想為企業應對變化多端的市場做好準備？參加 Synology Solution Day 2025，深入了解其最新解決方案，享受嶄新資料管理體驗。

現場更有專家帶你深入探索 Synology 解決方案亮點，包括：資料儲存與管理、資料與工作負載保護 、 AI 團隊生產力及智慧影像監控。

活動當日首 60 位完成報到的嘉賓，將可獲得限量版周邊禮品！

香港首條網絡安全法例《保護關鍵基礎設施（電腦系統）條例》（下稱《條例》）將於明年 1 月 1 日實施，涵蓋能源、金融、醫療、運輸、廣播服務及資訊科技等八大關鍵行業。面對新例要求，相關營運者需緊急審視現有系統安全措施，避免因違規面臨高達 500 萬港元的罰款！我們今次請來「AI +雲網安」服務供應商第一線 DYXnet 的網絡安全專家鍾而政（Louis）提供行動指南，助受監管的企業或機構了解如何透過一系列的合規評估及措施，實現資訊安全升級。

三大核心責任：架構、預防、應變

《條例》清楚要求受監管的營運者履行架構、預防、應變三類責任，Louis 指出：「目的是確保關鍵基礎設施系統安全，防止因電腦系統安全事故造成核心營運損害，影響到社會及經濟層面。」他遂指出三類責任的內容細節：首先，針對架構方面的責任，受監管企業或機構須建立完善的電腦系統安全管理架構，設立由合資格人士領導的專責團隊，負責監督關鍵電腦系統的資訊安全運作。其次，在威脅預防與持續評估方面，企業或機構須於法例生效指定日後 3 個月內提交並實施電腦系統安全管理計劃，包括事故應急計劃，並在首年完成安全風險評估報告，後續每 2 年進行系統審核；若其架構或電腦系統出現重大變更，亦須於 1 個月內通報監管機構。

此外，針對事故通報與應變，如遇影響營運或涉及個人資料洩漏的嚴重事故，則要在知悉事故發生 12 小時內迅速通報，並提交事故紀錄及報告。為確保應變能力，企業或機構每 2 年至少須進行 1 次安全演習，模擬真實攻擊情境，測試團隊的應對效率。

分階段合規策略　一站式「問診 + 執藥」萬無一失

為免受罰，就要交齊功課！但應該如何入手？Louis 以「問診+執藥」作比喻，提出分階段合規策略，「在『問診』階段，首先可以進行合規性評估（Compliance Assessment），快速對照現有措施與《條例》的差距。此外，可透過網絡安全風險評估（Cybersecurity Risk Management）及第三方風險管理（Third-Party Risk Management），全面識別系統、資訊，以及供應鏈風險，釐清潛在威脅與可能造成的損失。進入『執藥』階段，企業或機構就可對症下藥，根據評估結果制定針對性防護策略，強化雲端安全、供應鏈管理、遠端存取控制等關鍵環節，填補合規缺口。」Louis 強調，將「問診」及「執藥」交給同一個服務供應商執行，能確保措施連貫性，避免因溝通落差導致合規漏洞。

事件報告與回應方面，旨在快速應對網絡安全事故及降低對服務的影響，因此需要做好緊急應變計劃（Incident Response Plan）及營運持續管理（Business Continuity Management），即使遇上事故亦可減少損失並快速恢復營運，維持服務連貫性。

差距分析：企業的合規捷徑

對於一些已取得 ISO 27001 資訊安全管理系統認證的企業或機構，Louis 指出：「他們已有一定的安全控制和流程來保護其系統和所擁有的敏感資料，其實此認證的要求與《條例》有不少重疊的部分，企業只需進行合規性評估，針對剩餘差異強化措施，可大幅降低合規性的成本與時間。」這項分析能幫助企業精準掌握需補強的環節，例如事件通報時效、演習頻率等，避免重複投入資源。在事故應變計劃，亦可參考 NIST 的框架，分類嚴重及一般事故，迅速排除及應對事故，這是合規關鍵。

《條例》實施在即，受監管的營運者應立即行動，借助專業服務供應商完成評估與升級，避免因延誤影響營運合規性。第一線的一站式網絡安全服務從各種網絡安全評估、審計，以至制定安全管理計劃及應變計劃、資訊安全解決方案實施及 SOC 安全託管服務等，由計劃到執行，均能量身訂制出合法合規的防護體系，助企業與新法例無縫銜接。而第一線的專家團隊具備 CISSP、CISM、CREST、ISO27001 Lead Auditor、OSCP、CHFI 及 CIH 等國際安全專業認證，結合橫跨各產業的實戰經驗，不僅有效分擔企業 IT 維運壓力，更能建構多層次防禦架構，提升整體資安韌性。

如有興趣了解更多，請在此與第一線網絡安全專家聯繫：https://www.dyxnet.com/hk/get-in-touch/

網絡安全及應用交付方案供應商 F5，遭疑似中國國家級黑客入侵，攻擊者長期潛伏於系統內，並成功盜取包括 BIG‑IP 旗艦平台源代碼，以及未公開漏洞資料等敏感文件。

暫未有未公開漏洞被利用

F5 在提交予美國證券交易委員會（SEC）的報告中透露，黑客於部分與產品開發相關的系統中，持續存在一段時間。公司表示，目前未發現被竊取的漏洞屬於可被遠程利用或屬高危級別，亦未見任何未公開漏洞正被利用的跡象。

F5 強調，調查暫時顯示黑客並無改動源代碼、編譯或發布流程；旗下 NGINX 產品開發環境、F5 Distributed Cloud Services 及 Silverline 系統亦未被入侵。同時，黑客未有接觸到客戶關係管理（CRM）、財務、iHealth 或技術支援個案管理系統的數據。

不過，受影響的工程知識平台中，有部分檔案包含少量客戶的設定及實施資料。F5 表示，相關內容正由內部團隊檢視，若確定涉及個別客戶，將會直接通知。

公司於 8 月 9 日偵測到入侵，但因應美國司法部批准延遲披露，直至本周三才公開事件。根據美國證券交易委員會（SEC）新規定，上市公司須在事故被視為「具重大影響」後 4 個工作天內通報，但如涉及國家安全或調查需要，可獲延遲。

F5 目前認為事件未對公司營運造成重大財務影響，但仍在評估整體後果。

疑中國黑客組織入侵

雖然 F5 未點名攻擊者身分，但多個安全界線索均指向中國黑客組織。過去中國國家級黑客曾多次鎖定大型軟件公司，以竊取源代碼及搜尋零日漏洞。近期多宗案件顯示，中方黑客組織利用類似手法滲透全球多間科技與 SaaS 供應商，試圖掌握未公開漏洞情況。

值得留意的是，中國黑客亦曾利用舊版 F5 BIG‑IP 設備維持滲透途徑。今次事件再次顯示，專業安全廠商本身亦可能成為高階攻擊者的目標。

資料來源：https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/