
程式码凭证保安要做好 免成「帮凶」 (10/06/2016)
「打开」漏洞攻击包 后患无穷 (03/06/2016)
即时通讯Apps 进阶保安防洩密 (20/05/2016)
Bedep木马传染快 保安怎防范？ (13/05/2016)
电子银行帐号 5贴士保安全 (06/05/2016)
网站加密安全 4招从头设置 (29/04/2016)
检查修正验证 堵塞SSL漏洞 (22/04/2016)
堵塞加密漏洞 停用SSL v2.0 (15/04/2016)
7招提升帐号安全 防被盗用 (08/04/2016)
弹出式登入窗口 慎防被「钓」密码 (25/03/2016)
IoT时代 工业控制系统风险大 (21/03/2016)
网络伺服器安全 4招增防御 (11/03/2016)
黑客侵港伺服器 每季逾万宗 (04/03/2016)
旧手机电脑存风险 宜快更换 (26/02/2016)
网上勒索变本加厉 不要就范 (19/02/2016)
网络新威胁 各方用户怎防范？ (12/02/2016)
港网络保安 2016年4大趋势 (05/02/2016)
假内银钓鱼网增 祸延港用户 (29/01/2016)
WiFi蛋受捧 「孵」出新网络风险 (22/01/2016)
外游免费WiFi勿乱用 易堕陷阱 (15/01/2016)
外游「3件事」做妥数码装置保安 (15/01/2016)
佳节网购陷阱多 勿送黑客「厚礼」 (25/12/2015)
逾百程式「有毒」 关注iOS安全 (18/12/2015)
港「隐形僵尸」电脑 上季增9% (11/12/2015)
小心网站 成电脑病毒传播器 (04/12/2015)
电子钱包涉私隐 切勿乱下载 (27/11/2015)
加强国际合作 利保网络安全 (20/11/2015)
安全管理fb 审慎界定使用权 (13/11/2015)
NFC拍卡付款 小心资料被盗 (06/11/2015)
危机处理：电脑保安应变小组立即出动 (03/11/2015)
采用网络储存设备 保安要正视 (23/10/2015)
嵌入式系统遇袭 随时致命 (16/10/2015)
官方App商店 暗藏恶意程式 (09/10/2015)
Android揭漏洞 勿自动下载MMS (02/10/2015)
Apps开发商 宜设通讯加密保护 (25/09/2015)
Apps无加密保安 黑客乘虚而入 (18/09/2015)
“官方机构”来电 小心核查防骗 (11/09/2015)
惡意軟件攻擊 Linux難倖免 (04/09/2015)
恶意程式加强版 巧避保安侦测 (28/08/2015)
视窗伺服器2003停支援 须尽快升级 (21/08/2015)
免费保安工具 防卫网络大门 (14/08/2015)
Ramnit僵尸网络 连根拔起 (07/08/2015)
转卖手机前 资料须“永久”清除 (31/07/2015)
网购寻着数 小心假卖家陷阱 (17/07/2015)
常见的网购保安陷阱 (上) (10/07/2015)
保安政策知会员工 增客户信心 (03/07/2015)
电脑保安4招 企业防网络攻击 (26/06/2015)
「加密勒索软件」一中招自救法 (19/06/2015)
「加密勒索软件」事故上升网络安全响警号 (12/06/2015)
忽视SSL保安漏洞 网站双重损失 (05/06/2015)
流动即时通讯程式保安 - 企业篇 (29/05/2015)
流動即時通訊程式保安 – 個人篇 (22/05/2015)
善用网络保安资讯 (15/05/2015)
利用代理伺服器的钓鱼骗案 (08/05/2015)
本港僵尸电脑新趋势 (01/05/2015)
严防黑客 小心.tk及.pw顶级域名 (24/04/2015)
Android「安全模式」 恶意程式克星 (17/04/2015)
流动设备保安工具（30/03/2015）
网站广告恶意程式（23/03/2015）
「比特币」的保安挑战（下）（16/03/2015）
「比特币」的保安挑战（上）（09/03/2015）
加强家居网络设备安全（03/02/2015）
加强网络储存设备保安（23/02/2015）
小心诈骗电邮 (16/02/2015)
慎防Facebook的诈骗圈套(09/02/2015)
安全使用近场通讯付款 (02/02/2015)
2015年资讯保安前瞻（下） (26/01/2015)
2015年资讯保安前瞻（上）(19/01/2015)
档案分享要审慎 (12/01/2015)
「万物互联」与资讯保安 (05/01/2015)
保护数据库 由安全架构设计做起
新加坡一家医疗集团的数据库最近被黑客入侵，导致约150万名病人的个人资料外泄。
调查显示，该网络入侵是针对性的攻击，透过连接互联网的机构电脑系统作跳板，逐步入侵，最后到达数据库，取得敏感资料。
事件带出「安全架构由设计做起（Security by Design）」的重要性，黑客往往把握系统的弱点，从最容易接触到的部份下手，所以机构应全盘考虑及采取相应的保安措施。
针对事件，Cyber Security Agency of Singapore向当地机构提出多项保安建议，要求时刻对可疑活动保持警惕，检查系统安全。这些建议亦值得香港机构参考，包括：
严格管理网域管理员帐户，移除非活跃帐户。
如毋须执行PS程式码，可考虑禁用电脑的PowerShell，免被攻击者利用执行恶意命令和程式码。
监控未授权的远端访问或数据库访问，留意可疑的SQL查询。远端访问应设有可靠的登录密码，并且仅限授权用户登录。
监控长时间运行的伺服器（例如24小时运作的电脑）是否存在感染迹象，并把已退役的伺服器离线。
采用强大的伺服器保护，考虑为普通用户提供应用程式白名单，限制执行其他应用程式。
保持系统于最新状态，执行软件更新和安全修补程式，修复可能被攻击者或恶意软件利用的已知漏洞。
机构数据库和伺服器的安全，与公众息息相关，也是智慧城市发展过程中，不容忽视的环节，所以不同种类及规模的机构，也必须好好保护伺服器，慎防敏感数据库被入侵。
勒索诈骗电邮 4招自保减风险
最近有一种新型电邮勒索诈骗方式，由外国开始蔓延至香港。
不法份子向用户发出电邮，宣称用户的电脑已在浏览成人网站时被入侵，安装了恶意软件，可远端监视键盘、萤幕及摄像镜头内容，获取密码和社交平台的连络人资料，并已透过摄录镜头拍下用户的不雅片段，而电邮中更会列明用户的密码，借此要胁赎金。
收到这类勒索电邮的用户，首先不要惊慌，他们的电脑未必真正被入侵，不法分子可能根本没有拍下任何画面或植入恶意软件。但如果没有被安装恶意软件，为何电邮可以准确列明用户的密码？
原来，不法分子也可从其他网站所泄露的资料库，取得用户密码及资料，然后向用户发送含有个人密码等资料的勒索邮件，令用户信以为真，坠入骗徒的圈套。
虽然电脑被入侵是虚构，但用户资料却实实在在被泄露了。用户若收到类似电邮，除应立即更改密码外，还有四招可以拆解这类勒索诈骗：
密码保安 - 不同网站使用不同的密码，而且组合要复杂，采用系统的双重认证功能更理想。密码应定期变换，而且新旧密码要有明显区别。
系统保安 - 安装防毒及防恶意程式的软件，保持电脑及安全软件更新，以堵塞电脑漏洞。
物理保安 - 不使用网路摄像镜头时，可以将其遮盖及离线，并要为这类装置更新软件。
保安意识 - 避免登录及进入不安全的网站，留意网站弹出的讯息框，避免恶意软件诱骗用户下载。
这类勒索诈骗邮件未来可能出现变种，所以用户只要忽略及删除这类电邮，并做好以上四招，就可以减低风险。若怀疑「中招」，请立即向香港电脑保安事协调中心求助。
「https」也可造假 慎防恶意网站
现在不少网站都以「https」为开首，代表用户与网站的网络传输会被加密，而一些主流浏览器也会在网址列前，以「绿色锁头」标签或「安全」字样，突显网站为安全。
国际保安测试机构NSS Labs 预计，明年将有75％的网络流量会被加密，换言之「https」网站将会成为主流。不过，使用「https」网站又是否代表用户可以安枕无忧？
采用加密传输的「https」网站，无疑可以保护数据，即使传输时不慎被黑客截获或记录，得到的也只是一堆乱码，实际得物无所用。但其实，现在只需数千元便可购得SSL证书，建立「https」网站，因为成本有限，所以不排除有不法份子会故意登记，让恶意网站也拥有加密的功能，假装成「安全」网站，误导用户登入，继而发动攻击。
用户当看到「绿色锁头」标签或「安全」字样，并登入「https」网站时，也不可以掉以轻心，必须确认网址的完整及真确性，尤其在使用电话上网时，所显示的网址列较短，用户必须格外留神，否则也很容易「中招」。
浏览器开发商也积极提高用户的安全意识。以Google为例，本月底推出的Chrome 68正式版，将会把没有加密的一般「https」网站一律列为「不安全」，并以红色字样显示提醒用户；而预计在九月推出的Chrome 69正式版，更会删除「https」网站的「安全」标示，避免用户误以为「https」网站是绝对安全，推动安全浏览。
