過往,HKIRC的網頁檢測服務只會在「.hk」用戶申請時才會進行檢測,做法較為被動及用戶有可能不知道自己的網站存在潛在的風險。有見及此,HKIRC主動幫助「.hk」用戶檢測其網站潛在網絡風險,並提供相應的安全建議和報告,從而降低網站被攻擊和詐騙的風險和及早預防網絡風險。
新網站檢測服務會採取主動形式檢測及提供報告,因此HKIRC決定先試行計劃及了解不同行業的試用意見,以便確保新服務可行且得到廣泛支持。試行計劃於一月分階段進行,經優化服務內容後,料今年內正式推出。首階段邀請「.edu.hk」和「.org.hk」域名的學界和機構參與試行計劃,「網健通」會為網站主動進行初步的檢查,並提供簡單、直接的報告,提升大家的網絡安全意識,協助「.hk」用戶檢視其網站的安全狀況。早前就請來教育界的代表AiTLE主席黃Sir接受訪問,與我們分享「網健通」如何協助學校提升網絡安全意識,更大談校園內的網絡安全隱患和常見的攻擊例子。
Advertisement
教育機構的網絡安全風險
本身是中學電腦科教師的AiTLE(資訊科技教育領袖協會)主席黃健威(黃Sir)表示,協會以往都有鼓勵學校使用HKIRC 的網站安全掃瞄服務,但一來校務繁忙,二來需要學校主動申請,加上免費服務又沒有期限,讓校方經常會覺得可以「遲D 先」而不了了之,容易出現保安缺口。「無論是中小學以至大學,由教員室至電腦室,動輒百多部電腦,再加上現時學界流行BYOD(Bring Your Own Device),基本上每個學生都有部電腦。學校電腦要處理很多不同工作,需要安裝各類型的軟件,安全控制相對較低。在這情況下容易出現缺口,令學校的網站有機會被植入惡意軟件,遭到勒索或釣魚攻擊。」而由於「網健通」完全不帶任何入侵性的掃描動作,所以可由HKIRC主動檢查再發出報告,令到學校可以趕在危機出現前「預早睇咗先」。
學校網站都需要做健康檢查
黃Sir指為了提高教育機構的網絡安全意識,AiTLE會經常舉辦不同的保安研討會,請來專家分享經驗和處理方法。「但有時專家的做法在學校可能行不通,協會亦沒有足夠資金去贊助全港網絡進行安全篩查。而『網健通』提供的資訊保安審核,就可以一次過為全港學校檢視網頁的安全問題。」他形容「網健通」就好比為學校網站進行健康檢查。「第一件事,是檢查網站在用家角度來看,會否已經出現一些明顯漏洞,或是一些不應該公開的資訊曝露在網站。第二是提供報告,簡單直接地將就網站存在的不同風險進行分析,讓學校可以作出針對性的改善,同時亦把學校的網絡安全風險意識提高。」
及早發現及提醒網站的潛在風險
黃Sir提到的「網健通」,服務內容包括:主動發現及提醒網站有任何潛在風險,例如不當的網絡安全設定或使用已過時網站伺服器元件等,希望用戶能及早提高警覺,以採取相應行動保護其網站,遠離網絡威脅。HKIRC網絡安全經理林嘉棋(Arktos)透露,HKIRC一向有提供免費而且更全面的網站安全掃瞄服務,但對於受眾而言可能太過技術性,需要再請具網絡安全知識或專業人士查詢才會明白,「網健通」正好取得了其中的平衡。假如大家收到「網健通」報告後,想進一步了解自己的網站安全狀況,歡日迎他們參加「免費網站安全掃描服務」。
學校碰到的黑客竟是頑皮學生
為何學校網站也要注重網絡安全?事實上,校園內有不少伺服器,儲存了很多重要資料,如教職員、家長、學生的個人資料和學科成績;以至老師上課用的教材、學生的功課及試卷等,萬一被人封鎖或修改,對學校都會造成很大影響。問到有沒有黑客攻擊的例子向大家分享,黃Sir笑言,學校有時遇到的「黑客」,其實是想偷閱試卷或改成績單的頑皮學生,「我見過最慘痛的個案,是有位小學老師在學校用完電腦忘記登出,第二日發現電腦內儲存了十幾年的教材全部不見到。原來是有個學生路過無意中見到,貪玩刪除了。」
以上的例子,正好反映了網絡安全的意識在對教育機構的重要性,可惜礙於成本問題,或是對網絡安全的意識不足,香港大部份學校的資訊科技統籌都不是網絡保安專家,而是由現職老師兼任,容易令黑客有機可乘。
旨在喚起大眾的網站安全意識
「『網健通』的推出目的,是喚起大眾的網站安全意識,定期為網頁進行檢查。故此報告的設計特意做到簡潔易明,讓受眾清晰理解現有網站有沒有明顯問題。一般而言,不用一星期就能夠完成檢查並發出報告。」
Arktos續稱,學校網站是學校與家長、學生的主要溝通平台,一旦出問題會影響學校的日常運作。加上學校網站需要經常更新內容,有部份學校未必有足夠資源作定期或持續性的網站檢查,故希望率先由教育機構做起,再逐步將「網健通」的服務推廣開去。
檢查不牽涉機密內容 絕對安全
對於有學校擔心檢查期間會否牽涉複雜的技術問題?Arktos謂「網健通」只會檢查網站已發佈的公開內容,「就如一般用家去瀏覽你的網站,如果『網健通』的報告發現到有問題,即代表一般用家毋須無需甚麼特別的工具,都可以察覺你的問題。」
他最後提醒,網站代表公司/機構的形象,必須好好保護,例如避免用一些原生設定或忽略安全性設定來建立網站,以防黑客有機可乘;亦不應該公開選用的伺服器版本,從而避免黑客利用該版本的漏洞進行網絡攻擊。
「網健通」在首階段推行後,將聽取用戶的反應和意見進行優化,期望日後能惠及更多用戶,讓他們能防患於未然。而現時HKIRC亦已開放予「.hk」用戶報名登記,以率先享用「網健通」服務。有興趣的話只要到以下連結填寫相關的資料,即會有專人跟進(https://forms.office.com/r/TEPh4i67Hz),詳情可電郵至cybsec@hkirc.hk查詢 。
全篇訪問內容: 按此