【全港首推】香港學校網絡安全指南

【全港首推】香港學校網絡安全指南

自全球掀起數碼化浪潮，網絡安全是大大問題！近年教育界因大量學生和教職員的個人訊息更成為網絡攻擊的首目之一，今次香港互聯網註冊管理有限公司聯同資訊科技教育領袖協會首推全新「香港學校網絡安全指南」，針對香港教育界網絡安全，由外而內聚焦 4 項實用領域 全面防護！提供一站式網絡安全支援。

「HKIRC 香港學校網絡安全指南發布會」今日（8 月 29 日） 假英華書院舉行，活動由 HKIRC、 AiTLE 共同協辦，亦邀得網罪科及羅兵咸永道香港 DarkLab 支持參與及分享網罪科數據和給學校的關 鍵建議。是日活動除邀請媒體參與外，亦另設教育界場次，超過 50 間本地中、小學亦受邀出席活動， 分享最新網安資訊和即場派發學校網站分析報告，透過各種案例和網安報告，讓參加者能夠了解現時 香港學校正面對的網絡安全問題，同時為各自學校的網絡安全系數作初步評估，以測試現時整體防禦 能力及尋找安全漏洞，並提供專業建議。

「HKIRC 香港學校網絡安全指南發布會」邀得香港互聯網註冊管理有限公司行政總裁黃家偉工程師、 香港警務處網絡安全及科技罪案調查科警司 許綺惠女士、資訊科技教育領袖協會主席 黃健威先生及羅兵咸永道網絡安全和私隱服務合夥人及 DarkLab 聯合創辦人 顏國定先生親臨主持及擔任分享嘉賓，全面剖析現時本地教育界的網絡安全現況與展望，並透過各自的專業與經驗共覓良策。

教育界網安意識仍不足 易成不法之徒首要目標

由於教育單位儲存著大量學生和教職員的個人訊息，當中包括：姓名、身分證號碼、聯絡資訊、學術 成績等重要資料。事實上教育界人士對於網絡安全的意識與知識仍有不足，很容易成為不法之徒攻擊 的首要目標，導致個人資訊被惡意利用，例如詐騙、身分盜竊等違法行為。香港互聯網註冊管理有限 公司行政總裁黃家偉工程師分享道：「近年網絡攻擊手段逐漸變得多元化，尤其教育界開始應用更多 資訊科技於校內管理及教學之上，令網絡釣魚、DDoS 攻擊、惡意軟體等網絡攻擊更變得無孔不入， 提升業界對網絡安全認識及應對能力將刻不容緩。另外，個別學校因資源有限，未能每年定期檢查網 站安全問題。我們提供的 Cybersec One 整合式服務，涵蓋從尋找網站潛在風險、提供培訓與演習， 到資訊發放等一站式支援，協助學校全面提升網絡安全水平。」

 透過收集及重整各種資料，同時深入了解教育界實際面對的現況和挑戰，全新《香港學校網絡安全指南》強調可行性、可擴展性、適應性及泛用性，確保使用者能夠根據各自學校的狀況靈活調整，編製 出獨一無二的「學校網路安全管理手冊」，以達致最佳的保護效果。現時指南核心架構將涵蓋以下四 大主要方向：

1. 即用式網安政策模版

《香港學校網絡安全指南》提供一個廣泛且實用的網路安全政策模板，協助學校根據其營運需求制定 資訊科技安全政策和規則。模板涵蓋使用自攜裝置守則、資產及資料管理、管理者密碼策略、電子郵 件安全、人力資源安全、網路管理、實體安全監控、資訊安全事件管理、無線安全、網站安全，以及 生成式人工智能技術及應用指引等多個關鍵領域。旨在幫助學校輕鬆按照指引實踐資訊安全管理，並 由校方負責根據實際需求進行調整，確保其資訊科技系統與寶貴資料得到妥善保護。

