有關「數碼 21」的資訊安全建議

時間 :12:56 取得文章短網址

文章分類 : eGov, News

香港政府及企業應該盡量採用由本地研發的產品和技術,取代由外國企業所研發的同類產品。由外國企業、特別是美國企業研發的產品,均有被政府監控機構強行植入後門的可能性,應該盡量避免使用。

採用由本地研發產品的另一個好處,是可以扶植本地科技成為產業。

香港在 2014  年度決定資訊科技發展方向的「數碼 21」正在接受業界咨詢。作為資訊保安產業的一份子,筆者就在這裡拋磚引玉,讓業界同好一起討論。

要為香港政府和市民提供完善的資訊保安,首先就要有清晰和透明的安全政策,以保護政府、非政府組織 (NGO) 和一般公眾的數據,這應該考慮日常在個人或業務中、使用的硬體和軟體產品的安全性,特別需要確認的,是產品本身有沒有後門的存在。

採用由本地研發的產品

使用開源的硬體和軟體將會是最好的選擇,因為硬體的設計、軟體的程式碼都完全公開。但實際上因為用戶的使用習慣、文件格式只有單一廠商才可以打開、業務夥伴必須使用同類產品等理由,在實行上有一定的困難。這時退而求其次的對策,便是應該盡量採用由本地研發的產品和技術,取代由外國企業所研發的同類產品。由外國企業、特別是美國企業研發的產品,均有被政府監控機構強行植入後門的可能性,應該盡量避免使用。採用由本地研發產品的另一個好處,是可以扶植本地科技成為產業。

通過保障私隱法律

在歐洲有保障私隱的法律,因此對於美國政府透過「稜鏡」計畫收集國外用戶資料,可以通過私隱保障法展開反擊。2013 年法國與西班牙首先對 Google 提訴,指 Google 侵犯歐洲私隱權法。香港有需要制定與歐洲相似的私隱保障法,確保收集數據時不會涉及個人資料。這同時可以防止 Google、Yahoo!、Facebook、微軟等跨國數據服務供應商,將在香港收集回來的個人資料傳送到在美國的總部,成為美國政府監控的判斷材料。

nwStor Limited 技術總監伍燦耀

本文作者為 nwStor Limited 技術總監伍燦耀。

提供可信任的公共雲

Google、Yahoo!、微軟等跨國數據服務供應商,在為一般市民提供郵件、地圖、檔案儲存空間、網路電話、社交網路等方便的雲端服務的同時,不但收集本地用戶的個人資料,亦令市民嚴重地依賴有關服務,最終會令產業的主導權掌握在外國企業手上。政府有需要設立香港居民可以信任、並運用自如的雲端服務,釋除大眾對外國雲端服務安全性的疑慮。由香港數碼港推動的「數碼港社區雲」是一個好例子,數碼港社區雲是香港首個社群雲端平台,以開源技術為基礎開發,保證不會被植入後門、不會向外國企業或政府輸出任何數據,也不會令產業受制於單一廠商,只是目前只限於數碼港內部使用,希望假以時日可以向公眾開放。

讓數據擁有者控制安全性

數據私隱政策的另一重點,是讓數據擁有者自行控制數據安全性。以病人的記錄為例,數據擁有者或使用者(如患者),應有權授權誰可以讀取他的數據、和可以讀取的數據種類,例如只有指定的醫療機構才可以讀取。擁有者也應該有權知道,有誰曾經查詢過關於他的個人資料,防止有關資料被用作商業用途。數據擁有者也應該擁有自行控制數據寫入的權限,例如只有某個主診醫生,才有修改病歷記錄的權限。

培育本地 IT 產業

設立一個研發環境,吸引外國和內地 IT 公司在香港設立研發中心。與北京、上海相比,香港有更好的空氣質量、可信任的醫療設施和更安全的食品。香港可以培養和吸引來自中國或外國的工程師,政府應該鼓勵部門和本地企業使用本地開發的 IT 產品。目前本地大學在 IT 培訓上並未達到國際水平,筆者就曾經遇到本地大學計算機科學的畢業生竟然不理解硬體,計算機工程師竟然不用寫程式,大學課程所教的竟然是十多年前的技術,這一切都令人十分驚訝。香港的大學 IT 課程需要與國際接軌,才能為業界提供合用的生力軍。

設立測試中心

設立本地的測試中心,可證明本地 IT 產品的可用性,讓本地公司至少有一個可靠和值得信賴的標誌,而不是只能擁有外國評審機構才能發出的認證。外國的 IT 認證 如 CC EAL4+ 等是非常昂貴的,不但對本地企業是昂貴的支出,也令外國企業間接分享了本地生產的成果。設立本地的測試中心除了有助提升本地 IT 產品的水平,也有利於香港成為中國大陸及鄰近地區的認證中心,賺取外匯收入。

你可能會對以下文章有興趣:

发表评论

电子邮件地址不会被公开。