香港防火牆只認美國標準？專家：資料「如中門大開」

防火牆是保障訊息安全中非常重要的一環。網上圖片

香港房屋委員會及房屋署今次的招標風波，在資訊科技界掀起高度關注，源於共166頁的招標文件，採購一個保護內部系統的防火牆。該系統為各部門的伺服器和授權使用者提供中央部門互聯網閘道服務，消息人士透露，該系統原先的防火牆屬於美國公司所生產，將於2025年4月被停止原廠支援。

房委會及房署月前就採購一個保護聯網系統防火牆作招標時，列明需符合美國ICSA認證標準。網上圖片

受美防火牆「保護」 資料「中門大開」

未知是否因為要沿用舊有招標準則，房委會及房署今次在招標文件中，列明「每個供應商在標書提議的WAF防火牆都需獲ICSA 認證」。所謂的ICSA全名為 International Computer Security Association （國際電腦安全協會）、前身是美國 NCSA（國家電腦安全協會），目前由美國電訊科技公司 Verizon Business （威瑞森通訊）管理和運作，而威瑞森通訊曾打壓中國高科技產品，如2018年停止銷售華為手機。

熟悉資訊安全的專家透露，ICSA是安全產品實驗室，為互聯網安全產品進行認證。內地為數不少的廠商在2020年前亦會把自家的防毒軟體及主打國際線的安全產品進行ICSA實驗室認證，包括華為、騰訊、阿里巴巴及金山軟件等，然而只局限於部分銷售或主攻國際民用市場的產品獲認證，供應於內地政府部門和關鍵基礎設施的產品，一概沒法獲ICSA認證，「2020年中美貿易戰急速升溫後，中國產品獲ICSA 認證已少之又少。」

專家指出，ISO 15408標準認證更具公信力、更多國家或地區採用，內地製防火牆多數獲此認證，但房委會及房署的標書只接受ICSA認證標準，變相把內地防火牆拒諸門外，標書也有利美國防火牆生產商。

專家直言，經過ICSA認證的產品，需接受由原始程式碼開始的包括軟體及硬體性能測試，這無疑等同將產品的功能、性能、能力界限以及漏洞，都被提供認證的國家完全知曉，房委會及房署使用ICSA認證防火牆時，無可避免會將有關資料曝露於極為不利的環境之下，「沒有網絡安全就沒有國家安全，若香港特區政府被制裁，這防火牆不提供服務，會否有癱瘓的風險呢？」

專家：沒有網絡安全就沒有國家安全

就是次招標風險，房屋署昨日回覆香港文匯報查詢時表示，一向參照政府資訊科技總監辦公室就資訊科技保安的指引，制訂資訊科技採購標書內的相關技術條款。因應資科辦現行《網絡設備及業務伺服器系統常備承辦協議》（以下簡稱《協議》）有關防火牆產品需符合當時的資訊安全業界標準（包括由ICSA 實驗室所發出的認證），及考慮到更換後的防火牆與現有連接系統的兼容性，將ICSA認證定為是次投標產品的技術要求進行招標工作。

政府資訊科技總監辦公室發言人則表示，各政府部門採購網絡設備產品包括防火牆產品，可以自行進行招標工作或透過資科辦的《協議》揀選合適的產品。資科辦現正籌備新的《協議》，將會檢視及更新防火牆產品需符合的資訊安全標準，包括加入最新的ISO、GB等國際和國家技術標準。

除了房委會及房屋署在防火牆標書中列明需符合美國ICSA認證標準外，香港特區政府還有哪些部門的防火牆也採用ICSA認證的產品？香港文匯報記者近日向政府資訊科技總監辦公室查詢，惟對方未有進一步披露。

儲存大量敏感或機密資料的伺服器，需要堅固的防火牆作保護。網上圖片

尚海龍：政府部門須提升數碼安全

商湯科技香港公司戰略顧問、立法會議員尚海龍表示，若政府部門就防火牆招標時一直跟從以往沿用的認證標準，或因此未有關注到技術細節的變化而延續寫上ICSA標準，「不能話房委會或房署係有心為之」，不過既然事件引起資訊業界高度關注，政府有必要檢視當前使用的軟件或硬件是否也有類似風險。

他續指，香港一直主張公平，政府招標時要一視同仁，「如果客觀上造成對中國產的軟件或硬件有不公平處，政府部門或公營機構都應盡快作出修正。」

他認為，香港作為中西匯聚的地方，若然經過評估後ISO 15408也能達到美國ICSA認證標準的保護作用，不妨增加多一個標準作為招標門檻。

對於有業界關注今次房委會及房屋署的最新招標若落入外國防火牆製造商手中，會否使香港市民的敏感資料曝露於風險之中，尚海龍指出要視乎有關敏感資料的儲存環境，「如果有關資料只是放在主機中或者屬於私有化部署，那洩密的風險未必高。」若經過評估後認為洩密風險高的話，政府不妨在新中標的防火牆外，再加一道防火牆。