2. 實際案例參考

為讓學校更易理解模板當中的資訊，《香港學校網絡安全指南》重點加入實際案例，以展示在處理網 路安全工作時如何利用指南解決實際情況，例如：如何有效把重要資料進行分類，訂立清晰標示，並 制定資料存取和傳輸資料的守規則；如何識別安全漏洞及安裝合適的網路安全應用程式；如何為校內 選擇最佳無線網絡設置，並利用各種加密方式保護其安全等。透過各個實例，學校可以就各情況預設 對應程序，令往後的網路安全工作建立良好基礎。

3. 學校典型事故應對流程

雖然學校可利用《香港學校網絡安全指南》建構穩健的基礎，然而，面對日新月異的網絡攻擊威脅， 例如：勒索軟件攻擊、網路釣魚、意外資料外洩、網站篡改和 DoS 攻擊等，校方仍需要制定有效的 應對策略，因此指南針對此問題，設計出一套學校典型網安事故的建議應變流程，內容包含具體案例 和影響分析，協助校方制定一系列的應對方案，並在遇到事故時能迅速採取實際行動，以最大限度 地減少損失並確保符合相關法例要求。

4. 網安配置推薦清單

《香港學校網絡安全指南》將提供一份適合各大學校的網安配置推薦清單，當中包含用於識別和 解決學校網站常見漏洞的通用指南和操作建議，涵蓋會話管理、密碼管理、存取控制、資料安全、 錯誤處理及組態管理等，校方可參考清單建立最佳的網絡安全設定，藉此進一步提升其整體保護 水平。指南將透過「網絡安全資訊共享夥伴計劃」的網上平台(網址: https://www.cybersechub.hk) 發佈，學校可下載最新版本並緊貼網安情報。平台設有互動功能，教師可向專家提問並獲得專業回覆。 HKIRC 希望透過此免費服務，推動知識共享，提升全港中小學的網絡防禦能力。

香港警務處網絡安全及科技罪案調查科警司 許綺惠女士：「學校要把『安全』由制度帶進日常：一 是治理先行——建立合規監督與清晰責任分工，以風險為本訂立校本網安政策並融入系統生命週期； 二是防護為本——採用零信任理念，推行多因素認證（MFA）及基於角色的存取控制，強化關鍵帳戶 與敏感資料保護；三是偵測與復原並重——落實網絡分段與日誌留存，持續監察威脅，配合定期資產 掃描、滲透測試與演練，確保發現得早、應變得快、復原得穩。網罪科會與業界及學界緊密合作，協 助學校提升防護能力，讓教與學在安全可靠的環境下創新前行。」

資訊科技教育領袖協會主席 黃健威先生分享道：「學校作為教育重地，正面臨日益嚴峻的網絡威脅， 例如勒索軟件攻擊等，這些威脅涉及老師、學生及家長等多層使用者，帶來極大的網安風險。然而， 學校往往因預算及資源緊絀，各校網安專業水平不一，導致網安政策難以統一落地實施。有見及此， 我們期望藉此機會與業界持份者共同構思《香港學校網絡安全指南》，提供實用指引，輔助政府針對 學校推行更全面的網安政策，合力提升教育界的整體防護能力，讓教學環境更安全可靠。」

羅兵咸永道網絡安全和私隱服務合夥人及 DarkLab 聯合創辦人 顏國定先生：「隨著網絡攻擊手法 日益多樣化及精密，整個網絡安全形勢愈見嚴峻，教育界亦難以獨善其身。無論是大專院校、中學， 甚至本地小學，均面對不同程度的網絡安全挑戰。勒索軟件仍然是主要攻擊手法之一，而學校的網絡 架構往往因為治理模式分散、使用者類型繁多——包括家長、學生、教職員、校友等——而變得更難 管理，加上網安資源投放不足，令風險進一步加劇。因此，我們今次與 HKIRC 及 AiTLE 攜手合作， 編寫全新的《香港學校網絡安全指南》，希望透過實用的政策模版、事故應對流程及配置建議，協助 學校建立更穩健的網絡安全框架，提升整體網安意識及實踐能力，為教育界各持份者提供清晰可行的 指引，共同守護校園數碼環境。」