必修單元 CCH6：網絡保安措施

定義

分層防護（Defense in Depth）是一種安全設計策略：以多層、互補的控制措施降低風險，避免「單點失效」。它強調：安全不是買一個產品，而是建立一套能預防、偵測、回復的系統。

原理／運作

可把安全想像成「多道門」：第一道門可能是使用者行為與教育（避免點擊仿冒連結）；第二道門是端點保護（防毒、權限）；第三道門是網絡控制（防火牆、分段）；第四道門是伺服器安全（更新、輸入驗證、監控）；最後還有備份與事故應變，確保即使出事仍能回復。

分層的價值在於「互補」：例如防火牆能減少外部掃描與入侵，但無法阻止你自己下載木馬；防毒能攔截惡意程式，但對 DDoS 未必有效；備份不能阻止入侵，卻能在勒索軟體事件中支援復原。

例子

• 防仿冒詐騙：教育＋電郵過濾＋多重認證＋異常登入偵測。
• 防勒索軟體：更新修補＋最小權限＋離線備份＋復原演練。
• 防資料外洩：存取控制＋加密＋審計記錄＋資料分類。

比較

「單一措施」通常只解決某一段風險；分層防護則把風險鏈分段切斷。從答題角度，若你能同時提到「預防＋偵測＋回復」，便能顯示你理解安全是整體工程。

常見錯誤

• 把安全等同買防毒：忽略更新、權限、流程與備份。
• 只談技術不談人：社交工程往往繞過技術防線。
• 只談預防不談回復：沒有備份與應變，事件成本會急升。

定義

措施要有效，必須先知道要保護甚麼：是個人資料？交易安全？校務系統？不同資產的 CIA 取捨不同（例如成績系統特別重視完整性）。

原理／運作

一個實用答題模板是：資產 → 威脅 → 弱點 → 影響（CIA）→ 對策。例如「資料外洩」：威脅可能是入侵或內部濫權；弱點可能是弱密碼或權限過大；影響是保密性受損；對策可包括加密、最小權限、多重認證與審計。

此外，當題目提到「個人資料」或「敏感資料」，你可以補充資料分類與存取分級：把資料分成公開／內部／機密等級，並按級別設定權限與加密，令保護更有針對性，也更容易解釋你如何降低風險。

例子

• 保密性：加密、存取控制、多重認證。
• 完整性：權限分離、審計、輸入驗證、版本控制。
• 可用性：備份、容錯、負載平衡、事故應變。

比較

「同一措施」可能同時影響多個 CIA：例如多重認證提升保密性（防止未授權登入），亦保護完整性（減少被冒用更改）；備份主要支援可用性，但也可幫助回復被竄改的資料。

常見錯誤

• 提出與情境無關的措施：例如題目問可用性卻只談加密。
• 忽略管理措施：例如沒有備份驗證，備份可能不能用。
• 只列名詞不解釋：答題要把「為何」說清楚（它如何降低風險）。

定義

防毒軟件的工作不是「靠運氣掃一掃」，而是用不同方法去判斷某檔案或行為是否可疑。常見三類偵測方法為：特徵碼（signature）、啟發式（heuristic）、以及行為監察（behavior monitoring）。

原理／運作

• 特徵碼：把已知惡意程式的「指紋」存入資料庫（例如特定位元序列/規律），掃描時比對。優點是快而準；缺點是對新變種、混淆或無檔案攻擊可能落後。
• 啟發式：用規則或模型判斷「像不像惡意程式」，例如可疑的程式結構、嘗試自我複製、異常修改系統設定等。優點是可抓到部分未知威脅；缺點是可能誤報。
• 行為監察：重點不只看檔案，而是看「正在做甚麼」：例如短時間大量加密檔案、嘗試讀取瀏覽器憑證、或不正常地注入其他程序。優點是能應對無檔案/即時攻擊；缺點是需要更完善的監控與資源，亦可能影響效能。

例子

• 已知病毒 → 特徵碼能快速攔截。
• 新型勒索軟體變種 → 行為監察可在「大量加密」時發出警報或阻止。
• 無檔案攻擊 → 可能需要行為監察與系統層偵測配合。

比較

三者不是「三選一」，而是互補：特徵碼處理已知威脅；啟發式與行為監察補足未知/變種。實務上，更新病毒庫與系統修補同樣重要：再好的偵測，若系統漏洞未補，仍可能被突破。

