Newsletter No. 424

2 No. 424, 4.10.2013 斯諾登事件的啟示： 校園網絡安全 今年6月，美國國安局情報分析員 斯諾登 向傳媒透露，美國情報機構入侵其他國家 政府機構和大學的網絡，監控資料，傳媒臆測當中包括中文大學管理的香港互聯網 交換中心（HKIX）。 H KIX由本校資訊科技服務處管理，該處處長 梁光漢 先生說，至今沒發現任何異常情況，而且據他分析， 美國政府不大可能為蒐集信息而入侵HKIX。首先，HKIX 每天交換的數據流量達到每天2,592 Terabytes（Tb），而 HKIX只負責傳送交換，並不儲存這些巨量數據，黑客入侵 HKIX把這些數據儲存或傳送到其他地方而不為人察覺， 是無法做到的。他還說：「HKIX只負責香港本地互聯網服 務供應商之間的信息交換，如被監控對象的信息是發送 到本港以外地方，一般不會流經HKIX。所以如要監控某 個人，採用釣魚郵件或向其電腦安裝木馬程式，或竊取其 密碼，是更有效的手段。」 威脅日重 雖然HKIX遭入侵的可能性很低，但大學網絡成為黑客攻 擊的對象，受到愈來愈多的攻擊，卻是全球皆然的趨勢。 較早前美國威斯康辛大學就向美國報章透露，該校每天受 黑客試圖攻擊的次數高達十萬次；而加州大學柏克萊分校 也說，該校每星期有高達一百萬次試圖入侵事件。 據梁光漢先生說，中大網絡受到的攻擊也不少，至於次 數，則要視乎如何定義，比如一封釣魚電郵同時發送給 一萬人，是算一次還是一萬次？如果算一萬次，中大網絡 每天受攻擊的次數也是成千上萬。但現在中大把這樣的 攻擊只算一次，所以每天受攻擊的次數是數以百計。他說： 「大學電腦受攻擊的原因有很多。好奇的電腦發燒友可能 想一試身手；有人會對某位大學教師或學生懷恨在心而惡 意破壞；也有人會利用大學系統為跳板攻擊其他機構；有 人竊取師生的電腦戶口和密碼出售圖利；甚至有人會想盜 取大學研究人員的科研成果。」 資訊科技服務處設有信息安全組，在遇到發生信息安全事 故時負責協調工作。梁先生說，由於信息安全牽涉的層面 很廣（如找出問題、通報、堵塞漏洞、復原系統、應付用戶 查詢、加強保安等），所以處理時通常不只涉及信息安全 組的人員，而是整個資訊科技服務處都會參與。 這些信息安全事故包括釣魚電郵或網頁、伺服器被入侵、 網頁遭惡意塗改、電腦中病毒等。在2012年，信息安全組 處理過八十七宗事件，比2011年上升了百分之八十九，而 2013年光是1月至8月，所處理的事件已有一百零三宗。由 此可見，信息安全是大學須要面對的愈來愈重大的問題。 密攻密防 光以電郵為例，中文大學的電郵戶口每天處理的電郵高達 一百一十萬封，其中七成因有各種問題（包括病毒、垃圾 郵件）而過濾掉。校內重要的應用系統網絡也設置了防火 牆，若網絡有不正常的數據流量，就會察知，及早發現電 腦是否已被人入侵和控制。 在學系或部門方面，資訊科技服務處經常與各學系和部門 的技術人員交流最新資料，並計劃一同定期檢查系內或 部門內的電腦系統安全。梁光漢先生說：「我們依賴系內 和部門內的技術人員保障他們各自電腦系統安全，所以希 望系主任或部門主管能支持這些同事。」 資訊科技服務處如發現黑客攻擊事件，有時要報警處理。 因為通常發動這類攻擊的源頭都不是在大學之內，甚至 不是在香港之內而是遠在境外，所以需要由香港警方去 處理。 全民保安 對於大學來說，網絡安全是非常重要的課題。程伯中教授 就說：「數據是我們的資產。所以每個人、每個機構應盡力 保護自己的網絡和數據安全，令資產不受損害。」要維護 中大的網絡安全，除了資訊科技服務處同事外，還需要全 體教職員和學生參與。梁先生說：「資訊保安是要大家一 起做的事。打個比方，如果你住在一個屋苑裏面，卻不注 重門戶安全，不只你家裏東西會被偷，賊匪還可以躲在你 家，伺機到其他住戶犯案，令其他人受害。」 方便與保安是對立的，愈方便就愈危險。只要不嫌麻煩， 就可以大大加強自己的信息安全。梁先生打個比喻：「就 像公共衞生一樣，大家勤一點洗手，就可大大減少沾上病 毒而染病的風險。」 大學是流動性高的多元社群，每個人對信息安全的理解、 關心和期望都不盡相同，而且大學不同於政府或商業機 構，這裏的文化是注重信息公開流通，與國際、內地、本地 各層面都有廣泛接觸，這種獨特情況令信息保安工作更形 艱巨。斯諾登事件的發生，從正面看，可以令人關注大學在 這方面須要應付的複雜問題。程教授補充：「互聯網保安 是重要的議題。大學一定會適時投放合適的資源到這個 範疇，確保我們的設備和技術不會落後於人，也不會受到 威脅。」 T he HKIX is managed by the Information Technology Services Centre (ITSC), whose director Mr. Leung Kwong-hon Philip said that the University had found no evidence that this backbone network had been hacked. According to his analysis, it is very unlikely that the US Government would hack the HKIX for surveillance purposes. First of all, the volume of data traffic at the HKIX reaches 2,592 terabytes per day, and this multitude of data is not saved in any form by the HKIX. It is nearly impossible for a hacker to break into the HKIX to download and transfer its data without being detected. Mr. Leung said, ‘The HKIX serves as an exchange point for the internet traffic of local Internet service providers. If the person under surveillance sends a message to an address outside Hong Kong, it wouldn’t normally go through the HKIX. So, if you want to spy on someone, an efficient way is to use phishing e-mails or Trojans to steal passwords.’ Mounting Threat Although it is very unlikely that the HKIX would be a target of cyber espionage, it is true that universities around the world are increasingly coming under cyber attacks. According to an earlier newspaper report, the University of Wisconsin receives up to 100,000 hacking attempts per day. UC Berkeley says they are faced with millions of attempted break-ins every single week. Mr. Leung said that the number of cyber attacks against CUHK is also alarmingly high. But the actual number depends on how attacks are counted. For example, should one phishing e-mail sent to 10,000 recipients be counted as one attempt or 10,000? If it is counted as 10,000, then the CUHK network gets thousands of break-in attempts a day. But the University counts that as HKIX 香港互聯網交換中心（HKIX）不是中文大學本身 的網絡，而是中大為香港社會提供的公共服務， 不謀利也不涉及自身利益，完全以服務社會為出 發點。 