香港企業網絡安全完全指南

從中小企基本安全措施到PDPO合規、事故應對及進階技術防禦——22篇專業文章,適合各類規模的香港企業。

Start with SME cybersecurity basics → PDPO compliance guide →
Business cybersecurity guide Hong Kong

探索完整的 企業安全 資料庫

香港中小企網絡安全:從哪裡開始

香港中小企網絡安全實用、有優先順序的入門——先做什麼、每花費的保護效益最高的是什麼,以及如何從此基礎出發。

香港企業PDPO合規指南

遵守香港《個人資料(私隱)條例》的實用指南——六項保障資料原則、洩露通報義務及合規最佳實踐。

香港企業員工網絡安全培訓

如何在您的香港機構中建立真正的安全意識——從培訓計劃設計到網絡釣魚模擬、角色型內容和衡量真實行為改變。

香港公司遠端工作安全

香港擁有分散式或混合勞動力的企業的全面安全框架——涵蓋VPN政策、設備管理、安全協作及零信任方法。

企業VPN:香港公司須知

香港機構企業VPN完整指南——比較遠端存取VPN、站點到站點VPN和零信任網絡存取,並提供供應商選擇指引。

香港中小企雲端安全實用指南

如何保護您的雲端環境——Microsoft Azure、AWS、Google Cloud及SaaS應用程式——為沒有專職雲端安全團隊的香港中小企提供實用指引。

香港企業終端設備安全

如何保護您機構的每台設備——從Windows和Mac工作站到手機和平板電腦——使用防病毒、EDR、MDM和補丁管理的正確組合。

企業電郵安全:防範BEC和網絡釣魚

如何保護您機構的電郵免受商業電郵詐騙、網絡釣魚攻擊和域名仿冒——涵蓋技術管控、程序防禦和香港企業的事故應對。

如何制定網絡安全事故應對計劃

為香港企業準備、偵測、圍堵和從網絡安全事故中恢復的實用框架——涵蓋事故應對計劃結構、團隊職責、通訊協議和事後檢討流程。

企業數據備份策略:3-2-1規則

如何為香港企業實施穩健的數據備份策略——涵蓋3-2-1規則、備份方案、雲端備份、離站存儲,以及能抵禦勒索軟件攻擊的不可變備份。

香港小型企業網絡安全

香港小型企業的實用網絡安全指南——涵蓋防火牆配置、WiFi安全、網絡分段、DNS過濾及基本網絡監控,無需企業級預算。

供應商與供應鏈風險管理

香港企業如何評估、簽訂合約並監控供應商和第三方廠商,管理透過供應鏈引入的網絡安全風險——涵蓋供應商評估、數據處理協議及持續監督。

香港網絡安全保險:企業指南

香港企業需要了解的網絡保險知識——保單保障內容、需要了解的關鍵除外責任、如何評估保障需求,以及事故後的理賠流程。

香港企業勒索軟件防護

香港企業勒索軟件預防、偵測和恢復的完整指南——涵蓋攻擊生命週期、技術管控、備份策略及各規模香港機構的應對程序。

香港中小企存取控制政策

如何在香港企業中實施有效的存取控制——涵蓋最低權限原則、用戶帳戶生命週期管理、特權存取保護及定期存取審查。

香港企業社交媒體安全

如何保護您在Facebook、Instagram、LinkedIn和微信上的企業社交媒體形象——涵蓋帳戶安全、應對仿冒、員工社交媒體政策,以及保護您的品牌和網上聲譽。

香港公司自攜設備(BYOD)安全政策

如何為香港企業制定和實施自攜設備安全政策——在員工私隱、運營靈活性和企業數據安全之間取得平衡。

什麼是滲透測試?香港企業是否需要?

香港企業的滲透測試通俗指南——滲透測試是什麼、不同類型的測試、費用、何時值得進行,以及如何委托真正能提升安全價值的滲透測試。

香港中小企企業防火牆設定指南

為香港中小企選擇、配置和維護企業防火牆的實用指南——涵蓋UTM設備、雲端管理防火牆、配置最佳實踐及持續維護。

香港中小企網絡安全預算規劃

如何為香港中小企規劃、優先排序和說明網絡安全支出——從最高價值的首要投資到在切實際預算上建立成熟的安全計劃。

香港員工網絡釣魚模擬培訓

如何為您的香港團隊實施有效的網絡釣魚模擬培訓——涵蓋模擬平台、設計貼近香港實際的情境、提供即時培訓,以及衡量和改善機構的網絡釣魚抵禦能力。

香港企業網絡安全完整清單

香港企業的全面、可執行的網絡安全清單——涵蓋身份、終端設備、網絡、雲端、數據保護、人員、治理和事故應對管控,共同構成香港機構穩健的安全基線。
1中小企威脅形勢

香港中小企面對的網絡安全威脅

香港中小企面對的網絡安全威脅形勢,已不成比例地集中針對其行業。大型企業因重大數據洩露而備受關注,但中小企卻是眾多網絡犯罪分子的首選目標:它們持有寶貴數據和金融資產,技術防禦往往不及大型企業,可能缺乏專職IT安全人員,且較難迅速發現攻擊。HKPC(香港生產力促進局)和HKMA一直將中小企列為自動攻擊和針對性詐騙最主要的攻擊對象。

