最近金價高到得人驚，日日係咁升，好似 2019 年全年金價就升咗19%，跑贏恒指，再次證明黃金依然係避險之王。大家唔好誤會，以為去錯咗財經版，只係近年好多人都話「data is gold」，喺呢個年代，數據價值唔會差得過黃金，但係數據會唔會好似黃金咁樣，有完善嘅機制監管佢嘅買賣同埋升跌呢？睇完以下三篇報導，你或者會有答案。 第一篇係《華盛頓郵報》上月初嘅報導，內容係講微定向（micro-targeting）呢家嘢，近年被政黨廣泛應用，用佢嚟追蹤特定選民，收集並建立數據庫，再靠數據分析嚟設計競選活動。2016年美國大選時，侵侵俾錢請嘅「劍橋分析」（Cambridge Analytica）就係玩微定向嘅高手，因而俾唔少人質疑微定向改寫咗選舉結果。Google 同埋 Twitter 早前已公布，佢哋唔再俾微定向用喺政治用途，唯獨係 Facebook 企硬唔肯咁做，《華盛頓郵報》仲訪問咗 Facebook 前資訊保安總監 Alex Stamos，佢話微定向唔係追蹤一、兩個美國人，而係成千上萬人，咁樣做其實係扼殺緊真正嘅民主。 另一篇報導嚟自《Politico》，又係追住 Facebook 而嚟，佢哋嘅記者調查之後發現，有 265…

本周初，香港電腦保安事故協調中心（HKCERT）公佈了第三季保安觀察報告，相比起去年頭三季，數據顯示今年頭三季安全事故數字上升 213%，再加上物聯網（IoT）的普及必將帶來更多安全問題。為了提升企業的網絡安全意識，香港生產力促進局聯同本地十個資訊保安專業組織，舉辦一連兩天的「資訊保安高峰會2019」（Information Security Summit 2019）。 於今早揭幕的高峰會，以「使用新技術保護數據 應對網絡安全新威脅」為主題，生產力局總裁畢堅文在致辭時已指出，物聯網設備在智能製造和智慧城市上的應用普及化存在不少問題，面對網絡上愈趨猖獗及複雜的黑客挑戰，以及世界各地引入更嚴謹的個人私隱政策規管，企業必須更迫切提升自身的網絡防禦水平。 充當企業安全顧問 他續說生產力局剛推出全新顧問服務「Security-as-a-Business」（SECABiz），便是為了協助企業和軟件開發商做好系統保安；針對物聯網安全性，亦正與德國弗勞恩霍夫生產技術研究所（Fraunhofer IPT）合作制定的「工業4.0推行策略評估服務」，加入網絡保安元素。 政府資訊科技總監林偉喬先生（前排右二）、生產力局總裁畢堅文先生（前排左二）、生產力局首席數碼總監黎少斌先生（前排左一）和資訊保安高峰會2019籌委會主席Dale Johnstone先生在「資訊保安高峰會2019」開幕禮上與一眾主辦機構代表合照。 大會開幕禮今天由香港特別行政區政府資訊科技總監林偉喬先生主禮，兩天會議雲集多位來自美國、加拿大、英國、日本和本港等地的資訊保安專家，以及多家國際知名企業代表，分享資訊保安技術在物聯網、人工智能、5G等領域的應用和潛在的網絡安全威脅。生產力局亦會由十月至明年一月期間，舉辦多場工作坊，介紹雲端及流動環境的數據保安、大數據分析等範疇的最新技巧和方案。 詳情請瀏覽生產力局網站 https://www.hkpc.org/

還有不足一個月，香港首個全公開的 Capture The Flag（CTF）奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽，與過往在香港舉辦的 CTF 賽事有很大分別，該會的 COO 梁國基（Frankie）表示，他們今次將會同時舉辦學生組及公開組，而不再各有各玩，「雖然賽事定位會影響部分贊助商的決定，例如賽事有學生組會減低商業性；但我們認為不應這麼極端，既然要推廣 CTF，就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事，就由綽號「資安長老」的 Frankie，拉下神秘面紗為大家講解。 形式進化更講策略 CTF 奪旗賽，牽涉到很多不同類型的賽事，例如戶外運動、wall game 等等，但在網絡安全界別，就是一種讓黑客比併電腦技術的活動。Frankie…