常見錯誤

• 以為裝了防毒就可隨便下載：防毒不保證 100% 防到新變種。
• 把誤報當作防毒「廢」：誤報是安全與便利的取捨，要學會核實與白名單管理。
• 忽略更新：防毒若不更新病毒庫與引擎，效能會明顯下降。

定義

防毒主要在端點層面偵測/清除惡意程式；防火牆（firewall 防火牆）主要在網絡層面控制進出流量。兩者處理的問題不同。

原理／運作

可以用一句話概括：防火牆管「能不能進出」；防毒管「進來的是不是有毒」。若你只靠其中一個，另一個盲點仍在：例如防火牆不能阻止你自己下載木馬並執行；防毒未必能阻止外部掃描或不必要服務暴露。

對比表（總結）

常見錯誤

• 把防火牆當作防毒：防火牆阻擋流量，不會自動清除已感染檔案。
• 把防毒當作防火牆：防毒不能替你封鎖不必要端口，也不能代你設計網絡規則。
• 忽略「可用性」取捨：防火牆封得太緊，會令正常服務不能用；封得太鬆，風險升高。

定義

身份認證（Authentication）是確認使用者身分；常見三類因素為：

• 你知道（Something you know）：密碼、個人識別號碼（PIN）。
• 你擁有（Something you have）：一次性密碼器、手機、智能卡、權標（token 令牌）。
• 你是誰（Something you are）：指紋、面容等生物特徵。

原理／運作

2FA/MFA的核心不是「多個步驟」，而是「多個不同因素」。例如密碼＋一次性密碼（你知道＋你擁有）能降低單一密碼外洩的風險；就算密碼被仿冒詐騙騙走，沒有第二因素也較難登入。

認證方式表（安全性比較）

比較

一般而言，多因素比單因素更安全；但要注意取捨：越安全可能越不方便。答題時可提到：對高風險操作（例如轉帳、更改密碼）使用更強認證；對低風險操作保持可用性。

常見錯誤

• 把「兩個密碼」當作 2FA：其實仍屬同一因素（你知道）。
• 把一次性密碼當作可分享：被騙走 OTP，就等同把第二把門匙交出去。
• 忽略備援與復原：裝置遺失時要有安全的帳戶復原流程。

定義

授權（Authorisation）是在「已確認身分」之後，決定該身分可做甚麼：可讀哪些資料、可否修改、可否刪除、可否管理其他帳戶等。

原理／運作

常見設計原則：

• 最小權限：只給完成工作所需的最低權限，減少誤操作與入侵後破壞力。
• 角色權限（RBAC）：按角色分配權限（例如學生/老師/管理員），方便管理與審核。
• 分權與審計：重要操作需多一步核准，並保留審計記錄（log）。

例子

• 學生可查看自己的成績，但不可更改任何人的成績。
• 一般職員可輸入資料，但刪除資料需主管權限。

比較

身份認證強化的是「誰可以進來」；授權強化的是「進來後能做甚麼」。很多事故不是「有人成功登入」，而是「登入後權限太大」。因此答題時，若題目涉及資料被竄改/誤刪，授權設計常是關鍵。

常見錯誤

• 只談登入，不談權限：題目問完整性或誤刪，往往要提最小權限與審計。
• 長期使用管理員帳戶做日常工作：一旦帳戶被盜，後果更嚴重。
• 沒有審計：出事後難以追查「誰做了甚麼」。

定義

防火牆（firewall 防火牆）是一種控制網絡流量的機制：根據規則決定某連線應「允許」或「拒絕」。它可以部署在網絡邊界（保護整個網絡）或個別主機（保護單一裝置）。

原理／運作

防火牆的核心是「最少開放」：只允許必要的通訊。例如一般用戶上網需要 DNS（解析域名）與 HTTPS（安全網頁），但不需要讓外部互聯網直接連到內部電腦的管理端口。規則通常由上至下匹配：第一條匹配到的規則決定結果，因此規則順序可能影響安全與可用性。

例子

• 允許出站 DNS（53）與 HTTPS（443）→ 保持基本上網功能。
• 拒絕入站不必要端口 → 減少外部掃描與入侵機會。
• 只允許特定管理網段進行遠端管理 → 兼顧管理需要與風險。

