跳至主內容
ebanner

常見問題

 


 

一般問題

 

資訊保安指保謢資訊的各個範疇,大致上可分為五類,即資訊的機密性、完整性、可用性、不可否認性及認證。機密性是指對資訊確保免受未獲授權人士讀取;完整性是指對資訊確保免遭未獲授權人士擅自更改;可用性指獲授權人士提出要求時,資訊可供使用的情況;不可否認性指提供原本的證據,使發件人不能否認曾發出信息,而收件人也不能否認曾收取信息;認證指用以辨識及證明嘗試發出信息或存取數據的用戶/一方身分之程序或方法。

資訊科技保安一詞並沒有正式的定義,但一般指對任何資訊科技資訊及資源的機密性、完整性、可用性、不可否認性及認證所作出的保護。

現建議以有系統的方式,首先考慮機構或部門的整體保安利益所在。然後,找出機構的保安需求,按此制定保安政策,再落實執行。為以符合經濟效益和有效的方式推行保安政策,必須進行定期及持續的檢討和監察。

首先找出將要加以保護的項目,例如:設備和資產,接著找出有關的威脅、每種威脅所產生的影響及發生的可能性。威脅的本質通常會有所不同,要加以辨識,通常會進行一個名為「風險分析」的程序。這個程序有助於找出甚麼是須予以保護的資產、該類資產的相對重要性、處理緊急事件時的先後次序,以及所需的保護程度等。完成這個程序後,便可為機構列出一份保安需求清單。

保安政策載列有關資訊保安的基本強制性規則和原則;整個機構須予以遵守,並且是根據機構的保安需求、業務目的和目標而制定。保安標準、指引和程序均是推行和執行保安政策的工具,協助機構人員對管理、運作及技術方面的事宜作出更詳盡的考慮。與保安政策相比,該等標準、指引和程序可能須要作出更頻密的檢討。

基本的考慮因素包括:

 

  • 機構的目標及取向
  • 現行的政府政策、規則、規例和法律
  • 機構本身的需求
  • 推行、分發及執行方面的事宜。

要制定一套完備的保安政策,需要多個職級及職能組別的人員積極支持和持續參與。負責人員可就制定政策成立工作小組或專責小組,但小組成員的實際人選須視乎所屬機構的需求而定。一般來說,該小組可包括來自管方、技術人員、系統發展商、操作人員、主任級人員或用戶的獲授權代表。管方代表機構的目標和目的方面的利益,可對政策提供整體指引、評估和決策。技術人員可在各保安機制或技術範疇方面提供技術支援。用戶代表那些可能直接受政策影響的有關系統的用戶。有時,政策擬稿可能須要由第三方作出檢討。

負責人員可首先找出參與制定政策小組的人選。其次,就各種活動、所需資源及工作進度表作出必要的策劃。然後,再決定保安需求和制定保安政策。要制定一套完備的政策,可能需要對政策擬稿作出多次檢討和修訂。由於技術、環境及保安需求會經常改變,負責人員可能需要不斷檢討和監察保安政策,以確保其行以有效,並有助機構運作。

保安政策的基本內容可包括政策的目的和範圍、將予以保護的資產、受影響人士的職責和責任、有關須予遵守和禁止進行事宜的規則,以及呈報和處理保安事件的措施。但是,政策的確實內容和詳盡程度實在視乎機構的保安需求及業務目的而定。在草擬保安政策前,負責人員亦應考慮香港特別行政區政府的目標和取向,現行的政策、規則、規例和法律,以及有關政策的推行、分發及執行方面的事宜。

一如上文所述,負責人員及所屬人員可藉此清楚了解,甚麼是機構在保護資訊科技資源方面須予遵守及禁止進行的事宜。這亦有助提高保安意識程度,及提供底線,按此制定詳細的指引和程序。這亦可協助支援就違反保安事件進行的檢控中所作的決定。

負責人員必須首先觀察機構的程序、規則和規例,以推行保安政策。但落實推行時,必須先得到用戶及有關人士的承諾,並且彼此間有充分的溝通。這可透過簡報會、推介活動及持續的培訓達致。使機構內人員認識到該政策可對其日常工作帶來益處,及在可能情況下,邀請他們在制定政策的程序中參與。這會令到有關人員更願意實踐和接受保安政策。

保安評估在本文內指用以評估網絡或系統保安的方法。保安評估軟件專門用以搜尋和減少內部主機和工作站的不必要的保安風險和漏洞,以減低內部人員不恰當使用該等設備的機會。這些評估工具會經常用於進行保安審計。

執行保安審計的目的,是查核和檢討保安管制措施、保安政策、標準、指引及程序的有效性和完備程度。透過保安審計,可找出政策及有關標準的任何不足之處,及可找出資訊科技資源是否存在任何保安方面的漏洞。完成後,審計人員會就保安措施提出改善建議和補救辦法。事實上,新出現的保安方面的漏洞每日層出不窮,所以,保安審計不但應該持續進行,更應定期進行。

保安審計只可概括顯示在某一特定時間所發現的漏洞。但是,技術及環境時刻在變,因此,即使已找出現時的所有弱點,日後也可能有新的漏洞出現。為此,定期及持續的檢討是必須進行的。

保安審計是一項複雜的工作,需要熟練和富有經驗人員和現行的系統管理員互相配合進行,因此必須策劃周詳。現建議由第三方執行保安審計。該第三方可以是另一組內部人員或外間的審計人員;這視乎所屬人員的技能及受審計資訊的敏感程度而定。

