原创 高亚楠 Nancy 2025-02-11 08:45 中国香港
香港网络安全生态环境
香港政府十分重视关键基础设施网络安全。2023年10月25日,中华人民共和国香港特别行政区发布《行政长官2023年施政报告》。报告指出,“面对全球网络攻击风险不断增加,政府会着力提升关键基础设施,包括能源、通信、交通运输、金融机构等网络安全的保护。2024年内向立法会提交立法草案。”而在立法的推进过程中,香港关键基础设施网络安全建设工作也将陆续全面开展。但由于相关研究、规划和设计还处于初步阶段,因此,对香港关键基础设施网络安全保护框架、方法、思路的研究必要且紧迫。本文将探讨香港面临的网络安全局势和问题,也将针对相关问题提出保护的框架和方法,为香港关键基础设施网络安全保护工作提供参考。
当前,香港特别行政区政府正全面准确贯彻一国两制方针,并持续致力于完善地区治理体系。其中,网络安全治理作为体系的重要构成部分,十分受香港政府重视。相关立法工作持续推进,香港政府資訊科技總監辦公室也发布了多项政策及指引,以完善香港网络安全保障状况。但由于香港关键基础设施目前面临重大网络安全威胁,因此当前的治理途径有待进一步完善,以应对关键基础设施面临的巨大风险。具体香港关键基础设施面临的网络安全局势包括以下三个方面。
首先,当前国际局势紧张,地缘政治错综复杂。网络安全领域已成为现代化战争的隐藏战场和作战先头部队,一旦香港关键基础设施被攻击,其中敏感信息被泄露或篡改,将对地区造成重大的损失,对香港政府重要决策造成影响,进而影响国家安全。
其次,随着香港数字政府和智慧城市的深化发展,边境管理、税务缴纳、交通出行等都严重依赖信息化系统,一旦因为地缘震荡、贸易摩擦、疫情灾害等原因导致安全运行中断和安全控制权丧失,将会对香港的民生保障、社会运行造成严峻打击。
最后,香港作为国际化金融中心,金融地位提升、贸易额增长、港口运输畅通、科技赋能都是香港经济发展的命脉,阻碍其发展的因素都是不利于香港长期稳定的毒素。因此保障信息安全,使金融、运输、能源等关键基础设施最小程度的受地缘震荡、贸易摩擦、疫情等灾害原因影响,既是风险应对也是巨大挑战。
香港政府在风险评估、事故管理和监测预警方面做出了许多努力,在安全措施的部署和运营方面也为企业等提供了指引。但由于目前香港政府、企业、团体等网络安全保障是根据各自业务需求和风险需求建立的,而香港的网络安全生态环境、安全服务体系、从业人员梯队还处于初步发展阶段。因此,在开展香港关键基础设施网络安全工作的过程中,将会面临许多问题和挑战,主要包括以下三个方面。
一是缺乏法律、政策、标准、科研、产业应用整个生态体系的搭建。网络安全是信息化和数字化的基座,而缺乏生态体系的网络安全则势必会导致网络安全工作散点化、片面化和利益导向化。总体而言,网络安全是一项辅助性质工作,而非高盈利性质工作。因此,更需要政府通过顶层设计在立法、政策、科研和产业方面进行引导和孵化。
二是缺乏对不同系统生命周期阶段、不同技术应用方式、不同业务特点关键基础设施的差异化网络安全规划。例如,针对关键基础设施的新建系统、正在建设系统、老旧系统、废弃系统缺乏对应指引,针对云计算、Web3.0、工业控制、大数据、物联网等缺乏风险提示,针对交通、税务、金融有待改善之处缺乏研究,而缺失差异化的建议将导致关键基础设施运营方无法有效、高效开展网络安全工作。
三是当前关键基础设施缺乏细化的、分等级的安全保障措施。针对关键基础设施中的重要信息系统、重要数据、重要业务流程需要重点保护,而非重复投资和多余投资的全面保护。缺乏细化的、分等级的保障措施,将导致核心系统、数据、流程被窃取和篡改的可能性更高,或者整体安全投资过高。
四是香港关键基础设施运营者对安全威胁、安全漏洞、安全体系、密码算法、密码协议的认知水平及应用水平相对较低。不利于香港关键基础设施在建设初期进行安全与应用一体化设计。而建设完成后再叠加安全的难度极高,成本极高,且可能对业务连续性造成影响。
良好的网络安全基座将会更快的推进WEB3.0、科技创新应用、数字经济和元宇宙的发展。而基座的建立需要网络安全生态体系的支撑,这一生态体系的组成部分主要包括:关键基础设施的网络安全立法,政策标准编制,以及网络安全的科研和产业应用等。在立法的基础上,各个组成部分将有机的结合在一起,并通过产业应用渗透和根植到香港科技发展各行各业。
