中評社北京11月7日電/據大公報報導,記者陳煒琛報導:辦公室數字政策專員黃志光近日透露本月將會在香港資訊科技學院青衣校園舉行首次“香港網絡安全攻防演練”,並以點到為止原則開展演練。黃志光表示舉行“香港網絡安全攻防演練”的目標是希望參與的政府部門和公營機構可以通過以實兵、實網、實戰的攻防演練盡量尋找其資訊系統的安全漏洞及測試應變措施。
9部門3機構組防守隊
“香港網絡安全攻防演練”由數字政策辦公室主辦、香港警務處網絡安全及科技罪案調查科、香港互聯網註冊管理有限公司及香港資訊科技學院協辦。副數字政策專員張宜偉表示本次演練的核心原則是點到為止,以不影響公共服務、不影響或更改系統的資料和配置為大前提,演練平台將會全程記錄以確保攻擊合規。
演練角色有五隊攻擊隊(紅隊)、12隊防守隊(藍隊)和裁判。其中紅隊由科研機構、專上院校及早前“網絡攻防精英培訓暨攻防大賽”優勝隊伍組成,透過嚴格可控的虛擬演練平台(靶場),向指定資訊系統發動模擬真實網絡攻擊。藍方由九個政府部門和三間公共機構組成,黃志光表示為了保證真實性和演練能順利進行不會公開藍隊的具體參與部門。張宜偉透露紅隊每隊將會由四至六人組成,藍隊每隊有上十人或十幾人,裁判則有十多人。
本次演練為期三日兩夜連續進行60小時,張宜偉表示60小時是結合內地網絡安全攻防演練的經驗以及考慮到平衡紅藍雙方之間投入的資源而確定的時長。黃志光指出數字辦期望以後每年可以至少開展一次攻防演練,也鼓勵某些部門開展一些小規模、集中針對自己部門的攻防演練,屆時數字辦將會提供一定的技術指引與配套支持,希望通過此舉可以將其慢慢擴展至整個網絡讓更多的部門、系統與公共機構可以參與。
香港網絡安全事故協調中心過去一年共處理10583宗保安事故,與上年度同期比較上升約39%。黃志光表示明年開始數字辦將會增加主動巡查次數。現在正搜羅某些部門的一些面向公眾的大型系統資料,後續在征得部門同意的情況下,數字辦會參考資料數據安排一些網站漏洞掃描或進行入侵偵查但與演練的真攻擊不同。黃志光說目前面向公眾的、具有較高風險的系統大概超過100個,分布於80幾個政府部門內,他希望通過主動的、不定期或以突擊的形式掃描某些系統漏洞,定期通報部門讓其及時加強、修補以提升香港的整體網絡安全水準。 |