資訊科技保安事件指任何會對電腦系統的可用性、完整性和保密性造成威脅的事件。該等事件可導致數據受到破壞及資訊遭受披露等後果。

保安事件處理計劃應事先予以界定,以便可盡量找出各種可能出現的保安事件。該計劃應有一套目標和目的。保安事件一旦出現,負責人員可嘗試遵照保安事件處理計劃內列明的程序處理。該計劃可列出所有活動,例如:須獲通知的人、為保護證據和記錄冊而須採取的行動、把事件的影響程度加以限制的方法,及採取以對用戶產生最少影響為原則的運作復原程序。負責人員不應忽略對事件作出評估,因為這將有助檢討現行的保安措施,及確保該等措施是完備的措施。

入侵指試圖破解資訊資源的可用性、保密性和完整性的行動。一般來說,入侵偵測指用以偵測入侵行動的方法。這包括偵測擅自闖入系統的入侵者或誤用系統資源的用戶。

防火牆只是整個綜合保安系統的一部分,其功能是有限制的。防火牆不能對所有的入侵活動提出警告,也不能制止所有違反保安規定的活動。此外,防火牆經常及很容易地被錯誤配置。機構的運作是動態的,其中的因素包括人、科技和程序,也經常變動。除非負責人員經常監察入侵活動,否則便不能知道本身的防火牆是否在妥善地運作。因此,入侵偵測系統是一個每星期七日及每日二十四小時不停監察網絡的重要工具。

入侵偵測只能提供有關攻擊來源及攻擊者的記錄,但在大部分情況下這些記錄不能指出攻擊者的真正身分。

防火牆是一組執行兩個網絡之間的接達管制政策的系統。原則上,防火牆可防止外間接達受保護系統的內部,但該系統的內部卻可向外間傳遞訊息。防火牆亦可提供記錄和審計功能,記錄所有透過防火牆進行的接達活動。換言之,防火牆可透過經界定的接達管制措施,藉著准許或拒絕接達活動,使內部網絡得到保護,免受外間的攻擊。但是,防火牆不能保護網絡免受經由其他途徑進行的攻擊,也不能抗禦電腦病毒及數據導引的攻擊。用戶須注意,防火牆只是整個網絡保安的一部分,而且防火牆的妥善配置實在是非常重要的。除了傳統的網路防火牆功能外,次世代防火牆是一種整合式的防火牆,包含線上深度封包檢測(DPI),入侵預防系統(IPS),應用層偵測與控制,SSL/SSH檢測,網站過濾,以及QoS/頻寬管理等功能。

在電腦場地安裝網絡伺服器的那刻開始,已表示為外間人士可接達本身的網絡提供了途徑。從網絡管理員的角度來看,這已埋下了潛在保安風險的機會。負責人員須承擔因這個接達方式而產生的有關風險。網絡伺服器的毛病或錯誤配置,會讓未獲授權的遠程用戶接達並非旨在供他們讀取的資訊。電腦黑客甚至可執行伺服器的指令以更改系統、獲取網絡伺服器的主機內的資訊或展開攻擊。客戶方面的瀏覽器也可能遭受黑客攻擊,其個人資訊也可能透過該漏洞被黑客竊取。從瀏覽器傳送往網絡伺服器(或從相反方向傳送)的網絡數據,可能會在傳送期間遭人截取。因此,如果瀏覽器及伺服器均沒有妥善的系統保安措施,機構的所有資訊均有被截取的可能。

一般來說,負責人員應採取多項預防措施,例如:限制電腦的用戶戶口數目;確保用戶選用難以解破的密碼;移除所有不使用的服務、使用者與系統的界面和翻譯程式;正確設定網絡伺服器,及確保檔案的接達許可權已批給該等獲授權人士;以及定期檢查系統及查看網絡記錄冊,以找出曾否出現可疑的活動。

電腦病毒是一組電腦編碼,可以自行複製,及透過USB記憶體或數據通訊渠道(例如:電子郵件)擴散至其他電腦。現建議用戶安裝常駐於記憶體的抗禦病毒程式,以不斷監察微型電腦。電腦病毒抗禦措施亦應該用於伺服器上。管理員須在伺服器安裝一些伺服器專用的抗禦病毒套裝軟件,並作出適當的設定。電腦病毒掃描軟件應安裝在伺服器的啟動磁碟機,並時刻保持運作,使開機磁區不致受病毒感染。管理員亦應在日常工作中加入電腦病毒的抗禦和偵測程序。當然,定期更新電腦病毒的抗禦和偵測軟件的最新版本也是必要工作之一,以確保可準確偵測及涵蓋最新種類的病毒。

多重系統的保安和互連網絡的保安同樣重要。其中一個可取的方法,是限制外間的網絡只可連接到並非貯存敏感資訊的主機。局部區域網絡所有接達活動(不論由外間接入或接往外間),必須透過單一部主機電腦進行;該部電腦的作用有如防火牆一般。把內部和外間網絡的網絡界面點數目盡量減少,使網絡保持簡單。只有獲授權的接達才可經由內部網絡傳送。可能的話,使用多重認證系統監察用戶。但是,網絡保安只是整個保安系統的一小部分,而數據擁有人本身亦須負責數據的保安。

實體保安指對硬件和電腦設備的保護,以免遭受外間的實體威脅。

應用系統保安指在應用系統內置措施以外的保安措施,以提供更穩妥可靠的環境。這個保安範疇與系統發展商有著密切的關係。

互聯網保安涵蓋多種事宜,例如:辨識和認證、電腦病毒的抗禦、軟件特許使用權、遠程接達、撥號接達、實體保安、防火牆的推行及其他與使用互聯網有關的範疇。

在聯機時保護私隱的途徑有很多,例如:除非希望對方知道有關資料,否則,不應在聯機時透露個人資訊(例如:姓名和地址)。在聯機時提供個人資訊應先謹慎考慮,因為有關資訊可能被用於其他用途。在傳送和貯存電子郵件時,須確保文本已加上數碼簽署和加密。在工作環境或在家中,均須保護本身的個人電腦,以免受到實體攻擊或盜竊。經常更改密碼及勿讓別人知道密碼。不要使用易被偵破的密碼,例如:以本身姓名或易被猜中的形式構成的密碼。