勒索軟件已成為香港中小企面對的最主要生存威脅。現代勒索軟件攻擊——往往由犯罪集團以勒索軟件即服務(RaaS)方式提供——會加密所有可存取的業務數據,並要求以加密貨幣支付贖金以恢復存取。對於沒有足夠備份的中小企,支付贖金往往是恢復數據的唯一途徑,而且即使付款,也不保證能成功恢復。針對香港中小企的勒索軟件攻擊,已造成無法及時恢復業務的公司徹底倒閉。透過修補漏洞、備份紀律及存取控制進行預防,遠比事後嘗試恢復更為有效。

商業電郵詐騙(BEC)——尤其針對應付帳款和薪資功能——仍是香港企業每宗事故中損失最高的攻擊類型。針對性社會工程、電郵欺騙和電匯機制相結合,意味著一次成功的BEC攻擊可造成數十萬至數百萬港元損失。員工培訓和付款驗證程序是主要防禦手段。技術電郵安全措施(DMARC、DKIM、SPF)能縮小攻擊面,但人工驗證程序才是最終防線,是決心強的攻擊者必須突破的關卡。

  • 勒索軟件是中小企首要風險:勒索軟件攻擊可完全癱瘓業務運作——透過備份和修補漏洞進行預防是唯一可行策略
  • 商業電郵詐騙:引致欺詐性電匯的BEC詐騙是針對香港企業損失最高的攻擊類型
  • 供應鏈攻擊:中小企IT供應商、軟件供應商或託管服務提供商遭入侵,可同時影響其所有中小企客戶
  • 憑證填充和帳戶接管:自動測試洩露憑證於企業電郵和雲端服務,凡重複使用密碼之處均可得逞
  • 內部威脅:離職員工、心懷不滿的員工或被入侵的憑證可引致內部數據盜竊和破壞——存取控制和離職程序至關重要
  • 透過網絡釣魚傳播的機會性malware:大規模網絡釣魚活動透過惡意電郵附件和連結,向中小企終端設備傳送銀行木馬、鍵盤記錄器及遠端存取工具
SME cybersecurity threats Hong Kong
2PDPO合規

香港PDPO下的數據保護合規

《個人資料(私隱)條例》(PDPO)規管香港企業收集、使用、保留和保護個人資料的方式。該條例於2021年作出重大修訂,以應對起底問題並加強執法權力,適用於所有「資料使用者」——即任何控制個人資料的收集、持有、處理或使用的個人或機構——不論機構規模大小。中小企並不獲豁免,2021年修訂透過擴大個人資料私隱專員公署(PCPD)的執法和罰則權力,使不合規的代價日益高昂。

PDPO的六項保障資料原則(DPP)構成合規框架。DPP1要求只收集為已確定目的所必需的個人資料,以合法公平的方式收集,並在收集時明確告知資料當事人。DPP2要求資料只用於收集目的(或直接相關目的),且不得保留超過必要時間。DPP3禁止在未獲資料當事人同意的情況下,將個人資料用於新目的。DPP4要求採取適當的安全措施,保護個人資料免遭未經授權或意外的存取、處理、刪除、遺失或使用。DPP5要求提供清晰易取的數據政策。DPP6賦予資料當事人查閱和更正資料的權利。

2021年修訂引入強制數據洩露通報義務——資料使用者在發生對受影響資料當事人構成真實重大傷害風險的數據洩露時,必須通知PCPD。此通報義務須於機構獲悉洩露後的合理時間內履行。未能通報可招致罰款。因此,香港企業應制訂文件化的數據洩露應對程序,將PCPD通報評估作為標準步驟,而非事後才加以考慮。

  • 六項保障資料原則:所有六項DPP適用於涉及個人資料的所有香港業務運作——不合規使企業面臨PCPD執法
  • 數據存貨要求:維護數據存貨(記錄所收集個人資料的種類、原因、存儲位置及保留期限)是PDPO合規的實際基礎
  • 私隱政策義務:所有資料使用者必須備有清晰易取的私隱政策,描述其數據處理方式(DPP5)
  • 洩露通報義務:在發生對資料當事人構成重大傷害真實風險的數據洩露後,須及時通知PCPD——未能通報本身亦構成另一項PDPO違規
  • 直接促銷限制:使用客戶資料進行直接促銷須獲取特定選擇加入同意,並必須提供清晰的退出機制
  • 跨境轉移限制:將個人資料轉移至香港境外受到限制——確保接收司法管轄區提供充分保護
PDPO compliance Hong Kong businesses
3員工安全文化