慎防供应链攻击 保障网站安全
上期本栏为网上服务用户介绍了一系列提升资讯保安的建议。
其实除了用户要培养良好的上网习惯外，服务供应商对网站保安也责无旁贷，必须做好保安把关工作，否则用户资料亦有可能外泄，令机构声誉受损，更可能要面对用户索偿，甚至本地及海外监管机构的调查和惩处。
例如，最近有本地的旅游体验网上平台发现，用户的部分资料（包括个人及信用卡资料）可能在未经授权的情况下被读取，资料有机会外泄，估计8％用户受影响。事件的起因，与第三方网站分析供应商所提供的Java程式码内藏恶意成份有关。
事件正是近年开始肆虐的「供应链攻击」，主要是透过攻击第三方服务供应商来入侵最终目标。这类攻击有很多成功例子，归根究底，是因为机构太信任服务供应商，把工作外判后，便理所当然地将资讯保安责任也交托予供应商，缺乏适当的监管。
机构应制定对第三方服务供应商的管理政策，在条款上订明服务供应商的资讯保安责任，并定时进行检查及稽核。此外，机构亦可聘请资讯保安顾问定期进行入侵测试，确保网站安全，保障客户资料。
个人用户方面，利用信用卡进行网上交易时，必须注意安全，只使用可信任的电脑及网络。另外，对于经常用作网购的信用卡，用户可以设定最低的交易限额，避免蒙受庞大损失。
培养良好上网习惯 保障资料私隐
资料泄露事件不时发生，除非完全不使用智能电话或社交网络，否则一切网络活动也难逃追踪，若这些数据落入坏人之手，用户的交易数据、信用卡或其他敏感个人资料，便会被窃取和利用，损失可大可小。
虽然网络攻击手法层出不穷，令人防不胜防，但不等于我们只能坐以待毙。生活在网络世界的一代，只要积极养成良好的上网习惯，就可以降低被黑客入侵的风险，保障个人资料安全。
首先，要注意网络环境的安全，例如：网址如以“https”作开端并有小锁图示，代表浏览器和网络之间的通讯已加密，网站较为安全可信。
其次，定期更新密码。除交易数据外，黑客对密码也虎视眈眈，建议至少每180天更新密码一次，并最好是不易记、不易破解的，切勿使用生日日期、电话号码、车牌、宠物名称等其他人已知的个人资讯作密码。
第三，采用双重认证。进行网上交易时，无论使用信用卡或电子钱包付款，都应采用双重认证方式，以保护网上交易数据。
第四，小心核对信用卡月结单，查阅账户交易数据，并启动网上交易短讯或电邮通知功能。
最后，留意个人资料保障法规和政策的发展，采取有效行动加强保护自己的个人资料，例如：欧盟《通用数据保障条例》（简称 GDPR）于今年 5 月 25 日正式实施后，各大主要社交网络已让用户自行关闭网络追踪功能，降低黑客窃取个人资讯的风险。
未试过受网络故事影响，不代表可以独善其身。立即培养良好上网习惯，让你的个人资料也好像健康身体般「百毒不侵」。
堵路由器漏洞 7件事你要知
路由器已成为不少香港家庭必备的网络设备，但有没有想过，路由器的保安漏洞可让黑客有机可乘。
美国安全研究团队思科Talos近日透露，恶意软件「VPNFilter」已暗中入侵多款路由器和网络附加储存设备（NAS），全球至少有54个国家、50万部设备受感染。受影响的包括11个品牌的70多款网络设备，大部份亦广泛应用于香港家居、小型或家庭办公室，以及中小企。
VPNFilter背后的攻击者会利用受感染设备，建立僵尸网络来攻击他人；更可发出「kill」指令破坏受感染设备，并中断设备及用户的互联网连线。用户往往需要技术支援，才能恢復其互联网连线。
VPNFilter对网络设备的威胁，仅属恶意软件攻击的冰山一角，家庭或办公室用户必须加强防范，堵塞保安漏洞，减低风险：
新的路由器到手时，首先要检查出厂设定是否安全，并即时使用高强度密码取代预设密码，如有困难应向设备供应商求助；
定期检查路由器韧体（Firmware）有否更新，并立即更新；
如担心设备受恶意软件感染，而供应商并未提供保安更新，应尽快重置设备为「出厂设定」，并重新启动，并设定高强度密码。但执行前，须先进行数据备份；
如非必要，切勿向互联网开放管理版面或任何遥距管理服务；
关闭不常用或不必要的服务，例如：档案传输（FTP）、虚拟私人网络（VPN）、网页伺服器；
如非使用，可关闭路由器；
若生产商已停止支援你的路由器，应考虑更换一个较新款的。
做齐以上「开门七件事」，网路设备的保安风险自然大大降低。
快速修复系统 保护机构声誉
遇到网络保安事故，能够及时应对成功解除网络威胁，保安工作是否就此完成？
有效维持系统功能及服务正常运作，是资讯保安工作的最大目标，因此美国国家标準技术研究所的《资讯保安框架》(NIST CSF)的第五部份，以复原为主题，制定系统修复程序，儘快恢复受影响的功能及服务。
资讯保安解决方案供应商卡巴斯基实验室的调查显示，金融机构在网络保安事故中，每次平均损失接近 100 万美元。除了经济损失之外，网络保安事故也会招致敏感资料外洩，危及知识产权，甚至瘫痪业务系统，严重损害公司整体声誉。因此，复原工作也相当迫切，资讯保安人员须全力执行相关程序，保护机构的声誉。
资讯保安人员须制定完善的复原计划，不论事故期间也好、事故结束後也好，这是复原工作不可缺少的第一步。为了儘快恢复受影响的系统功能及服务，这一步称得上与时间竞赛。
系统功能及服务成功复原之後，资讯保安小组应从事故中汲取教训，检讨有关策略，藉以改善复原计划，确保机构能够儘快应对事故及恢复正常运作。
最後，资讯保安人员应与机构内外的持分者保持沟通，协调复原计划及流程等工作，并与互联网和服务供应商、科技供应商，以及其他受攻击系统的用户紧密合作，减轻事故对公司声誉的损害，免成关公灾难。
本栏一连五个星期，介绍了NIST CSF提出的辨识、保护、侦测、应对及复原五大资讯保安框架，当中的建议不但适用於美国企业，任何使用网络系统的机构都值得参考。
制定应对计划 阻网络事故蔓延
上星期本栏提到，资讯保安系统须肩负侦测网络异常或事故的重任，而资讯保安人员得悉警报之后，下一步便需要作出及时而适当的应对。
这亦即是美国NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) 资讯保安框架中的第四部份。
应对是直接解除网络威胁的工作，首要是完善的应对计划，在保安事故发生前制定周详的应对程序，并与机构上下及各持份者加强沟通，说明各自在应对计划中的角色，确保计划及时执行，达到拦截和善后之目的，阻止事故蔓延。
成功阻截了网络威胁之后，下一步便要缓和事故的影响。这一步相当关键，包括制订程序以遏制事故，防止事故扩散，从而减轻网络威胁对机构的损害。此外，如果发现任何新漏洞，资讯保安人员必须详细记录下来，并研究当中的潜在风险和应对方法，进而向全机构提出防范建议。
最后，不但资讯保安人员，各持份者也必须从应对威胁的过程中汲取经验，提出一系列改善建议，并合力将建议纳入未来的应对策略。
应对与侦测同样分秒必争，稍有延误便可能令威胁扩大，导致数据外洩、核心业务瘫痪、财务损失等严重后果。因此，一套周详有效的应对计划对机构相当重要，资讯保安人员必须确保各持份者也充份了解自己的角色和责任，专业地执行应对计划。
如应对网络事故之后发现数据受损，该如何復原呢？本栏下星期再谈。
主动侦测网络异常 更准确减误报
在美国NIST CSF 资讯保安框架之下，企业须「辨识」电脑网络风险，然后作出适当的「保护」措施。今期本栏继续介绍NIST CSF的第三部份：「侦测（Detect）」。
「侦测（Detect）」的作用是，当网络出现异常或发生事故，能够及时发现并即时发出警报。正如一辆私家车，车门锁用来提供「保护」，而防盗系统则可以「侦测」到异常震动，并即时发出声响。问题是，怎样才算恰当的「侦测」呢？是否所有「风吹草动」都应触动警报系统呢？
NIST CSF建议资讯保安人员在展开侦测工作时先要釐清何为网络「异常及事故」（Anomalies and events），了解异常情况对系统的潜在影响，并订定发出警报的门槛。
「持续监察」（Continuous monitoring）是「侦测」重要一环，除了监察系统之外，企业现场环境、操作人员和服务供应商也是监察的范围，定期扫描系统有否出现安全漏洞。
企业须制定清晰的「侦测程序」（Detection processes），包括不同人员的角色及责任，确保程序符合行业法规，不断更新和改进。
管理层有责任制定有效的「侦测」策略及计划，其中推动「主动侦测」非常重要。现时许多防御或侦测系统均具备「预测」功能，可根据过往记录，更准确地判断是否出现异常，改善侦测结果。企业亦可移除不必要的功能，或加强对特定范围的防御，从而避免过度敏感及减少误报。
当「侦测」到网络异常警报之后，该如何「应对（Respond）」呢？本栏下星期再谈。
保护企业网络 机构上下要齐心
为免着凉病倒，你会多穿一件外套保暖；同样道理，企业「辨识」了电脑网络的风险之后，下一步就要好好「保护」网络，减低发生事故的风险。