程伯中 副校長憶述：「在1990年代，互聯網的應用 開始在香港起步，但當時我們透過互聯網與外界 聯繫，都要繞經一些國際網絡，無論時間和成本 都很不划算。所以就有人建議在香港設立互聯網 交換中心，支援本地數據的互相傳送。當時政府 不大積極，前校長 高錕 教授有見及此，就認為我們 中大應設立這樣的設施，支援本地的互聯網服務 供應商。」這就是HKIX由中大管理的歷史原因。 The Hong Kong Internet Exchange (HKIX) is not part of the CUHK Network. It is a social service offered by the University to the public. The University operates the HKIX not for profit or gain, but as a service to society. Prof. P.C. Ching , Pro-Vice-Chancellor, recalled, ‘In the 1990s when the Internet in Hong Kong was still in its infancy, communication among different Internet service providers (ISPs) had to be routed through overseas facilities, which was time-consuming and expensive. There were discussions to set up a local interconnection point for local ISPs. But the Government’s attitude was lukewarm. Prof. Charles K. Kao , then CUHK Vice- Chancellor, opined that the University should take the lead in establishing such an infrastructure to facilitate local inter-ISP traffic.’ That is the reason that the HKIX is housed at and run by CUHK. 資訊科技服務處處長梁光漢先生 Mr. Leung Kwong-hon Philip, Director of Information Technology Services 邊註邊讀 Marginalia 自古以來，劍和盾是人們或是騎士搏鬥時用的武器，但除此 以外，它們亦被視為榮譽和認同的象徵。法蘭西學院代表 授予外籍院士銜給 饒宗頤 教授的最後一件信物，正是仿自 春秋時代越王勾踐的佩劍。這是無與倫比的成就，祝賀 饒教授！ 中大成立初年，獲倫敦英國紋章院授予中文大學紋章， 「博文貫珍」展示了該院的授權證書，當中詳列大學校徽的 規格和用色。讀者可順帶學些拉丁文，沾點古雅餘芳。 蘇芳淑 教授也鍾情於古代瑰寶，在「……如是說」中，她細 說從頭，縷述為何鑽研出現於數千年前的青銅器和玉器。 跳回繽紛的現代，因着早前 斯諾登 的一說，讓中大成為時事 焦點，我們就此來談談網絡安全和中大網絡面對日益增多 的黑客攻擊。不過，此仗的武器不再是劍和盾，而是密碼及 防火牆。閱過文章後將可掃除一些誤解，並會給你提示，以 在網絡世界中自衞。 Swords and shields are what people, or at least people from the chivalric past, fight with. But in other times and circumstances they are also symbols of honours and recognition. The last but not least article conferred on Prof. Jao Tsung-I by the representative of the Institut de France is an academician’s sword, made in the likeness of the one putatively carried by the King of the Yue State in the Spring and Autumn Period of ancient China. A crowning achievement. Congratulations to Professor Jao! In its first years the Chinese University was granted a coat of arms by the College of Arms in London. ‘The Galleria’ shows a document from the College in which the University emblem and the school colours are given. Read it and learn a few Latin words. In ‘Thus Spake…’, Prof. Jenny So tells us why she had also started with some oldies and goodies, in her case, Chinese antiquities such as bronzes and jades from a few millennia back. To come back to the dizzying present, we present a story on internet security and hackers who are trying to find inroads into CUHK’s network on an increasingly frequent basis since Edward Snowden ’s honorary mention of CUHK. The battle is now fought not with swords and shields but with passwords and firewalls. Read the article, dispels some myths and learn a few tricks of self-defence in the cyberspace. ———————■■■——————— 目錄 Contents 斯諾登事件的啟示：校園網絡安全 2 Campus Network Security after the Snowden Incident 校園消息 Campus News 4 宣布事項 Announcements 5 博文貫珍 The Galleria 6 舌尖上的中大 CUHK f&b 6 人事動態 Ins and Outs 7 蘇芳淑如是說 Thus Spake Jenny So 8