资讯科技专业人员
主页 > 
良好作业模式 > 
参阅资料予 > 
资讯科技专业人员
< 返回
相关主题
清除所有
结果:
厘订「保证等级」的例子
几个例子说明如何评估未获授权认证的潜在后果所带来的影响,以厘订相关服务/交易情况的整体保证等级。
什么是「电子认证保证等级」
「保证等级」一词用作描述在注册及认证程序中的信心程度。
电子认证方法
电子认证系统一般可采用叁种不同方法:包括「使用者所知的资料」、「使用者拥有的资料」,以及「使用者特征或行为的资料」。
电子认证 (商业用户)
为防止未获授权的使用者接达受保护的资源,需建立安全的认证系统,以确定使用者声称的身分。
电子认证模式
建立「电子认证」系统有两种基本模式。
公开密码匙基础建设
公开密码匙基础建设 (公匙基建 )是根据「公开密码匙加密技术」而成的一个广被接纳的资讯科技保安架构。政府透过制定电子交易条例及在香港邮政成立公共核证机关,为公匙基建的部署打稳基础。
网上应用系统保安
网上应用系统可带来便利和提升效率,但也产生新的保安威胁,若未作好妥善处理,对机构中的资讯科技架构可能会造成潜在而显着的风险。
开发安全流动应用程式
智能手机和平板电脑的增长令公众及机构用户与企业互动的方式产生重大转变。
使用软件准则
许多电脑软件均可作为资讯保安的工具。
修补程式管理
由于被发现的软件保安漏洞及需要的更新和修补越来越多,系统管理员必须有系统地控制及管理修补程式。成功的修补程式管理需要一个强韧和有系统的程序,即修补程式管理的生命週期。
虚拟私有网络( VPN)保安
虚拟私有网络( VPN)保安现今,由遥距网络接达到内联网的需求日渐增加,员工经常需要从家里、酒店、机场或其它外部网络经互联网(互联网基本上是不安全的)接达到内部私有网络。
持续业务运作规划
持续业务运作规划涉及订定持续业务运作计划,确保在发生人为事故或天灾时,重要业务活动能在预定时间内复原至可接受的水平,从而减少对机构造成的损失。持续业务运作计划对每种业务而言,均十分重要。
发出促销讯息
为遏止非应邀电子讯息问题,《非应邀电子讯息条例》(「条例」)和《非应邀电子讯息规例》(「规例」)已于二零零七年制定。条例规管有「香港联系」的「商业电子讯息」发送活动。
中小企防范诈骗
公司机构对防范仿冒诈骗攻击,侦察及回应措施的建议。
教育及培训员工
保安培训是确保相关各方了解保安风险,并接受和采取良好保安作业实务的关键。若要保安方案有效,必须经由受过良好培训的员工正确地执行。你必须确定你的员工拥有必要的技能。
拟定资讯保安计划
资讯是你业务最珍贵的资产。使用正确的预防及保护措施可以减少资讯备受攻击的成功机会,否则可能招致巨大的金钱损失。
定期做备份
良好的备份策略对资讯安全来说是必要的。
备份及复原
备份是指在某特定时间保存一份数据的拷贝。「备份及复原」一词,时常指由某一位置传送已拷贝的档案往另一处,传送时会在拷贝的档案上进行不同操作。
评估资讯保安风险
资讯保安管理周期始于评估资讯保安风险。保安风险评估一开始时便要进行,以找出需要什么的保安措施。这是初步评估和识别与保安弱点有关的风险及结果,并提供一个管理基础,以确立具成本效益的保安计划。
推行及维持一个稳妥的保安架构
随着从保安风险评估过程中取得风险评估结果,资讯保安管理周期便进入推行及维持的阶段,以推行适当的保安防护措施来维持一个稳妥的保安架构。这包括制订保安政策和指引、委派保安职务,以及推行技术及行政上的保安防护措施。所有这些步骤均大大有助保卫你的业务资产。