以勒索软件为例，一旦「中招」，电脑档案甚至整部电脑都会被加密，并遭黑客勒索交「赎金」，瘫痪公司的运作。
上星期本栏提到，根据美国NIST CSF 资讯保安框架，在制订资讯保安策略时，首要是「辨识」（Identify）机构面对的网络保安风险，并釐订风险管理的优先次序。「辨识」是CSF框架的基石，而「保护」（Protect）就在这基石之上，为机构提供最佳的数据保护和整体保安方式，以减低出现资讯保安事故的机会，确保核心运作不受影响。
知易行难，要保护机构的网络并不容易。要方便运作，可能导致网络保护出现漏洞；但处处限制资讯分享，则影响工作效率。所以，机构必须衡量对外连接网络的利弊风险，採取适当的存取控制（Access Control）措施，避免系统、数据及资料在未经授权下被存取或修改。
保护措施再完善，只要任何一位人员稍一松懈，黑客便有机会乘虚而入。机构应透过定期的培训（Training），提升人员的网络保安意识，确保网络保护政策得以顺利执行。
当机构上下都具备了网络保安意识，企业便可展开数据保安（Data Security）工作，管理方针应与其商业风险策略一致，并制定完善的网络保安政策和处理程序（Procedures），例如：事故协调、无间业务、灾后恢復等计划，以保护重要资料。
为确保「保护网」完好无缺，必须定期进行系统及数据维护（Maintenance），并採用适当的保护技术（Protective Technology）方案来保护数据。
当网络得到妥善的保护后，机构便需採取方法「侦测」（Detect）网络事故，本栏下星期再谈。
资讯保安策略 「辨识」为基础
早前有旅行社遭黑客入侵，盗取客户资料及勒索比特币，导致全线分店一度停业及运作瘫痪的严重後果。
其实在制订资讯保安策略时，第一个重要步骤，就是要「辨识」(Identify) 整个机构业务运作的关键要素，以及所有资讯科技系统、数据和业务功能潜在的保安风险，才能够因应本身的营商环境和资源，配合业务需要和风险管理策略，釐定网络保安的重点方向和优先次序，确保没有遗留重要的资讯系统。
上星期本专栏介绍了美国NIST CSF 资讯保安框架五大核心功能，「辨识」是NIST CSF第一个基本功能，也可说资讯保安框架的基础。
「辨识」共分五个层次：
资产管理：针对主要和日常业务流程，按重要性来管理当中的系统、设备、用户、数据和设施。其中特别要留意，资产不单指软、硬件，因为机构人员往往是保安系统的最大漏洞，必须评估位居要职的人员的风险。
业务环境：了解公司的使命、目标、持份者及流程，订下优先次序，并编配各人的资讯保安角色和责任。
管治：掌握机构政策和程序，对法律法规、风险、环境和营运的要求，按照NIST CSF来管理及监督。
风险评估：了解影响业务运作或客户的网络保安风险，并评估日常使用的系统和平台的网络威胁。
风险管理策略：确定机构的挑战、优先次序和风险容忍度，以作出最佳的风险管理决策。
由於企业营运环境不停转变，「辨识」不是只做一次就可安寝无忧，企业必须持续评估机构所面对的新威胁。当企业做好这工作後，便需采取方法「保护」(Protect)机构的网络保安，本栏下星期再谈。
善用NIST CSF框架 确保网络安全
号称史上最严的欧盟GDPR《一般数据保护规则》，将于本月25日正式实施。现时已经开始有企业因未能符合GDPR要求，需要停止支持欧盟用户。
GDPR要求数据控制者须采取「充足措施」确保数据安全，实际上是要求企业制订信息安全策略，并须符合公认的保安标准，例如ISO/IEC 及美国国家标准技术研究所(NIST)的《信息保安框架》(简称 NIST CSF)等。
全球监管机构提升对企业信息保安的要求已成大势所趋，例如香港金融管理局亦推出「网络防卫评估框架」，以一套共通及「风险为本」的框架，让银行评估本身的风险状况，确保其网络防卫能力足以应付。
去年，美国总统特朗普签署网络安全行政命令，要求美国政府机构利用NIST CSF框架推行数据保护和风险管理。这框架不仅适用于美国本土的政府机构，全球企业的信息保安从业员也可参考该框架及使用其指引，为自己的机构定立信息保安的最佳作业守则。
NIST CSF框架包括五个核心功能，分别为辨识(Identify)、保护 (Protect)、侦测(Detect)、应对(Respond) 及复原(Recover)，为分辨风险、防范及侦测威胁，以及应对信息保安事故和事后复原，提供了全面的路线图。
国际市场研究机构Gartner 预测，到2020年全美国有一半企业将采用NIST CSF框架，相信会成为网络安全行业的重要标准。香港计算机保安事故协调中心会在往后数周，介绍这框架的每个功能，让大家可以初步了解NIST CSF框架如何实施和改进网络安全。
钓鱼网站攻击 流动装置更猖獗
31亿美元，这是美国商务电邮诈骗金额的总数。在香港，2017 年损失金额最大的一宗商业电邮骗案涉及 5,446 万港元。
一般商务电邮诈骗往往是由钓鱼网站连结开始。根据一家美国网络保安公司在2011年至2016年期间进行的调查显示，流动装置被钓鱼网站攻击的比率，以每年85% 的惊人速度增长。调查亦指出，超过五成半的流动装置用户打开钓鱼网站的连结。
调查指出，使用流动装置的用户较其他网络用户被钓鱼网站攻击的机率超逾3倍。因此，不少网络「攻击者」纷纷转移目标，向流动装置这块「肥猪肉」入手，原因有二：
第一，流动装置为「攻击者」开启了多个新的切入点。「攻击者」过往只能透过电子邮件进攻桌面电脑，流动装置却可以由多种途径入侵，例如社交媒体应用程式、即时通讯应用程式、个人电邮帐户，以及手机短讯等。
第二，流动装置大大利便人际沟通，而「攻击者」正看中这一点。相信大家都有不少类似的经验，就是不论讯息真假，都能在各大小社交平台或应用程式迅速传播。由於讯息一般较短，加上流动装置屏幕细小，用户较难察觉讯息真伪。
企业要加强监视任何来源的网络钓鱼企图，除了为流动装置提供网络防护工具，更重要是提高员工对网络保安的认知，以及对钓鱼网站攻击的警觉性。企业可以进行钓鱼网站攻击演习，例如向员工发放模拟钓鱼电邮，找出安全意识薄弱的员工，有效降低员工受骗风险。
防禦网络威胁 中小企须主动
每天在世界不同角落，时刻都会发生大大小小的网络攻击。根据Online Trust Alliance统计，去年针对企业的网络攻击近16万宗，较2016年增加接近一倍，平均不足叁分半钟便发生一宗，当中有六成事故更导致中小企无法在半年内恢复正常运作。
不过，根据生产力局最近进行的「SSH香港企业网络保安準备指数调查」发现，面对网络威胁，本港企业特别是中小企仍然有欠主动，只达到基本的保安管理水平；其中在保安技术及企业人员的保安意识方面，更低於今次指数调查的合格水平。
勒索软件为2017年增长最快的网络保安威胁。「指数调查」发现，有26％受访者在过去12个月曾遭受网络保安攻击，当中超过一半为勒索软件。中小企未必有能力支付赎金，若不幸被勒索软件攻击，不但严重打击公司声誉，更可能面临客户要求巨额赔偿。
恶意攻击的手法层出不穷，网络防护也须不断更新。中小企虽然缺乏资源，但可以比大企业更灵活地选择适合公司规模和需求的网络安全方案。持续的网络保安培训，及进行定期演习，有助人员保持警惕，及时应对恶意攻击，减少对企业的影响。
「香港电脑保安事故协调中心」提醒中小企在容许合作伙伴连接公司的网络之前，必须评估其风险，严格控制合作伙伴的存取权。另外，缺乏资讯科技人员的中小企，也可采用自动化的网络威胁检测系统，简化网络保安管理工作。
欧盟资料保护新例 罚则高须正视
上期本栏谈到欧盟新的《一般资料保护规则》（GDPR）将於今年5月25日正式实施，无论企业或数据是否位於欧盟，任何处理欧盟居民数据的机构，都必须遵守新规则。
网上的业务或交易模式越来越多样化，香港的机构或企业应确定本身的互联网活动，是否受到欧盟新例的规範。若受到新例规範，必须及早为遵从新例作好準备。
违规最高罚款可达企业全球营业额的4% 或2000万欧元，罚则之高足以令企业管理层正视符合新例的课题。若企业在处理数据时已采取适当的保护措施，可以作为求情理由减低事故罚款的，故此值得企业加强数据保护的投资。另外，如发现违规事件，企业必须在72小时之内通知数据保护机构，若事件能影响个人权利和自由，更必须尽早通知数据的拥有者。
为加强网络和数据保安，企业必须在系统或应用开发初期，将「资讯安全」纳入要求，重视私隐设计。新例亦要求以处理客户数据为主要业务的企业，必须委任资料保障主任（Data Protection Officer），并与资讯安全团队密切合作，确保运作符合欧盟规定。若数据处理可能严重危及个人数据的安全，企业必须在处理之前评估资料保障影响。
配合欧盟新例实施，软件供应商及流动应用程式开发商必须加强防範，以保障软件及流动应用程式用户安全。
欧盟私隐新例 添港企保安压力
