預防網絡風險|免費「網健通」服務 主動助非牟利機構 檢測及解決潛在網絡風險 (Chinese Only)
網絡安全對於現代社會來說非常重要,因為越來越多的市民和機構透過網絡來進行日常業務和溝通。然而,網絡攻擊和數據泄露等風險也在不斷增加,令網絡安全人才需求日益增加,機構要聘請專家進行網絡安全檢查的成本亦因而上漲。
HKIRC(香港互聯網註冊管理有限公司)一向致力推廣網絡安全的重要,為進一步保障「.hk」域名用戶,包括使用「.org.hk」域名的非牟利組織的利益和域名安全,積極開拓全新的網站保安檢測服務 —「網健通」服務,主動檢視其網站的安全狀況,並提供簡要報告,說明發現的問題以及建議修復方法,幫助網站擁有者及時發現和修復漏洞和安全問題。
相比之下,目前提供的免費網站安全掃描服務,需要依靠用戶主動提交申請來進行網站檢測。然而,依靠用戶申請檢測的方式存在一些風險,因為用戶有可能未意識到潛在風險,或者延遲了檢查,讓黑客有機會利用漏洞進行攻擊。故此HKIRC決定投入更多資源,提供另一個更積極主動的服務,幫助用戶遠離潛在風險。
網站涉個人資料易遭黑客入侵
對於非牟利機構(NGO)來說,保護用戶和機構的資料安全是一個非常重要的任務。他們經常要處理大量敏感信息,包括個人身份信息、捐贈信息、財務信息等等,這些信息一旦遭到泄露或攻擊,會對機構和用戶造成嚴重的影響。
早前率先試用「網健通」服務的聖雅各福群會資訊科技經理何偉良(Isaac)表示,NGO要確保網絡安全,成本是一大挑戰:「機構旗下不同服務有各自的網頁,以往資源有限,唯有優先掃描具敏感資料的網站。這次HKIRC主動提供『網健通』網頁掃描服務,在短短一星期已完成了整個機構逾七十個網頁的檢測工作。完成檢查後亦收到簡單易明的檢查報告,讓我們了解機構網站現時的風險水平,大大節省了人手、時間及資源。」Isaac認為「網健通」的檢測報告結果有助機構迅速針對不同的網站情況,重新制訂網頁掃描先後次序,能夠做到對症下藥,提高網站防禦能力。
此外,機構參加此計劃後,也可以向「網健通」申請不定期的網站安全檢查服務,例如季度性檢查,對人手不足和資源分配有限的機構提供很大幫助。定期網站檢查,有助機構保持網站的安全性和穩定性,減少潛在的風險和損失。「網健通」的檢測報告可以從多個角度對網站進行全面的檢測和評估,還可以聯絡專人索取詳細說明及提供建議,幫助機構更好地了解網站中存在的問題和風險,從而制定相應對策和改進措施。
非牟利機構的網站有可能收集用戶的個人信息及敏感資訊,容易成為黑客的目標。
NGO為保網絡安全開支龐大
NGO為了更好地向服務對象宣傳和推廣計劃和項目,往往需要開設多個宣傳網站,以便受眾接收訊息。然而,大量網站也意味著網絡安全的成本隨之增加,這對資源有限的小型非營利機構來說可能難以負擔,對大型機構來說也是一個挑戰。Isaac強調,聖雅各福群會很注重網絡安全,尤其是牽涉個人私隱或敏感資料的網站,會有嚴格的安全指引。包括聘請網絡安全公司,在網站發佈前進行漏洞掃描(Vulnerability Scanning),以了解系統潛在風險和漏洞,從而制定防禦措施;又會裝設網頁應用程式防火牆(Web Application Firewall),透過監察HTTP流量,保護網站免受黑客攻擊;最後是設定系統的使用權,以防資料外洩。
聖雅各福群會的服務涵蓋不同範疇,旗下網站超過七十個,但礙於資源所限,安全檢測很難全面覆蓋。「一來沒有足夠人手應付恆常的例行檢測工作,二來是資源問題,要外聘公司為網站修補漏洞及檢測軟件的價錢並不便宜;故此暫時只能集中篩查需要收集個人資料的網站。」
Isaac說聖雅各福群會旗下有超過七十個網站,經常會因應活動更改內容,但未必有資源頻密地為網站作出安全檢查。
安全檢測不宜側重個別網站
Isaac提到的,正正是普遍NGO遇到的難題。作為網絡安全專家,HKIRC網絡安全經理林嘉棋(Arktos)提醒,網絡安全檢測若果只側重於個別網站,容易令黑客有機可乘:「黑客會透過各種途徑入侵網站,例如一些平日較少人留意的網站,一旦出現漏洞,黑客就可以通過該網站入侵伺服器,盜取資料,所以每個網站都需要做好基本的安全措施。」
機器代替人手 效率大大提升
Arktos指出,HKIRC一直以來為機構網站提供全面的網站安全掃描服務,加上新推出的「網健通」,相信能為廣大的「.hk」域名用戶提供更全面保障,有助確保其網站的安全性。兩者各具特色,現時提供的免費網站安全掃描服務,「.hk」域名用戶需要透過電郵提交相關文件進行確認,才能全面檢測網站,包括對SQL注入攻擊等潛在網路風險進行深入了解。這種方式能夠幫助網站管理員了解網站對惡意攻擊的反應,並提供全面的檢測內容,以確保網站的安全。然而,這種方式需要用戶主動提交申請並提供相關文件,因此比較被動。
而新推出的「網健通」是一個更快速、主動、且直接的簡易版本,其優點在於速度和效率。當用戶填寫申請表格後,系統會利用公開資訊來檢測網站的潛在風險或漏洞,從而節省時間和成本。此外,報告針對入門級用戶,使用淺白易懂的文字簡介網站的現況,讓機構可以更快速地了解其網站存在的問題,並採取必要的措施以增強網站的安全性。
Arktos表示,「網健通」能提供基本的安全檢測和建議,提升大家對網站的安全志意識,保護用戶和機構的資料安全。
Isaac亦大讚「網健通」服務快捷全面,「完成後很快便收到報告,內容簡單易明,幫我們找出網站的問題所在,方便集中處理,節省了不少時間。」
HKIRC期望「網健通」能夠主動為互聯網用戶帶來更多幫助,為更多欠缺網絡安全資源及維護的網站用戶迅速及有效地查找出網站的潛在風險,包括網站服務器信息洩露和https網頁內容混合http等。為方便用戶理解,報告內容設計及字眼淺白易明,令人一看就了解問題所在。與一般網站掃描不同,「網健通」掃描不帶任何滲透性測試,所以更顯安全可靠。
HKIRC現時除了主動為學校和NGO提供服務,其他「.hk」域名用戶亦可申請「網健通」,由HKIRC進行一次性或要求週期性的檢查。這項服務對保護網站安全非常重要,因為它有助於網站持有人發現和解決潛在風險,從而預防網絡攻擊和數據洩露的風險。
總括而言,「網健通」適合關注速度和效率的用戶,「網健通」的主動掃描方式可以更快速地發現潛在的安全問題和漏洞,並及早提供相應的解決方案;而網站安全掃描服務適合關注全面的網站安全檢測的用戶,兩種不同的服務讓機構能夠更輕鬆地了解其網站存在的問題,並及時採取必要措施加強網站的安全性。
假如閣下對「網健通」服務有興趣的話,只要到以下連結填寫相關的資料,即會有專人跟進 (https://forms.office.com/r/TEPh4i67Hz),詳情可電郵至cybersec@hkirc.hk查詢 。
全篇訪問內容: 按此