过往,HKIRC的网页检测服务只会在「.hk」用户申请时才会进行检测,做法较为被动及用户有可能不知道自己的网站存在潜在的风险。有见及此,HKIRC主动帮助「.hk」用户检测其网站潜在网络风险,并提供相应的安全建议和报告,从而降低网站被攻击和诈骗的风险和及早预防网络风险。
新网站检测服务会采取主动形式检测及提供报告,因此HKIRC决定先试行计划及了解不同行业的试用意见,以便确保新服务可行且得到广泛支持。试行计划于一月分阶段进行,经优化服务内容后,料今年内正式推出。首阶段邀请「.edu.hk」和「.org.hk」域名的学界和机构参与试行计划,「网健通」会为网站主动进行初步的检查,并提供简单、直接的报告,提升大家的网络安全意识,协助「.hk」用户检视其网站的安全状况。早前就请来教育界的代表AiTLE主席黄Sir接受访问,与我们分享「网健通」如何协助学校提升网络安全意识,更大谈校园内的网络安全隐患和常见的攻击例子。
Advertisement
教育机构的网络安全风险
本身是中学电脑科教师的AiTLE(资讯科技教育领袖协会)主席黄健威(黄Sir)表示,协会以往都有鼓励学校使用HKIRC 的网站安全扫瞄服务,但一来校务繁忙,二来需要学校主动申请,加上免费服务又没有期限,让校方经常会觉得可以「迟D 先」而不了了之,容易出现保安缺口。 「无论是中小学以至大学,由教员室至电脑室,动辄百多部电脑,再加上现时学界流行BYOD(Bring Your Own Device),基本上每个学生都有部电脑。学校电脑要处理很多不同工作,需要安装各类型的软件,安全控制相对较低。在这情况下容易出现缺口,令学校的网站有机会被植入恶意软件,遭到勒索或钓鱼攻击。」而由于「网健通」完全不带任何入侵性的扫描动作,所以可由HKIRC主动检查再发出报告,令到学校可以赶在危机出现前「预早睇咗先」。
学校网站都需要做健康检查
黄Sir指为了提高教育机构的网络安全意识,AiTLE会经常举办不同的保安研讨会,请来专家分享经验和处理方法。 「但有时专家的做法在学校可能行不通,协会亦没有足够资金去赞助全港网络进行安全筛查。而『网健通』提供的资讯保安审核,就可以一次过为全港学校检视网页的安全问题。」他形容「网健通」就好比为学校网站进行健康检查。 「第一件事,是检查网站在用家角度来看,会否已经出现一些明显漏洞,或是一些不应该公开的资讯曝露在网站。第二是提供报告,简单直接地将就网站存在的不同风险进行分析,让学校可以作出针对性的改善,同时亦把学校的网络安全风险意识提高。」
及早发现及提醒网站的潜在风险
黄Sir提到的「网健通」,服务内容包括:主动发现及提醒网站有任何潜在风险,例如不当的网络安全设定或使用已过时网站伺服器元件等,希望用户能及早提高警觉,以采取相应行动保护其网站,远离网络威胁。 HKIRC网络安全经理林嘉棋(Arktos)透露,HKIRC一向有提供免费而且更全面的网站安全扫瞄服务,但对于受众而言可能太过技术性,需要再请具网络安全知识或专业人士查询才会明白,「网健通」正好取得了其中的平衡。假如大家收到「网健通」报告后,想进一步了解自己的网站安全状况,欢日迎他们参加「免费网站安全扫描服务」。
学校碰到的黑客竟是顽皮学生
为何学校网站也要注重网络安全?事实上,校园内有不少伺服器,储存了很多重要资料,如教职员、家长、学生的个人资料和学科成绩;以至老师上课用的教材、学生的功课及试卷等,万一被人封锁或修改,对学校都会造成很大影响。问到有没有黑客攻击的例子向大家分享,黄Sir笑言,学校有时遇到的「黑客」,其实是想偷阅试卷或改成绩单的顽皮学生,「我见过最惨痛的个案,是有位小学老师在学校用完电脑忘记登出,第二日发现电脑内储存了十几年的教材全部不见到。原来是有个学生路过无意中见到,贪玩删除了。」
以上的例子,正好反映了网络安全的意识在对教育机构的重要性,可惜碍于成本问题,或是对网络安全的意识不足,香港大部份学校的资讯科技统筹都不是网络保安专家,而是由现职老师兼任,容易令黑客有机可乘。
旨在唤起大众的网站安全意识
「『网健通』的推出目的,是唤起大众的网站安全意识,定期为网页进行检查。故此报告的设计特意做到简洁易明,让受众清晰理解现有网站有没有明显问题。一般而言,不用一星期就能够完成检查并发出报告。」
Arktos续称,学校网站是学校与家长、学生的主要沟通平台,一旦出问题会影响学校的日常运作。加上学校网站需要经常更新内容,有部份学校未必有足够资源作定期或持续性的网站检查,故希望率先由教育机构做起,再逐步将「网健通」的服务推广开去。
检查不牵涉机密内容 绝对安全
对于有学校担心检查期间会否牵涉复杂的技术问题? Arktos谓「网健通」只会检查网站已发布的公开内容,「就如一般用家去浏览你的网站,如果『网健通』的报告发现到有问题,即代表一般用家毋须无需什么特别的工具,都可以察觉你的问题。」
他最后提醒,网站代表公司/机构的形象,必须好好保护,例如避免用一些原生设定或忽略安全性设定来建立网站,以防黑客有机可乘;亦不应该公开选用的伺服器版本,从而避免黑客利用该版本的漏洞进行网络攻击。
「网健通」在首阶段推行后,将听取用户的反应和意见进行优化,期望日后能惠及更多用户,让他们能防患于未然。而现时HKIRC亦已开放予「.hk」用户报名登记,以率先享用「网健通」服务。有兴趣的话只要到以下连结填写相关的资料,即会有专人跟进(https://forms.office.com/r/TEPh4i67Hz),详情可电邮至cybsec@hkirc.hk查询 。
全篇访问内容: 按此