你是否曾經想過，如果網絡城市也有「體檢報告」，香港政府各部門會得到什麼分數呢？最近有專家根據公開資料，對政府機構的網絡防禦能力進行了「外部觀察評分」。結果發現，有些部門的網絡安全表現不錯，但也有一些部門在公開系統的防護上，分數偏低，這意味著如果真有針對性的攻擊，潛在風險不容忽視。 當然，政府也指出，這些分數只是基於公開資料的外部觀察，無法看到內部防護、後臺系統和防禦策略，因此不能完全反映實際安全水平。但這個結果仍然提醒我們：光靠「後臺守護」是不夠的，外部可見的系統也是攻擊者可能入侵的門戶。 網絡安全不是只靠鎖門 想像一下，如果你的家裡有高牆、大門和警報系統，但窗戶沒鎖，或者有人能輕易從陽台進入，家還能算安全嗎？對政府或企業而言，公開面向的網站、API 或雲端系統就像這些窗戶。即使內部安全再嚴密，外部攻擊面一旦被忽略，就可能成為入侵的入口。 這也是為什麼現在很多組織開始重視「Red Team」和滲透測試 (Pen-test) — 模擬真正的攻擊者，找出防線上的漏洞，然後給出可執行的改善方案。 Amidas 的Red Team / Pen-test