【明報專訊】為加強應對網絡安全風險,政府月中展開首次「攻防演練」,模擬真實網絡攻擊及防禦。創新科技及工業局長孫東說,首次演練效果不錯,攻擊方「紅隊」共提交85份漏洞發現成果,當中25項獲裁判裁定有效,發現漏洞包括「弱口令」(即密碼強度不足)、繞過登錄驗證碼等,相關報告會交予個別部門或機構參考跟進。
未見可「佔領」重大錯誤
今次「攻防演練」有9個政府部門及3個公營機構的指定資訊系統擔當「藍隊」負責防守,5隊來自專業機構的「紅隊」負責攻擊,本月15日起為期3日2夜在固定場地進行,共60小時,詳細分析報告下月完成。
孫說,25項被裁判裁定有效的保安漏洞中,未發現可完全「佔領」系統的重大錯誤;「藍隊」方面則提交137項防守成果,當中26項裁定有效,大致能對攻擊採取適當應對措施,部分更成功發現攻擊者身分,會進一步探討強化相關能力。
漏洞共通 所有部門要修正
總結經驗,孫東說演練關鍵目的是透過攻防發現漏洞,雖然並非所有部門參與,但政府有50多個部門派觀察員列席,即使演練中發現的問題只涉個別部門,但漏洞「有其共同性」,因此一定會及時跟進,所有部門都要修正,期望在機制上做好把關。