重要演辭及資料



立法會六題:資訊保安管理

以下為今日(五月七日)立法會會議上莫乃光議員的提問和商務及經濟發展局局長蘇錦樑的書面答覆:

問題:

據報,OpenSSL數據加密技術被電子網絡系統廣泛採用,而該技術於二○一二年三月十四日推出的1.0.1版本最近被發現含有名為Heartbleed的保安漏洞。黑客可藉該漏洞竊取網站伺服器的經加密資料(包括金鑰加密資料、用戶名稱及密碼、個人財務資料、通訊內容等),甚至可破解防火牆等其他網絡保安措施。就此,政府可否告知本會:

(一)現時採用OpenSSL數據加密技術的政府(i)內部應用系統及(ii)電子公共服務,以及當中哪些曾經或仍然使用該加密技術的1.0.1版本;

(二)有否針對上述的程式漏洞採取網絡保安措施,以減低資料外洩的風險;若有,詳情為何;有否暫停採用OpenSSL數據加密技術和有關的電子公共服務,或轉用其他加密技術;若有,詳情為何;若否,原因為何;

(三)有否評估上述的程式漏洞對本港網絡安全造成的影響,包括(i)金融業以外哪些行業會受到嚴重影響、(ii)該等行業受影響的程度、(iii)該等行業的資訊科技人員是否知悉有關影響,以及(iv)該等人員是否掌握排除相關風險的技術;

(四)有否評估上述的保安漏洞對電子商貿的影響;若有,詳情為何;會否向使用電子商貿平台的商戶提供協助或資助業界提升網絡安全;及

(五)當局至今有否收到私人公司關於上述程式漏洞的求助個案;若有,求助公司的背景為何,以及當局向他們提供甚麼協助?

答覆:

主席:

政府已採用國際資訊保安管理標準及先進的保安技術以保障政府網絡、應用系統及電子政府服務。在網絡保安方面,政府應用系統一般採用通用的保密插口層(Secure Sockets Layer)(SSL)網絡保安規約,為網絡通訊進行加密,以保護資料在傳送過程中的機密性及完整性。OpenSSL是其中一種實施SSL網絡保安規約的加密技術。就問題的五個部分,當局的回覆如下:

(一)政府曾有約90個應用系統使用 OpenSSL 1.0.1 版的加密技術,其中85個是供政府內部應用的系統,包括管理控制台和虛擬私有網絡。其餘五個是向市民提供電子服務的系統,包括入門網站和提交申請的電子系統。所有受影響的系統都已完成下文答覆第二部分所述的修復工作。

(二)對於受到 Heartbleed 漏洞影響的應用系統,有關部門已在得悉問題後即時採取適當保安措施,包括安裝修補程式、安排更新電子證書和密碼匙,以及按需要提醒其用戶更新密碼。各部門已就是次保安漏洞的風險及其影響進行評估,基於該漏洞於短時間內被堵塞,因此沒有需要暫停相關服務或轉用其他加密技術。

(三)政府資訊科技總監辦公室在收到有關Heartbleed漏洞的資訊後,已即時要求各部門對受影響系統作出風險評估,並採取相應的修補行動,所以是次保安事故對政府服務並未造成任何影響。我們亦在資訊安全網(www.infosec.gov.hk)發放有關保安公告,以及透過「香港政府通知你」,將有關資訊發放予已登記接收有關信息的用戶。

此外,香港電腦保安事故協調中心和香港警務處亦透過電郵知會相關持份者有關Heartbleed漏洞的資訊、其影響及應對措施。香港金融管理局(金管局)亦已要求所有銀行檢視相關的服務。根據金管局的調查,所有本地零售銀行服務都不受影響。基於我們收到的信息,是次保安事故對本港網絡安全影響不大。

排除相關風險的措施,包括檢測系統是否存在漏洞,以及安裝由系統供應商提供的修補程式。資訊科技人員可參照保安公告所提供的程序,按照步驟實施解決方案,相關的技術並不難掌握。

(四)電子商貿平台的營運商,一般都有採取適當保安措施去管理資訊保安及維護網絡安全,以提供一個安全環境進行電子商貿活動。根據資料顯示,是次保安事故對一般商戶和市民常用的電子商貿平台,並未造成嚴重影響,因為有關營運商已針對漏洞進行系統檢查並實施應對措施。例如淘寶網表示已完成所需的修補;而亞馬遜(Amazon)、電子灣(eBay)、貝寶國際(PayPal)和支付寶等則表示其購物網站不受影響。

在提升網絡安全方面,公眾教育非常重要。政府資訊科技總監辦公室一直與香港電腦保安事故協調中心和其他業界組織緊密合作,為各界安排保安認知活動,推動公眾提升對資訊保安的認知和知識。市民或企業如遇到保安事故或在網絡保安方面需要支援,可聯絡香港電腦保安事故協調中心尋求協助。現時我們沒有計劃資助業界提升他們的網絡安全。

(五)至今,香港電腦保安事故協調中心和香港警務處並未收到有關Heartbleed保安事故的報告或求助要求。我們會繼續監察事故的發展,香港電腦保安事故協調中心如收到查詢或事故報告,會向求助者就資訊科技保安事宜提供建議及支援,協助他們堵塞漏洞和防禦電腦保安威脅。

2014年5月7日(星期三)
香港時間15時17分