這視乎密碼機制及用戶保管本身密碼的方式而定。用戶應選用難以猜測的密碼,並盡量不要讓別人知悉。此外,用戶應在系統運作復原或收取新密碼後立即更改密碼。管理員應確保每名新用戶均獲發給不同的密碼,而非為所有人提供相同的預設密碼。管理員應制定程序,以確保要求提供新密碼或更改密碼,及獲取密碼的人是真正的用戶本人。無論何時,均不應把密碼顯示於屏幕上。用作認證及管理的用戶密碼應先加密後才加以貯存。

密碼政策是提高账户安全性而創建的一些規則,通常會包括以下規則:

  • 最少包含12個字符長度
  • 不應包含任何個人信息
  • 密碼需要定期更改
  • 不應駛用之前的密碼
  • 密碼需包含大寫字母、小寫字母、數字和符號
  • 啟用多重身份認證

滲透測試是針對系統的模擬網絡攻擊,用於檢查可利用嘅漏洞而進行入侵的測試。

漏洞評估是評估系統有任何已知漏洞,為這些漏洞分配嚴重程度,並建議補救方案。

紅隊是負責查找及攻擊系統漏洞的專業人員。

 

藍隊是負責防禦網絡攻擊並處理網絡威脅及事故應變的專業人員。

 

紫隊可以有2種形式:合併的紅隊及藍隊,負責攻擊系統漏洞並加以修復,或是擔當監督和優化紅隊及藍隊演習的角色。

數據加密是一種保護數據的方式,加密後只會允許擁有密鑰或密碼的人讀取數據。

已加密數據通常指密文,未加密數據是指明文。

數據加密通常應用於兩種情況。

靜態加密:加密存儲中的數據,例如存儲在硬盤的數據庫

傳輸中加密:加密傳輸中的數據,以免數據在傳輸時被讀取

美國網絡安全和基礎設施安全局( CISA )建議個人和企業使用3-2-1策略。

3:創建一個主要備份及兩份備份副本

2:將備份保存到兩種不同類型的媒體(磁盤、磁帶、雲存儲等)

1:在異地保留最少一份備份

資訊科技災後恢復計劃應與業務連續性計劃一起制定。在業務影響分析期間,應制定資訊科技的優先恢復項目和恢復時間目標,從而制定技術恢復策略,並考慮硬件、應用程序和數據的恢復,以確保符合業務需要。

物聯網設備雖然令生活更方便、更高效。

但企業應了解物聯網設備的安全風險和威脅。

系統管理員應考慮以下設定從而提高物聯網設備的安全性:

  1. 更改默認設置
  2. 斷開閒置中的物聯網設備網路
  3. 設置強密碼
  4. 避免使用UPNP
  5. 保持軟件固件最新

欲詳細信息,請參閱 https://www.hkcert.org/tc/blog/implementing-iot-security-best-practice

託管安全服務提供應商提供安全設備及系統監控和管理的服務。 為了減少企業對抗網絡攻擊上的人事及培訓問題及困難,服務供應商提供7x24的管理防火牆、入侵檢測、虛擬專用網絡、漏洞掃描和防電腦病毒等服務。

特權訪問管理是一些資訊保安工具的組合。為了保護、控制及監察企業重要系統的存取事件。特權訪問管理包含共享訪問密碼管理、特權取存管理、應用程序訪問管理。

保安資訊和事件管理是一套集合工具和服務的解決方案,透過結合兩種技術提供企業資訊保安的整體可視性:

  • 保安資訊管理:從日誌中收集數據以進行保安威脅和事件分析和報告
  • 保安事件管理:進行實時系統監控、向網絡管理員通報重要問題並建立保安事件之間的關聯。

資料外洩防護是檢測並防止數據洩露或防止破壞敏感數據的技術。 企業使用資料外洩防護以保護和保障其數據安全,以及遵守監管法規。

企業通常使用資料外洩防護於:

  • 保護個人可識別資訊,並遵守相關法規
  • 保護對企業重要的知識產權
  • 在大型組織中實現數據可見性

行動裝置管理允許系統管理員控制、保護和執行策略的程式。 一般來說,行動裝置管理應包括追蹤設備、移動設備管理、應用程序保安、身份和訪問管理、端點安全,以確保設備對企業的安全。

傳統上,企業使用網址過濾作以防止員工訪問非業務有關的網站。現今的過濾技術,企業能夠保護員工安全地訪問網站,以免受日益複雜的網路威脅。例如防止訪問惡意軟件和網絡釣魚的網站。

網絡釣魚是一種用於竊取用戶數據的社交工程攻擊,包括竊取系統登入帳戶和信用卡號。 攻擊者偽裝成受到信任的實體,欺騙受害者打開電子郵件、即時通訊信息或短信,收件人如點擊惡意連結,可能導致惡意軟件強行安裝、系統運作受阻等,作為勒索軟件攻擊的一部分或威脅洩露敏感信息從中勒索受害人。

 

 

 

電子郵件保安

 

據「反垃圾電子郵件聯盟」 ( Coalition Against Unsolicited Commercial Email ) 透露,擅自發出的商業電子郵件最常用於:

 

  • 連鎖信
  • 金字塔計劃(包括多層次直銷)
  • 其他「快速致富」或「發財之道」計劃
  • 電話性服務熱線或色情網站廣告
  • 推銷供採集電郵地址及發放垃圾電郵的軟件
  • 推銷大量發放垃圾商業電郵服務
  • 銷售不知名新公司的股份
  • 特效健康產品及藥物
  • 非法盜版軟件

