房委會房署購置防火牆 原只接受美ICSA認證

美國政府頻頻打壓中國高科技及網絡軟硬件，近日更下令公務設備剔除中國應用軟件TikTok（抖音海外版）。反觀香港，一直沿用部分歷史遺留下來的招標準則，把內地軟硬件拒諸門外。其中，香港房屋委員會及房屋署今年1月23日為旗下一個內部系統購置新型號Web防火牆時，在公開招標文件中列明，有關防火牆必須符合美國ICSA認證標準。中美貿易戰下，幾乎再無內地製造的防火牆可獲ICSA認證，變相投標無望。有資訊科技界人士指出，該系統儲存近200萬港人的私隱，招標準則竟採用美國認證標準，而非內地乃至全球更廣泛採用的ISO 15408標準。香港文匯報調查了解相關情況後，日前向政府資訊科技總監辦公室查詢；資科辦昨日回覆表示，會檢視及更新防火牆產品需符合的資訊安全標準，包括加入最新的ISO、GB等國際和國家技術標準。◆香港文匯報記者 文禮願　

香港房屋委員會及房屋署今次的招標風波，在資訊科技界掀起高度關注，源於共166頁的招標文件，採購一個保護內部系統的防火牆。該系統為各部門的伺服器和授權使用者提供中央部門互聯網閘道服務，消息人士透露，該系統原先的防火牆屬於美國公司所生產，將於2025年4月被停止原廠支援。

受美防火牆「保護」 資料「中門大開」

未知是否因為要沿用舊有招標準則，房委會及房署今次在招標文件中，列明「每個供應商在標書提議的WAF防火牆都需獲ICSA 認證」。所謂的ICSA全名為 International Computer Security Association （國際電腦安全協會）、前身是美國 NCSA（國家電腦安全協會），目前由美國電訊科技公司 Verizon Business （威瑞森通訊）管理和運作，而威瑞森通訊曾打壓中國高科技產品，如2018年停止銷售華為手機。

熟悉資訊安全的專家透露，ICSA是安全產品實驗室，為互聯網安全產品進行認證。內地為數不少的廠商在2020年前亦會把自家的防毒軟體及主打國際線的安全產品進行ICSA實驗室認證，包括華為、騰訊、阿里巴巴及金山軟件等，然而只局限於部分銷售或主攻國際民用市場的產品獲認證，供應於內地政府部門和關鍵基礎設施的產品，一概沒法獲ICSA認證，「2020年中美貿易戰急速升溫後，中國產品獲ICSA 認證已少之又少。」

專家指出，ISO 15408標準認證更具公信力、更多國家或地區採用，內地製防火牆多數獲此認證，但房委會及房署的標書只接受ICSA認證標準，變相把內地防火牆拒諸門外，標書也有利美國防火牆生產商。

專家直言，經過ICSA認證的產品，需接受由原始程式碼開始的包括軟體及硬體性能測試，這無疑等同將產品的功能、性能、能力界限以及漏洞，都被提供認證的國家完全知曉，房委會及房署使用ICSA認證防火牆時，無可避免會將有關資料曝露於極為不利的環境之下，「沒有網絡安全就沒有國家安全，若香港特區政府被制裁，這防火牆不提供服務，會否有癱瘓的風險呢？」

專家：沒有網絡安全就沒有國家安全

就是次招標風險，房屋署昨日回覆香港文匯報查詢時表示，一向參照政府資訊科技總監辦公室就資訊科技保安的指引，制訂資訊科技採購標書內的相關技術條款。因應資科辦現行《網絡設備及業務伺服器系統常備承辦協議》（以下簡稱《協議》）有關防火牆產品需符合當時的資訊安全業界標準（包括由ICSA 實驗室所發出的認證），及考慮到更換後的防火牆與現有連接系統的兼容性，將ICSA認證定為是次投標產品的技術要求進行招標工作。

政府資訊科技總監辦公室發言人則表示，各政府部門採購網絡設備產品包括防火牆產品，可以自行進行招標工作或透過資科辦的《協議》揀選合適的產品。資科辦現正籌備新的《協議》，將會檢視及更新防火牆產品需符合的資訊安全標準，包括加入最新的ISO、GB等國際和國家技術標準。