识别及选择防护措施
检讨保安风险评估结果后,便要定出防护措施,并评估它们能否把识别出来的威胁及漏洞的可能性和其影响力,有效地减低至可以接受的水平。
网络保安
办公室网络是一个企业的核心网络。每个职员都使用这个共用的媒介履行职务,例如分享档案、列印、发放电邮和浏览网页。
防御分布式拒绝服务(DDoS)攻击
分布式拒绝服务攻击基本上会消耗目标机构的频宽和伺服器资源。大规模的分布式拒绝服务攻击通常透过僵尸网络发动,令大量分布在世界各地受到病毒感染的电脑在不知不觉间被操纵而参与攻击。
无线网络保安
推行无线网络的成本较低,因此极受欢迎。虽然低廉的成本是无线网络极具吸引力的卖点,但廉宜的设备也令攻击者更容易发起攻击。无线网络的应用虽然有不少好处,却同时带来新的保安风险。
互联网规约版本 6( IPv6)的保安
互联网规约版本 6( IPv6)的保安互联网规约版本 6 (IPv6)是下一代互联网规约之标准,将会取代现行即将被耗尽网路位址空间的互联网规约版本 4 (IPv4)。
域名系统的安全
DNS 没有内置的保安功能,因此 DNS 数据可能会被窜改。如 DNS 的答覆被窜改,用户可能会被转至恶意网站。为免成为 DNS 保安威胁的受害者,我们可以采取不同层面的措施。
保护您的公司机构
现在的日常生活中,任何人都可藉流行的工具与技术,如流动电话、电子邮件、即时通讯服务、可携式的储存器,以及经无线网络接达互联网的能力,轻易地携带及处理大量数据。
开放源码保安
原始码的开放提供机会给攻击者和防卫者去读取详细编码,并分析软件保安漏洞。
保障你的资讯科技服务外判的安全
资讯科技服务外判是将原本由内部员工负责的资讯服务或功能交给其他公司负责。
资讯科技服务外判保安
资讯科技服务外判保安当机构外判部份资讯科技服务的时候,外判供应商便可能成为公司里另一个”内部人员”,处理公司内敏感而且重要的资料。
处理公司的资讯保安事故
它指在资讯系统及/或网络上的负面事情,对资讯的机密性、完整性、可用性、不可否认性和认证等方面构成威胁。
处理恶意软件爆发
由于攻击者的动机是基于经济掠夺,他们的攻击形式也不只是骚扰或破坏活动而已。恶意程式码攻击已经变得更复杂,甚至成为机构一项严重的隐忧。
机构无线网络的部署
为协助机构了解在无线网络推行期间的最佳作业实务,我们会以一个分为五个阶段的网络发展周期作为基础,逐步指出保安方面需要特别注意的重点。
处理个人资料须知
浏览互联网时,应小心处理个人资料
单一登入
用户可享受选择单一密码以接达多个应 用程式的好处,而毋须紧记不同的密码。然而,如果认证部份被入侵,则表示用户有接 达权的所有资源均有机会被破坏。
身分管理
身分管理( Identity management)是过程和科技的结合体,帮助企业管理和保护组织内资讯和资源的接达。
使用电子认证确保接达安全
电子认证是确立对使用者以电子形式向资讯系统提交的身分的信心,当中可涉及核实「使用者所知的资料」、「使用者拥有的资料」及/或「使用者特征或行为的资料」。经核实的项目愈多,确立的信心便愈高。
加密你的资料
加密技术是一个把易于读取和了解的数据格式(原文)加以更改及转变的过程,使其转为不可读取的格式(加密文本),令人看起来是一组无用及难以了解的文本。
处理电子邮件须知
今时今日,电邮是与人通讯的普遍方式。它带来了极大的方便,但亦对你的电脑系统构成威胁。