比較

防火牆較偏向「網絡邊界控制」；授權較偏向「系統內部權限控制」。兩者都在做「限制」，但層面不同。答題時若題目問「如何減少外部入侵」，防火牆通常是合理措施之一；若題目問「防止內部濫權/誤刪」，授權與審計更重要。

常見錯誤

• 把所有流量一刀切封鎖：安全提高但可用性崩潰；要按需要開放。
• 規則過於寬鬆（如允許所有入站）：「方便」會帶來巨大風險。
• 不留日誌：出事後難以追查與改進規則。

定義

「取捨」是防火牆題目常考重點：你要解釋為何要封某些端口、為何要開某些服務，以及如何減少開放帶來的風險。

原理／運作

一個可用的答題套路是：先列「必要服務」（例如上網、電郵、校內資源），再列「高風險暴露」（例如不必要管理介面外露），最後提出折衷：只向需要的人/網段開放、加上身份認證、多重認證與監控。

若你想答案更完整，可以再加兩句：採用預設拒絕（default deny），再逐項開放必要服務；同時保留日誌（log）並定期檢視規則，避免「開咗就永遠唔關」的累積風險。

例子

• 如果要提供校園網站服務：需要開放 443（HTTPS）給外部，但要配合更新、WAF、監控、備援。
• 如果要遠端管理：不應對全世界開放；應限制來源、使用強認證與審計。

比較

防火牆的「可用性」與 DoS/DDoS 的「可用性」同一概念：你既要防外部攻擊，也要讓合法用戶能用。好規則的特徵不是「封得最緊」，而是「在需求下封得合理」。

常見錯誤

• 只寫「關閉所有端口」：答題要顧及正常服務。
• 只寫「開放所有端口方便使用」：等同放棄邊界防護。
• 忽略規則順序：廣泛允許規則放在前面，會令後面的拒絕規則失效。

定義

Wi‑Fi 安全關心兩件事：連線是否加密（避免被竊聽）與網絡是否可信（避免連到假熱點）。家用路由器設定與公共 Wi‑Fi 使用習慣同樣重要。

原理／運作

在家用環境，使用現代加密（如 WPA2/WPA3）與強密碼能提升保密性；更改預設管理密碼與更新韌體能降低被入侵與被接管風險。分開訪客網絡，可隔離陌生裝置，減少感染擴散。

在公共環境，最大的風險是你難以確認網絡身份。就算 Wi‑Fi 有密碼，仍可能出現同名假熱點。HTTPS 與證書提示能幫助你確認網站身分；VPN 能提升傳輸通道保密性，但仍不能取代你核對網站域名。

例子

• 家中路由器沿用預設管理密碼 → 容易被接管，進而監看或改動設定。
• 咖啡店 Wi‑Fi 上登入重要帳戶 → 可能遇到竊聽或 MITM。

比較

「設定」偏向預防（減少入口）；「使用習慣」偏向降低暴露面（減少在高風險環境輸入敏感資料）。兩者互補。

常見錯誤

• 以為「有 Wi‑Fi 密碼」就安全：假熱點仍可能存在。
• 忽略路由器更新：路由器也是電腦，有漏洞亦需修補。
• 把 VPN 當萬能：VPN 不能替你辨認假網站或阻止你交出密碼。

定義

TLS（Transport Layer Security）是一種通訊加密協議，用於在客戶端（例如瀏覽器）與伺服器之間建立安全通道。數碼證書則用來證明某個公開密碼匙（公鑰）屬於某個域名/機構。

原理／運作

在簡化理解下，TLS 主要完成兩件事：

• 加密：令傳輸內容較難被竊聽（保密性）。
• 完整性：令傳輸內容較難被中途竄改而不被察覺。

但要做到「對的是那個網站」，就需要證書：網站把證書交給瀏覽器，瀏覽器用內建的受信任 CA 列表驗證簽章，確認「此公鑰屬於該域名」。若證書不可信或域名不匹配，瀏覽器便會警告你，提醒可能存在 MITM 或假網站風險。

例子

• 你連到銀行網站，瀏覽器顯示鎖頭 → 表示你的通道加密，且證書驗證通過（但仍要核對域名）。
• 你看到「證書有問題」警告 → 可能是你連到假網站或被中間人攔截；此時不應輸入敏感資料。

