首屆網絡安全攻防演練本月舉辦 數字辦無懼部門「駐重兵」 冀以攻築防

2024-11-06 00:00

首屆網絡安全攻防演練本月舉辦 數字辦無懼部門「駐重兵」 冀以攻築防
首屆網絡安全攻防演練本月舉辦 數字辦無懼部門「駐重兵」 冀以攻築防

網絡安全不能「憑感覺」,需透過真實演練驗證。數字辦將於本月稍後主辦首屆「香港網絡安全攻防演練—以攻築防2024」,9個政府部門和3間公營機構將飾演「藍隊」,在為期三日兩夜的演練期間,實兵、實網、實戰地應對來自「紅隊」的模擬真實網絡攻擊。數字辦表示,演練原則是「點到即止」,演練平台會全程記錄,確保攻擊合規,在不影響公共服務,不影響或更改系統資料和配置前提下,盡量尋找指定資訊系統安全漏洞;而部門為演練「駐重兵」屬人之常情,冀演練提升參與部門識別、應對及預防網絡攻擊的能力,每年最少舉行一次,並邀請更多部門參與。

左起:數字辦數字政策專員黃志光、數字辦副數字政策專員(數字基建)張宜偉。蕭博禧攝
左起:數字辦數字政策專員黃志光、數字辦副數字政策專員(數字基建)張宜偉。蕭博禧攝

9政府部門3公營機構參與「防守」

香港網絡安全攻防演練由數字辦主辦,協辦機構包括香港警務處網絡安全和科技罪案調查科、香港互聯網註冊管理有限公司及香港資訊科技學院。數字辦指,演練為期3日兩夜60小時,邀請了內地具實戰經驗的網絡安全機構作顧問,期間「紅隊」會身處位於香港資訊科技學院特定演練場地,透過虛擬演練平台向指定資訊系統發動模擬真實網絡攻擊,「藍隊」則在日常工作地點應對。至於裁判來自知名網絡安全機構,「紅隊」評分重點在於如何發現並利用系統漏洞;「藍隊」評分側重識別及應對網絡安全攻擊,以及動態監測、快速協同、應急處置等能力。演練會邀請政府部門及公營機構旁觀,約50個部門有興趣。

中央協調中心指示攻擊真偽

今次有12隊參與「藍隊」演練,包括9個政府部門和3間公營機構。數字辦數字政策專員黃志光表示,為免吸引真正黑客渾水摸魚,擾亂演練部署,按慣例不公開參與部門及系統;又指中央協調中心會指示「藍隊」攻擊是來自「紅隊」,抑或屬真正的網絡攻擊,後者會按正常應變措施處理。他稱,下月會總結演練結果並通報參與部門,相關經驗也會在資訊保安論壇分享,「當然在不公布參與部門系統前提下,我們會分享一些成功攻擊情況,大致上問題在哪,又或者成功預防時,他們做得好的地方。」

對於或有部門為應付演練「駐重兵」,黃認為演練仍有寶貴價值,「令他們知道就算做那麼多,若系統配置不足,可能仍被拿到分,往後要加強。因為不可能長時間有那麼多人員,日常工作人員的警覺性要提高」。他強調,參與部門可透過實戰獲取經驗,認知系統受攻擊時牽涉的人員及設施,在未來探討應用新技術,更迅速地偵測及應變。

黃亦說,由數字辦管理的政府政務雲、中央互聯網服務及政府網絡接觸數以百計政府系統,亦有間接參與演練,「若黑客想攻擊(政府)某個系統,其實要過幾關,先要到互聯網網絡入口,入到去,亦要突破一些網絡安全設施。」

數字辦副數字政策專員(數字基建)張宜偉表示,為免「藍隊」太大壓力,參考内地經驗不設合格線,但評分會有高低,冀參與部門總結後自我改善,「例如響應時間有問題,找到其他同事幫忙時間較長,這不單是單一系統,其他系統也可能面對這種情況」。

圖為數字政策辦公室。
圖為數字政策辦公室。

不定期突擊巡查高風險系統

本港網絡安全風險和影響與日俱增。數字辦表示,香港網絡安全事故協調中心過去一年共處理10,583宗保安事故,較上年度同期上升約39%。黃志光表示,以往有要求部門定期進行網絡安全風險評估,但留意到個別系統有小問題,故數字辦明年會在預先取得部門同意下,主動並不定期突擊巡查高風險系統,進行掃描及入侵偵測,發現漏洞後再通知部門維修。他指,初步估算這些系統逾100個,分布在80多個政府部門,冀一年內全部完成掃描。

新一份《施政報告》附篇指,創科局明年起,每年會選定8個政府電子系統作深入合規審計。黃志光透露,相關工作由數字辦主導,「會有一些顧問直接到系統,看網絡安全準備功夫,預計措施是否已經做了,尤其是通報機制是否有效。」

張宜偉補充,與黑客進行網絡安全對抗,不能單靠技術。他指,今年會加強各部門網絡安全系統的監管角色,由高級政府人員擔任網絡安全通報主管工作,亦會加強部門技術配套,並加強培訓技術人員對抗網絡攻擊的警覺性及能力。

記者 蕭博禧

關鍵字

最新回應

關鍵字

相關新聞

You are currently at: 187235123.xyz
Skip This Ads
close ad
close ad