【香港商報訊】記者林駿強報道：近年，全球各地乃至本港不時出現網絡安全隱患，做好預防工作成為大勢所趨。數字政策辦公室（數字辦）本月內將舉辦本港首次進行的「香港網絡安全攻防演練」，為期3日2夜，以實兵、實網、實戰的攻防演練，盡量尋找參與演練的資訊系統安全漏洞，以測試應變措施。參與的有9個政府部門、3間公共機構，約50個部門則會從旁觀察。演練以點到即止為原則，以不影響公共服務、不影響或更改系統的資料和配置為大前提。數字辦會檢視今次結果，並打算往後每年至少舉行一次同類演練。

數字政策專員黃志光、副數字政策專員（數字基建）張宜偉，日前與傳媒敘會時透露了上述信息。他們介紹，數字辦本月將會主辦「香港網絡安全攻防演練—以攻築防2024」；協辦機構包括警務處網絡安全及科技罪案調查科、香港互聯網註冊管理有限公司，以及香港資訊科技學院。舉辦地點設在香港資訊科技學院青衣校園。

紅藍隊對壘攻防找安全漏洞

今次演練為期3日2夜，長達60小時，參考內地的做法。據介紹，內地部分同類演練，可長達5日4夜。是次以實兵、實網、實戰的攻防演練，會盡量尋找參與演練的資訊系統安全漏洞，以及測試應變措施。

演練分為紅隊、藍隊。由科研機構、專上學院及早前「網絡攻防精英培訓暨攻防大賽」優勝隊伍，組成共5隊紅隊，他們會身處特定演練場地，透過嚴格可控的虛擬演練平台，即是所謂「靶場」，向指定資訊系統，發動模擬真實網絡攻擊。每隊紅隊成員約4至6人。

而由9個政府部門、3間公共機構組成的藍隊，會在管理系統日常運作時，防禦紅隊的攻擊，保護系統安全；他們在日常工作地點應對攻擊，並作出適當的防衛。每隊藍隊的成員約10多人。

演練設有由專家等人組成的裁判，為紅藍兩隊表現進行評審，確保演練活動公平、公正、合規和順利進行。演練平台全程記錄，以點到即止為原則，以不影響公共服務、不影響或更改系統的資料和配置為大前提。

擬每年一次舉辦同類演練

黃志光回應本報提問時表示，打算日後每年至少舉行一次同類演練。他同時鼓勵不同政府部門，可以自行舉辦較小規模的演練。他亦說是次演練除了參考內地經驗外，也有邀請內地的機構做顧問。

張宜偉補充說，今次除了9個部門、3個公共機構參與外，也有不少政府部門表示有興趣，預料演練時會有約50個部門從旁觀察；而日後舉行的同類演練，規模將會愈來愈大。

今年12月，本港會舉辦與網絡安全相關的高峰論壇，屆時數字辦將於會上分享今次演練的成績與經驗。

此外，黃志光說現時當局大概每兩年一次，為不同部門定期作網絡安全風險評估；明年起數字辦會加強主動巡查逾80個部門，涉及約100個大型系統。