每當濫發電郵者發出垃圾電郵,整個互聯網社群均需付出代價,當中以收件人和接收一方的互聯網服務供應商損失最大。由於有些互聯網用戶是按聯網時間繳費,下載無用的垃圾電郵令他們耗用額外的時間和接駁費用。

 

垃圾電郵浪費收件人時間,對電郵用戶造成滋擾。如垃圾電郵的數量繼續增加,最終會令電郵作為便利溝通工具的好處大打折扣。此外,濫發電郵亦會佔用分布在互聯網上的電腦和路由器的帶寬和資源。每個無用的電郵訊息都會增加傳送和接收該訊息的電腦網絡的操作成本。濫發電郵會破壞電郵伺服器和佔用硬碟空間,從而擾亂網絡,並侵犯互聯網用戶的聯機私隱。

大部分濫發電郵都是商業性廣告。公司及廣告客戶絕少直接地發放濫發電郵的。他們多會僱用電郵濫發者來進行。電郵濫發者會從電子郵址收集者那裡取得郵寄名單。收集者可以透過掃描網站、新聞組及電郵名單來收集電子郵址。此外,收集者亦可開發程式來衍生隨機式的電子郵址名單。有了這些名單,收集者可以向某一網域發出大量信息;若收件者一旦回覆這些信息,收集者便可獲得有效的電子郵址。

 

有了郵寄名單,電郵濫發者便能利用可從互聯網上取得的濫發工具開始工作。電郵濫發者最初是從他們個人的互聯網規約地址發出大量郵件的。然而,當電郵管理人員吸取經驗,並開始隔絕來自有關網站的電子郵件時,電郵濫發者便得尋求發放自來促銷電郵的新途徑。終於,他們找到一個達成目標的簡易途徑─第三者郵件驛遞 (Third Party Mail Relay) 或公開驛遞 (Open Relay) 。

第三者郵件驛遞指一個電郵伺服器從不知名寄件者接收郵件後,再把它們發送到一個或多個不屬於該電郵系統用戶的收件者。部分電郵系統在安裝時會預設啟動這個轉發功能。考慮到互聯網上電郵伺服器的龐大數量,容許郵件轉發的電郵伺服器數量仍是相當多的。

 

電郵濫發者可以透過一些掃描程式,簡單地從互聯網上收集第三者郵件驛遞名單。有了這些名單,電郵濫發者便可為濫發工具設定轉發郵址,向收件者隱藏身分,並把有關的沉重工作轉嫁到他們無需擔心負荷過重或當機的電郵伺服器上。

服務供應商均在其服務協議書上訂明禁止用戶濫用其服務來濫發電郵。電郵濫發者將要面對警告,甚至預先警告暫停或終止服務。

 

此外,互聯網服務供應商大多會採取技術措施來對付濫發電郵問題。例如,他們的電郵伺服器或會拒絕傳輸那些並非由寄件者撰寫的電子郵件(好像拒絕把服務訂戶所收到的電郵轉寄給第三者);又或整理出一份電郵伺服器黑名單(即拒絕接收從黑名單上伺服器所發出的電子郵件);又或限制那些預先繳費戶口發送電郵的數量。

簡單來說,寄件者原則架構、網域金鑰識別郵件及郵件驗證、報告和符合性是處理電子郵件欺騙和網絡釣魚的一些技術。

寄件者原則架構是授權一些IP地址可代表網域發送電郵。

為了補充電子郵件服務器使用共享IP的安全問題,網域金鑰識別郵件提供一個機制,以加密方式簽署電子郵件內的一些標題和內文。

郵件驗證、報告和符合性提供定期報告,從中讓電郵傳送者知道有幾多少電郵可能被偽冒。 符合性有助於電郵接收者如何處理不合規的電郵。

 

此外,互聯網服務供應商大多會採取技術措施來對付濫發電郵問題。例如,他們的電郵伺服器或會拒絕傳輸那些並非由寄件者撰寫的電子郵件(好像拒絕把服務訂戶所收到的電郵轉寄給第三者);又或整理出一份電郵伺服器黑名單(即拒絕接收從黑名單上伺服器所發出的電子郵件);又或限制那些預先繳費戶口發送電郵的數量。

 

 

 

棄置處理敏感性資訊的電腦設備

 

典型的「刪除」指令純粹刪除指示檔案存檔位置的指標。至於檔案的數據,會一直被保留至檔案所佔的空間被重新編配及使用時才會被蓋寫。利用一般的軟件工具是有可能復原這些已刪除的數據。

通常「格式化」指令衹會建立一個空的根目錄和新的空白索引給數據儲存系統上的分配單位,令這些單位可以用來儲存新的檔案。市面上有某些軟件工具,可以復原因意外執行「格式化」指令而刪除的數據。

市面上有某些軟件及服務能透過把數據儲存媒體以不同模式經數次蓋寫來達到安全清除數據的目的。該等軟件蓋寫數據儲存空間的方式是先採用某種字符,再採用該字符的配對,繼而採用隨機字符,故此相當可靠,亦是目前安全清除數據的最佳作業實務。但在選用這類軟件前,你可能需要先評估它們的效能及諮詢有關軟件開發商,從而看看它們能否滿足你特定的要求。另外,除了技術方案外,在管理上你亦需要實施制約平衡而確保刪除過程已成功地執行。你可以考慮使用一些措施如適當的審批程序或記錄方法、抽樣檢查或查證已作數據清除的硬碟。

是的,某些商業工具是可以做到數據復原。然而,該等工具的主要目的是應付災難後復原的需要,例如當數據或其貯存媒體因意外事故或火警等天然災害而被刪除或損毀,而不是因為應用了安全刪除程序。