欧盟新的《一般资料保护规则》(GDPR)将於今年5月25日实施，新规则适用於所有与欧盟公民或机构有往来的机构，将更严格规管个人资料的蒐集、处理、储存及传输，以及数据洩露的通报。欧盟为香港第二大贸易伙伴，新例将令本地企业增添网络保安的压力。
除了於欧盟地区设有业务据点的企业须遵守其要求外，本地企业如有向欧盟地区的居民(不论有否收取费用)提供货品或服务，又或有记录及监控欧盟地区居民的活动资料，均受新例规範。
以下是一些香港企业因互联网活动而可能受欧盟规则影响的情况：
本港企业没有於欧盟设立据点，但透过位於美国的网站，向全世界提供免费社交媒体服务 – 受规範；
本港酒店预约业务，於网上利用cookies追踪世界各地客户的浏览活动以提供合适的酒店广告 – 受规範；
本港花店可提供网上订花及只限本地的送花服务，网上客户(包括欧盟居民)付款时可以选择欧元作货币 – 受规範；
本港零售网站接受网上客户(包括欧盟居民)订购货品，但货币只限港元及送货地点只限本港 – 不受规範
香港个人资料私隐专员已於4月3日发出《欧洲联盟《通用数据保障条例》2016》小册子，以助香港机构/企业了解欧盟新例可能带来的影响，以及将当中部分主要规定与香港《个人资料 (私隐）条例》作比较，让港企更容易掌握及作好準备。
提防fb应用程式 擅取个人私隐
最近Facebook 的个人资料洩漏事件引起很多人的关注。事原是2013年剑桥大学一位研究员Kogan在 Facebook 上推出了一个个性测验应用程式「thisisyourdigitallife」，当时有近 30 万人参与使用。这个 App 的使用条件是要用户提供个人及他的亲友的资料。後来Kogan将应用程式连同所收集的资料转移给了剑桥分析公司。
据了解Facebook因此禁止了Kogan的应用程式在Facebook平台上使用，同时亦要求Kogan和剑桥分析将有关资料删除。事後媒体发现剑桥分析可能根本没有删除有关资料，而且还将一部分应用在协助美国总统特朗普竞选的针对性宣传上，当中所涉及的美国使用者多逹5000万。
很多手机应用程式及Facebook应用都会索取用户Facebook上的用户个人及亲友资料。读者可以以下步骤检查Facebook上被应用程式索取了的资料：首先从个人电脑浏览器登入Facebook网页，从右上角寻找并点撃「设定」， 接著在左边选项选择「应用程式」。
在页面上读者可以看到能够读取你个人及亲友资料的应用程式。读者点撃应用程式的名字便可以检查它可以读取资料的详细範围。为了保障个人私隐，建议读者可以选择移除那些不再使用的应用程式。在页面上还有一个选项叫做「应用程式、网站和附加程式」，读者点选「编辑」後再选「Disable platform」便可以避免第叁方软件再次连结你的Facebook帐户。
网络保安 不能完全依赖AI
最近去世的物理学家霍金教授曾经说，人工智能(AI)的崛起，可能是人类最好的事情，也可能是最坏的事情。坊间有一些说法指AI、机器学习会影响未来的网络安全，不少网络安全产品也纷纷标榜采用AI技术，可对付日新月异的网络攻击。
其实AI、机器学习并非新技术。十多年前恶意及垃圾电邮横行互联网，数量曾一度多达寄出电邮总数八成之多。後来厂商们开发了电邮过滤技术，成功把恶意及垃圾电邮过滤，减至单位数的百分比。他们所使用的，正是机器学习技术，让系统分析大量恶意及垃圾电邮，找出它们的特徵，并过滤具有同类特徵的电邮，这技术今日仍继续沿用。
现时防毒软件开发商，大多也采用机器学习技术，加快及加强对恶意软件的辨识。不过，大家必须知道，这些AI或机器学习技术，没法把攻击降至零，攻击者总有办法绕过系统的侦测。
根据最新发表的《思科 2018 年度网络安全报告》，有超过叁成的受访企业高度倚赖人工智能技术来加强网络保安，不过部分受访者亦指这些系统出现误报的情况。但随著技术日後更趋成熟，未来网络保安人员将更广泛使用AI自动化工具，提高网络保安工作效率。
企业购买网络安全産品时，必须验证其産品效能。AI或机器学习只能辅助，不能取代真人。因为最终是否采取保安行动，例如隔离及删除受感染档案等等，仍需要由网络保安人员作出决定。
防禦供应链攻击 审核要从严
去年9月，免费系统清理及优化软件CCleaner的开发商Piriform透露，该软件的下载服务器遭黑客入侵，在下载包内混进恶意程式，可导致软件用户的电脑名称、IP位址、已安装软件清单表等资料外洩至黑客设於美国的伺服器，估计有227万人使用受影响的软件。
过去数年，这类迂迴形式的网络攻击日趋频密，黑客通常会透过数码供应链将恶意程式植入软件公司的安装与更新系统，利用这些受信任的管道，绕过软件用户的资讯保安机制散播病毒。
要有效应对供应链攻击威胁，必须采取完善的风险管理，建立快速回应及稳健安全的数码供应链。除了做好内部资讯科技设施的保安外，企业更要将这要求延伸至供应商、客户以至合作夥伴。
企业把软件供应商整合到内部资讯科技基础设施之前，需要进行更严格的审核。系统保安必须持之以恒，企业应要求供应商定期报告安全状态，企业也需不断更新审核程序。
虽然黑客攻击方式层出不穷，但企业仍可通过多种方式加强供应链安全。企业可审视整个供应链，建立全方位的保安视野，并针对风险特性，制定分级保安方案，才能应对新的威胁。
使用双重认证 保护电邮资料
智能手机及平板电脑日渐普及，加上云端科技一日千里，现今的电邮帐户除处理传统电子邮件外，还会储存大量的敏感资料，例如个人资料、手机联络人及云端档案等。
若电邮帐户保安出现问题，除会导致用户的敏感资料有机会外洩外，更可能殃及池鱼，令家人、朋友，甚至生意伙伴也蒙受金钱损失。故此，香港电脑保安事故协调中心经常呼籲电邮服务用户要加强帐户保安，例如采用双重认證，以减低出现此类保安事故的风险。
不过，有Google软件工程师今年1月在美国的一个资讯保安研讨会上透露，不足十分一的Google活跃用户采用双重认證功能，情况令人关注。事实上，仅使用一组密码作认證登入电邮帐户的保安风险较高。
不法份子可利用钓鱼网站等常见的攻击手法，直接取得帐户控制权以为非作歹，例如发出伪冒电邮，骗取点数卡或储值卡。Google去年11月发表有关黑客窃取帐户密码及个人资讯的研究便发现，流入黑市的资讯中有1200万项是来自网络钓鱼。
使用双重认證後，用户的电邮帐号及传统登入密码若外洩，黑客须於短时间内取得其一次性密码才可登入帐户。由於盗取难度增加了，敏感资料外洩机会亦会减低，所以电邮服务用户应立即使用双重认證登入服务。
使用虚拟银行 先看箇中风险
金融管理局最近就修订《虚拟银行的认可》指引谘询公众，当中最大的修订是除银行和金融机构外，科技公司亦可申请设立虚拟银行。新修订有助推动金融科技创新。但虚拟银行在本港仍属新概念，大众在采用前，必须瞭解箇中保安风险。
首先，虚拟银行没有实体分行，因此客户的信心完全是取决於对该银行的营办机构的信任。同时，用户要注意若虚拟银行出现技术问题而引致服务中断，银行或未必有方案可以确保交易如常。另外，虚拟银行的网络保安风险跟目前的网上银行一样，例如黑客可以入侵用户帐户，进行未经授权的转帐和交易，或偷取用户的个人资料等。
为确保虚拟银行的顺利运作，虚拟银行营办者除要跟从金管局的相关指引，亦须推行严密的网络保安措施，例如定期更新伺服器的操作系统和应用程式，并保护网站管理员的登入介面。网络和数据库伺服器亦要分开存放，更要解除不需要使用的模组和扩充应用程式。此外，要小心验證用户在网上应用程式输入的资料，以确认真伪。
虚拟银行用户亦需采取足够措施，保护登入有关服务的个人资讯科技设备，例如安装保安软件防毒软件或网络保安应用程式，并定期更新设备的作业系统、应用程式及病毒资料库；更要采用不易破解的密码及双重认證登入帐户，以及预先设定低额的转帐限额，减少风险。
提升资讯保安 3方面加强防範
上文谈及香港电脑保安事故协调中心预测，以榨取金钱为目标、针对物联网设备、流动支款应用程式及软件更新机制的网络攻击，今年将会恶化，社会各界需提高警惕，加强防範。
企业想全面提升资讯保安，除要找出哪些机构的重要数据或服务需要加强保护，并定期评估对外伺服器及经常被忽略的资讯科技服务的保安风险外，更要把有关评估的适用範围，扩大至供应链伙伴。
企业进行了以上活动後，便可从叁方面加强资讯保安，包括：
程序管理：企业应限制机构的数据及服务暴露於互联网及服务夥伴。同时，使用存取控制收紧权限批出，任何软件更新亦要预先经过测试才进行。资金转移控制亦要加强来应付商务电邮骗案；
技术控制：企业要采取措施堵塞系统的漏洞，例如安装修补程式、强化设定安全、停用不安全服务等，并控制外界对机构的访问，以及堵截对外的恶意网站的访问。此外要定期备份数据，并储存一个离线副本，以减低勒索软件袭击的影响；以及
提高保安意识，堵塞人为漏洞：企业应定期举办安全意识教育及保安演习，并规定员工使用其他通讯渠道验證电邮发出的交易要求，及在敏感服务上采用较强的密码及双重认證。员工亦要提防来历不明的电子邮件和网站，并避免使用公共 Wi-Fi 网络传送敏感资料。
