數碼宇宙守護者 | 香港中學網絡安全教學指南 2026 

在這個 AI 時代，網絡安全威脅日益增加。根據最新的網絡安全研究，新一代的人工智能漏洞可能對我們日常使用的軟件造成重大影響。¹ 作為香港的教育工作者，我們有責任透過完善的網絡安全教案，教導學生如何保護自身的網絡安全，建立良好的數碼習慣。本指南旨在為香港中學提供一套實用的網絡安全教材，協助學生了解並實踐數碼公民教育的重要性。 

一、為何網絡安全如此重要？ 

網絡安全並非專屬於成年人的議題。隨著越來越多香港中學生透過互聯網學習、社交與娛樂，他們所面臨的網絡威脅也不斷增加。² 個人資料保護意識不足，令學生更容易成為攻擊目標。黑客可以透過以下方式危害學生： 

• 盜取個人資訊： 竊取學生的身份資料、學號或銀行資訊，造成嚴重後果。 
• 帳戶被駭： 未經授權訪問社交媒體、電郵或遊戲帳戶 
• 詐騙與勒索： 透過虛假信息或威脅進行詐騙 
• 惡意軟件病毒： 下載受感染的文件或軟件，導致設備受損 
• 深度偽造（Deepfake）攻擊： 利用人工智能生成的虛假音頻或影片進行詐騙 

因此，將防詐騙教育與網絡安全知識有系統地納入香港中學課程，已成為本地及國際教育政策中的重要方向。³ 

二、軟件更新：第一道防線 

為何需要更新軟件？ 

隨著新一代 AI 技術的發展，研究人員已能更高效地在主流作業系統及瀏覽器中識別高危漏洞，促使軟件供應商須持續推出安全更新，以修補相關保安缺口。 

網絡安全專家指出，若用戶延遲安裝更新，黑客可藉此分析修補／更新內容、推算出漏洞所在，繼而針對尚未完成更新的系統發動攻擊。因此，及時更新軟件是降低被入侵風險的最有效措施之一。從個人防護角度來看，「軟件更新」有時會加入新功能或介面，但真正關鍵是它們會修補已知弱點，減低裝置被惡意程式入侵或被未授權人士控制的風險，因此被視為最基本、但往往被忽視的網絡衞生步驟之一。⁴ 

教導學生的重點： 

解釋延遲更新的危險：黑客會分析軟件更新內容，透過逆向工程找出漏洞所在，繼而針對未有更新的設備發動攻擊。因此，越早更新軟件，越能降低被駭的風險。 

設定自動更新： 

• 教導學生在手機、平板電腦及電腦上設定自動更新 
• 尤其要優先更新作業系統（如 iOS、Android、Windows）及瀏覽器（如 Chrome、Safari） 
• 提醒學生留意需要手動確認的更新提示，切勿忽視 

實踐建議： 

• 每週檢查一次設備是否有待更新的軟件 
• 不應延遲更新，即使需要重新啟動設備，亦應立即執行 
• 教導學生明白更新是保護自身安全的重要步驟 

三、了解設備的「生命週期」 

設備過時的風險 

多個國際公共機構和網絡安全組織都指出，所有裝置和軟件都有有限的支援期，一旦超過「支援終止」（End‑of‑Life, EoL）日期，供應商便不再提供安全更新或修補程式。⁵ 英國國家網絡安全中心（NCSC）就強調，過時產品不再獲得修補，已知弱點會長期維持在可被利用狀態，因此理想情況是完全停止使用這些過時技術。⁶ 

識別設備的支援期限： 

• 教導學生如何用 https://endoflife.date/ 查閱常用裝置（例如手機、平板或作業系統版本）的支援年期 

（例如：iPhone XR 的支援期已於 2026 年 4 月屆滿，此後不再提供安全支援 ⁷） 

實踐建議： 

• 定期查看自己設備的支援狀態 
• 若設備已超出支援期，應考慮更換新設備 
• 切勿繼續使用已停止支援的設備進行重要操作（如網上銀行、社交媒體登入） 

四、密碼安全：保護帳戶的關鍵 

密碼安全的重要性 

國際調查持續顯示，大量帳戶入侵與弱密碼、密碼重用及憑證外洩有直接關係，黑客常透過自動化工具嘗試在多個平台重用同一組帳密（credential stuffing）。⁸ 對香港中學生而言，建立良好的密碼安全意識，是數碼公民教育的基本要求。 