要復原或重建已被慎重蓋寫過的數據通常需要特別的器材及/或環境。在採用了遵照行業最佳實務的安全刪除程序後,要把有關數據復原及/或猜測出來似乎不太經濟和不切實際。 事實上,安全數據刪除是保安風險管理的形式之一,跟其他資訊保安課題相似。跟數據刪除與復原相關的保安風險程度,要視乎所保護數據的價值、刪除/反刪除數據所需的資源、以及重複使用有關儀器的成本。

根據國際間/業界的作業方式,消磁若使用得宜,不失為刪除硬磁碟、軟磁碟及磁帶等磁性媒體上的資料的有效技術解決方案。在消磁過程中,施加反向的磁化磁場會令媒體的磁通量實際上全部轉化為零。若使用恰當,消磁可以令原本儲存於媒體上的資料無法透過鍵盤或以實驗室的先進儀器還原。

參照國際間/業界的標準作業方式,以下是使用消磁器穩妥地刪除資料特別需要留意的地方/主要作業方式:

 

 

  • 矯頑磁性是磁性媒體對去磁作用產生的阻力,強度以奧斯特(oerstd)單位計算。要徹底刪除磁性媒體上的資料(例如在硬磁碟上的),消磁器必須產生足夠強度的磁場。根據建議,其磁場的強度起碼要比磁性媒體矯頑磁性高 1.5 倍。有關各類磁性媒體的一般矯頑磁性表列如下:
各類磁性媒體的一般矯頑磁性
媒體矯頑磁性
5.25" 360K 軟磁碟300 Oe
5.25" 1.2M 軟磁碟675 Oe
3.5" 720K 軟磁碟300 Oe
3.5" 1.44M 軟磁碟700 Oe
3.5" 2.88M 軟磁碟750 Oe
3.5" 21M 軟光碟750 Oe
1/2" 磁帶300 Oe
1/4" OIC 磁帶550 Oe
8 mm 金屬磁粉帶1500 Oe
DAT 金屬磁粉帶1500 Oe
4mm DDS-1 磁帶1550 Oe
4mm DDS-2 磁帶1650 Oe
4mm DDS-3 磁帶2300 Oe
4mm DDS-4 磁帶2350 Oe
較舊的(八十年代)硬碟900-1400 Oe
較新的(九十年代)硬碟1400-2200 Oe
較新的(2000年)硬碟2000-3400 Oe

 

  • 在消磁過程中,用戶應把消磁器的磁場強度調至最大,並須小心遵照廠商的說明書操作。若不依足核定的方式行事,可能會令大筆資料殘留在磁性媒體上。
  • 要對硬碟消磁,須首先移除硬碟上所有可能阻擋消磁器的磁場的保護物料(例如鑄件、機、托架等)。在消磁過程中,硬碟盤必須保持平放。如硬碟的矯頑磁性特高,就可能需要把磁盤從硬碟機身拆出。
  • 消磁工作應包括實施多重互相制衡的機制,譬如要求進行消磁的人在有關磁碟機或電腦主機貼上經簽署的標籤,證明消磁工作已完成,而標籤須列明消磁日期和所使用的消磁工具。此外,應由另一人抽樣檢查已消磁的硬碟,確保消磁工作已辦妥。另消磁器須定期按生產商的指示檢查,以確保正常運作。

固態硬碟使用電荷存儲數據於電晶體上。 因此,傳統的消磁方式不會擦除固態硬碟上的數據,亦不會對固態硬碟造成影響,因為固態硬碟數據不是以磁性方式存儲。

如想擦除固態硬碟數據可考慮低階格式化或其他固態硬碟安全擦除資料軟件。

 

 

 

一般預防惡意程式問題

 

惡意程式是黑客開發的入侵性軟件,目的為偷取資料,損害電腦系統。普遍的惡意程式包括電腦病毒、蠕蟲、木馬程式、間諜軟件、廣告軟件及勒索軟件。

惡意程式影響電腦正常運作,一如生物病毒影響人體,使人生病。例子之一是黑客會利用惡意程式作為後門來入侵你的系統,並偷取敏感資料如帳戶登入,信用卡資料等。

CARO 是「電腦防毒研究人員組織」(Computer Anti-virus Researchers Organization)的簡稱。該組織只接納獲邀請加入的技術研究人員為會員,而大部分的會員是防毒供應商的代表。CARO 審批為病毒命名的「標準」。對於 CARO 的成員經常分享病毒樣本一事,有人持懷疑的態度:但 CARO 的會員資格實在是一個便捷的量度準則,因為其他成員可透過這個資格以衡量個別人士是否可信,以決定是否把樣本交給他們。一般來說,許多用戶會因此得益:透過這個途徑,有 CARO 成員的防毒供應商便能把大部分已知的病毒包括在病毒定義數據庫內。

 

EICAR 是「歐洲電腦防毒研究機構」(European Institute for Computer Anti-virus Research)的簡稱。該機構的成員來自學術界、商界、傳播界、政府組織等,其中有保安及法律等方面的專才。他們為控制有害程式的擴散及誤用電腦的情況共同努力。該機構的會員資格較為開放,但其成員須遵守一套行為守則。這便是 EICAR 測試檔案的起源。EICAR 的網址是 http://www.eicar.com。

肆意傳播表 ( Wild List ) 是指感染全球電腦的流行病毒清單,由著名防毒研究人員 Joe Wells 匯編而成。Wells 與全球防毒研發隊伍緊密合作,定期更新列表內容。 若一套防毒軟件可偵測九成肆意傳播表內的電腦病毒,意指可檢測九成在全球肆虐的常見電腦病毒。

惡意程式在網絡世界無處不在。雖然這樣,我們只要採取了足夠的預防措施,受感染的機會還是可以減至最小的。以下是一些預防惡意程式的指引:

 