网络攻击4预测 流动付款要小心
上期回顾了2017年的本港资讯保安状况，现续谈未来一年将有什麽新威胁，企业及个人需要留意。针对今年的网络攻击趋势，香港电脑保安事故协调中心有4大预测。
预测一：以榨取金钱为目标的网络攻击，会持续上升，攻击方式将继续以加密勒索软件、入侵敲诈、分散式阻断服务攻击敲诈，以及系统入侵为主。由於有越来越多网络罪犯会提供一站式攻击「租用」服务，让不熟悉有关技术的不法分子也可使用，将令趋势火上加油。
预测二：有上网功能的装置在不同层面的应用虽然日趋广泛，但用户的保安意识普遍薄弱，未有做好设备的保护，例如更改预设密码、定期更新、安装防火墙及防毒软件等，将製造更多机会给黑客，透过保安漏洞及设备的後门入侵，使更多「物联网」设备成为大型网络攻击的帮凶。
预测叁：随著流动付款服务盛行，交易过程中会有大量敏感资料暴露於网络世界中，若程式没有采用足够的通讯加密保安措施，将吸引更多针对流动支款应用程式的网络攻击。
预测四：经过去年的NotPetya及Bad Rabbit加密勒索软件攻击事件後，预计会有更多黑客试图入侵软件供应商的软件更新机制，以及受欢迎的合法网站，植入恶意程式码，以绕过企业及网站访客的防禦。
至於如何避免沦为以上攻击的受害者，就留待下期介绍。
恶意软件攻击增8成 企业需警惕
每年1月中，香港电脑保安事故协调中心都会与大家分享过去一年的本港网络保安状况，从中预测未来一年的网络威胁新趋势，让公众及企业提高警惕，加以防範。
协调中心去年共处理6,506宗保安事故，较2016年增加7%，已是连续五年上升，事故增加的主因与网络安全机构之间近年加强合作，互相转介保安事件；以及协调中心提升了处理大量转介个案的能力有关。
事故种类分佈方面，其中恶意软件攻击连续两年激升，数目较2016年大增79%(共2,041宗，占总事故31%)，并与殭屍网络(2,084宗，占32%)及钓鱼网站(1,680宗，占26%)成为最主要的网络事故。
专家分析恶意软件事故发现，虽然去年加密勒索软件事故报告数目大幅回落(共178宗)，但却有1,210宗Bot-WannaCry个案。这类事故涉及本地电脑感染了去年5月肆虐全球的WannaCry加密勒索软件，但软件内的加密程式至今仍未执行。
另外，亦有519宗手机恶意软件个案，主要来自iOS应用程式开发商用了非官方及含有XcodeGhost恶意程式码的Xcode程式库，令连带所开发的应用程式也受感染。受感染的应用程式会把用户装置的资讯自动回传至该恶意程式的指令与控制伺服器，或弹出钓鱼视窗骗取用户资料。
至於今年有什麽网络新威胁，就留待下回继续介绍。
及早更新CPU保安 防黑客攻击
最近全球多间主要晶片生产商承认，他们出品的中央处理器(CPU)因设计上的失误而有严重保安漏洞。
黑客可利用该漏洞，绕过目标系统的保安限制，偷取核心记忆体内的敏感资料。全球数十亿资讯及通讯科技产品，包括桌面电脑、笔记型电脑、云端伺服器、工业电脑、手机等，无一倖免。
根据发现这个保安漏洞的奥地利格拉兹科技大学(University of Graz Technology)资讯保安研究团队的解说，黑客可利用该漏洞进行「Meltdown」及「Spectrum」两种CPU攻击。前者旨在解除禁止应用程式任意存取系统记忆体的保护机制，使一般应用程式可存取系统核心记忆体内的内容；後者则可让应用程式存取其他应用程式内的任意记忆体位置。
若漏洞是栖身於个人电脑内，攻击者可於恶意网页上运行 Javascript 窃取用户浏览器另一个网页标籤中的数据。若是於云端服务中，攻击者则可窃取云端伺服器另一个租户正在处理的数据。
研究团队又指出，要侦测及阻挡这些攻击是十分困难，因为这类入侵是不会在电脑日誌留下任何痕迹，而且防毒软件亦很难在执行一般应用程式时，可以把「Meltdown」及「Spectrum」的攻击分辨出来，只能靠於事後通过二进制档案比对来找出这些攻击。
事件曝光後，各大软件及作业系统供应商已迅速地发出更新程式修补漏洞，但部分或只适用於特定的版本，因此用户应加紧留意相关厂商的信息，并儘早做好保安更新，以免敏感资料落入不法份子手中。
企业安全管理 架构设计做起
最近，再有本地旅行社遭黑客入侵伺服器盗取客户资料并勒索赎金，这些拥有大量个人资料的机构采用的保安措施究竟是否足够？
其实，企业若缺乏有效的资讯科技系统安全管理，当系统出现漏洞或弱点而未能及时处理，黑客便有机可乘，入侵系统进行不法勾当。当事故发生时，企业如没有妥善的备份管理，系统将无法还原。
因此企业应从保护数据、加强系统及数据存取的保安，及强化系统安全设计叁方面，妥善保护数据资料。首先，保护数据方面，企业须采用加密技术加密数据及资料，还要定期备份，并最少要有叁份备份，以至少两种不同形式存放，其中一份备份需储存於工作地点以外的地方。
至於加强系统及数据存取的保护，企业需定时更新伺服器修补程式，并限制帐户的存取权限。同时，网站管理员的登入介面及遥距存取等敏感服务，可采用双重认證。最後，强化系统安全设计方面，企业要小心验證，及确认用户在网上应用程式输入的资料；更要把网络伺服器和数据库伺服器分开存放，後者应设於内部网络及只接受从内部网络存取。
长远来说，企业须提升资讯安全管理至国际认可水平，从安全架构设计做起，除进行安全审核及培训外，还要定期审查网络安全架构和设计，以及建立并行的系统，提供无间断服务。
企业需重视 工业4.0隐忧
去年11月，香港生产力促进局一连两日举办题为「与未来的全球供应链连接」的「工业4.0」网络安全国际会议，由海外及本港专家分享供应链网络保安的最新技术、国际经验和最佳造法。获二百多家本地企业踊跃参与，会後部份参加者更表示，会重新审视机构与合作伙伴的资讯保安。
「工业4.0」智能营运的特点，是透过互联网把供应链中无数的工业系统串连起来，让众多机构高速并无间断地互相传输大量数据。互连和数码化可提升整个供应链的效率，然而相较传统的个别系统，更多网络威胁亦随之而来，企业必须正视。
美国国家标準技术研究所指出，针对供应链的网络威胁来自四面八方，例如可以实体或虚拟方式存取资讯系统、软件编码或IP地址的第叁方服务供应商；二、叁线供应商的资讯保安劣习及劣质软硬件产品；供应链管理或供应商系统的软件保安漏洞；使用冒牌或附有恶意软件的硬件、第叁方数据储存设备及聚合器等。
要万无一失，企业须全面评估供应链上各单位的网络保安水平，从软硬件设计过程、处理新型网络攻击的能力、生产过程管理及监测、配置管理实施及质量保證、网络及实体存取管理、员工背景审查机制、对上游供应商的资讯保安期望，以至分销过程的保安及存档等。
网站记录用户资料 恐遭索偿
很多大型网站皆会采用第叁方软件，追踪网站上的一切活动，务求全方位了解用户群，为他们设计更贴心的网站体验，提供更适切的服务和产品。
美国普林斯顿大学资讯科技政策中心最近发表研究报告，指出全球浏览量最高的五万个网站当中，逾480个有采用「Session Replay」插件，记录用户浏览网站时的一举一动，包括键盘敲击、滑鼠的移动、浏览行为、所停留的网页内容等，并将有关资料传送至第叁方伺服器。
「Session Replay」插件理应不会记录网站用户的敏感资料，例如密码、信用咭号码等，但该研究发现，技术供应商仍有方法取得这些资料。最令人担心的是，有关资料是在未加密的情况下被传送至第叁方伺服器。若用户资料不幸外洩，网站负责人除会被监管机构调查外，该机构的声誉更会受影响，甚至遭用户追讨赔偿。
要防止这些情况发生，网站负责人要检查及了解网站的第叁方「Session Replay」插件的功能、用途，以及数据收集种类。同时，切勿使用这类插件收集客户的敏感资料，并留意避免为其他人士收集有关资料。此外若企业已为网站采用了加密的通讯协定(HTTPS)，亦要确保「Session Replay」插件一併采用HTTPS传送数据，才能万无一失。
小心佳节假电邮 骗财盗私隐
过去数周，大家应该收到很多与圣诞节及新年有关的电子邮件。
由身处世界各地的亲朋好友及生意夥伴传来的电子贺卡及祝福电邮，以至各行各业公司推出的产品及服务优惠推广，包罗万有。
佳节当前，电邮用户的资讯保安意识也絶不能松懈，因为根据过往经验很多不法份子都会利用节日的机会发动攻击，其中以骗取用户金钱或个人资料的伪冒电邮为最直接及常见的攻击手法。
英国电邮保安服务商Mimecast近日发表最新一季电邮保安风险评估报告，分析逾5,500万封电邮，发现近19,000封属伪冒电邮，比上一季大增近五成，是恶意软件电邮的七倍。所谓「桥唔怕旧」，伪冒电邮仍属资讯保安一大威胁。
用户接获任何电邮时，尤其是附有附件或超连结的电邮，应先检查电邮的发件者、来源和内容是否可靠；若存疑，应以其他方法立即联络对方核实，不要贸然打开电邮附件或连结，以免误堕钓鱼陷阱，或感染加密勒索软件及其他恶意程式。用户亦可使用免费綫上档案扫描服务，辨别档案或连结的虚实，以减低电脑中毒风险。