香港关键基础设施网络安全生态体系(或香港网络安全生态体系)的构成如下图所示。
其中,生态体系的参与者包括:香港政府、立法会、司法机构、能源企业、通信企业、交通运输企业、金融机构、网络安全厂商、集成商、运营商、服务商、产品方、认证机构、第三方审查、安全检测机构、高校等。
生态体系的科研和产业转化的培育土壤包括:香港数码港、香港科学园、粤港澳大湾区国际创新科技中心。
生态体系主要的服务行业和领域包括:政务、金融、能源、通信、交通运输、互联网、WEB3.0、元宇宙、大数据、云计算、工业控制、移动互联、物联网等。
香港关键基础设施网络安全规划设计需要体现差异化、前瞻性和可扩展性。
在差异化方面,可针对不同系统生命周期阶段提供定制化指引。如新建系统需要在规划设计初期,明确数据和系统安全需求,以及业务连续性需求。对物理基础设施、网络基础设施、操作系统、中间件、服务器的搭配和安全配置进行设计。并选用与安全需求相匹配的安全产品、软件、服务。必要时进行统筹安全建设,如单点登录、统一安全审计、集中运营、自动化补丁升级和策略下发等。其中最容易被忽略的部分是应用系统的安全设计,包括系统数据加密范围、密码算法、密码协议、数据流不同节点安全防护、代码安全漏洞、Filter设计、代码后门防范、开发快捷接入路径等。还有,如正在建设的系统如何平衡新设备上线与安全配置的同步性,如何开展安全策略的设计和部署,如何部署补充安全措施。如老旧系统与重要系统间的安全隔离,以及其中重要数据的重点保护。如防范攻击者通过废弃系统接入关键基础设施,或利用其作为跳板攻击重要系统、数据和流程。并可针对云计算、Web3.0、工业控制、大数据、物联网等提供威胁和风险提示,如云计算的虚拟化安全、安全隔离策略有效性、虚拟机逃逸、安全责任边界风险等。还可根据交通、税务、金融等不同行业的数据特点、业务特点、监管特点等,给出特定具体建议。
在前瞻性和可扩展性方面,建议以松耦合方式开展。避免紧耦合下带来的系统数据、业务流程与安全设备和措施的紧密绑定,使系统需要升级、功能模块扩充、或与其他系统对接时,可以更便捷安全的操作,而不是需要开展大规模整改。此外,AI技术、元宇宙技术等高速发展,使得政务、交通、税务系统未来极有可能借助相关技术提升服务质量。因此,安全设计需要具有前前瞻性,以便于业务扩展时无需进行安全架构的调整。
对重要系统、数据、流程进行重点保护,可避免网络安全投资过高,网络安全运营管理成本过重。可以通过隔离和区域划分等方式避免不安全的边界,不重要的系统的非必要访问。并且可以在重要数据、系统、流程遇到安全风险或事故时及时响应处理。
香港关键基础设施重要系统、数据、流程的保护关键,在于梳理清楚价值和风险在业务、系统、数据、流程、资产中传递的方式和支撑情况。
在业务与资产关系方面,业务可划分为不同子业务,各子业务可以由同一信息系统或不同信息系统支撑,系统或系统间可基于数据进行业务流转。而操作系统中间件、数据库等资产支撑了相关功能的实现。基础网络和物理环境实现了网络交换和资产放置。
在价值和风险传递方面,价值可以通过业务从上而下传递到资产。而风险则可能通过资产或不同层面开始传递。
因此,香港关键基础设施网络安全保护需要划分出重要信息系统、重要业务环节及其安全边界,需要进行数据分类分级和数据全生命周期安全防护,需要进行数据流和业务流程风险点识别,然后选择安全保护措施,实现重点保护。
香港关键基础设施网络安全关乎国家安全,是国家网络安全的重要组成部分。在全面准确贯彻一国两制方针前提下,我们坚信,香港政府将通过完善地区网络安全治理体系,提升香港网络安全风险应对能力。在香港政府立法会的引导下,香港关键基础设施运营者也将着力提升网络安全保障能力。香港网络安全生态环境将逐步搭建和完善,为香港能源、通信、交通运输、金融机构等行业提供网络安全保护和服务。
作者介绍
关于 大湾区金融安全专刊
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
专刊获取方式