  • 在任何情況下均不應安裝及使用非法軟件。
  • 嚴格監控電腦與互聯網和外間電子布告板系統的聯繫。
  • 切勿使用從互聯網下載的來歷不明的程式;如須使用的話,應使用最新的病毒辨識檔案檢查該程式。
  • 在使用電子郵件附件的檔案前,應先使用經更新的抗禦病毒工具檢查檔案。
  • 更改CMOS的設定,把C磁碟機預設為啟動驅動器,可以減少受開機磁區病毒感染的機會。
  • 在使用USB記憶體和檔案前,應先使用抗禦病毒軟件進行檢查(特別是那些來歷不明的軟磁碟)。
  • 把預計不會寫入資料的軟磁碟加上防寫功能。在毋須使用USB記憶體時,應把它移離驅動器槽。
  • 確保定期為檔案備份,以便在受病毒感染後可用以把檔案還原。

每天均有新的惡意程式出現,因此,現有的抗禦措施可能會因新技術的出現而導致有關工作出現漏洞;唯一真理是沒有絕對安全的保安措施。 但如果能在造成破壞前便偵測得到惡意程式的存在,所受的影響便可減至最小。以下是一些偵測病毒的方法:

 

  • 留意任何電腦操作上的異動;以下情況可能是電腦受病毒感染後的表現:
    • 程式的執行時間比正常的需時較久
    • 可用記憶體或硬碟空間突然減少
  • 使用常駐記憶體的抗毒程式,持續監察電腦是否受病毒感染 。
  • 使用實用軟件對硬碟機進行掃描。確保使用最新的病毒定義檔案,而用戶最少每月更新病毒定義檔案一次。
  • 使用伺服器專用的抗毒軟件保護網絡。此外,可考慮使用以應用系統為本的抗毒軟件 (例如:可在 Lotus Notes使用的抗毒軟件)。

雖然惡意程式可寫入(及破壞)個人電腦的CMOS記憶體,但惡意程式不能「藏」在那裏。CMOS記憶體不能直接被處理器存取。貯存在內的數據,不會被處理器載入及執行。惡性程式碼或會有更改CMOS資料的特,因而導致電腦無法啟動,但它卻無法感染CMOS或匿藏在該處。

 

惡意程式可使用CMOS記憶體貯存部分編碼,但貯存在該處的可執行編碼必須先移往電腦的主要記憶體才可執行。因此,惡意程式不能從CMOS記憶體擴散,也不可藏在那裏內。迄今尚未發現可把編碼貯存在CMOS記憶體內的惡意程式。

 

有報告稱AMI基本輸入輸出系統曾受特洛依病毒感染。其實,它不是一種病毒;它只是一種不會複製的「惡作劇程式」。這種有害的程式並不是在磁碟上,也不是在CMOS內;它只是直接寫入系統上的基本輸入輸出系統唯讀記憶體晶片內的編碼。到了十一月十三日,這個程式會終止電腦的啟動過程,並且透過揚聲器播出「Happy Birthday」的聲音。

理論上,基本輸入輸出系內有可能藏有惡意程式,並且可在該處被執行。現有的技術已可協助程式把編碼寫入基本輸入輸出系內。當啟動個人電腦時所執行的程式的最初步編碼,便是貯存在基本輸入輸出系內。

若發現電腦已受惡意程式感染時,我們應該怎麼辦?首先,不要驚慌!然後再按以下方法把惡意程式移除:

 

  • 立即停止使用受感染的電腦,(並且停止把電腦與網絡接駁,)因為惡意程式會隨時發作。繼續使用受感染的電腦,只會加速該惡意程式的擴散。
  • 以備份檔案恢復系統是最穩妥而有效的方法 。
  • 在某些情況,可使用緊急恢復磁碟把開機磁區、分割控制表以至基本輸入輸出系統的數據恢復 。
  • 如果沒有最新的備份檔案,可嘗試使用防毒程式把病毒移除。

惡意程式並不是什麼妖魔鬼怪;它們只不過是一些具自行衍生功能的有害電腦程式。這表示有關程式可自行複製。由於複製過程是自動執行的,因此程式可在電腦內或網絡內擴散。 世界各地均有公司設計抗禦病毒軟件,用以偵測和清除該些惡意程式。使用最新的辨識程式後,差不多所有惡意程式均可輕易地偵測及清除。對於抗毒軟件也偵測不到的新惡意程式,通常在一星期內也會有新的辨識檔案可供使用。

對於那些不容許用戶安裝自選應用程式,而衹可以使用已燒錄在內藏唯讀或快閃記憶體內的基本應用程式的手機,理論上應不會受到傳統式惡意程式的威脅。反過來說,新一代的智慧手機實質上是手機和個人數碼助理的合體。這類流動裝置容許用戶隨時隨地新增喜好的自選應用程式。因此,與其他電腦系統平台一樣,這類流動裝置同樣受到惡意程式的威脅。至今已有數個針對流動裝置的惡意程式被發現,但暫時未有造成嚴重的影響。

通常不會,但如果數據檔案含有可執行代碼,就會受惡意程式感染。最好的例子就是 Microsoft Word (.DOC , .DOT )。雖然 Word 檔案從技術上來講是數據檔案,但它包含巨集,故易遭惡意程式感染。

巨集病毒是一個特殊巨集,可在應用程式中 (如 Word 和 Excel) 自我執行的程序。多數巨集病毒感染 Word 文件。當打開感染巨集病毒的 Word 文件時,通常病毒會複製到Word 通用範本 (典型的是 NORMAL.DOT )中,之後打開或創建的所有文件都將一一遭到感染。

 

