Thursday, July 22, 2010

如何面對網絡保安新趨勢

上周筆者參加了香港電腦保安事故協調中心(HKCERT)與業界的圓桌會議,與會者分享有關香港網絡保安的關注。在 HKCERT 成立了 9 年間,從當初網絡保安基本上相等於電腦病毒,到現在惡意程式當道;以前電腦病毒直接影響當事人的電腦,到今天受到惡意程式入侵的電腦依然運作正常,卻被騎劫向其他網絡上的電腦襲擊,這些變化已經令網絡保安的預防、調查、處理等工作都出現了變革的需要。

雖然 HKCERT 經已很努力宣傳,但香港網絡上的伺服器和終端電腦被惡意程式入侵,甚至被用為喪屍電腦,向其他電腦散播更多惡意程式,或發放垃圾電郵的個案也不斷增加,所以會上亦有業者提出法例配合的需要。其實法律規範的難度也不少,首要的是,立甚麼的法?先對甚麼人或機構作規範?筆者不認為立法是最有效或最快可取的方法,但也是我們應該開始正視和探索的方向。

例如,筆者注意到南韓政府正在準備立法,可能會授權互聯網服務供應商和部分政府部門,當發現有網上的電腦被入侵而會向其他電腦散播病毒或惡意程式時,供應商和政府部門可以把這些電腦「隔離」,不讓它們連結或接上互聯網。

南韓政府在去年中已經開始就此向業界諮詢,現在正準備進入公眾諮詢階段,如果成功立法,南韓會成為全世界首個立法禁制喪屍電腦的國家。據了解,現時南韓的立法建議,只限個人用戶的電腦,因為南韓商業機構擁有的電腦在保安上已有足夠保護。當然實際情況也有可能是向商界立法規難,向普通市民監管易。

南韓在這方面特別緊張地希望率先立法,一方面是因為其互聯網發展的確領先其他國家,過去也不只一次「創新」地以法律規管,例如上網實名制;另一方面,去年 7 月 7 日發生了一次嚴重的惡意程式透過喪屍電腦對南韓政府和商業機構的有計劃攻擊事故,稱之為「7.7 DDOS 攻擊」,影響維持了 3 日,這也是南韓政府覺得需要以立法對付問題的直接理由。

在其他國家,雖然尚未就網絡保安的新趨勢進行新的定律規管,有些已開始以自願方式成立行業守則,容許互聯網服務供應商隔離受了惡意程式影響的喪屍電腦,例如澳洲。筆者認為,香港政府也有必要考慮如何面對這些新的問題,並加強對入侵行為的定期和預先監察。

在加強規範方面,適宜先向各政府部門、法定及由政府撥款支持的組織,以及受規管而擁有大量用戶個人資料的行業如銀行、保險等的商業機構,每年遞交資訊保安檢討及私隱影響的研究,並向公眾提供進度及風險評估的總結報告,讓重視資訊網絡保安的文化和習慣在香港得以扎根。

刊載於《Hitech》 2010年7月22日

0 Comments:

Post a Comment

<< Home

-->