作為資安長老，有很多朋友向我查詢 CISSP、 CISA（Certified Information Security Auditor）及CISM (Certified Information Systems Manager)三個保安認證資格中，哪一個比較易應付？各自的職場發展機遇如何？另外，為何有些培訓中心提供三合一課程？應該逐個修讀還是一併報考？ 三種證書，各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗，我的建議還是應該先了解每個證書的認證要求，再根據自身條件，訂立學習計劃。說到要考取上述認證的方程式，我認為必須預留半年或以上時間準備，課程編排最好是每星期一次，並於每個周末抽出 4 小時溫習，勝算便很高。讀者看完今次關於 CISA 及…

如果問未來最矚目嘅流動通訊科技係乜，十居其九都會答5G同埋物聯網（IoT），華為創辦人任正非月初接受英國《金融時報》訪問，都話美國佬搞完佢哋嘅5G後，下一個戰場就係物聯網，就知呢兩樣嘢幾咁受全世界重視。 不過物聯網有個好大嘅問題，就係物聯網嘅概念係將所有本來上唔到網嘅死物，都搞到佢哋可以駁晒上網，以前就算只得電腦同埋手機可以上網，要搞網絡保安已經唔容易，而家仲所有嘢都上晒網，黑客要入侵更加易而反掌。 舉個簡單例子，之前聽行家講過，有個中小企客俾黑客入侵，check晒全公司網絡都搵唔到個漏洞，最後結果發現原來佢門鎖係連住物聯網，但係因為要識別員工資料，所以又連咗上公司個數據庫，就係咁出事……試想像一下如果公司有幾樣嘢都用緊物聯網，情況會幾失控。 歐洲一間認證機構digital.security就諗到條橋，幫出品物聯網設備嘅公司做認証，只要產品出廠前俾佢哋做25至30個測試，確保產品無論連接其他物件、互通訊息嘅協定、連接嘅伺服器，以及產品內置嘅應用程式，都唔會有保安漏洞，而成個過程會聘請獨立資訊保安專家嚟評估，通過測試就會喺產品貼上IQS（IoT Qualified as Secured）嘅標誌，為期兩年，兩年後要再拎返嚟重新測試先可以續牌，過程都好嚴格，以後要添置物聯網產品時，就記得睇下有冇IQS標誌先好買！

上回分析過 HKUSPACE 為期三年半、用 30 萬學費 （18萬加上12萬）就可成為網絡安全碩士的課程。有讀者就問，香港有無學校為中學生提供「升呢」成為網絡保安學士的課程？以前的確沒有，但今年就有喇。 香港科技專上書院（Hong Kong Institute of Technology, HKIT）成立初期叫 College of Info-Tech，於 1997 年創辨，後來於 2003 年 10…

上回講到修讀 VTC 資訊及網絡安全高級文憑(Diploma)課程，是成為資安新人王的捷徑。但對於一些已從事其他行業有一段日子，但又有興趣「中途轉機」、加入資安行業的在職人士，又有哪一個課程是入行踏腳石？答案可在 HKUSPACE 課程找到。 香港大學專業進修學院（HKU School of Professional and Continuing Education, HKUSPACE）已經辦學60年，其前身是香港大學學外課程，而現在已獨立為一家非牟利擔保有限公司的教育機構。截至2016年，已有282萬人次報讀學院課程，其中有關資訊科技和資訊保安的課程，在這十多年間大受歡迎，每年課程的學額都是供不應求，課程種類繁多，包括資訊保安的深造文憑、理學士、碩士課程，任君選擇。中學畢業人士可申請就讀資訊科技深造文憑課程（Postgraduate Diploma in Information Technology），這兼讀課程的部分學費可以申請CEF（持續進修基金），成功達標者可得到基金資助 80% 學費津貼，而從 2019…

以為資料庫保安好嚴密？其實盲點處處！去年資安事故中不乏大公司資料外洩，除證明黑客攻擊越趨嚴重，更證明「人類總要重複同樣的錯誤」，再大嘅團隊都有盲點。其實，不少資安事故屬於可避免的，本文內容節錄自與 IBM 香港資訊安全業務經理 Ricky Ho 嘅訪問，教你認清 5 大資料庫保安盲點，Ricky 更就 5 大盲點提供相關建議，協助大家防患於未然，學嘢喇。 5 大資料庫保安盲點。 盲點一：安全方案訊息七國咁亂 不少企業 IT 都面對一個典型狀況：IT 環境及訊息不斷變動及擴展，今日出個 App，聽日又話搞 IoT，後日就來…