防范滥发电邮
滥发电邮对每个电邮用户来说都已经变成了一个问题。例如,电邮的终端用户必需每天花时间去清理这些没有必要且未经要求便发出的讯息。
获取防火墙
所谓防火墙可以是软件或是硬件的一种工具。它可用于保护电脑,以避免来自互联网攻击者的威胁。
定期安装保安修补程式
当软件商在软件发现程式错误,便会向用户提供一些修补程式去修补这些漏洞。同时,骇客也会利用这些漏洞去攻击一些还未安装修补程式的电脑。
防范恶意软件
最佳作业实务可以保护您的电脑更有效地对抗恶意软件的攻击。
弃置处理电脑设备
本部分提供一些关于数据删除的资料,和正确弃置电脑或储存媒体的方法,以防止资料被未预期地外泄。
遥距工作的保安
以下贴士可供各有关方面(包括机构和个人)参考,以维持遥距工作或学习环境安全稳妥。
安全使用视像会议指南
在主持视像会议或使用视像会议方案时,可参考以下一些保安措施/良好做法,以减低风险和避免私隐外泄。
何谓资讯保安
CIA指机密性,完整性和可用性三重奏是资讯保安的核心。
资讯保安与公司何干
要知道你公司的资讯是否已经妥善保安,请检阅下列几点说明
电子服务与资讯保安
电子服务是指透过电子媒介来获取和传送服务。电子商贸亦属这个范畴
殭尸网络
殭尸网络为互联网带来严重的保安威胁,大部分的滥发电子邮件、身分盗用、仿冒诈骗和分布式拒绝服务(DDoS)攻击均由殭尸网络引致 。
暴力攻击
暴力攻击暴力攻击是通过试误法以破解凭證,反覆试验所有可能的组合,直至猜到正确密码。
核心保安原则
核心保安原则是一些广为接纳并从宏观角度应对资讯保安事宜的原则。这些原则属基本原则,甚少改变。
区块链的保安威胁
虽然区块链技术产生一个防止窜改的交易分类账,但应注意区块链并非可以不受所有网络攻击影响。
针对域名系统(DNS)伺服器的网络威胁
除了DNS相关的攻击规模与复杂程度大幅增加之外,攻击者还采用多种不同的攻击技术,来针对DNS的不同组件 。
资料外泄
资料外泄属于网络安全事件,涉及未经系统拥有人授权下接达、更改、移除、窃取或公开披露的资料。
深度伪造
近年,由於深度偽造惡意用於製造假視像、偽造圖像和金融欺詐,所傳播的錯誤訊息 或虛假訊息 可能會侵蝕企業的聲譽和社會之間的信任,因而引起大眾關注。現在要取用創作深度偽造的工具十分容易,引起公眾對於以假亂真的深度偽造製成品的關注,認為須加以偵察,以及限制其使用。
拒绝服务 / 分布式拒绝服务攻击
拒绝服务攻击和分布式拒绝服务攻击是互联网上一种常见的网络威胁。
身分盗窃
身分盗窃是一种刑事行为,在他人不知情或没有得到其同意的情况下取得其个人资料,意图诈骗。身分盗贼利用有关个人资料冒充资料当事人作欺诈用途。
内部威胁
内部威胁是源自机构内的人士所带来的保安风险,通常涉及在职或前雇员,以及可以接达敏感讯息或特权帐户的外判商业伙伴。
恶意软件
恶意软件是不同类型的恶意程式码的一个统称。恶意软件可用于破坏正常的计算机功能,窃取数据,获得未经授权的访问,或形成殭尸网络以发起有组织的攻击。
仿冒诈骗
仿冒诈骗攻击邮件几可乱真,有些收件人会作出回应,结果导致财务损失、身份盗用和其他欺诈行为。
预防勒索软件
勒索软件是一种恶意软件。电脑罪犯会利用这种软件把受感染电脑装置内的档案锁上。这些被锁的档案就好像人质一样,受害人如要取回这些资料,便需按照勒索软件的指示缴付「赎金」,才可把档案解锁。
供应链攻击
供应链攻击日趋普遍,因为攻击者通过获信赖的第三方供应商可以接达多个机构的系统。