在香港機構建立安全意識文化

技術安全管控的效能,取決於使用它們的人。研究一再顯示,大多數成功的網絡攻擊都是利用人類行為——點擊網絡釣魚連結、使用弱密碼、不當處理敏感數據——而非純粹的技術漏洞。對於香港中小企而言,員工往往身兼多職,專職IT安全角色少見,建立具安全意識的文化是回報最高的安全投資。

有效的安全意識培訓,遠不止是年度合規打勾練習。最具影響力的計劃結合正式培訓(涵蓋識別網絡釣魚、密碼衞生、安全瀏覽及事故報告程序)、定期實際測試(模擬網絡釣魚活動,衡量點擊率並提供即時可學習的時機),以及定期簡短溝通(安全通訊、有關香港最新威脅情報的更新,以及與時事相關的提醒)。頻率和相關性比時長更重要——每月5分鐘的簡報,在記憶保留和行為改變方面,優於每年2小時的課堂。

領導層的參與是文化催化劑。當高級管理層明顯認真對待安全問題——積極參與培訓、在公司通訊中討論安全事宜,並將安全事故視為學習機會而非追責事件——員工便會認識到安全是機構真正重視的事項。相反,漠視安全程序或明確繞過管控的領導層(要求豁免付款驗證規則、以「方便」為由堅持使用弱密碼),傳遞的訊息是安全可以妥協,即使在技術上出色的安全計劃也會被削弱。

  • 網絡釣魚模擬活動:定期模擬網絡釣魚測試,衡量員工實際易受攻擊程度,並對點擊者提供即時情境培訓
  • 按角色分類培訓:財務人員需要更深入的BEC和電匯詐騙培訓;IT人員則針對技術威脅;高管針對魚叉式網絡釣魚——根據角色風險調整內容
  • 事故報告文化:建立無過失的報告環境——舉報可疑電郵或意外點擊的員工保護了機構;因舉報而受罰則令人卻步
  • 安全倡導者計劃:在各部門發掘並培養對安全感興趣的員工作為同儕倡導者——比由上而下的安全指令更為有效
  • 新員工入職培訓:無論職位,所有新員工入職培訓都應包含安全培訓——安全文化從第一天開始
  • 離職程序:員工離職當天立即撤銷所有存取權限——帳戶、VPN憑證、電郵及雲端服務
Security culture in HK business
4技術防禦

香港企業必備技術防禦措施

技術安全管控構成人類行為和流程運作的基礎層。對香港中小企而言,挑戰不在於缺乏可用的技術管控,而在於如何在資源和IT能力有限的情況下,優先實施影響最高的措施。網絡安全業界提供數百種產品和工具;要識別中小企保護的必要子集,需要基於風險的優先排序,而非全面採用所有現有技術。

香港中小企必備技術安全架構從五項基礎管控開始。第一,修補漏洞:讓所有作業系統、應用程式和韌體保持最新安全更新,最好實現自動化。第二,終端設備保護:在所有公司設備上安裝信譽良好的防病毒和EDR(端點偵測及回應)軟件。第三,備份:遵循3-2-1規則,進行經過測試的加密離站備份。第四,存取控制:對所有面向外部的服務啟用多因素驗證,用戶帳戶遵循最低權限原則,並及時取消離職員工的存取。第五,電郵安全:DMARC、DKIM、SPF設定,以及防網絡釣魚電郵閘道過濾。這五項管控涵蓋了中小企大多數實際攻擊途徑。

在基礎之上,網絡分段(使用VLAN將敏感系統與一般員工網絡分隔)、遠端工作者使用業務VPN,以及用於日誌監控的基本安全資訊和事件管理(SIEM)系統,可擴展對更複雜攻擊的防護覆蓋範圍。定期漏洞掃描——透過託管服務提供商或適合中小企使用的雲端掃描工具——可在攻擊者發現之前識別可利用的弱點。由合資格專業人員進行的年度或兩年一次的滲透測試,可對所有管控措施的實際效果進行獨立評估。

  • 自動修補漏洞:為所有作業系統和應用程式設定自動修補——未修補的系統是最常見的勒索軟件和漏洞利用入口
  • 所有終端設備部署EDR:在所有公司設備上部署端點偵測及回應軟件——比傳統防病毒軟件更能偵測複雜攻擊
  • 3-2-1備份規則:三份數據副本,存於兩種不同媒體類型,一份副本存放於離站(或不同雲端區域)——每季度測試恢復
  • 所有外部服務啟用MFA:所有雲端服務、VPN、電郵和遠端存取均要求多因素驗證——僅MFA一項便能防止大多數基於憑證的帳戶入侵
  • 電郵驗證(DMARC/DKIM/SPF):為您的域名設定這些記錄,防止您的品牌在針對合作夥伴和客戶的BEC攻擊中被仿冒
  • 網絡分段:使用VLAN將敏感系統(伺服器、會計系統)與一般員工網絡分隔——在終端設備被入侵後限制橫向移動
Technical cybersecurity defences for HK businesses