立法會十五題：處理ＯｐｅｎＳＳＬ軟件的保安漏洞

立法會十五題：處理ＯｐｅｎＳＳＬ軟件的保安漏洞
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

　　以下為今日（五月二十一日）立法會會議上葛珮帆議員的提問和商務及經濟發展局局長蘇錦樑的書面答覆：

問題：

　　網絡系統一般採用通用的保密插口層（Secure Sockets Layer）（SSL）網絡保安規約，為網絡通訊進行加密，以保護資料在傳送過程中的機密性及完整性。OpenSSL Project是一個實施SSL網絡保安規約的開放原始碼的套件，而該套件可用於產生電子證書。OpenSSL官方網站在二○一四年四月七日發布公告，指OpenSSL 1.0.1版存在名為「心臟出血」（Heartbleed）的保安漏洞。有網絡安全專家指出，安裝了OpenSSL 1.0.1版的伺服器所產生的電子證書，將極容易受到攻擊或入侵，以致用戶名稱、密碼或其他敏感資料被竊取，因此有可能會造成全球性的網絡災難。此外，財政司司長在二○一四─二○一五年度的財政預算案中提出「研究為每名市民提供數碼身份證書，構建統一、通用和安全的平台」的措施。有資訊科技業界人士認為，推行有關政策時應確保相關加密技術的保安漏洞已被堵塞。就此，政府可否告知本會：

（一）有否調查上述保安漏洞有否導致政府的伺服器的任何資料外泄；若有資料外泄，是否已採取有效的補救措施；

（二）鑑於自上述保安漏洞公布後，據悉美國多間SSL技術服務供應商忙於為當地客戶採取相應的修補行動，而該等供應商大部分沒有在港設立辦事處，有否了解他們對本港客戶提供的支援是否足夠；有否要求他們主動向本港客戶提供相關資料及協助；

（三）有否成立專責小組負責處理及跟進上述安全漏洞所產生的問題，以及主動通知商界及中小型企業並向他們提供協助；若有，具體安排為何；若否，原因為何；

（四）有否估算上述安全漏洞對香港帶來多少經濟損失；若有，詳情為何；

（五）鑑於OpenSSL加密技術可用於產生電子證書，有否了解，除了香港郵政核證機關外，簽發本地使用的電子證書的服務供應商有否就上述安全漏洞提供解決方案，以及該等服務供應商所在的司法管轄區為何；及

（六）會制訂甚麼具體措施堵塞相關加密技術的保安漏洞及進一步加強網絡安全，以推動市民及商界使用數碼證書？

答覆：

主席：

　　政府非常重視資訊保安。我們根據國際資訊保安管理標準和採用先進的保安技術，以保護政府網絡、應用系統及電子政府服務。政府內部有既定的資訊保安管理架構及程序，處理所有資訊保安事宜，包括這次OpenSSL保安漏洞所產生的問題。就問題的六個部分，當局的回覆如下：

（一）根據現行機制，政府各局及部門在得悉OpenSSL的保安風險後已即時採取有效的保安措施，包括安裝修補程式、安排更新電子證書和密碼匙，以及按需要提醒其用戶更新密碼。所有受影響的政府系統都已於短時間內完成修復工作，我們沒有收到因該漏洞而導致資料外泄的報告。

（二）一般來說，產品客户可以透過其服務供應商取得系統相關資訊及支援服務。根據網上資料顯示，採用OpenSSL工具的各大系統供應商，例如戴爾公司（Dell）、思科系統（Cisco Systems）、惠普公司（Hewlett-Packard）、微軟公司（Microsoft）、國際商業機器（IBM）、瞻博網絡（Juniper Networks）、紅帽公司（RedHat）和威睿（VMWare）等已主動透過其網站或電郵向全球客戶提供有關資訊或修補程式。香港客戶亦可透過其在本港的經銷商、代理或合作夥伴，獲得相關資訊和支援。此外，政府資訊科技總監辦公室亦已即時在「資訊安全網」（www.infosec.gov.hk）向公眾發放有關保安公告，以及透過「香港政府通知你」將有關資訊發放予已登記接收有關信息的用戶。香港電腦保安事故協調中心（協調中心）和香港警務處亦透過電郵把有關這漏洞的資訊、影響及應對措施知會相關持份者。由於本地客戶已可從多個途徑知悉該漏洞並取得所需的協助，政府無須向個別供應商提出特別要求。

（三）根據政府既定程序，政府資訊科技總監辦公室、協調中心和香港警務處會攜手處理所有政府內部及公眾方面的資訊保安事宜。為了確保各局及部門知悉保安威脅的趨勢和迅速採取預防措施，政府資訊科技總監辦公室會按需要發出保安警報和有關資訊保安的催辦便箋，要求各局及部門作出適當的跟進。今次的漏洞問題及修復工作，亦是透過此程序迅速妥善處理。

　　在商界及公眾方面，協調中心已在其網站發放有關的保安公告和保安博錄，並透過電郵把有關這漏洞的資訊、檢測方法及應對措施知會相關持份者，包括互聯網服務供應商等。協調中心如收到有關查詢或事故報告，會就資訊科技保安事宜向求助者提供建議及支援，協助他們堵塞漏洞和防禦電腦保安威脅。

（四）由於政府、協調中心和各系統供應商已透過不同渠道適時向各界發放有關漏洞的資訊或提供支援，相關機構只要在得悉問題後即時採取行動以堵塞漏洞，問題便可解決。至今，協調中心和政府相關部門並未收到由於該漏洞而導致任何資料或金錢損失的報告或求助。我們估計是次保安漏洞對本港經濟影響不大。

（五）今次事故純粹源於OpenSSL軟件的保安漏洞，而軟件已作出修補。這軟件的使用涉及多個海外及本地電子證書服務供應商所發出的數碼證書。據了解，這些服務供應商正協助其客戶更換現有的數碼證書，以防止OpenSSL保安漏洞可能導致的資料外泄。

（六）現行的數碼證書加密技術十分安全。為確保所發出的數碼證書安全可靠，作為最佳作業模式，香港兩間認可核證機關必須定時檢視設定。政府一向注重資訊保安，政府資訊科技總監辦公室會繼續聯同協調中心，致力提高巿民及商界對資訊保安的認知和知識，定期推行有關資訊保安的推廣活動，向巿民及商界宣傳和推廣保護電腦系統及確保網絡安全的重要性，推動巿民及商界安全地使用數碼證書及網上服務。

完

２０１４年５月２１日（星期三）
香港時間１４時４９分