9成中小學內聯網未加密 學生機密或敏感資料恐外洩
發布時間: 2018/04/30 12:49
最後更新: 2018/04/30 13:50
資訊科技教育領袖協會調查發現,全港1046間中小學,9成的學校網站及內聯網未經加密,學生機密或敏感資料有機會外洩。另外,只有一成學校管理層或資訊科技人員表示會在未來一年內進行加密,主要面對技術、價錢及沒有時間研究等問題。
協會今年4月以電腦系統掃描方式調查本港1046間中小學,發現只有13.6%的學校網站及8%的內聯網網站取得SSL安全憑證,並以「https」作數據傳輸加密,當中國際學校網站採用「https」比率較本地學校高3倍。
協會委託進行調查的環速集團資訊科技總監李曉暉表示,「https」猶如為一封要寄出的信件加密,如果落入假郵差手上,寄送至一個假地址,對方也未能獲取信件的內容。
他說,現時大部份學校網頁或內聯網都有登入系統,如沒有使用「https」系統加密,用户的使用者名稱或密碼有機會被駭客存取,除了學校,其他進行網上付款的電子商貿或買賣的公司網站,都應進行此加密。
另外,協會亦向186名學校管理層或資訊科技人員進行問卷調查,了解管理學校網站的相關人士對網站安全的認識。結果發現超過半數覺得「https」是重要,但只有一成表示會在一年內把網站升級至https,最主要面對技術、價錢及沒有時間研究等三大困難,超過7成表示更不曾聽過「域名系統安全擴展」(DNSSEC)。
李曉暉解釋,DNSSEC會以(.hk)為域名,確保用户瀏覽一個真實網址,而並非由駭客設立的釣魚虛假網站,以防駭客存取用户在釣魚網站輸入的使用者名稱及密碼,並再前往真實網址冒認學生或教職員身份登入內聯網,獲取敏感資料。
他又說,一般服務系統商加設安全憑證及「https」,及採用DNSSEC,費用並不高昂,由100元至2千元不等,亦只需幾個步驟,加止網絡瀏覽器Google Chrome將於7月更新,並加強網絡保安,所有「http」網站會被標示為「不安全」,因此建議學校盡快研究為網站設立「https」加密,又指校方應定期為網站作安全檢查,包括憑證安裝是否正確及運作正常。