最後，「精Net锦囊」祝大家佳节快乐，平平安安欢渡假期！
加强浏览器保护 免被迫做「矿工」
最近有本港网站被指暗藏「掘矿」程式码，每当用户浏览有关网站时，电脑的运算能力会遭骑劫「掘矿」，被黑客利用作为赚取虚拟货币的工具。
这种「掘矿」手法早於今年9月在网络世界首度曝光，欧洲塞浦路斯资讯保安公司AdGuard随後亦发表报告，指出全球最高浏览量的首10万个网站当中，有220个网站被黑客植入「掘矿」程式码，每月有约5亿电脑用户在不知情下成为「矿工」。报告更发现逾半暗藏「掘矿」程式码的网站来自影片串流、档案分享、成人及传媒网站，这或与用户一般在有关网站的逗留时间较长，因此变相成为「掘矿」程式温床。
香港电脑保安事故协调中心过去叁个月也接到叁宗网站遭嵌入「掘矿」程式码的报告。由於大部份防毒软件不会视网页的掘矿指令为威胁，未必会发出警报，因此难於防备。若用户浏览某些网站时，电脑运作突然减慢，而中央处理器的使用量又异常高，例如达80%至100%，用户的电脑便有可能已遭挪用「掘矿」。
为免被迫成为「矿工」，电脑用户可安装一些开放源码浏览器外掛程式，例如Chrome的「No Coin」、「MinerBlock」等，侦测及阻截掘矿程式。另一方面，网站管理员要修补网站漏洞，并采用良好的编码作业模式开发网页应用程式，以及安装防火墙，减低网站被入侵或嵌入可疑程式码的风险。
域名系统双重加密 保网站安全
大家可能试过按下某常用网上服务的超连接，或於网页浏览器直接输入其正确网址後，却去了一个不明来历的网站，不独用不上有关服务，更可能令电脑感染恶意软件，影响运作。
网域名称系统(Domain Name System，简称DNS)是一项广为使用的互联网服务，透过将网域名称和IP地址相互对换，方便大家上网，不需记忆又长又複杂的IP地址。DNS於1983年面世，由於当时未有加入保安设计，自然容易成为黑客攻击的目标。
医疗行业近年广泛应用物联网技术以提升病人护理服务，从医疗数据化、身份识别、急救、远程监护和家庭护理、医疗设备和医疗垃圾的监控、血液管理，以至传染控制等，遍及不同範畴，影响深远。法国市场研究机构Reportlinker今年6月发表研究报告，估计全球医疗物联网(Internet of Medical Things，简称IoMT)装置总数将由2015年的45亿部上升至2020年的200亿至300亿部，增幅惊人。
针对这问题，部份域名管理员近年已采用「网域名称系统安全扩展」(Domain Name System Security Extension，简称DNSSEC)DNS数据验證套件。今年9月起，「.hk」顶级域名亦开始支援DNSSEC。
DNSSEC利用公/私钥匙加密技术，以数码签署方式验證DNS资料来源。情况尤如在银行提取保险箱物件一样，需同时使用两把钥匙才能打开保险箱，加强保安。网站负责人应尽快为网站域名加入DNSSEC支援，提高本身域名记录的完整性及可信性，堵塞保安漏洞。
限制远端连綫 防勒索软件攻击
上月，沙田区一所中学的电脑伺服器受到勒索软件攻击，电脑档案无法开启。传媒引述警方消息，怀疑黑客利用Crysis/Dharma变种勒索软件，透过微软视窗的远端桌面服务(Remote Desktop Protocol - RDP)取得伺服器控制权，将受害者电脑上的档案加上「.arena」副档名，再进行勒索。
香港电脑保安事故协调中心於事发前两星期已发出「高度危险」的保安警示，提醒电脑用户提防该变种勒索软件，但仍收到数宗有关感染报告。「中招」者的网络档案伺服器上的资料会受影响，而遭强行加密的档案也无法还原。
若用户的电脑遭到攻击，应即时停止网络连线以作隔离，并移除与该电脑连接的储存装置，及立即关闭网络交换器(network switch)，隔离同一网络内的其他电脑及档案伺服器，以遏止大规模扩散。在未清理恶意软件前，切勿开启任何档案。
在预防方面，用户除执行基本的电脑保安措施外，更可对远端桌面服务实施多重保安限制。例如非必要，切勿对互联网开放远端桌面服务，并只允许特定的IP地址，连接启用了远端桌面服务的电脑；同时，应限制远端连线的许可时间，例如禁止在办公时间以外连线。此外采用最少权限原则规限可进行远端连线的帐户，尽量避免给予管理员权限。若需由第叁方服务供应商协助管理电脑，须要求对方以安全的渠道进行远端连线。
医疗数据化 网络安全需重视
今年5月份震动全球的「WannaCry」加密勒索软件攻击，导致英国公共医疗服务大混乱。
当地的调查报告指出，所有受这影响的医疗机构若事前已执行基本的资讯保安措施，例如适时修补系统漏洞、做好防火墙管理等，便能逃过一劫。
医疗行业近年广泛应用物联网技术以提升病人护理服务，从医疗数据化、身份识别、急救、远程监护和家庭护理、医疗设备和医疗垃圾的监控、血液管理，以至传染控制等，遍及不同範畴，影响深远。法国市场研究机构Reportlinker今年6月发表研究报告，估计全球医疗物联网(Internet of Medical Things，简称IoMT)装置总数将由2015年的45亿部上升至2020年的200亿至300亿部，增幅惊人。
医疗物联网装置越出越多，功能亦更多样化，受到网络攻击的机会亦随之上升。根据一家美国网络保安研究公司去年12月发表的医疗机构网络安全调查，针对病人资料的攻击於2014年至2016年的短短叁年间，已急升300%。
为协助本港医疗行业及早防範网络攻击，香港生产力促进局将於12月1日举办医疗及保健系统网络安全研讨会，由海外及本地专家介绍医疗器材业的最新网络保安趋势及技术，以及良好医疗设备网络风险管理，务求业者安然过渡至数据化的发展大势。
供应链宜加强保安 免火烧连环船
颠覆传统商业模式的「工业4.0」，提倡应用物联网技术，令企业内外、供应链上的所有持份者、物件和机器，无缝地紧密联系起来，即时互相沟通和协调，达到精益生产及加快业务流程，以高效益方式，制造个人化的产品。
由于当中有大量数据流动，例如涉及市场、生产、物流及客户等不同环节，并会通过网络与供应链上的相关业者分享，所以供应链的网络保安非常重要，否则有事故发生时会产生「火烧连环船」效应，涉连甚广。例如2013年震惊整个零售业的美国第二大零售百货集团Target资料外泄事件，黑客便是借着入侵集团的暖气、通风及空调系统供应商，进入集团的零售系统，窃取超过4000万个顾客信用卡资料。
美国国家标准技术研究所指出，除盗窃外，一个高度网络化的供应链的其他网络保安威胁包括插入伪造纪录及指令；非法制作、篡改、插入恶意软件及硬件；甚至产品制造及研发陋习都可衍生隐患。供应链上的所有单位皆需执行有效的安全措施，确保供应链数据完整无缺、货品安全及运作正常。
香港生产力促进局将于11月21日至22日，假该局九龙塘总部举办「工业4.0」网络安全国际会议，题为「与未来的全球供应链连接」，由十多位海外及本港专家分享供应链网络保安的最新技术、国际经验和最佳造法，企业不容错过。
物联网安全 应从选购安装入手 (Chinese only)
上文介绍了物联网设备的主要保安诟病，大家若想用得安心，可从选择产品和安装两方面着手。
选择物联网产品时，大家应先了解个别品牌的客户信任度、过去两年的产品安全事故及处理方法，以及更新产品韧体的频密度。用户亦要认清产品有否进行官方验证，例如采用ZigBee或Z-Wave这两种较新的加密通讯协定；并留意产品所使用的网络连线及管理者介面有否采用加密技术。用户更可预先下载使用者说明书，以了解设备提供的保安设定是否足够，是否容易安装及进行韧体更新。
至于安装时，用户应把设备安装在不会公开IP地址的内联网上，并将可靠及不可靠的网络隔离；若能为设备建立额外的单独网络则更佳。此外要关闭路由器上的通用随插即用功能；用户亦要确保设备韧体为最新版本，例如每年最少两次登入生产商网页，检查是否有韧体更新。紧记选用不易被猜中的密码并定期更换，若可做到「一设备一密码」则最理想。
另外，切勿向互联网开放设备的管理介面。若该设备不必连接云端，请尽量避免使用，以减低安全风险；若不使用互联网服务时，更要拔除网络连线。此外要掌握相关安全事故的最新资讯，例如定期利用网上搜寻器，输入设备的品牌及型号，查看有关信息。
物联网设备 四大保安问题
物联网设备市场近年迅速增长，据国际知名资讯保安公司思科今年8月发表的最新「视觉化网路指数」估计，2021年人均联网设备数量将达3.5部，较2016年增加逾50%。
随着物联网设备的应用越来越普及和多样化，网络黑客亦会花更多时间发掘设备的保安漏洞，发动入侵并控制系统作非法行为。例如去年初秋，黑客入侵物联网设备，组成名为「Mirai」的僵尸网络，发动大规模阻断服务攻击，足见这类网络风险已迫在眉睫。
经该次事件后，国际资讯保安机构纷纷研究全球有多少物联网设备有保安问题，结果数目远超想像。香港电脑保安事故协调中心早于两年前亦曾进行有关专题研究，当时亦发现为数不少的本地物联网设备直接向互联网开放，部份更有严重的保安问题。