巨集病毒由於成為受感染文件的一個組成部分,所以可以通過軟碟、檔案傳輸或郵件附件方式傳播。

如所有電腦病毒一樣,巨集病毒可以破壞數據。對於大部份用戶來說,巨集病毒最嚴重的破壞是會重新格式化電腦硬碟。雖然已知巨集病毒多數不具破壞力,但卻浪費生產力和時間。

當然最保險的方式是養成資料備份的習慣及使用啟動 Word 之前即可掃描病毒的防毒軟件。

如果你只瀏覽以 HTML 為唯一編寫工具的網頁(即不是以 Active X、active scripting、JAVA 等編寫的網頁),並且你已為你的電腦安裝了最新的保安修補程式,那麼你的電腦便不會受到惡意軟件感染。但如果你有部份的保安修補程式還未安裝,執行以 Active X、active scripting 及 JAVA 微應用程式,或執行從互聯網下載的程式,而這些程式可能已感染,因此,你的電腦也有可能受到感染。

 

電腦用戶在瀏覽互聯網時,應注意採取以下措施:

  • 確保已經為操作系統及電腦上的軟件安裝了最新的保安修補程式。
  • 啟動即時進行掃描的防毒軟件,及使用最新的辨識檔案。
  • 避免瀏覽可疑/不可信賴的網站。
  • 不執行未經辨識的以 Active X 技術編寫的指令,或從不可信賴的來源取得的以 Active X 技術編寫的指令。
  • 可能的話,在瀏覽器的設定中關閉執行 Script 的選項。
  • 避免從不可信賴的網站下載程式,因為這樣做電腦會很易受到惡意程式感染。

普通電子郵件內容只有純文字而不含可執行代碼是不會受到感染的。

開機磁碟指載有啟動電腦時所需要的檔案 (例如:MSDOS.SYS、IO.SYS) 的磁碟。這磁碟在掃描及清除惡意程式時會很有用,因為遇有偵測不到硬磁碟機的情況時仍可啟動電腦,嘗試進行維修。

 

如要製作還原光碟可參照不同作業系統的建議方法。有時電腦供應商或備份軟件商亦都支援用戶自行製作還原光碟。

許多抗毒及磁碟維修的實用程式可為指定的系統建立恢復磁碟(通常可作啟動電腦之用)。恢復磁碟需要小心處理及妥為保養,尤其是當你使用超過一種實用程式為同一部個人電腦製作多隻恢復磁碟時,更須倍加留意。在作出重大的改變時,你需確保經常修訂*所有*恢復磁碟。此外,在使用恢復磁碟前,你亦需確保了解恢復磁碟的功用及發揮功用的方法。除非你確實了解正在進行甚麼工作,否則切勿在你的個人電腦使用另一部電腦的恢復磁碟,因為你會因此而失去所貯存的數據。

惡意程式掃描引擎是實際執行掃描工作及偵測病毒的程式,而病毒碼是掃描引擎用以識別惡意程式的「指紋」。推出新版本的掃描引擎有著不同的原因。全世界惡意程式每日都持續增長,舊的掃描引擎有可能偵測不出新種類的惡意程式。新版本的掃描引擎會提高掃描表現及偵測率。部分防毒軟件製造商在一個檔案裏提供掃描引擎及病毒碼的更新程式,另一些則以分開的檔案提供。

防毒軟件不單能偵測惡意程式,亦能偵測其他可能無法清除的惡意代碼。例如,特洛伊木馬是應該刪除而非清除的惡意代碼。在另一些情況下,病毒可能令檔案損毀而無法清除/復原。不過,這裡有一些指引,可以助你增加成功復原檔案的可能:

 

  • 檢查病毒碼和掃描引擎是否更新
  • 確保磁碟有足夠的空間
  • 參考防毒公司官方網站提供的相關指示,或下載適用的惡意程式移除工具
  • 若果仍告失敗,可獲取惡意程式樣本及送往防毒公司,以便其作出指引。

勒索軟件是一種加密方式令受害人無法讀取電腦資料的惡意軟件。黑客勒索軟件加密用戶或企業關鍵的資料,令受害人無法讀取文件、數據庫或應用程序,然後要求贖金解密。勒索軟件利用網絡、目標數據庫和文件服務器中傳播,可以在短時間內癱瘓企業。

 

 

 

Wi-Fi 保安

 

為了防止未經授權的無線網絡連接,你可以考慮實施以下措施。

 

  • 更改預設配置,如無線存取點上的管理員名稱及密碼。
  • 啟用 WPA2-PS或以上並配合AES作加密。密碼匙應最少20位字元,並至少包含一個大寫字母和一個數字。
  • 開啟MAC地址過濾功能,只有預先登記的裝置才可使用網絡。
  • 關閉 SSID 廣播。
  • 不使用無線網絡時,關閉無線網絡存取點 。

預設配置,如無線網絡存取點上的管理員名稱及密碼,可以利用互聯網搜索引擎找到,一些服務更可能存在安全漏洞。因此,你應該更改預設配置,以防止黑客攻擊不安全的預設配置。詳情你可以參考我們網站上的保安指南,「安全使用無線網絡 (Wireless LAN) 指南」。

啟用 WPA2-PSK或以上並配合AES作加密。WPA和WEP的技術已被破解,因此,使用WPA2相對安全。為了防止暴力攻擊(Brute force attacks)攻擊,密碼匙應最少20位字元,並至少包含一個大寫字母和一個數字。除了數據加密,一些不使用的服務,如SNMP和WPS應立即關閉及禁用。用戸亦需定期更新無線網絡存取點韌體以緩解安全漏洞。

一些無線存取點(AP)提供隔離無線網絡客戶端與客戶端之間連線的功能,但不同產品有不同名稱(例如:AP Isolation、Privacy Separater)。此外當瀏覽網頁時,用戸雖盡量使用https的連線。

如果為訪客提供無線網絡服務,應把它配置到不同的網絡上。訪客網絡不能連接內部資源,如文件伺服器,只能享用有限度的互聯網連線,如瀏覽網頁。系統管理員亦應定期檢討網絡流量和動態的記錄,因為這樣可以檢測到安全事故的發生。

