简体版 英文版 寄给朋友 政府新闻网
立法会十五题:处理OpenSSL软件的保安漏洞
***********************

  以下为今日(五月二十一日)立法会会议上葛珮帆议员的提问和商务及经济发展局局长苏锦梁的书面答覆:

问题:

  网络系统一般采用通用的保密插口层(Secure Sockets Layer)(SSL)网络保安规约,为网络通讯进行加密,以保护资料在传送过程中的机密性及完整性。OpenSSL Project是一个实施SSL网络保安规约的开放原始码的套件,而该套件可用於产生电子证书。OpenSSL官方网站在二○一四年四月七日发布公告,指OpenSSL 1.0.1版存在名为「心脏出血」(Heartbleed)的保安漏洞。有网络安全专家指出,安装了OpenSSL 1.0.1版的伺服器所产生的电子证书,将极容易受到攻击或入侵,以致用户名称、密码或其他敏感资料被窃取,因此有可能会造成全球性的网络灾难。此外,财政司司长在二○一四─二○一五年度的财政预算案中提出「研究为每名市民提供数码身份证书,构建统一、通用和安全的平台」的措施。有资讯科技业界人士认为,推行有关政策时应确保相关加密技术的保安漏洞已被堵塞。就此,政府可否告知本会:

(一)有否调查上述保安漏洞有否导致政府的伺服器的任何资料外泄;若有资料外泄,是否已采取有效的补救措施;

(二)鉴於自上述保安漏洞公布后,据悉美国多间SSL技术服务供应商忙於为当地客户采取相应的修补行动,而该等供应商大部分没有在港设立办事处,有否了解他们对本港客户提供的支援是否足够;有否要求他们主动向本港客户提供相关资料及协助;

(三)有否成立专责小组负责处理及跟进上述安全漏洞所产生的问题,以及主动通知商界及中小型企业并向他们提供协助;若有,具体安排为何;若否,原因为何;

(四)有否估算上述安全漏洞对香港带来多少经济损失;若有,详情为何;

(五)鉴於OpenSSL加密技术可用於产生电子证书,有否了解,除了香港邮政核证机关外,签发本地使用的电子证书的服务供应商有否就上述安全漏洞提供解决方案,以及该等服务供应商所在的司法管辖区为何;及

(六)会制订什么具体措施堵塞相关加密技术的保安漏洞及进一步加强网络安全,以推动市民及商界使用数码证书?

答覆:

主席:

  政府非常重视资讯保安。我们根据国际资讯保安管理标准和采用先进的保安技术,以保护政府网络、应用系统及电子政府服务。政府内部有既定的资讯保安管理架构及程序,处理所有资讯保安事宜,包括这次OpenSSL保安漏洞所产生的问题。就问题的六个部分,当局的回覆如下:

(一)根据现行机制,政府各局及部门在得悉OpenSSL的保安风险后已即时采取有效的保安措施,包括安装修补程式、安排更新电子证书和密码匙,以及按需要提醒其用户更新密码。所有受影响的政府系统都已於短时间内完成修复工作,我们没有收到因该漏洞而导致资料外泄的报告。

(二)一般来说,产品客孅可以透过其服务供应商取得系统相关资讯及支援服务。根据网上资料显示,采用OpenSSL工具的各大系统供应商,例如戴尔公司(Dell)、思科系统(Cisco Systems)、惠普公司(Hewlett-Packard)、微软公司(Microsoft)、国际商业机器(IBM)、瞻博网络(Juniper Networks)、红帽公司(RedHat)和威睿(VMWare)等已主动透过其网站或电邮向全球客户提供有关资讯或修补程式。香港客户亦可透过其在本港的经销商、代理或合作伙伴,获得相关资讯和支援。此外,政府资讯科技总监办公室亦已即时在「资讯安全网」(www.infosec.gov.hk)向公众发放有关保安公告,以及透过「香港政府通知你」将有关资讯发放予已登记接收有关信息的用户。香港电脑保安事故协调中心(协调中心)和香港警务处亦透过电邮把有关这漏洞的资讯、影响及应对措施知会相关持份者。由於本地客户已可从多个途径知悉该漏洞并取得所需的协助,政府无须向个别供应商提出特别要求。

(三)根据政府既定程序,政府资讯科技总监办公室、协调中心和香港警务处会携手处理所有政府内部及公众方面的资讯保安事宜。为了确保各局及部门知悉保安威胁的趋势和迅速采取预防措施,政府资讯科技总监办公室会按需要发出保安警报和有关资讯保安的催办便笺,要求各局及部门作出适当的跟进。今次的漏洞问题及修复工作,亦是透过此程序迅速妥善处理。

  在商界及公众方面,协调中心已在其网站发放有关的保安公告和保安博录,并透过电邮把有关这漏洞的资讯、检测方法及应对措施知会相关持份者,包括互联网服务供应商等。协调中心如收到有关查询或事故报告,会就资讯科技保安事宜向求助者提供建议及支援,协助他们堵塞漏洞和防御电脑保安威胁。

(四)由於政府、协调中心和各系统供应商已透过不同渠道适时向各界发放有关漏洞的资讯或提供支援,相关机构只要在得悉问题后即时采取行动以堵塞漏洞,问题便可解决。至今,协调中心和政府相关部门并未收到由於该漏洞而导致任何资料或金钱损失的报告或求助。我们估计是次保安漏洞对本港经济影响不大。

(五)今次事故纯粹源於OpenSSL软件的保安漏洞,而软件已作出修补。这软件的使用涉及多个海外及本地电子证书服务供应商所发出的数码证书。据了解,这些服务供应商正协助其客户更换现有的数码证书,以防止OpenSSL保安漏洞可能导致的资料外泄。

(六)现行的数码证书加密技术十分安全。为确保所发出的数码证书安全可靠,作为最佳作业模式,香港两间认可核证机关必须定时检视设定。政府一向注重资讯保安,政府资讯科技总监办公室会继续联同协调中心,致力提高蒥民及商界对资讯保安的认知和知识,定期推行有关资讯保安的推广活动,向蒥民及商界宣传和推广保护电脑系统及确保网络安全的重要性,推动蒥民及商界安全地使用数码证书及网上服务。



2014年5月21日(星期三)
香港时间14时49分

列印此页