立法會保安事務委員會今年七月推出討論文件，探討加強保護關鍵基礎設施電腦系統安全的建議立法框架，以維持我們生活息息相關的資訊系統、網絡或電腦系統能正常運作，避免遭受擾亂，妨礙社會安全。經營關鍵基礎設施的營運者，應如何為立法做好準備？中小企雖然暫時未受影響，但又可否未雨綢繆作好對網絡安全的規劃？wepro180 訪問了香港寬頻持股管理人及信息安全總裁鄧宏舜（Wilson），以及香港寬頻企業方案助理副總裁 – 銷售工程秦振皓（Alvin），了解法規影響及採用解決方案時需注意的地方等。 關鍵基礎設施包括八大行業 關鍵基礎設施（Critical Infrastructure）是指包括能源、資訊科技、銀行及金融服務、陸上交通、航空運輸、海運、醫療保健、通訊與廣播等領域，可以想像一旦以上的服務受影響，嚴重是可致社會停頓。 宜及早物色具合規能力供應商 現時關鍵基礎設施營運者（CIOs）所面對的最大挑戰，Wilson 認為是外部供應商如何讓服務符合法規，因為現時許多供應商的服務，仍未或暫欠上述能力，以致關鍵基礎設施營運者需及早準備，如開始物色足以勝任的供應商，協助並籌備服務。 而現時香港的資訊安全服務供應商，所面對的最大難題是人手，要留住員工就要多考慮改善工作條件，提供穩定工作環境，降低流失率。 Wilson 認為，現時香港資訊安全服務供應商最大難題是留住員工。 不同行業應互相交流經驗 Wilson 又提到，新規例落實一般會有一年至一年半時間才正式實施，政府立法本意是提高網絡安全標準，企業在過程中宜與政府多作溝通；同時電訊、銀行業等，業內甚至是不同行業間都可多作經驗交流，借鏡與監管機構溝通的方法，向政府反映意見。 由於歐盟或國內早已有相關法例，他預料香港這項法規只是第一步，將會陸續有更多法規出台，保護數據及機器設施等。而關鍵基礎設施營運者可考慮採用一站式解決方案，有助減少漏洞，運作亦相對順暢；反之因為採用愈多不同的服務營辦商，就愈大機會有遺漏的地方。 一站式解決方案　全方位提升網安水平 在此層面上，HKBN Enterprise…

Synology 群暉科技 Solution Day 2024 完美落幕，吸引逾 240 位企業 IT 人員齊聚一堂，深入了解 Synology 全新儲存、資料保護、影像監控及生產力等四大解決方案，如何提昇企業資料管理效率。 想知最新行內動態？立即免費訂閱！ 「感謝每位來到現場的企業客戶，讓我們了解更多來自第一線的回饋。」Synology 資深區域業務經理 Suk Mi Eun 表示：「在過去三年中，Synology 在香港市場經歷了顯著的成長。透過我們豐富的產品線，從中小型企業到各行各業的企業都能夠獲得服務。特別是在教育/公共部門、醫療與科技、以及金融業等領域的成功，彰顯了我們在滿足現代商業環境不斷變化需求方面的成就。」…

由生成式人工智能（AI）掀起的熱潮已接近兩年，其間各種 AI 應用百花齊放，持觀望態度的企業管理者亦開始躍躍欲試。不過，背後的風險卻不容忽視。DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）早前舉辦了其 Solutions Day 2024，主題圍繞「From +AI to AI+ 從技術賦能到數據賦能」，邀請了各行各業專家分享部署 AI 的經驗，透過與夥伴共築 AI 生態圈，協助企業將 AI 應用融入其業務中，重塑他們的智能營運，及早做好 AI…

全球領先的雲端服務提供商 Akamai 發現，API 正成爲攻擊目標，相關攻擊不但可能持續增加，更出現越來越多針對 API 設計的特定攻擊技術，因此企業需要採取多種保護措施。Akamai 最新網絡安全報告更揭示了 API 最新攻擊趨勢、講解組織需了解的新興法規及合規要求、如何建立 API 安全策略及實際案例等，值得組織或企業人員參考。 從設計角度來看，API 是數據管道。因此，一旦攻擊者通過漏洞利用或針對業務邏輯的攻擊等常用手段，實現未經授權的訪問，API 便可能將數據暴露給攻擊者。 2022 年，Gartner 預測 API 濫用和數據泄露到 2024…