目前市面上的物联网设备主要有四大保安诟病。首先，系统本身有保安漏洞，黑客可进行远端执行程式码或遥距控制设备。另外，设备在出厂时只提供少量保安设施，有些甚至没有提供任何保护。此外产品预设过于简单或不能更改的登入密码，容易被撞破。最后，很多物联网设备缺乏明显提示，提醒使用者更改密码或安装韧体更新，修补保安问题。
至于如何对症下药，让我们可以安心尽享物联网所带来的各项好处，则留待下回分解。
黑客截劫 交易勿用公共WiFi
上周，比利时荷语天主教鲁汶大学(KU Leuven)的资讯保安研究人员发表报告，指出现时一般用于WiFi网络保安的WiFi Protected Access II (WPA2)加密方法有多个安全漏洞，网络黑客可借此发动名为「Key Reinstallation Attacks」(KRACKs)的攻击，将传输中的数据解密及篡改，甚至把勒索软件及其他恶意软件注入网站，酿成严重损失。当黑客和WiFi连接点及目标装置相同的无线传输范围内，便可发动攻击。
由于今次事件影响数以亿计附有WiFi连线功能的装置，例如智能手机、手提电脑、无线路由器等，因此受影响的产品供应商纷纷推出修补程式及轫体更新，让用户尽快安装，消除威胁。不过，并非所有品牌的装置都会提供修补程式，因此用户需主动联络装置供应商查询详情。
要减低资料外泄风险，用户传送敏感资料时(例如银行交易)，必须采用最新版本的安全通讯协定(SSL)或传输层安全协议(TLS)加密资料。同时，避免透过公共WiFi传输资料及执行网上交易，应以有线网络或流动数据进行。若迫不得已要采用公共WiFi传取资料，应利用虚拟私有网络(VPN)进行。
由于这漏洞不是直接针对WiFi路由器，因此更改保安设定，例如登入密码，也于事无补。不过，用户应保持良好的资讯保安习惯，更新附有WiFi连线功能的装置及无线路由器后，可一并更改WiFi登入密码，以防止其他针对无线网络的攻击。
网上交易自保 网站安全逐项数
最近有市民指以信用卡于网上缴付体育活动的报名费后，怀疑被黑客盗用资料进行交易，事件令人再次关注网上交易的安全问题。
黑客犯案的手法层出不穷，香港电脑保安事故协调中心不拟揣测或评论事件的起因，只希望借此机会提醒大家进行网上交易时，需采取安全措施自保，尽量减低中招风险及避免损失。
首先，进行任何种类的网上交易前，先要确保交易网站的安全，包括检查网站域名(URL)是否正确；留意网址前段有否显示「https」，以证明网站有采用加密的通讯协定；以及核实网站的数码证书是否有效。
同时，要留意登入过程有否异样，例如出现可疑的弹出视窗、甚至要求提供额外的个人资料等；更要注意浏览器是否运作正常，没有显示警告或错误讯息等，并在使用后马上登出网站。
此外用户不要点选电子邮件中的超连结，并需保护用以登入的电脑及手机，更切勿透过公用电脑或公共Wifi处理网上交易。使用信用卡二次认证服务，如Verified by VISA或MasterCard SecureCode，可有多一重保险。
用户亦要留意银行发出的SMS交易短讯，并定时查核交易纪录。若发现有可疑交易，应立即与银行联络。另外，要预先为信用卡设定网上交易限额，及切勿于网上储存信用卡资料。
妥善处理旧装置 免资料外泄
香港电脑保安事故协调中心经常提醒电脑用户要留意作业系统的保安更新，并要为已失却支援服务的系统，制订妥善的更换计划。
旧版本系统若不再获支援，即使发现新的保安漏洞时亦不会有修补程式，网络不法份子便能长驱直进，入侵该电脑。
智能电话及平板电脑用户亦面对同样的问题。例如Android系统开发商Google今年2月中正式终止支援Android 2.3及平板电脑专有的Android 3.0，并指出由于采用这两个旧版本系统的用户寥寥可数，所以此举对用户的影响近乎微不足道。
无独有偶，微软公司亦于今年7月宣布对其三年前推出的Windows Phone 8.1终止支援。
受影响的用户若要更换手机，升级至最新的作业系统，也要妥善处置旧机，以免资料外泄。个人用户购买附有最新作业系统版本的新型号装置后，要将旧机内的资料转移过去，再启动装置内的「安全」设定的加密功能，并利用永久数据删除工具，在电脑上覆写及清除外置记忆卡内的数据，才属稳妥。
若企业有为员工提供流动装置来处理公务，他们经手的资料较为敏感，并可能涉及客户私隐，因此必须预先制订一个良好的流动装置管理政策及方案，尽量减低保安风险。
黑客用音波功 控制智能手机
最近有外电指出，有外国领使馆怀疑遭受音波侵扰，有关人员出现轻度脑部创伤和听力减弱等征状。
网络世界，黑客也利用「音波功」，控制智能手机的一举一动。
内地浙江大学最近发表的研究报告指出，网络黑客可以利用超声波操控智能手机内的语音助手功能，暗中控制用户的手机，进行监视、启用飞行模式，甚至浏览恶意网站下载恶意程式等。
由于语音输入功能(例如：智能手机的咪高峰)十分灵敏，可以接收仅海豚能听到的超声波声频，这类攻击被称为「海豚攻击」。
不法之徒若循此漏洞入侵手机，亦难以察觉，受害人的敏感资料可能会外泄，而遭入侵的手机更有可能被用作发动网络攻击或进行诈骗等不当行为。
虽然香港电脑保安事故协调中心至今未收到涉及「海豚攻击」的本地报告，但防范于未然，智能手机用户应停用语音助手功能，直至从手机生产商获得漏洞修补程式为止。手机开发商则需替装置加设过滤超声波音频功能，减低这类攻击的威胁。
「物联网」最怕僵尸 及早处理 免成黑客傀儡
去年10月，数以千万计感染Mirai恶意程式的「物联网」装置，包括网络摄录机及家用路由器等，组成僵尸网络，向美国网域服务商DYN发动大型分散式阻断服务(DDoS )攻击，使用户无法正常浏览CNN、Twitter、Netflix等多个网站。其后数月，欧美非等地亦遭受Mirai僵尸网络攻击，导致大范围地区的网络瘫痪。
国际资讯保安研究人员当时已指出，很多感染Mirai的「物联网」装置，身处亚洲地区。据生产力局属下香港电脑保安事故协调中心今年初取得的可靠讯息，本港至少3,000部「物联网」装置感染了Mirai。协调中心亦主动透过网络供应商转告受感染的客户补救，但至今仍有约千部装置受Mirai感染。
「物联网」装置遭黑客入侵，变成网络攻击的帮凶，主要原因是装置本身存有保安漏洞。协调中心已发出指引，助公众及机构加强「物联网」装置保安及预防受Mirai 感染。若用户接获网络供应商通知装置受Mirai 感染，应尽快处理，以免继续沦为黑客傀儡。
此外，本地「物联网」装置开发商在产品推出前，应做好所有软件测试，包括确定装置是否有保安漏洞等。生产力局属下香港软件检测和认证中心提供的第三方软件测试服务，可协助装置开发商及早找出问题，令产品更安全。
工业4.0企业需做好网络保安
创新的「工业4.0」概念被喻为第四次工业革命，其精髓是利用互联网连接大量数据，「串连」各种机械及工业系统。然而，旧式工厂的生产设备之间往往缺乏防护装置，黑客一旦成功入侵，更改机器的控制参数，足以扰乱机器运作，引致生产中断或大量次货，甚至危及操作人员安全。
事实上，针对工业系统的攻击持续上升，据IBM数字显示，有关攻击去年升幅超过一倍。工业系统被黑客入侵，不单工商企业损失严重，更会影响民生，例如去年乌克兰变电站被黑客入侵，导致停电六个小时，波及23 万人。
故此，企业推行「工业4.0」，网络保安是首要任务。第一度防线是安装工业防火墙，以侦测及拦截恶意讯号，确保系统正常运作。若要进一步提升网络保安水平，可全面进行安全审核及培训，并定期审查网络安全架构和设计，以及建立同步运作的系统，从而提供无间断服务。
生产力局最近成立全港首个展示「工业4.0」智能营运的示范中心— 「智能产业廊」，便特别设立网络保安展区，以增强制造业对网络保安的认知和意识，再配合局内香港电脑保安事故协调中心的专家指导，可协助业界建立安全的网络环境，实践「工业4.0」。
连网医疗设备 保安不容忽视
一名恐怖分子，靠入侵心脏起搏器，遥远行刺美国副总统，这是美国电视剧《反恐危机》(Homeland) 中一集的桥段。电影的虚构情节随时成真。
美国联邦食品及药物管理局(FDA)早前发出通知，召回某品牌的植入式心脏起搏器，原因是网络黑客可以利用起搏器保安漏洞，将装置重新编程，停止起搏器电池运作，或更改设定，危及病人安全。事件令美国逾46万人受影响，需要往医疗中心更新装置软件，修补漏洞。
现今不少医疗装置皆具备感应、数据收集及通讯功能，更可通过互联网连接医院网络、其他医疗装置及智能手机，方便医护人员即时监察病人情况，甚至遥距设定装置。连网医疗器材日趋普及，医疗机构面对的网络保安威胁亦与日俱增。
针对医疗器材的网络安全，FDA在2016年12月公布《医疗器材网络安全之上市后管理指引》，列出了制造商应采取的风险管理步骤，有效处理医疗器材的网路威胁，指引亦为医疗机构提供实用的参考资讯。
现时，生产力局正为本港医疗设备厂商提供相关支援服务，如协助厂商符合ISO 14971医疗器材风险管理，及IEC 62304医疗软件开发生命周期等国际标准，满足海外医疗器材监管法规要求。