建立強密碼的原則： 

• 密碼應足夠長且複雜（最少 12 個字符） 
• 包含大寫字母、小寫字母、數字及特殊符號 
• 每個帳戶均應設有獨立密碼，不可重複使用 
• 避免包含容易猜測的資訊（如生日、喜好、姓名或學號） 
  

使用密碼管理器： 

• 建議學生使用密碼管理器（如 Roboform、NordPass、Google Password Manager 或設備內置的 Passkey） 

實踐建議： 

• 教導學生如何設定密碼管理器 
• 定期檢查帳戶，刪除不再使用的帳戶 
• 若懷疑密碼已外洩，應立即更改 

五、多重驗證（MFA）：雙重保護 

什麼是多重驗證？ 

多重驗證是一種安全機制，登入時除了輸入密碼，還需要完成額外的身份確認步驟（例如輸入手機收到的驗證碼），確保即使黑客取得用戶密碼，亦無法成功登入。常見的多重驗證方式包括一次性驗證碼、硬件安全金鑰及生物識別（例如指紋或面容辨識），其中硬件安全金鑰及 Passkeys 被視為最能防範釣魚攻擊的方法。⁹ 

多重驗證／更安全登入方式（由安全到方便排序） :

• 最推薦：Passkeys（通行密鑰）（最能防釣魚及「假登入頁」攔截） 
• 次選：應用程式認證（Authenticator app，例如 Google Authenticator、Microsoft Authenticator）（會產生一次性驗證碼 OTP） 
• 需留意風險：短訊驗證碼（SMS OTP）（相對較易受 SIM 卡置換（SIM Swap）／短訊攔截等風險影響） 

實踐建議： 

• 教導學生為所有重要帳戶（如電郵、社交媒體、遊戲帳戶）啟用多重驗證 
• 優先使用應用程式認證，而非短訊驗證碼（安全性更高） 
• 妥善保存備用驗證碼，以防手機遺失 
• 最推薦：Passkeys （最防釣魚） 
• 次選：Authenticator app（TOTP） 
• 需留意風險：SMS 驗證碼（較易被攔截／SIM 卡置換） 

六、Passkeys：新一代登入方式 

什麼是 Passkeys？ 

Passkeys 是比密碼更安全的新型登入方式。用戶在註冊時，會將 Passkey 與合法網站綁定，並儲存於裝置或密碼管理器中。日後系統便會自動確認網站身份是否相符——若遇上釣魚網站，由於網域不匹配，Passkey 根本無法使用，因此不會被假登入頁面欺騙。 

Passkeys 的優勢： 

• 無法被釣魚攻擊（假網站）欺騙 
• 比密碼更方便快捷 
• 自動取代密碼及多重驗證 
• 越來越多服務支援（如 Google、Facebook、Microsoft 等） 
  

實踐建議： 

• 教導學生如何設定 Passkeys 
• 當網站或應用程式提供設定 Passkeys 的選項時，鼓勵學生選擇啟用 
• 優先為重要帳戶設定 Passkeys 

七、識別與避免釣魚攻擊 

什麼是釣魚攻擊？ 

釣魚攻擊是指黑客透過虛假電郵、短訊或網站，誘騙用戶洩露個人資訊或點擊惡意連結。¹⁰ 防詐騙教育的核心，正是教導學生識別這類攻擊手法。對香港中學生而言，掌握辨別釣魚攻擊的技能，是保護個人資料的第一步。 

如何教學生識別釣魚郵件？ 

識別釣魚郵件的跡象： 

• 要求立即採取行動或提供個人資訊 
• 來自陌生發件人或冒充知名機構 
• 包含可疑連結或附件 
• 語法錯誤或排版不當 
  

實踐建議： 

• 教導學生不要點擊可疑電郵中的連結 
• 若懷疑是釣魚郵件，應直接刪除或向資訊安全部門舉報 
• 核實發件人身份，尤其是當郵件要求提供個人資訊時 
• 不要下載來自不明來源的附件 

