全民检测 |缺HTTPS官网保安仅D级　资科办：坊间工具易得假阳结果

新型肺炎疫情影响本港大半年后，政府推出普及社区检测计划（俗称“全民检测”），于9月1-7日提供自愿性病毒检测，市民需预先在网站预约。登记需填写姓名、身份证号码、电话等个人私隐资料，故网站安全非常重要，惟《香港01》利用网站安全扫描工具Mozilla Observatory扫描网站，结果只有D级。而早前发放1万元（香港邮政网站电子表格）、派发铜芯口罩的扫描结果分别是B级及C-级。换言之，今次社区检测计划网站得分最低。不过，扫描结果只表示网站未有完全采取Mozilla建议的安全措施，仅供参考，不代表网站已经出现安全事故。另有工具显示网站可安全浏览。政府资讯科技总监办公室（资科办）回复指，在网站投入服务前，已委托独立第三方顾问公司进行保安风险及私隐评估，并进行渗透测试以找出和修补安全漏洞，而Mozilla Observatory所提出的潜在风险，网站一直有相应的保安措施作保护，包括禁止跨网站指令码及采取自动转换安全传输技术等，并且已设定有关参数，而免费工具通常未能完全侦测得较深层的保安措施；所有保安及第三方评估工作于网站投入服务前完成，至今没有接获任何保安问题的报告。

▼全民检测计划展开　市民及官员参与情况▼

登记需填写姓名、身份证号码、电话

普及社区检测计划预约系统在8月29日起开放预约，至9月1日下午有超过60万人预约。登记人士需填写姓名、身份证号码或出世纸号码、手提电话号码等。由于类似的预约网站对整体市民开放，并需要收集敏感个人资料，因此网站的保安及流量管理非常重要。

▼预约全民检测页面▼

扫描级果：D级、三项指标不合格

《香港01》于8月31日利用网站安全扫描工具Mozilla Observatory扫描普及社区检测计划网站的预约页面，结果只有D级，得分仅35（满分100），在11个不同种类的测试中，有三个不合格，包括未有妥善写入“内容安全策略（Content-Security-Policy）”，或致网站更容易受“跨站指令码攻击”，即网站被恶意加入一些程式码，不法份子或可利用作此漏洞盗取资料、散播电脑病毒等。

此外，工具指网站未使用“HTTP强制安全传输技术”，即没有强制用家的浏览器使用HTTPS。HTTPS亦称“超文字安全传输通讯协定”，是一项可确保讯息在用家的电脑和网站之间，以加密方式传讯技术。如果用家的浏览器未有使用HTTPS，有可能出现资料被盗取或修改、网站被骑劫等情况。工具同时显示没检测到网站的“X-Frame-Options 回应标头（X-Frame-Options）”，表示网站容易被“点击胁持”，即网站容易被嵌入在恶意网站中，甚至被用于“点击胁持”，如欺骗使用者点击“检视”按键，但实际上是“付款”按键。

网站三项不合格指标：1. 未妥善写入“内容安全策略（CSP）”：不法份子或可利用作此漏洞盗取资料、散播电脑病毒等。2. 未强制用家的浏览器使用HTTPS：有可能出现资料被盗取或修改、网站被骑劫等情况。3. 未妥善写入“X-Frame-Options 回应标头（X-Frame-Options）”：网站容易被嵌入在恶意网站，或可能被用以欺骗使用者点击有问题按键。

资科办：网站推出前已委托独立第三方评估测试

政府资讯科技总监办公室回复指，“普及社区检测计划”预约登记网站在政府私有云平台上运作，所有经系统收集的资料均储存于政府私有云，获多重电脑保安措施保障，包括防火墙、入侵侦测及防御系统等等。

资科办并指，在网站投入服务前，已委托独立第三方顾问公司（安永咨询服务有限公司）进行保安风险及私隐评估，并进行渗透测试以找出和修补安全漏洞，而Mozilla Observatory所提出的潜在风险（第一、二项），网站一直有相应的保安措施作保护，包括禁止跨网站指令码及采取自动转换安全传输技术等，至于有关“X-Frame-Options”的潜在风险（第三项），另一检视结果确认系统已设定有关参数。资科办表示，所有保安及第三方评估工作于网站投入服务（即8月29日）前完成，网站推出后亦一直监察系统运作，至今没有接获任何保安问题的报告。

邮政“派1万元”电子表格B级、铜芯口罩C-级

疫情以来，政府已至少三次利用网站收集市民登记，除了是次普及社区检测，还包括发放1万元的香港邮政网站电子表格，以及派发铜芯口罩查询进度页面。以同一工具逐一测试，结果显示发放1万元邮政电子表格是B级（8月31日扫描）、派发铜芯口罩是C-级（9月1日扫描）。

Mozilla Observatory面向开发人员　另一测试显示网站可安全浏览

值得注意的是，这并不代表网站现已出现安全事件，只是网站未有完全采取Mozilla Observatory所建议的网站安全措施，主要是为了提醒开发人员需在网站加上一系列安全相关程式码，仅供参考。Mozilla为开源科技社区，推出不少开源代码项目，包括不少网民使用的FireFox浏览器。

记者另外使用专为网络使用者标示不安全网站、由防毒软件公司诺顿开发的Safe Web工具，扫描上述三个网站，结果显示三者均可安全浏览。

方保侨：建议同时使用多个工具

资科办认为，坊间扫描工具或因所采用的技术不同，扫描同一系统时的结果或有所差别，甚至出现假阳性（false positive）的情况；而免费工具一般根据基本的系统设定、参数及措施去推算潜在的保安漏洞供参考，但对于较深层的保安措施，通常未能全部侦测得到。

香港资讯科技商会荣誉会长方保侨认为，此类网站保安扫描工具一般供开发人员作寻找洞漏之用，但因为不同工具所使用的版本不同，或出现不同结果，例如一些工具如太敏感，或会出现False Alarm（虚报）情况，而如果工具未及更新，亦会出现侦测不出来的情况，因此建议同时使用多个工具，参考多方资料，再由开发人员作进一步检查。

近年全民活动网站事故：旅发局除夕大抽奖

而近期涉及大型活全民活动的网站问题事件，是2019年除夕倒数大抽奖网站的“大塞车”，导致不少市民难以登记，而活动定在除夕夜抽奖，亦要延至新一年、即2020年元旦才公开抽奖。当时网站及活动连环出现问题，包括临近开放登记时前，突宣布取消手提电话接收验证码，改以电邮接收；验证邮件被部份电邮供应商当成“垃圾邮件”；其后活动网站域名被个别网络安全供应商列入黑名单，不能正常运作。

事实上，香港曾发生政府网站被连环攻击事件。2014年10月，国际黑客组织“匿名者”宣布向香港的网站发动名为“香港行动（OpHongKong）”攻击，并指目标包括警务处、律政司、海关等。当时共计有70多个政府网站受攻击，主要受到“分散式阻断攻击（DDos）”，致使网站运作缓慢，不能正常访问。

▼9月4日起放宽措施　部份处所仍关闭▼

▼01实测咽喉拭子采样▼