首届网络安全攻防演练本月举办 数字办无惧部门「驻重兵」 冀以攻筑防

网络安全不能「凭感觉」，需透过真实演练验证。数字办将于本月稍后主办首届「香港网络安全攻防演练—以攻筑防2024」，9个政府部门和3间公营机构将饰演「蓝队」，在为期三日两夜的演练期间，实兵、实网、实战地应对来自「红队」的模拟真实网络攻击。数字办表示，演练原则是「点到即止」，演练平台会全程记录，确保攻击合规，在不影响公共服务，不影响或更改系统资料和配置前提下，尽量寻找指定资讯系统安全漏洞；而部门为演练「驻重兵」属人之常情，冀演练提升参与部门识别、应对及预防网络攻击的能力，每年最少举行一次，并邀请更多部门参与。

左起：数字办数字政策专员黄志光、数字办副数字政策专员（数字基建）张宜伟。萧博禧摄

9政府部门3公营机构参与「防守」

香港网络安全攻防演练由数字办主办，协办机构包括香港警务处网络安全和科技罪案调查科、香港互联网注册管理有限公司及香港资讯科技学院。数字办指，演练为期3日两夜60小时，邀请了内地具实战经验的网络安全机构作顾问，期间「红队」会身处位于香港资讯科技学院特定演练场地，透过虚拟演练平台向指定资讯系统发动模拟真实网络攻击，「蓝队」则在日常工作地点应对。至于裁判来自知名网络安全机构，「红队」评分重点在于如何发现并利用系统漏洞；「蓝队」评分侧重识别及应对网络安全攻击，以及动态监测、快速协同、应急处置等能力。演练会邀请政府部门及公营机构旁观，约50个部门有兴趣。

中央协调中心指示攻击真伪

今次有12队参与「蓝队」演练，包括9个政府部门和3间公营机构。数字办数字政策专员黄志光表示，为免吸引真正黑客浑水摸鱼，扰乱演练部署，按惯例不公开参与部门及系统；又指中央协调中心会指示「蓝队」攻击是来自「红队」，抑或属真正的网络攻击，后者会按正常应变措施处理。他称，下月会总结演练结果并通报参与部门，相关经验也会在资讯保安论坛分享，「当然在不公布参与部门系统前提下，我们会分享一些成功攻击情况，大致上问题在哪，又或者成功预防时，他们做得好的地方。」

对于或有部门为应付演练「驻重兵」，黄认为演练仍有宝贵价值，「令他们知道就算做那么多，若系统配置不足，可能仍被拿到分，往后要加强。因为不可能长时间有那么多人员，日常工作人员的警觉性要提高」。他强调，参与部门可透过实战获取经验，认知系统受攻击时牵涉的人员及设施，在未来探讨应用新技术，更迅速地侦测及应变。

黄亦说，由数字办管理的政府政务云、中央互联网服务及政府网络接触数以百计政府系统，亦有间接参与演练，「若黑客想攻击（政府）某个系统，其实要过几关，先要到互联网网络入口，入到去，亦要突破一些网络安全设施。」

数字办副数字政策专员（数字基建）张宜伟表示，为免「蓝队」太大压力，参考内地经验不设合格线，但评分会有高低，冀参与部门总结后自我改善，「例如响应时间有问题，找到其他同事帮忙时间较长，这不单是单一系统，其他系统也可能面对这种情况」。

图为数字政策办公室。

不定期突击巡查高风险系统

本港网络安全风险和影响与日俱增。数字办表示，香港网络安全事故协调中心过去一年共处理10,583宗保安事故，较上年度同期上升约39％。黄志光表示，以往有要求部门定期进行网络安全风险评估，但留意到个别系统有小问题，故数字办明年会在预先取得部门同意下，主动并不定期突击巡查高风险系统，进行扫描及入侵侦测，发现漏洞后再通知部门维修。他指，初步估算这些系统逾100个，分布在80多个政府部门，冀一年内全部完成扫描。

新一份《施政报告》附篇指，创科局明年起，每年会选定8个政府电子系统作深入合规审计。黄志光透露，相关工作由数字办主导，「会有一些顾问直接到系统，看网络安全准备功夫，预计措施是否已经做了，尤其是通报机制是否有效。」

张宜伟补充，与黑客进行网络安全对抗，不能单靠技术。他指，今年会加强各部门网络安全系统的监管角色，由高级政府人员担任网络安全通报主管工作，亦会加强部门技术配套，并加强培训技术人员对抗网络攻击的警觉性及能力。

记者 萧博禧