预防网络风险|免费「网健通」服务 主动助非牟利机构 检测及解决潜在网络风险
网络安全对于现代社会来说非常重要,因为越来越多的市民和机构透过网络来进行日常业务和沟通。然而,网络攻击和数据泄露等风险也在不断增加,令网络安全人才需求日益增加,机构要聘请专家进行网络安全检查的成本亦因而上涨。
HKIRC(香港互联网注册管理有限公司)一向致力推广网络安全的重要,为进一步保障「.hk」域名用户,包括使用「.org.hk」域名的非牟利组织的利益和域名安全,积极开拓全新的网站保安检测服务 —「网健通」服务,主动检视其网站的安全状况,并提供简要报告,说明发现的问题以及建议修复方法,帮助网站拥有者及时发现和修复漏洞和安全问题。
相比之下,目前提供的免费网站安全扫描服务,需要依靠用户主动提交申请来进行网站检测。然而,依靠用户申请检测的方式存在一些风险,因为用户有可能未意识到潜在风险,或者延迟了检查,让黑客有机会利用漏洞进行攻击。故此HKIRC决定投入更多资源,提供另一个更积极主动的服务,帮助用户远离潜在风险。
网站涉个人资料易遭黑客入侵
对于非牟利机构(NGO)来说,保护用户和机构的数据安全是一个非常重要的任务。他们经常要处理大量敏感信息,包括个人身份信息、捐赠信息、财务信息等等,这些信息一旦遭到泄露或攻击,会对机构和用户造成严重的影响。
早前率先试用「网健通」服务的圣雅各布福群会信息科技经理何伟良(Isaac)表示,NGO要确保网络安全,成本是一大挑战:「机构旗下不同服务有各自的网页,以往资源有限,唯有优先扫描具敏感数据的网站。这次HKIRC主动提供『网健通』网页扫描服务,在短短一星期已完成了整个机构逾七十个网页的检测工作。完成检查后亦收到简单易明的检查报告,让我们了解机构网站现时的风险水平,大大节省了人手、时间及资源。」Isaac认为「网健通」的检测报告结果有助机构迅速针对不同的网站情况,重新制订网页扫描先后次序,能够做到对症下药,提高网站防御能力。
此外,机构参加此计划后,也可以向「网健通」申请不定期的网站安全检查服务,例如季度性检查,对人手不足和资源分配有限的机构提供很大帮助。定期网站检查,有助机构保持网站的安全性和稳定性,减少潜在的风险和损失。「网健通」的检测报告可以从多个角度对网站进行全面的检测和评估,还可以联络专人索取详细说明及提供建议,帮助机构更好地了解网站中存在的问题和风险,从而制定相应对策和改进措施。
非牟利机构的网站有可能收集用户的个人信息及敏感信息,容易成为黑客的目标。
NGO为保网络安全开支庞大
NGO为了更好地向服务对象宣传和推广计划和项目,往往需要开设多个宣传网站,以便受众接收讯息。然而,大量网站也意味着网络安全的成本随之增加,这对资源有限的小型非营利机构来说可能难以负担,对大型机构来说也是一个挑战。Isaac强调,圣雅各布福群会很注重网络安全,尤其是牵涉个人私隐或敏感数据的网站,会有严格的安全指引。包括聘请网络安全公司,在网站发布前进行漏洞扫描(Vulnerability Scanning),以了解系统潜在风险和漏洞,从而制定防御措施;又会装设网页应用程序防火墙(Web Application Firewall),透过监察HTTP流量,保护网站免受黑客攻击;最后是设定系统的使用权,以防数据外泄。
圣雅各布福群会的服务涵盖不同范畴,旗下网站超过七十个,但碍于资源所限,安全检测很难全面覆盖。「一来没有足够人手应付恒常的例行检测工作,二来是资源问题,要外聘公司为网站修补漏洞及检测软件的价钱并不便宜;故此暂时只能集中筛查需要收集个人资料的网站。」
Isaac说圣雅各布福群会旗下有超过七十个网站,经常会因应活动更改内容,但未必有资源频密地为网站作出安全检查。
安全检测不宜侧重个别网站
Isaac提到的,正正是普遍NGO遇到的难题。作为网络安全专家,HKIRC网络安全经理林嘉棋(Arktos)提醒,网络安全检测若果只侧重于个别网站,容易令黑客有机可乘:「黑客会透过各种途径入侵网站,例如一些平日较少人留意的网站,一旦出现漏洞,黑客就可以通过该网站入侵服务器,盗取资料,所以每个网站都需要做好基本的安全措施。」
机器代替人手 效率大大提升
Arktos指出,HKIRC一直以来为机构网站提供全面的网站安全扫描服务,加上新推出的「网健通」,相信能为广大的「.hk」域名用户提供更全面保障,有助确保其网站的安全性。两者各具特色,现时提供的免费网站安全扫描服务,「.hk」域名用户需要透过电邮提交相关文件进行确认,才能全面检测网站,包括对SQL注入攻击等潜在网络风险进行深入了解。这种方式能够帮助网站管理员了解网站对恶意攻击的反应,并提供全面的检测内容,以确保网站的安全。然而,这种方式需要用户主动提交申请并提供相关文件,因此比较被动。
而新推出的「网健通」是一个更快速、主动、且直接的简易版本,其优点在于速度和效率。当用户填写申请表格后,系统会利用公开信息来检测网站的潜在风险或漏洞,从而节省时间和成本。此外,报告针对入门级用户,使用浅白易懂的文字简介网站的现况,让机构可以更快速地了解其网站存在的问题,并采取必要的措施以增强网站的安全性。
Arktos表示,「网健通」能提供基本的安全检测和建议,提升大家对网站的安全志意识,保护用户和机构的数据安全。
Isaac亦大赞「网健通」服务快捷全面,「完成后很快便收到报告,内容简单易明,帮我们找出网站的问题所在,方便集中处理,节省了不少时间。」
HKIRC期望「网健通」能够主动为互联网用户带来更多帮助,为更多欠缺网络安全资源及维护的网站用户迅速及有效地查找出网站的潜在风险,包括网站服务器信息泄露和https网页内容混合http等。为方便用户理解,报告内容设计及字眼浅白易明,令人一看就了解问题所在。与一般网站扫描不同,「网健通」扫描不带任何渗透性测试,所以更显安全可靠。
HKIRC现时除了主动为学校和NGO提供服务,其他「.hk」域名用户亦可申请「网健通」,由HKIRC进行一次性或要求周期性的检查。这项服务对保护网站安全非常重要,因为它有助于网站持有人发现和解决潜在风险,从而预防网络攻击和数据泄露的风险。
总括而言,「网健通」适合关注速度和效率的用户,「网健通」的主动扫描方式可以更快速地发现潜在的安全问题和漏洞,并及早提供相应的解决方案;而网站安全扫描服务适合关注全面的网站安全检测的用户,两种不同的服务让机构能够更轻松地了解其网站存在的问题,并及时采取必要措施加强网站的安全性。
假如阁下对「网健通」服务有兴趣的话,只要到以下链接填写相关的数据,即会有专人跟进 (https://forms.office.com/r/TEPh4i67Hz),详情可电邮至cybersec@hkirc.hk查询 。
全篇访问内容: 按此