另外，尚海龍亦建議由資科辦牽頭成立港版的「政府採購安全可靠資訊產品清單」，協助各政府部門和公營機構提升數碼安全。

楊永杰：港電腦系統有被封鎖之憂

立法會議員楊永杰指出，在中美貿易戰下，不少中國公司被美國實施所謂的「制裁」，甚至刻意不審批有關公司的產品，故房委會及房署要用美國標準作為招標的核心條件，變相排除不少中資公司，「這樣，入得標的基本上是外資公司為主，但問題是房委會及房署現在的標準牽涉數以百萬計住戶的敏感資料，要求的保密標準應該更加高。」

他認為，將有關資料擺放在美國或外國研發的軟件或硬件，一旦中美貿易戰升級，香港勢必受牽連，整個系統有機會被人封鎖，大量儲存在電腦內的資料或會完全找不回，「這是非常大的風險，作為政府應有意識地以中國標準為主要準則，將敏感資料擺放在由中國研發的軟件或硬件中，才是最安全。」

房委會及房屋署早前計劃為轄下內聯網系統購置新型防火牆，招標文件列明，防火牆必須符合美國ICSA認證標準。但在中美貿易戰下，幾乎再無內地製造的防火牆可獲ICSA認證，變相投標無望。政府資訊科技總監辦公室昨日表示，會檢視及更新防火牆產品需符合的資訊安全標準，包括加入最新的ISO、GB等國際和國家技術標準。香港網絡系統的招標準則多年採用美國認證標準，存在重大安全隱患，資科辦應盡快更新標準，堵塞安全漏洞，保障港人整體利益。國家是香港創科發展最大後盾，香港須與時俱進，積極與內地創新機制規則對接，力促兩地創新要素交流融通，加快香港融入國家創新體系，增強香港競爭力。

房委會及房屋署更新系統防火牆的招標風波，在資訊科技界引發高度關注。根據資科辦原有規定，供應商所提供的產品須獲美國ICSA認證，而內地只有少數在國際民用市場銷售的產品獲認證，供應於內地政府部門和關鍵基礎設施的產品，一概沒法獲認證。中美貿易戰急速升溫後，中國產品獲ICSA認證更少之又少，等同把內地出品的防毒軟件等產品拒之本港市場外，只能採用美國防火牆生產商的產品；更令人擔憂的是，房委會及房署使用ICSA認證防火牆，房委會及房署系統儲存近200萬港人的私隱，將被提供認證的美國完全知曉，專家形容，「如同中門大開」，如今美國當局不斷圍堵中國，打「香港牌」壓制中國，若特區政府被制裁，防火牆不能提供服務，房委會及房署系統更面臨癱瘓的重大風險。

此次風波提醒我們，特區政府檢視、更新資訊科技產品的採購標準必要而且迫切。傳媒介入下，資科辦發言人表示，各政府部門採購網絡設備產品包括防火牆產品，可以自行進行招標工作或透過資科辦的《協議》揀選合適的產品。資科辦現正籌備新的《協議》，將會檢視及更新防火牆產品需符合的資訊安全標準，包括加入最新的ISO、GB等國際和國家技術標準。專家指出，ISO、GB等標準認證更具公信力、已經有更多國家或地區採用，內地製防火牆多數獲認證。專家更建議，由資科辦牽頭成立港版「政府採購安全可靠資訊產品清單」，協助各政府部門和公營機構提升數碼安全。希望資科辦從善如流，盡快更新採購標準，以利消除風險、提升保障，也令採購更公平。

資訊科技是當今創科發展的重要領域。資科辦專門負責制定本港資訊及通訊科技政策、策略、計劃和措施，在倡導社會各界發展資訊及通訊科技方面發揮積極主導的作用。創新科技是激活香港經濟高質量發展的重要引擎，在中央扶持下，香港國際創新科技中心的定位不斷提升。「十四五」規劃綱要支持香港建設國際創新科技中心；《粵港澳大灣區發展規劃綱要》強調，香港要「大力發展創新及科技事業，培育新興產業」。香港目前擁有多所國際排名靠前的高等院校，16個國家重點實驗室、6個國家工程技術研究中心，不少項目獲得國家重要科技獎項。

在創科路上，國家一直是香港最強大的後盾、支撐和最廣闊的舞台，香港要有效推動科技創新，首要是推動制度創新，主動對接國家創新發展策略。《香港創新科技發展藍圖》提出，加強與國家創新體系的對接，「更好統籌協調內地與香港相關部門在創科政策、資源等方面的溝通，並理順安排和制定具體行動，加快推展香港國際創新科技中心的建設」。