因為無線網絡的風險較大,同事使用的無線網絡,應該和內部有敏感資料伺服器的網絡分隔。下面還有一些建議,可以減少無線網絡帶來之風險。下面一些建議,可以減少無線網絡帶來之風險。

 

  • 更改無線網絡存取點上預設的管理員名稱及密碼。
  • 關閉 SSID 廣播。
  • 只容許預先登記的裝置使用網絡。
  • 啟用無線網絡加密功能。
  • 把無線網絡視為不可信任的網絡,並啟用密碼保護你的電腦和文件檔。
  • 使用防火牆和入侵偵測系統去防衛和偵測網絡攻擊。
  • 定期檢查無線網絡存取點的日誌,以偵測異常的網絡流量和惡意用戶。
  • 不使用無線網絡時,關閉無線網絡卡和無線網絡存取點。

規劃和配置企業無線網絡並不是單單把網絡線接到無線網絡存取點上,你需要建立無線網絡的使用和監控政策,選擇適當的安全措施,去減少無線網絡帶來之風險和確保資料傳送的安全。

 

你可以參考下面的建議去規劃和配置無線網絡。

 

資訊保安政策:

 

  • 制定無線網絡的使用守則和資訊保安要求。
  • 制定和劃分不可在無線網絡上傳送的資料類型。
  • 制訂無線網絡設備遺失時的報告程序指引。
  • 記錄及保持準確的無線網絡設備存庫盤點數目。
  • 棄置無線網絡裝置前,刪除所有設定及敏感資料。

 

無線網絡的安裝位置和網絡設計:

 

  • 進行無線網絡位置校訂調查,以調整無線存取點的輸出功率,確保無線網絡涵蓋適當的範圍及無線信號的品質。
  • 把無線網絡視為不可信任的網絡,應將無線網絡與有線網絡的網域分開。

 

安全保護:

 

  • 採用網絡入侵預防系统 (WIPS/WIDS)。它可偵測惡意的存取點及防止阻斷攻擊 (如﹕AP Flooding)。
  • 關閉無線存取點上所有不安全及未使用的管理規約,並以最小權限配置餘下的管理規約。
  • 啟動無線基本參數,例如靜止逾時及支援結合上限。
  • 啟動日誌記錄功能,並把記錄傳送至遠程記錄伺服器。
  • 禁止無線網絡客戶端使用臨時(ad-hoc)模式連結。
  • 使用企業登錄系統 (如:RADIUS 和 Kerberos)。
  • 使用最新的身份核證方法,例如擴展認證協議 (EAP) 的證書核證機制,以確保網絡安全。
  • 限制無線上網服務, 尤其是供訪客使用的無線上網服務。使用存取控制及服務質量控制功能,來禁止傳送不允許的交通或過度使用無線網絡頻寬。

 

日常的維護:

 

  • 定期進行無線網絡漏洞評估測試,檢查保安條例的強制性,不知名無線裝置,因不正確設定而引致的保安漏洞或裝置漏洞。
  • 定期檢查無線網絡存取點的日誌,以偵測異常網的絡流量和惡意用戶。
  • 定期更新無線網絡裝置的韌體。

定期維護和知識更新對於保持無線網絡的安全性是十分重要的。

 

  • 定期檢查無線網絡存取點的日誌,以偵測異常網的絡流量和惡意用戶。
  • 定期更新無線網絡裝置的韌體。
  • 定期進行無線網絡漏洞評估測試,檢查保安條例的強制性,不知名無線裝置,因不正確設定而引致的保安漏洞或裝置漏洞。
  • 訂閱無線安全警報及消息,並參加安全研討會去不斷掌握新的網絡安全趨勢。

你應該避免使用沒有加密的免費公共無線網絡,如果你必須這樣做,你應該避免登錄你的電子郵件,網上購物或網上銀行網站。

為了避免連接到惡意的無線網絡存取點,你應該檢查並肯定你連接到正確的SSID。請勿連接到一個稱為“Free Public Wi-Fi”的SSID,因為這存取點通常是另一台電腦的臨時(ad-hoc)網絡或是一個陷阱,引誘你連線到有害的網絡,然後透過惡意程式感染你的電腦或竊取你的個人資訊。 有些無線網絡存取點需要你接受登陸頁上的使用協議,但在你接受使用協議前,你應該先點擊在瀏覽器上的鎖形圖標 ,從而確認一下他們的電子證書是否真確。最後,在不使用無線網絡時,你應關閉無線網絡設備,以避免它自動連接到惡意的無線網絡存取點。

公共無線網絡一般被視為不安全的網絡。為了方便用戶連接,許多公共網絡都完全沒有啓用加密功能。如果沒有啓用加密功能,入侵者可以很容易地看到所有傳輸中的數據。因此你最好連接到有啟用WPA2-PSK加密的無線網絡熱點。以下是一些安全使用無線網絡的提示。

 

  • 避免在公共無線網絡傳送金融或個人信息。如果你必須這樣做,請確保你連接到HTTPS網站。當你連接這些網站時,瀏覽器窗口旁會有一個鎖形的圖標,及該網站的地址會以“https”開頭的。
  • 當連接到公共網絡時,關閉電腦上的檔案和打印機共用功能。
  • 請確保你的互聯網瀏覽器,電腦和病毒定義檔案是最新版本,並開啓電腦系統的防火牆。

我們不建議在公共無線網絡上傳送敏感資訊,如金融信息和銀行帳戶等。如果你必須這樣做,請確定是連接到一個合法的無線網絡存取點和啟用網頁加密的網站。

 

 

"資料由香港特別行政區政府政府資訊科技總監辦公室提供"