SCC「網絡安全」系列講堂總結

由智慧城市聯盟舉辦的「網絡安全」系列講堂共五堂，分別於2025年的6月、8月丶9月丶11月及2026年1月舉行。活動獲政府創新科技署創新及科技基金一般支援計劃資助，及香港電商協會贊助，香港軟件行業協會和香港資訊科技聯會為支持機構。

第一堂「如何有效地保護您的業務防禦遭勒索軟件攻擊」由張德慶先生 (資訊系統審計和控制協會澳門分會主席丶雲安全聯盟香港及澳門分會副主席)主講，講堂深入講述勒索軟件的運作原理、各種主要勒索軟體件及其攻擊方式，分享多宗相關事故案例，並提供實用的預防和應對措施，幫助中小企業保護其數據和系統，防禦攻擊。

第二堂「人工智能時代的網絡安全挑戰」由駱佩傑先生 (國際信息系統審計協會中國香港分會委員及香港I.T.人協會理事)主講，駱先生指出，隨著AI技術迅速發展，其在威脅偵測、行為分析及自動化應變方面展現出強大潛力。但同時亦面臨如提示詞注入、數據中毒、模型竊取等新型安全威脅。他強調企業在導入AI時，必須採取全生命周期的安全管理策略，包括數據清洗、模型驗證、存取控制及持續監控。

第三堂「各個大型機構安全事故給中小企的啟示」由陳正文博士(香港信息安全學院教務長)主講，講堂深入分析多個大型機構遭遇的網絡攻擊案例，分析了黑客如何利用系統漏洞和人為疏忽而進行攻擊。他強調，中小企業必須加強資訊安全措施，如啟用多因素認證、定期進行系統更新和漏洞修補，並建立有效的供應鏈管理策略。他還提到員工的安全意識培訓至關重要，應提升員工對網絡威脅的識別能力。

第四堂「開源就等於安全嗎」由馬裕杰先生(審計、雲計算和軟件開發多元背景的網絡安全專家，香港無線科技商會執行會委員)主講，講堂討論在使用開源元件時需要考慮的關鍵安全因素。他說在現今高度依賴自動化與外部套件的開發環境中，任何「以為沒問題」的假設，都可能是漏洞入口。他提醒現在很多企業運行的核心技術，背後其實依賴著不同時區、志願者維護的第三方程式碼。這種看似浪漫的共享精神，實際上也放大了企業的風險暴露。他亦談到AI技術的供應鏈安全問題，尤其是模型檔案格式像Pickle具備可執行程式能力，若缺乏驗證與掃描流程，就可能讓惡意指令在企業環境中執行。平台與企業要主動檢查與治理，才能讓技術真正可持續、安全地發展。

第五堂「揭開安全測試盲點背後的真相」由陳正文博士 (香港信息安全學院教務長)主講，深入探討企業在安全測試中常見的四大盲點 — 機器的局限、地圖的範圍死角、人類的心智偏誤，以及合規性的鴻溝。網上攻擊，他建議防禦思維應從傳統的「漏洞尋找」進化至「實戰對抗」，詳細對比了漏洞掃描、安全審計、滲透測試（PT）與紅隊演練（Red Teaming）的差異，突顯「假設入侵」（Assume Breach）的重要性，企業要提升偵測速度與響應能力，建構更具韌性的網絡安全體系。

查詢請致電3480 4230或電郵 This email address is being protected from spambots. You need JavaScript enabled to view it. 與SCC秘書處聯絡。

在本刊物∕活動內(或由項目小組成員)表達的任何意見、研究成果、結論或建議，並不代表香港特別行政區政府、創新科技署或創新及科技基金一般支援計劃評審委員會的觀點。