***************
以下为今日(六月二十五日)在立法会会议上梁君彦议员的提问和商务及经济发展局局长马时亨的答覆:
问题:
据报,近日一项国际著名防毒软件公司发表的调查报告指出,使用以「.hk」结尾的域名的互联网网站容易藏有病毒和间碟程式,是全球最高危的网站,其安全程度较去年暴跌27级。就此,政府可否告知本会:
(一) 有没有了解上述网站的安全程度暴跌的原因;如果有,安全程度暴跌的原因是什么(包括是不是与负责管理「.hk」互联网域名的香港互联网注册管理有限公司(该公司)的内部营运有关);如果没有了解,原因是什么;有没有评估该等网站出现安全问题对本港各界的影响;如果有,结果是什么;如果没有,原因是什么;以及政府会采取什么行动减低有关的风险;
(二) 怎样确保该公司对「.hk」互联网域名的管理达到国际水平,是否知悉该公司有没有就该等域名的安全性向使用者作出保证;如果有,保证的详情;如果没有,当局会不会要求该公司作出具体的保证,以及当局有没有定期监察该公司的工作;及
(三) 当局有没有接纳在二○○七年五月发表的《香港互联网域名管理检讨谘询文件》内提及的顾问建议(包括该公司应设立新的谘询委员会,以及减少该公司的董事人数);如果有,该公司改组其董事局的过渡安排及进展情况,以及当局有没有监察该公司落实该等建议的工作及该项工作的进展?
答覆:
主席女士:
世界各地政府一直与私营机构和民间团体,以及跨政府和国际组织合作,防止、侦查和对付滥用互联网行为及网上罪行。我们就滥用互联网行为的源头和网络的保安弱点,与其他政府分享知识和情报,并共同研究如何从技术、教育及政策方面手,在国际层面上解决滥用互联网问题。
互联网域名的作用,在於辨识在互联网上的电脑或其他资源,例如网址和电邮地址。“互联网域名及规约编号指配组织”(Internet Corporation for Assigned Names and Numbers, ICANN)负责全球域名的管理。该组织授权各域名注册管理机构管理特定的顶级域名,例如「.com」。至於地区顶级域名(如「.hk」),则视为公共资源,所以会授权由当地政府指定的机构负责管理。
域名注册管理机构负责管理域名,但至於如何使用某一域名或在相关网站存放什么内容,则由域名持有人自己控制。因此,域名注册管理机构不能直接影响个别网站的安全性。不过,这些机构与域名持有人订立的合约,通常会订明如果域名用於不当或非法用途或被滥用,域名注册管理机构可取消其注册。
政府指定了香港互联网注册管理有限公司(该公司)负责管理「.hk」域名。这项安排落实了政府与业界组成的联合专责小组於二○○○年的建议;该建议参考过国际上域名管理最佳作业模式。
在上述背景下,我现在答覆梁君彦议员提出分为三个部分的问题:
(一) 滥发讯息者和黑客的运作模式,是寻找一处容易注册域名的地方,然后利用这些域名进行滥用互联网行为,直至该地方实施强力的打击措施为止。在二○○六年下半年,该公司改进了二层「.hk」域名的网上注册手续,使注册过程更简易,但这也吸引了滥发讯息者和黑客使用「.hk」域名。
在二○○七年,利用二层「.hk」域名滥发讯息和仿冒诈骗的活动大幅增加。有鉴於此,该公司、政府资讯科技总监办公室、电讯管理局、香港警务处和香港电脑保安事故协调中心合力加强打击以「.hk」为域名的恶意和可疑网站。结果,该公司已取消14,000多个这类域名的注册,利用「.hk」域名滥发宣传讯息和仿冒诈骗的个案大幅减少,由二○○七年平均每星期262宗,减至过去三个月(即二○○八年三月至五月)平均每星期2宗。
问题所述的调查令人对「.hk」域名的风险产生误解。「.hk」域名曾在一段短暂时间成为滥发讯息者和黑客的目标,而该调查刚巧在这段时间进行。由於我们采取了刚才提及的各项措施和行动,那些当时被用於滥发讯息和仿冒诈骗的域名应该不再存在。不过,我们有需要确保该调查报告不会对香港的形象造成长远影响。我们正与该公司和其他业界组织合作,向外界说明事实真相,并且重建「.hk」域名的品牌。我们会继续要求该公司严格执行上述打击滥用互联网行为的措施,以及因应日后事态发展,推行其他合适的措施。
(二) 政府资讯科技总监办公室与该公司管理层定期召开会议,以密切监察该公司的运作。透过这个机制,政府确保该公司在管理「.hk」域名时采用国际标准,例如资讯保安管理的国际标准。
在世界各地,域名持有人须对与域名相关的行为负责,而并非由域名注册管理机构负责。因此,域名注册管理机构不会就与某一域名相关的网站或电邮内容或交易,或应用该域名的网站真伪,向使用者作出保证。不过,域名注册管理机构须与政府和其他相关组织合作,打击滥用互联网行为及网上罪行。在这方面,特区政府已建立刚才提到的合作机制,对付这些网上不法行为。
(三) 现时该公司的架构是寻求在董事局内,让所有的持份者参与和管理「.hk」域名这项重要的基础设施。问题所述的谘询文件,建议以较小规模的董事局专注於企业管治,同时成立新的谘询委员会,让不同界别的持份者向董事局提出意见。我们已在二○○七年六月向资讯科技及广播事务委员会简报了该份文件,并在谘询公众后,采纳了上述建议,以及要求该公司定出细节安排。为了监察落实上述建议的进度,政府资讯科技总监办公室一直与该公司定期召开会议。
董事局现已达成决议,就落实建议的安排定出未来路向。据了解,新董事局将由四名政府委任的董事及四名选任董事组成,而选任董事由服务提供者界别和用户界别各自选出两名。另外,该公司会根据建议成立谘询委员会。该公司将召开特别会员大会,考虑上述建议安排,目标是在本年年底前落实新的安排。
根据顾问研究的建议和上述进展,我们打算继续委派独立的香港互联网注册管理有限公司,执行域名管理的职能。透过委任董事的安排,预期该公司可以引入经验丰富的非执行董事,并且更能了解公众的期望。为了加强延续性,我们会考虑邀请所有退下的董事加入谘询委员会。另外,透过新的谅解备忘录,我们会以开放及透明的机制监察该公司的运作。
我们会定期向资讯科技及广播事务委员会提交最新资料,汇报落实建议的详情和进度。
完
2008年6月25日(星期三)
香港时间15时46分
