HKIRC全新「香港學校網絡安全指南」 助教育界建立穩健網安框架
近年教育界已成為網絡攻擊的首要目標之一,香港互聯網註冊管理有限公司 (HKIRC) 最近聯同數字政策辦公室及香港警務處網絡安全及科技罪案調查科攜手推出免費網絡安全支援計劃「網絡防禦一站通 (Cybersec One)」,並把教育界列為計劃的第一步重點推廣範疇。
該計劃共設4大範疇,包括:網絡安全檢測及風險評估、改善報告、網絡安全意識培訓及模擬釣魚電郵演習,以及分享最新網安資訊等,為本地企業和機構提供一站式網絡安全支援。
為實踐Cybersec One於教育界的展開,HKIRC與資訊科技教育領袖協會 (AiTLE) 和網罪科攜手合作,主動把計劃推廣至香港各中、小學校,並獲得教育界高度關注及廣泛支持。HKIRC有見計劃初現成效,最近聯同AiTLE、網罪科及羅兵咸永道香港DarkLab合力推出教育界網絡安全重點項目 -《香港學校網絡安全指南》,整合最新的網絡安全資訊並歸納成4大實用領域,包括:1)即用式網安政策模版、2)實際案例參考、3)學校典型事故應對流程及4)網安配置推薦清單等,為學校提供全面性、實用性和方便性兼備的網絡安全指引。
配合「網絡防禦一站通(Cybersec One)」免費提供的網安資訊平台、網站檢測及學校IT風險評估具,冀透過指南和全方位支援提升教育界對網絡安全的整體認知與實踐能力,以持續推動教學、學習和學校運營上的創新與發展。
「HKIRC香港學校網絡安全指南發布會」於8月29日假英華書院舉行,活動由HKIRC、AiTLE共同協辦,亦邀得網罪科及羅兵咸永道香港 DarkLab支持參與及分享網罪科數據和給學校的關鍵建議。
教育界網安意識仍不足
由於教育單位儲存著大量學生和教職員的個人訊息,當中包括:姓名、身分證號碼、聯絡資訊、學術成績等重要資料。事實上教育界人士對於網絡安全的意識與知識仍有不足,很容易成為不法之徒攻擊的首要目標,導致個人資訊被惡意利用,例如詐騙、身分盜竊等違法行為。
香港互聯網註冊管理有限公司行政總裁黃家偉工程師分享道:「近年網絡攻擊手段逐漸變得多元化,尤其教育界開始應用更多資訊科技於校內管理及教學之上,令網絡釣魚、DDoS攻擊、惡意軟體等網絡攻擊更變得無孔不入,提升業界對網絡安全認識及應對能力將刻不容緩。另外,個別學校因資源有限,未能每年定期檢查網站安全問題。我們提供的Cybersec One整合式服務,涵蓋從尋找網站潛在風險、提供培訓與演習,到資訊發放等一站式支援,協助學校全面提升網絡安全水平。」
透過收集及重整各種資料,同時深入了解教育界實際面對的現況和挑戰,全新《香港學校網絡安全指南》強調可行性、可擴展性、適應性及泛用性,確保使用者能夠根據各自學校的狀況靈活調整,編製出「學校網路安全管理手冊」,涵蓋以下四大主要方向:
1. 即用式網安政策模版
《香港學校網絡安全指南》提供一個廣泛且實用的網路安全政策模板,協助學校根據其營運需求制定資訊科技安全政策和規則。模板涵蓋使用自攜裝置守則、資產及資料管理、管理者密碼策略、電子郵件安全、人力資源安全、網路管理、實體安全監控、資訊安全事件管理、無線安全、網站安全,以及生成式人工智能技術及應用指引等多個關鍵領域。旨在幫助學校輕鬆按照指引實踐資訊安全管理,並由校方負責根據實際需求進行調整,確保其資訊科技系統與寶貴資料得到妥善保護。
2. 實際案例參考
為讓學校更易理解模板當中的資訊,《香港學校網絡安全指南》重點加入實際案例,以展示在處理網路安全工作時如何利用指南解決實際情況,例如:如何有效把重要資料進行分類,訂立清晰標示,並制定資料存取和傳輸資料的守規則;如何識別安全漏洞及安裝合適的網路安全應用程式;如何為校內選擇最佳無線網絡設置,並利用各種加密方式保護其安全等。透過各個實例,學校可以就各情況預設對應程序,令往後的網路安全工作建立良好基礎。
3. 學校典型事故應對流程
雖然學校可利用《香港學校網絡安全指南》建構穩健的基礎,然而,面對日新月異的網絡攻擊威脅,例如:勒索軟件攻擊、網路釣魚、意外資料外洩、網站篡改和DoS攻擊等,校方仍需要制定有效的應對策略,因此指南針對此問題,設計出一套學校典型網安事故的建議應變流程,內容包含具體案例和影響分析,協助校方制定一系列的應對方案,並在遇到事故時能迅速採取實際行動,以最大限度地減少損失並確保符合相關法例要求。
4. 網安配置推薦清單
《香港學校網絡安全指南》將提供一份適合各大學校的網安配置推薦清單,當中包含用於識別和解決學校網站常見漏洞的通用指南和操作建議,涵蓋會話管理、密碼管理、存取控制、資料安全、錯誤處理及組態管理等,校方可參考清單建立最佳的網絡安全設定,藉此進一步提升其整體保護水平。指南將透過「網絡安全資訊共享夥伴計劃」的網上平台 (網址:https://www.cybersechub.hk) 發佈,學校可下載最新版本並緊貼網安情報。平台設有互動功能,教師可向專家提問並獲得專業回覆。HKIRC希望透過此免費服務,推動知識共享,提升全港中小學的網絡防禦能力。
香港警務處網絡安全及科技罪案調查科警司 許綺惠女士:「學校要把『安全』由制度帶進日常:一是治理先行——建立合規監督與清晰責任分工,以風險為本訂立校本網安政策並融入系統生命週期;二是防護為本——採用零信任理念,推行多因素認證 (MFA) 及基於角色的存取控制,強化關鍵帳戶與敏感資料保護;三是偵測與復原並重——落實網絡分段與日誌留存,持續監察威脅,配合定期資產掃描、滲透測試與演練,確保發現得早、應變得快、復原得穩。」
資訊科技教育領袖協會主席 黃健威分享道:「學校作為教育重地,正面臨日益嚴峻的網絡威脅,例如勒索軟件攻擊等,這些威脅涉及老師、學生及家長等多層使用者,帶來極大的網安風險。然而,學校往往因預算及資源緊絀,各校網安專業水平不一,導致網安政策難以統一落地實施。有見及此,我們期望藉此機會與業界持份者共同構思《香港學校網絡安全指南》,提供實用指引,輔助政府針對學校推行更全面的網安政策,合力提升教育界的整體防護能力,讓教學環境更安全可靠。」
