************
以下为今日(五月七日)立法会会议上莫乃光议员的提问和商务及经济发展局局长苏锦梁的书面答覆:
问题:
据报,OpenSSL数据加密技术被电子网络系统广泛采用,而该技术于二○一二年三月十四日推出的1.0.1版本最近被发现含有名为Heartbleed的保安漏洞。黑客可藉该漏洞窃取网站伺服器的经加密资料(包括金钥加密资料、用户名称及密码、个人财务资料、通讯内容等),甚至可破解防火墙等其他网络保安措施。就此,政府可否告知本会:
(一)现时采用OpenSSL数据加密技术的政府(i)内部应用系统及(ii)电子公共服务,以及当中哪些曾经或仍然使用该加密技术的1.0.1版本;
(二)有否针对上述的程式漏洞采取网络保安措施,以减低资料外泄的风险;若有,详情为何;有否暂停采用OpenSSL数据加密技术和有关的电子公共服务,或转用其他加密技术;若有,详情为何;若否,原因为何;
(三)有否评估上述的程式漏洞对本港网络安全造成的影响,包括(i)金融业以外哪些行业会受到严重影响、(ii)该等行业受影响的程度、(iii)该等行业的资讯科技人员是否知悉有关影响,以及(iv)该等人员是否掌握排除相关风险的技术;
(四)有否评估上述的保安漏洞对电子商贸的影响;若有,详情为何;会否向使用电子商贸平台的商户提供协助或资助业界提升网络安全;及
(五)当局至今有否收到私人公司关于上述程式漏洞的求助个案;若有,求助公司的背景为何,以及当局向他们提供什么协助?
答覆:
主席:
政府已采用国际资讯保安管理标准及先进的保安技术以保障政府网络、应用系统及电子政府服务。在网络保安方面,政府应用系统一般采用通用的保密插口层(Secure Sockets Layer)(SSL)网络保安规约,为网络通讯进行加密,以保护资料在传送过程中的机密性及完整性。OpenSSL是其中一种实施SSL网络保安规约的加密技术。就问题的五个部分,当局的回覆如下:
(一)政府曾有约90个应用系统使用OpenSSL 1.0.1版的加密技术,其中85个是供政府内部应用的系统,包括管理控制台和虚拟私有网络。其余五个是向市民提供电子服务的系统,包括入门网站和提交申请的电子系统。所有受影响的系统都已完成下文答覆第二部分所述的修复工作。
(二)对于受到Heartbleed漏洞影响的应用系统,有关部门已在得悉问题后即时采取适当保安措施,包括安装修补程式、安排更新电子证书和密码匙,以及按需要提醒其用户更新密码。各部门已就是次保安漏洞的风险及其影响进行评估,基于该漏洞于短时间内被堵塞,因此没有需要暂停相关服务或转用其他加密技术。
(三)政府资讯科技总监办公室在收到有关Heartbleed漏洞的资讯后,已即时要求各部门对受影响系统作出风险评估,并采取相应的修补行动,所以是次保安事故对政府服务并未造成任何影响。我们亦在资讯安全网(www.infosec.gov.hk)发放有关保安公告,以及透过「香港政府通知你」,将有关资讯发放予已登记接收有关信息的用户。
此外,香港电脑保安事故协调中心和香港警务处亦透过电邮知会相关持份者有关Heartbleed漏洞的资讯、其影响及应对措施。香港金融管理局(金管局)亦已要求所有银行检视相关的服务。根据金管局的调查,所有本地零售银行服务都不受影响。基于我们收到的信息,是次保安事故对本港网络安全影响不大。
排除相关风险的措施,包括检测系统是否存在漏洞,以及安装由系统供应商提供的修补程式。资讯科技人员可参照保安公告所提供的程序,按照步骤实施解决方案,相关的技术并不难掌握。
(四)电子商贸平台的营运商,一般都有采取适当保安措施去管理资讯保安及维护网络安全,以提供一个安全环境进行电子商贸活动。根据资料显示,是次保安事故对一般商户和市民常用的电子商贸平台,并未造成严重影响,因为有关营运商已针对漏洞进行系统检查并实施应对措施。例如淘宝网表示已完成所需的修补;而亚马逊(Amazon)、电子湾(eBay)、贝宝国际(PayPal)和支付宝等则表示其购物网站不受影响。
在提升网络安全方面,公众教育非常重要。政府资讯科技总监办公室一直与香港电脑保安事故协调中心和其他业界组织紧密合作,为各界安排保安认知活动,推动公众提升对资讯保安的认知和知识。市民或企业如遇到保安事故或在网络保安方面需要支援,可联络香港电脑保安事故协调中心寻求协助。现时我们没有计划资助业界提升他们的网络安全。
(五)至今,香港电脑保安事故协调中心和香港警务处并未收到有关Heartbleed保安事故的报告或求助要求。我们会继续监察事故的发展,香港电脑保安事故协调中心如收到查询或事故报告,会向求助者就资讯科技保安事宜提供建议及支援,协助他们堵塞漏洞和防御电脑保安威胁。
完
2014年5月7日(星期三)
香港时间15时17分