八、避免惡意軟件與不安全的下載 

惡意軟件的風險 

惡意軟件可透過多種途徑感染設備，包括下載盜版軟件、免費遊戲外掛或來自不明網站的文件。¹¹  

安全下載的原則： 

• 只從官方應用商店（如 App Store、Google Play）下載應用程式 
• 避免下載盜版軟件或遊戲 
• 不要下載免費遊戲外掛或作弊程式 
• 對來自陌生網站的下載保持警惕 
  

實踐建議： 

• 教導學生查看應用程式的評分與下載次數 
• 安裝信譽良好的防病毒軟件 
• 定期掃描設備，檢查是否存在惡意軟件 

九、深度偽造（Deepfake）與社交工程攻擊 

新興威脅：人工智能生成的虛假內容 

香港政府在立法會文件中曾指出，本港已錄得騙徒利用 deepfake 技術合成極度逼真的視像和聲線，冒充公司高層指示員工轉帳約 2 億港元的個案，反映社會對不法之徒以 AI 生成面貌及聲線行騙的憂慮日益上升。¹² 在香港中學的防詐騙教育中，深度偽造攻擊是近年不可忽視的重要課題。 

識別深度偽造的跡象： 

• 音頻或影片質量異常（如口型不同步） 
• 要求立即採取行動或提供金錢 
• 聲稱有緊急情況需要幫助 
  

實踐建議： 

• 教導學生不要在社交媒體上過度分享個人資訊 
• 若接到可疑電話或訊息，應要求核實對方身份 
• 與家人建立「暗語」或「代碼詞」，作為身份驗證的方法 
• 遇到可疑情況，應立即聯絡家長或老師 

十、家庭暗語策略：保護家人 

建立家庭暗語 

建議家庭成員共同建立一個秘密暗語或代碼詞。當家人來電時，若對方無法說出暗語，則可能是詐騙電話。 

暗語的選擇： 

• 選擇一個只有家庭成員知道的詞語（如：家族獨有的共同回憶等） 
• 確保所有家庭成員都能記住這個暗語 
• 定期更新暗語，提升安全性 
  

實踐建議： 

• 教導學生若接到聲稱是家人的電話或訊息，應要求對方說出暗語 
• 若對方無法說出暗語，應立即掛斷並報警 
• 與家人共同討論此策略，確保所有人都理解並執行 

十一、學校層面的網絡安全教育 

課堂教學建議（可配合線上自學課程） 

制定完善的網絡安全教學計劃，是香港中學推動數碼公民教育的重要基礎。教師可善用現成的網絡安全線上自學課程及本地教學資源，將相關內容有系統地融入課程之中。 

融入課程 

• 在資訊科技、電腦科學、STEM 或數碼公民課程中安排網絡安全單元，結合影片、案例與實作活動。 
• 善用本地機構提供的網絡安全線上自學課程，例如 SEED Foundation 的數碼宇宙守護者 Dataverse 2026 網上課程（seedfoundation.hk/dataverse/2026/），讓學生以自學＋課堂延伸活動的方式，循序掌握密碼安全、釣魚攻擊、防騙與個人資料保護等核心概念。 
• 邀請網絡安全專家或相關機構代表到校舉辦講座或工作坊，分享最新科技罪案及防範方法，配合課程內容加深學生印象。 
• 設計模擬釣魚攻擊電郵或訊息演習，讓學生在安全環境下練習辨別可疑元素，鞏固線上課程所學。 

網絡安全教學活動 

• 要求學生完成網絡安全工作紙或線上任務，例如檢查及改善個人裝置的安全設定（更新、密碼、MFA 等），並在課堂分享反思。 
• 結合線上課程內容，舉辦「密碼安全強度檢查」或「帳戶安全檢視」活動，讓學生實際運用強密碼與密碼管理器的技巧。 
• 舉辦「網絡安全知識競賽」或短片／Reels 創作比賽，鼓勵學生把在「數碼宇宙守護者」等課程中學到的防騙訊息，用同輩語言重新演繹，擴散至同學及家長社群。 

家校合作 

• 透過學校通訊、家長日或網上平台，向家長分享簡明的網絡安全提示，並介紹學生正參與的網絡安全自學課程內容，讓家長知道可以如何在家延伸討論。 
• 舉辦家長工作坊或簡介會，示範常見網上詐騙手法（包括 deepfake、釣魚及手機惡意程式），以及如何與子女一起訂立家庭網上安全守則。 
• 制定及定期檢討學校網絡安全及裝置使用政策，確保與最新的教育局指引及本地網絡安全建議一致，並與家長保持溝通，形成家校合作的保護網。 

