書面質詢:處理數據加密技術的保安漏洞
我 在 5 月 21 日 立 法 會 會 議 就 處理數據加密技術的保安漏洞作出書面質詢 ,並 得到商務及經濟發展局局長蘇錦樑的正面答覆 。
立法會十五題:處理OpenSSL軟件的保安漏洞
***********************
以下為今日(五月二十一日)立法會會議上葛珮帆議員的提問:
網絡系統一般採用通用的保密插口層(Secure Sockets Layer)(SSL)網絡保安規約,為網絡通訊進行加密,以保護資料在傳送過程中的機密性及完整性。OpenSSL Project是一個實施SSL網絡保安規約的開放原始碼的套件,而該套件可用於產生電子證書。OpenSSL官方網站在二○一四年四月七日發布公告,指OpenSSL 1.0.1版存在名為「心臟出血」(Heartbleed)的保安漏洞。有網絡安全專家指出,安裝了OpenSSL 1.0.1版的伺服器所產生的電子證書,將極容易受到攻擊或入侵,以致用戶名稱、密碼或其他敏感資料被竊取,因此有可能會造成全球性的網絡災難。此外,財政司司長在二○一四─二○一五年度的財政預算案中提出「研究為每名市民提供數碼身份證書,構建統一、通用和安全的平台」的措施。有資訊科技業界人士認為,推行有關政策時應確保相關加密技術的保安漏洞已被堵塞。就此,政府可否告知本會:
(一)有否調查上述保安漏洞有否導致政府的伺服器的任何資料外泄;若有資料外泄,是否已採取有效的補救措施;
(二)鑑於自上述保安漏洞公布後,據悉美國多間SSL技術服務供應商忙於為當地客戶採取相應的修補行動,而該等供應商大部分沒有在港設立辦事處,有否了解他們對本港客戶提供的支援是否足夠;有否要求他們主動向本港客戶提供相關資料及協助;
(三)有否成立專責小組負責處理及跟進上述安全漏洞所產生的問題,以及主動通知商界及中小型企業並向他們提供協助;若有,具體安排為何;若否,原因為何;
(四)有否估算上述安全漏洞對香港帶來多少經濟損失;若有,詳情為何;
(五)鑑於OpenSSL加密技術可用於產生電子證書,有否了解,除了香港郵政核證機關外,簽發本地使用的電子證書的服務供應商有否就上述安全漏洞提供解決方案,以及該等服務供應商所在的司法管轄區為何;及
(六)會制訂甚麼具體措施堵塞相關加密技術的保安漏洞及進一步加強網絡安全,以推動市民及商界使用數碼證書?
當 天 的 書 面 質 詢 及 局 長 答 覆 ,
可 瀏 覽 以 下 網 址 :
http://www.info.gov.hk/gia/general/201405/21/P201405210529.htm
歡迎您的意見,謝謝!