【明報專訊】為加強應對網絡安全風險，政府月中展開首次「攻防演練」，模擬真實網絡攻擊及防禦。創新科技及工業局長孫東說，首次演練效果不錯，攻擊方「紅隊」共提交85份漏洞發現成果，當中25項獲裁判裁定有效，發現漏洞包括「弱口令」（即密碼強度不足）、繞過登錄驗證碼等，相關報告會交予個別部門或機構參考跟進。

未見可「佔領」重大錯誤

今次「攻防演練」有9個政府部門及3個公營機構的指定資訊系統擔當「藍隊」負責防守，5隊來自專業機構的「紅隊」負責攻擊，本月15日起為期3日2夜在固定場地進行，共60小時，詳細分析報告下月完成。

孫說，25項被裁判裁定有效的保安漏洞中，未發現可完全「佔領」系統的重大錯誤；「藍隊」方面則提交137項防守成果，當中26項裁定有效，大致能對攻擊採取適當應對措施，部分更成功發現攻擊者身分，會進一步探討強化相關能力。

漏洞共通 所有部門要修正

總結經驗，孫東說演練關鍵目的是透過攻防發現漏洞，雖然並非所有部門參與，但政府有50多個部門派觀察員列席，即使演練中發現的問題只涉個別部門，但漏洞「有其共同性」，因此一定會及時跟進，所有部門都要修正，期望在機制上做好把關。