數字辦網安演練 師生扮黑客攻政府 9部門3公共機構任守方 「點到即止」免礙服務
【明報專訊】近年本港公營機構或政府部門不時發生網絡安全事故,數字政策辦公室本月將舉行為期三日兩夜、連續60小時的「香港網絡安全攻防演練」,12個政府部門及公共機構將任「藍隊」,抵禦由香港應用科技研究院等組成、扮演黑客的「紅隊」的網絡攻擊。副數字政策專員(數字基建)張宜偉表示,演練以「點到即止」為原則,不影響公共服務,盡量尋找資源系統安全漏洞及測試應變措施。
張宜偉表示,藍隊包括9個政府部門及3間公共機構,料每隊至少10人;紅隊包括應技院、香港專業進修學校及香港資訊科技學院的師生,以及兩隊早前在「網絡攻防精英培訓暨攻防大賽」線上及線下的公開組優勝隊伍,料每隊約4至6人,紅藍兩隊亦有在內地擁實戰經驗的網安機構做顧問。數字政策專員黃志光說,按一般演練慣例,藍隊名單不會公開,紅隊亦是演練當日才知悉,而且若事先公布藍隊名單,可能吸引真黑客「渾水摸魚」。
張宜偉稱,紅隊會模擬黑客,演練期間身處資訊科技學院青衣校園,透過「嚴格可控的虛擬演練平台」對指定資訊系統發動模擬真實的網絡攻擊;藍隊則會在日常工作地點偵察、防禦及應對各種網攻,保護系統。張說,數字辦會全程記錄演練平台,並設10多名裁判評審雙方表現,確保演練公正、合規和順利。他強調演練以點到即止為原則,以不影響公共服務、不影響或更改系統資料和配置為大前提,只要紅隊能顯示將會攻擊到藍隊重要系統,便會停止。
藍隊名單不公開防真黑客 設裁判
評分方面,張宜偉說會因應被發現的漏洞、回應漏洞的速度或該漏洞會引致什麼後果等設不同評分,紅隊評分重點是如何發現並利用系統漏洞;藍隊評分側重於檢驗各部門識別及應對網攻的能力,以及各部門動態監測、快速協同、應急處置等能力。張說,演練無分及格與否,冀透過評分讓藍隊知道哪些地方需茩哄A讓藍隊自行改善。
黃志光表示,揀選藍隊成員取決於該部門或公共機構是否有意參與、自覺被攻擊風險高及其系統是大型及面向公眾,冀通過演練對藍隊系統的安全防護能力「深度檢測」,若演練發現問題便可及早修復。
逾50部門機構盼觀戰 料每年至少練一次
演練由數字辦牽頭,警方網罪科、香港互聯網註冊管理有限公司、香港資訊科技學院協辦。黃志光補充,數字辦與紅藍隊和裁判設通報機制,若藍隊在演練過程受真黑客攻擊,會檢視相關攻擊是否與演練有關,其間網罪科會做情報蒐集。黃又說,逾50個部門及公共機構表示有意觀戰,預計往後每年演練最少一次,亦鼓勵部門自行舉辦小型演練,數字辦會提供技術指引及配套。