人工智能使網絡入侵攻擊更難應對，其自動化及分析技術令入侵者不斷進化，導致企業網絡防禦工作更見艱鉅。有見及此，安全專家建議採用智賦（AI-Powered）技術配合防禦策略，以抵禦日益智能化的網絡攻擊。 人工智能應用在網絡安全上表現出色，在處理大量數據及識別入侵模式方面能力甚強，能更快檢測人手操作時忽略的異常情況。另外，電腦可不眠不休全天候監控，提供無間斷防護。當網絡受到攻擊，自動化功能更可即時作出反應，讓企業恢復運作。 不過，據中信國際電訊 CPC 經驗所知，當涉及人員及業務流程的網絡安全管理上，人工智能無法取代人類。 人性化網絡安全框架 中信國際電訊 CPC 為網絡安全注入了人類智慧和人工智能，在「識別及預測」、「保護」、「偵測」、「回應與復原」四大服務領域組成網絡安全框架，透過 TrustCSI 3.0雲網神盾技術賦能、重新定義企業防護。 將人類智慧與人工智能互相結合，不論在複雜的決策、策略規劃或法律解讀等方面均具備獨特優勢，現就逐一詳細說明： 「識別及預測」是網絡安全框架的基礎，除了利用不同的應用程式和評估工具來掃描和識別漏洞外，中信國際電訊 CPC 的信息評估服務（IAS）亦結合了安全專家的專業意見，分析客戶的業務流程，提供可行建議。專家團隊亦會藉著對市場格局及業務優次的了解，協助企業分配安全資源達到目標。 透過 AI 滲透測試技術，安全專家可幫助企業根據目標，自訂內容範圍及度身訂造滲透測試服務。這項輕量版自我測試解決方案，讓企業定期進行以人工智能驅動的測試 （如弱密碼測試、SQL 注入或…

近年來，Kubernetes（k8s）的興起改變了 DevOps 的文化。簡單介紹一下，k8s 是一個整合了開發和應用部署的容器平台。此外，它代表了基礎設施軟件的集大成。因此，它被認為是新一代的革命性虛擬架構。 眾所周知，軟件系統存在的地方就有安全漏洞，比如 CVE（漏洞），以及需要考慮如何增強網絡防火牆規則等問題。在容器平台領域，同樣的問題出現了：持續保護平台和應用的戰鬥。隨著技術越來越自動化，考慮集成組件的漏洞的複雜性也在增加。這不是一次性的過程，而是每天都需要進行維護和修正的任務。 想睇更多專家見解？立即免費訂閱！ 有鑑於此，本文介紹了一款名為 Stackrox 的開源安全軟件，這是一款針對容器平台的自動化安全解決方案。它是一個積極的平台，能夠自我保護、預先警告和進行修正。作為一個端到端的容器安全平台，它需要考慮多方面的維護，包括容器平台基礎層的每一個叢集節點、主系統的許多數據包、網絡系統、插件和用戶程序。每個部分都需要持續監控和維護。讓我們深入了解 Stackrox 這個強大的開源軟件的能力。 漏洞管理 在整個軟件開發生命週期中，識別並修復容器映像和 Kubernetes 中的漏洞。 合規性 根據 CIS 標準、NIST、PCI…

今時今日的商業環境緊密互連，企業有迫切需要採納數碼轉型。隨着數碼世界持續演變，企業必須適應不斷改變的環境，才能夠保持競爭力，同時提高營運效率。 數碼轉型能夠為企業帶來多種優勢，包括提升生產力、擴展觸及的市場範圍和增強與客戶的互動度等。若企業能好好善用先進科技和以數據為本的策略，更可以為業務開創新機遇，發展競爭優勢。然而，在這場數碼改革之中，數碼生態系統緊密互連的特性亦同時增加企業面對的安全風險。因此，企業需確保自身擁有強大的身分安全，這是決定他們的數碼轉型能否成功的關鍵因素。 想睇更多專家見解？立即免費訂閱！ 現時，在一個企業的工作空間內，員工已不再是唯一的參與者。隨着自動化技術、人工智能和物聯網的出現，機械人、虛擬助理、智能設備等非人類身分已成為數碼勞動力中不可或缺的一部分。與員工一樣，這些非人類身分能夠存取企業的存取點，並與重要的系統和敏感數據互動，成為網絡威脅的潛在目標。 身分攻擊形式多變 企業必須正視並應對非人類身分所引起的新安全漏洞和風險，尤其因惡意攻擊者會時刻積極尋找安全漏洞、冒充身分或偽造憑證，來詐取未經授權的企業網絡存取權。 就香港而言，根據香港電腦保安事故協調中心（HKCERT）發表的最新報告，針對身分的攻擊非常普遍，在可預見的未來將繼續是網絡安全的主要威脅。舉例，於 2022 年第四季度，本地網絡釣魚攻擊首破 10,000 宗，按季大增 90%，按年更飆升逾 11 倍。身分攻擊的形式多樣難測，因此香港企業有必要建構嚴密的身分安全系統。 若未能採取適當的身分安全措施，可能會引致難以修復的嚴重後果，例如資料外洩、營運受阻、違反監管合規、商譽嚴重受損等，故企業必須優先部署身分安全，以有效緩解相關風險。 傳統方案不足以應對現代數碼環境 即使企業本來已有一套身分安全策略，但鑑於身分數目急劇增加，單單依賴傳統的身分安全人手程序，再不足以對付現時的網絡安全威脅。以人手管理存取權的程序既耗時又容易出錯，而且需要耗費大量工夫來處理用戶配置、存取權要求、允許及撤銷權限。這種做法亦經常引起各種問題，包括授予或撤銷存取權時出現延遞、安全策略執行不一致的情況，以及未能充分掌握用戶活動。 傳統身分安全系統的設計並未能應對現今數碼環境不斷擴張所涉及的規模、多樣性和變化速度，而且還會產生「技術債」，即專用硬件、許可授權和支援等所產生的成本。再者，企業所擁的身分數目持續增加，以人手來處理這類工作變得越來越不切實際。 正因如此，我們建議採用以人工智能（AI）為基礎的身分安全解決方案來應對上述種種挑戰。配備 AI…