为提升本港医疗及保健行业的网络安全认知，生产力局获「创新及科技基金」资助，今年12月主办大型研讨会，介绍医疗器材最新网络保安趋势及技术；亦会制作网络安全技术手册，供生产商及医疗机构参考，请密切留意。
两电脑保安中心 联手抗勒索软件
今年7月，Google联同比特币交易分析公司Chainalysis及两间美国大学，在拉斯维加斯举行全球资讯保安年度盛会─ 「美国黑帽大会」(Black Hat USA)期间，发表研究报告，指出勒索软件受害者在过去两年已缴交赎金逾2,500万美元。
不法份子见勒索软件攻击有利可图，不断将攻击升级，因此近年越见频密及复杂，更成为香港网络安全的新威胁。香港电脑保安事故协调中心在2016年及今年首八个月便分别接获309宗及140宗相关报告。针对这情况，协调中心及香港特区政府电脑保安事故协调中心(GovCERT.HK)最近联手推出「齐抗勒索软件运动」，全方位协助本港企业及公众加强防范有关攻击。
这个活动的重点项目包括借助社交媒体及流动技术，在Facebook设立「勒索软件情报站」(www.facebook.com/ransomware.hk)，与国际知名资讯科技及网络保安公司合作，为公众分享勒索软件的最新情报和分析、保安警示及培训资讯等，有助互联网用户于勒索软件攻击发生的初期，及早掌握全面的资讯，以作防范。
活动还会与网络保安机构合作，提供免费实时防勒索软件工具，并针对中小企及其他高风险界别，提供资讯保安培训。此外协调中心亦重整网站的勒索软件专页(www.hkcert.org/ransomware.hk)，更深入及清晰介绍不同种类的勒索软件的传播途径及影响。所谓知己知彼，百战百胜，大家要从速加入面书专页，保障安全。
即时通讯软件存风险 勿传私隐
香港消费者委员会今年7月在其官方刊物《选择》月刊，转载欧洲消费者组织Euroconsumers发表的即时通讯应用程式测试报告。该组织今年首季测试了12个开发商的13款即时通讯应用程式，结果发现其中六款欠缺点对点加密传送技术，黑客可乘虚而入，中途拦截或修改传输中的数据。
即时通讯应用程式的潜在保安问题其实并不是什么新鲜事，本栏早于两年前已提及美国电子前线基金会曾进行类似的安全测试，发现测试的39个即时通讯应用程式当中，仅六款能够通过全部测试。
由于即时通讯近年已成为不可或缺的通讯方法，大家唯有养成良好的使用习惯自保。个人用户应避免利用这途径传送个人或敏感资料。若有必要传输该类资料，应先把资料加密，或预先开启讯息自动删除功能；并要移除即时讯息应用程式提供的所有网络服务、分享资源、远端执行咪高风和网络摄影机功能。
企业则应采用企业专用即时通讯方案，亦要制定内部的使用守则，例如禁止利用即时通讯传送公司的敏感资料和内部文件、发表粗俗或诽谤性的言论等。企业还可使用即时通讯管理方案，监察程式使用、管理讯息传输、过滤内容及记录所有讯息，有效管理员工使用即时通讯处理公务，保障公司的信息安全。
启动拒绝网上追踪功能 保私隐
大家可曾试过于旅游服务网站搜寻机票后，浏览其他网页时会遇上有关目的地的住宿、食肆及娱乐广告及推介？
这一切并非偶然，而是网上行为追踪(Online Behavioral Tracking)技术在背后「发功」的结果。
市民在网页上的一举一动，皆可能被网站记录下来，作其他商业用途。大数据时代下，网上购物纪录、产品或服务搜寻等资料皆被视为有价值的资讯。即使用户没有直接浏览该网页，但其他网站亦可透过第三方Cookie等技术检视用户的网上行为，推出相应的产品及服务资讯。虽然这可为用户带来方便，易于搜寻互动的网页内容及服务，但另一方面却引伸出个人私隐及网络保安等问题。
现时互联网浏览器已内置「拒绝网上追踪」功能，用户可启动该功能尽量避开网上行为追踪，必要时更可使用浏览器的私人浏览模式保护私隐。虽然私人浏览模式并不能将用户从网上完全隐姓埋名，但相关的保安功能却能加强浏览连线的安全性。
此外，大部份网站皆有列明其私隐政策，用户可详细了解。使用公用电脑或公共Wi-Fi热点上网时，市民亦应尽量避免浏览敏感资料。使用后，切记要清除浏览器内的所有缓存(cache)、浏览历史和 cookies 等历程纪录，以防暴露上网的行为。
掌握网络威胁情报 助防范黑客
今年5月，全球首个电脑蠕虫型勒索软件WannaCry现身，攻击世界各地的微软电脑。
这次攻击发生于欧洲时间周五下午，当时香港大部份企业早已下班，仅小部份电脑仍然在线，香港政府、警方、本地资讯科技及网络保安专业组织及协调中心的专家正好联手利用周末的空档，掌握更多WannaCry的情报，制定应对策略，再透过不同渠道发放防范建议，好让市民、企业及其他高危界别机构在周一上班前作好准备。
当各大小机构相继开市时，已大致做好防御准备，例如为电脑修补了WannaCry针对的保安漏洞；或安装防火墙阻挡攻击等。未及时做好防范工作的则采用其他应急方案，例如暂时将电脑离线，直至完成协调中心及本地资讯保安专家的安全建议为止。
是次事件不但再次证明各界互相合作的重要，更反映及早掌握攻击的详情是网络保安的先决条件。因此企业需在网络攻击初起时尽快取得充分的资讯，而网络威胁情报正好发挥作用。若能掌握其他地区发生的事故详情，或知悉针对其他工商业界的袭击情况，便可以迅速回应，及早防范，减低遭受新型网络攻击的风险。想了解更多最新网络威胁资讯，可浏览协调中心网站。
非官方维修手机 小心遭黑客入侵 (Chinese only)
大家的智能手机出现故障的时候，都会第一时间拿去紧急维修，期望尽快修理好，保持与外界的联系。
若手机过了官方保养期，或许会选择转用收费较便宜的非官方维修服务。不过，大家要小心这造法随时因小失大，有机会令资料外泄及手机遭黑客遥控。
最近以色列内盖夫本-古里安大学发表的资讯保安研究报告指出，若以带有恶意晶片的零件更换受损的原装零件，例如：触控式萤幕，恶意晶片附带的微控制器，可被利用来安装及执行恶意程式，协助黑客取得控制手机的权限。
由于电子零件之间的相互沟通缺乏严密的保安检查机制，若被装上恶意电子零件，除有机会泄露手机内的敏感资料外，更有可能被利用成为僵尸网络一份子，发动网络攻击，甚至成为私人监测器，窃视用户的一举一动。
智能手机及平板电脑于日常生活中越来越重要，除一般市民外，不少企业更会用它们处理公务，相关保安不能忽视。用家应选用官方的自携维修智能装置服务，以减低风险；智能装置生产商则需加强电子零件沟通的保安检查，以防止此类攻击发生，影响商誉。
勒索苹果用户软件 蠢蠢欲动
近年全球发生多宗针对微软用户的大规模加密勒索软件攻击，很多使用苹果MacOS作业系统的用户或许抱着隔岸观火心态看待事件，并以为遭受这类攻击的机会非常低。
其实此想法只是一厢情愿，很多网络不法份子正蠢蠢欲动，积极开发针对苹果电脑的勒索软件，以扩大攻击版图牟利。
今年6月初，总部设于美国加州的国际网络保安公司Fortinet表示，旗下的研究人员发现有自称是Yahoo及Facebook工程师的人士，在网络地下市场兜售针对苹果电脑的勒索软件包办服务(Ransomware -as-a-service)，更向潜在客户展示勒索软件样本。
研究人员经过分析后，发现该款名为MacRansom的勒索软件主要是透过诱骗苹果电脑用户打开电邮，并执行当中的附件档案散播。它使用的档案加密方式，虽然较针对视窗的简单很多，并只会加密最多128个档案，但由于软件仅在攻击者设定的时间才会现身执行加密程序，所以难于侦测。
分析亦指出，该勒索软件开发者的解密技术粗糙，受害者就算依从指示缴付赎金，也未必可以成功回复或重新打开曾被加密的档案。
虽然MacRansom最终或因软件曝了光而未能正式发动大型攻击，但苹果电脑用户亦不应松懈，需养成良好的资讯保安习惯，例如定期备份及离线储存电脑内的重要档案；并时刻留意可疑的电邮，切勿开启当中的附件，或点撃附带的连结，以减低勒索软件攻击所带来的影响。
进阶版加密档案 发错电邮可自保
上文介绍香港电脑保安事故协调中心预计2016年香港将出现更多针对网站伺服器、销售点系统、流动装置及物联网设备的网络攻击。面对这些网络安全新威胁，企业、市民及互联网服务供应商又应如何防范？
要预防网站伺服器受攻击，企业除要定期检视其保安状况及修补系统的保安漏洞外，还要分开存放网站和数据库伺服器，并小心验证用户在网上应用程式输入的资料。若业务性质需使用销售点系统，则必需变更预设登入密码，并要限制经指定网络存取，以收窄「攻击面」。由于「自携设备」(BYOD - Bring-Your-Own-Device) 的风气已深入各行各业，企业需尽快制定使用政策；并要定期备份档案及离?存放，以免受加密勒索软件影响。
市民大众则要紧记为电脑安装保安修补程式，特别是应用PDF、Flash、Doc、Xls等常用电脑档案的工具软件，以免网络罪犯巧立名目设计陷阱，例如伪冒电子支票，乘机利用软件漏洞将恶意程式植入用户电脑。此外，要切