十二、總結：建立網絡安全文化 

網絡安全並非一次性的任務，而是一種生活習慣。透過系統性的網絡安全教案與網絡安全教學計劃，我們可以協助香港中學生建立安全的數碼生活： 

• 定期更新軟件： 保持設備更新，修復安全漏洞 
• 密碼安全與密碼管理器： 保護帳戶免受黑客攻擊 
• 啟用多重驗證： 增強帳戶安全性 
• 識別釣魚攻擊： 防詐騙教育的核心技能 
• 個人資料保護： 只從安全來源下載，謹慎分享個人資訊 
• 警惕深度偽造： 了解人工智能生成內容的風險 
• 建立家庭暗語： 保護家人免受詐騙 

透過這些步驟，學生可以在數碼世界中保護自己，成為負責任的數碼公民。 

資源推薦 

• 密碼管理器(消委會評測建議)¹³： Roboform、NordPass、Google Password Manager 
• 防病毒軟件(消委會評測建議)¹⁴： Avira Internet Security、Norton360、McAfee 
• 認證應用程式： Google Authenticator、Microsoft Authenticator 

結語 

在這個數碼時代，網絡安全教育是培養香港中學生負責任地使用科技的關鍵。透過完善的網絡安全教案與數碼公民教育，我們可以協助學生在虛擬世界中安全地成長與學習。希望這份指南能協助教育工作者與家長，更有效地推動香港中學的網絡安全教育，為下一代建立更安全的數碼環境。 

_{資料來源： 
1. https://www.pcpd.org.hk/sc_chi/whatsnew/files/20240603_ppt.pdf}  

_{2. https://www.edb.gov.hk/en/curriculum-development/kla/technology-edu/resources/cyber-security/resources.html}  

_{3. https://www.edb.gov.hk/attachment/en/curriculum-development/4-key-tasks/moral-civic/nse/nse2025_subject_framework_tejstekla_en.pdf}  

_{4. https://www.wsj.com/tech/personal-tech/anthropic-mythos-security-software-updates-573cc9b3?eafs_enabled=false} 

_{5. https://assets.publishing.service.gov.uk/media/5a758829e5274a545822c3e7/Obsolete_platforms_guidance.pdf} 

_{6. https://www.ncsc.gov.uk/collection/device-security-guidance/managing-deployed-devices/obsolete-products} 

_{7. https://endoflife.date/iphone} 

_{8. https://www.verizon.com/business/resources/articles/credential-stuffing-attacks-2025-dbir-research/}  

_{9. https://www.idmanagement.gov/playbooks/altauthn/}  

_{10. https://www.infosec.gov.hk/tc/knowledge-centre/phishing}  

_{11. https://www.hkcert.org/tc/publications/fight-ransomware}  

_{12. https://www.info.gov.hk/gia/general/202406/26/P2024062600193.htm?fontSize=1} 

_{13. https://www.hk01.com/%E6%95%B8%E7%A2%BC%E7%94%9F%E6%B4%BB/60229774/%E6%B6%88%E5%A7%94%E6%9C%8316%E6%AC%BE%E5%AF%86%E7%A2%BC%E7%AE%A1%E7%90%86%E5%B7%A5%E5%85%B7%E6%B8%AC%E8%A9%A6-%E4%B8%80%E6%AC%BE%E5%8A%9F%E8%83%BD%E7%8D%B2%E6%BB%BF%E5%88%86-%E5%85%8D%E8%B2%BBapp%E9%83%BD%E6%9C%89%E5%A5%BD%E5%98%A2} 

_{14. https://www.hk01.com/%E6%95%B8%E7%A2%BC%E7%94%9F%E6%B4%BB/60248109/%E6%B6%88%E5%A7%94%E6%9C%8323%E6%AC%BE%E5%85%8D%E8%B2%BB%E6%94%B6%E8%B2%BB%E7%B6%B2%E7%B5%A1%E5%AE%89%E5%85%A8%E8%BB%9F%E4%BB%B6%E8%A9%95%E6%B8%AC-%E5%85%8D%E8%B2%BBavira%E8%A1%A8%E7%8F%BE%E5%8B%9D%E6%94%B6%E8%B2%BB%E8%BB%9F%E4%BB%B6}