香港互聯網註冊管理有限公司 (HKIRC) 近日發布全港首份《香港學校網絡安全指南》,揭示了教育界普遍面臨的嚴重保安漏洞。警方與網絡安全公司的最新數據指出,閒置 VPN 入口、弱密碼、可公開存取的資料庫及系統漏洞,已成為攻擊者的主要入侵途徑,導致勒索軟件攻擊和大規模師生個人資料外洩事故頻生。
四大主要威脅:勒索軟件攻擊最為嚴重
根據香港警務處網絡安全及科技罪案調查科的資料,勒索軟件攻擊、網站篡改、系統入侵及帳戶入侵,是現時學校面臨的四大主要威脅。網絡安全及科技罪案調查科警司許綺惠女士指出,勒索軟件攻擊的後果尤其嚴重。有案例顯示,攻擊者利用學校閒置的 VPN 入口和弱密碼設定等漏洞成功入侵系統,不但竊取大量學生及職員的個人資料,更導致教學平台服務癱瘓,甚至向校方勒索贖金。
驚人數據:逾萬組師生帳戶憑證外洩
羅兵咸永道 DarkLab 的專屬研究,更以具體數據揭示了問題的嚴重性。僅在 2025 年上半年,其開源情報調查就發現香港教育界有超過 11,484 個帳戶憑證,因感染資訊竊取惡意程式而外洩。調查也發現 299 個可被公眾存取的遠端服務端點、超過 30 個存在重大漏洞的系統,以及 260 個可被公開發現的資料庫,這些都為黑客提供了潛在的攻擊入口。
漏洞根源:資源不足與管理分散
學校之所以成為網絡攻擊的目標,其根本原因在於資源緊絀與管理架構複雜。資訊科技教育領袖協會主席黃健威先生分析,學校普遍預算有限,各校的網絡安全專業水平參差不齊,難以統一落實有效的保安政策。羅兵咸永道網絡安全服務合夥人顏國定先生也指出,學校的網絡架構因治理模式分散,加上使用者類型繁多(包括家長、學生、教職員及校友),管理難度極高,網絡安全資源投放不足令風險進一步加劇。
為應對上述漏洞,許綺惠警司建議學校採納「三支柱策略」來確保校園數碼環境安全。第一是「治理先行」,建立清晰的責任分工與合規監督機制;第二是「防護為本」,採用零信任理念,並推行多因素認證等強化措施;第三是「偵測與復原並重」,落實網絡分段管理與持續的威脅監察。她強調,網罪科會與學界緊密合作,協助學校提升防護能力。
免費支援與解決方案
為協助學校應對挑戰,新發布的《香港學校網絡安全指南》提供了即用式政策模版、事故應對流程及配置推薦清單,直接回應了弱密碼、系統設定不當等常見問題。同時,HKIRC 推出的「網絡防禦一站通 (Cybersec One)」平台,為學校提供免費的初步網絡安全風險評估、網站安全檢測及顧問服務,學校可透過網上表格登記,獲取專家協助以制定改善策略。指南的最新版本亦會透過「網絡安全資訊共享夥伴計劃」網上平台 (https://www.cybersechub.hk) 持續更新。