******************
以下為今日(三月十七日)在立法會會議上李國寶議員的提問和署理商務及經濟發展局局長蘇錦樑的書面答覆:
問題:
香港特區政府透過「數碼21」資訊科技策略積極推動數碼經濟,以及讓市民可更便捷使用政府服務。有意見認為,雖然此項政策方向受到市民歡迎,但近日有關非法入侵電腦的新聞報道令人關注連接互聯網的電腦網絡容易遭到破壞。就此,政府可否告知本會:
(一)過去三年曾制訂什麼程序,對付非法入侵電腦的活動,以及每隔多久檢討這些程序,以確保有關程序足以防禦不斷演化的黑客威脅;及
(二)過去兩年有否政府電腦成為非法入侵的目標?
答覆:
主席:
就李國寶議員的提問,本人的答覆如下:
(一)電腦和網絡一旦連接至開放的互聯網,便有潛在成為被他人企圖非法接達(俗稱非法入侵)的風險。政府已制訂全面的規例、指引和程序,供各局/部門遵行,盡量將風險減至最低,以及抵禦一旦受擊的可能。這些規例、指引和程序的內容涵蓋了有關資訊科技系統和電腦的開發、操作、使用和管理等一籃子措施。我們處理的方法是以「防禦、偵測、應變和復原」為主導原則。按此,各局/部門均須指派適當人員負責資訊科技保安管理工作,並制訂機制以檢討其資訊保安事故處理程序和有關設施。
各局/部門對付資訊保安受擊和非法入侵的具體措施包括:(i)遵守有關軟件資產管理的指引和良好作業模式;(ii)安裝防火牆、抗電腦病毒軟件、入侵偵測和防禦系統,以對付保安威脅;(iii)適時更新軟件系統及最新的病毒識別碼檔案,並移除惡意軟件;以及(iv)在關鍵資訊科技系統推出時進行嚴格的保安風險評估和審計,並在之後定期進行覆檢。
鑑於互聯網是開放和全球性的,要發展和維持安全的網上環境,需要政府、業界持份者、保安專家和全體市民通力合作。由政府資助成立的香港電腦保安事故協調中心負責接收保安事故報告,並協助社會各界防禦電腦保安威脅(包括電腦非法入侵),以及在遇到保安事故後提供所需的復原支援。該中心會定期與有關持份者進行演習,以確定他們在發生網上襲擊時的應變能力。
根據既定的資訊保安管理架構,我們會不時檢討和更新適當的保安防禦措施和程序,以緊貼日新月異的技術、新訂的標準和業界的良好作業模式,確保政府資訊科技基礎設施和連接到互聯網的系統裝置均維持高度保安水平。此外,各局/部門均須定期(至少每兩年一次)進行其資訊保安風險評估和檢討有關防禦措施。
(二)與所有連接至互聯網的電腦一樣,政府電腦也經常收到未經確認的接達要求。儘管並非所有這類要求均與非法入侵活動有關,但當中有部分卻可能帶有非法入侵的意圖。這類要求一般會被保護政府資訊科技系統的防火牆阻隔。
在過去兩年(二零零八年三月至二零一零年二月),各局/部門共報告了八宗有關非法入侵的事故。所有此等事故只影響網站伺服器,而沒有影響儲存了個人或敏感資料的系統。這些事故並沒有涉及資料外洩,我們也沒有接到事故對公眾構成不良影響的報告。有關方面已根據既定程序,糾正所有影響有關伺服器的問題,並加強有關伺服器的保安防禦功能。
完
2010年3月17日(星期三)
香港時間12時12分