經歷生成式人工智能（Generative AI）大爆發的 2023 年後，踏入新一年，Sangfor 預計人工智能（AI）在 2024 年勢頭繼續強勁，仍然是改變網絡安全趨勢的重要技術，但同時亦有很多似曾相識的挑戰繼續上榜。小編立即為你送上 Sangfor 2024 年 7 大預測！ 一、勒索軟件繼續火熱 每次談及網絡安全，總不能少了勒索軟件，今年亦一樣。根據 Corvus Insurance 的數據，勒索軟件攻擊數量在 2023 年創下紀錄！以 2023…

企業進行數碼轉型時，許多時會委託 IT 承辦商為公司開發軟件系統。但如果你發現，最初和你傾談的是一組人，但最後落手展開工作的又是另一組人，而他們對之前談過或研究過的重點與細節都沒有資料或記錄，這樣你很可能已經遇上另一種數碼轉型陷阱：「有心無力！」 想睇更多專家見解？立即免費訂閱！ 上回談過所謂遇人不「熟」的數碼轉型陷阱，即遇上對有關技術不熟悉、欠經驗的 IT 公司。「有心無力」又是甚麼？意思是，有些 IT 承辦商雖然有能力，但卻人手不足。他們不斷找生意，當生意接得過多，自己公司團隊人手短缺，於是就會人才外求找外援，甚至是外判給其他公司。 外援：IT 承辦商因人手不足，可能會招聘合約軟件開發人員（Contract Developer）前來「幫拖」。問題在哪？事關在做複雜項目時，其項目經理及開發人員的團隊精神和默契是相當重要的。如果只是臨急抱彿腳找些替工來做，會出現技術參差的情況，令做出來的產品質量沒有保證，往往不能準時交貨，亦有很多不能夠完成，即所謂「爛尾」。 外判：IT 承辦商把你的項目外判給其他公司，甚至是「判上判」。如此情況下，項目成功率一定會大打折扣，因為外判或再判公司能收到的開發費用會肯定少了一截，於是他們不會把公司的精英分派到這類項目。此外，外判公司很多時是在開發過程中途參與，而不是從頭開始參與整個銷售及商討過程，項目的複雜性與各樣細節可能沒有妥善記錄和交接，大大影響系統開發的效率與成功率。有些承辦商更會將整個或部分項目外判到其他國家，令事情更加複雜，牽涉了不同的溝通語言、工作文化、編碼慣例、做事方式等，往往會令做出來的系統有更多問題，增加「爛尾」風險。 無論是尋求「外援」或「外判」，或許 IT 承辦商可以勉強應付，但當要負責的是一些要求比較複雜的項目，或一些客製化系統時，問題就會湧現。要避免跌進這種陷阱，最重要的是在進行任何 IT 項目時，都需要有一位具備經驗的項目經理。當然有些公司本身並沒有項目經理這個角色，亦未必需要長期有這個職位，我建議可以先行以合約形式聘請。項目經理的工作包括： ．深度了解公司對系統的需求，並將其製成文檔以作為招標要求．與軟件承辦商溝通，避免系統開發出來後達不到公司的要求．負責招標管理，確保流程公平及合規．負責與承辦商制定合約，保障公司利益．管理項目進度，避免開發延誤…

新一代 XaaS 解決方案經銷商尋雲科技（Finda Cloud Technology Limited），宣布與騰訊雲（Tencent Cloud）達成戰略合作夥伴關係，成為香港及澳門的授權代理商，進一步擴大騰訊雲端解決方案的覆蓋範圍，共同開拓香港及澳門地區的雲端市場。 攜手合作　發揮專長 雲端是數碼轉型的核心，過去數年雲端發展迅速，根據 Gartner 預測，2025 年企業投資在公用雲的費用，將大於傳統解決方案。Finda Cloud 尋雲科技合作伙伴及策略聯盟總監 Joe Chan 表示，Finda Cloud 洞悉雲端及 SaaS…