比較

加密解決「內容被偷看」；證書主要協助解決「對方是誰」。兩者缺一不可：只有加密但對方是騙徒，你仍會把資料安全地送給騙徒。

常見錯誤

• 把鎖頭當作「網站一定安全」：鎖頭只表示通訊安全，不能保證網站不會濫用資料。
• 忽略域名：仿冒網站可以申請到某些證書，但域名仍不同。
• 遇到警告仍繼續：這是最常見且高風險的習慣。

定義

虛擬私有網絡（VPN；亦稱虛擬專用網絡）在公共網絡上建立加密通道；代理伺服器（proxy server；代理伺服器）則代用戶向外部網站發送請求。兩者可用於管理、過濾或保護連線。

原理／運作

VPN 可以把你到 VPN 伺服器之間的流量加密，降低同一 Wi‑Fi 被竊聽的風險；代理伺服器可作快取、內容控制、或集中管理。要注意：VPN/代理並不自動取代 TLS。最佳做法仍是：網站用 TLS（HTTPS），網絡上再視情況加 VPN，形成分層防護。

例子

• 學校網絡用代理伺服器記錄與過濾網站。
• 在外地連回校內系統：VPN 可提供較安全的遠端通道。

比較

TLS 保護「你 ↔ 目標網站」；VPN 保護「你 ↔ VPN 伺服器」；代理可能只改變你對外的出口。它們可以一起用，但仍需考慮信任：你把流量交給誰？對方是否可信？是否有清晰政策？

常見錯誤

• 把 VPN 當匿名工具：VPN 主要是加密通道，匿名性視乎情況與服務政策。
• 以為代理一定加密：代理未必提供端到端加密，安全取決於配置。
• 忽略假網站：VPN/代理都不能替你辨認仿冒域名。

定義

風險式／自適應認證（Adaptive Authentication）是一種把「風險」納入登入流程的設計：系統會根據登入情境評估風險，然後動態選擇是否需要額外驗證（例如要求一次性密碼、再做生物特徵、或暫時鎖定）。

原理／運作

常見風險訊號包括：登入位置突然改變、使用新裝置、IP/網絡異常、登入時間不尋常、輸入節奏與過往差異、短時間多次失敗等。低風險情況可讓用戶更順暢；高風險情況則提高門檻。這等於把 MFA「用在刀口上」，兼顧安全與可用性。

例子

• 你平日只在香港用手機登入；某次在海外新電腦登入 → 系統要求額外驗證。
• 短時間多次輸錯密碼 → 系統要求 CAPTCHA 或暫時鎖定。

比較

固定 MFA 是「每次都多一步」；自適應 MFA 是「有需要時才多一步」。它更貼近風險管理思維：把資源集中在高風險事件上。

常見錯誤

• 以為自適應一定準：風險模型可能誤判，需要備援與人工復原。
• 忽略私隱：收集風險訊號要有透明政策與最少收集原則。
• 只談技術不談流程：誤判時要有清晰申訴/復原途徑。

定義

區塊鏈（Blockchain）是一種分散式帳本技術：資料被分成一個個區塊，每個區塊記錄自身資料與前一區塊的雜湊值，形成鏈狀結構。其設計目標之一，是提高資料完整性與可追溯性。

原理／運作

雜湊（hash）像資料指紋：資料改一點，雜湊就大變。當每個區塊都包含前一區塊的雜湊，若有人想改歷史資料，就必須同時重算後面所有區塊的雜湊，並說服多數節點接受改動（共識）。因此，區塊鏈的「難篡改」不只靠雜湊，而是靠多方共同維護的共識機制。

例子

• 分散式記錄交易：多方同時保存副本，避免單點被私改。
• 追溯紀錄：透過鏈式結構把修改痕跡串起來。

比較

傳統資料庫由單一機構管理，效率高但需要信任管理者；區塊鏈以分散副本與共識換取較強的完整性保障，但成本更高、效率可能較低。答題時可提到：區塊鏈不是所有情境都需要，重點在「是否需要去中心化的信任」。

常見錯誤

• 以為有區塊鏈就完全安全：它主要解決完整性與可追溯，並不自動解決私人密碼匙（私鑰）被盜或應用漏洞。
• 只談雜湊不談共識：沒有共識，多副本仍可被單點改動。
• 把區塊鏈當作萬能資料庫：需要考慮效率、成本與需求。