建立我國通資訊基礎建設 安全機制計畫 簡 報
DESCRIPTION
建立我國通資訊基礎建設 安全機制計畫 簡 報. 報告單位:行政院 NICI 小組 中華民國九十年四月十一日. 報告內容. 壹、依據 貳、前言 參、資通安全保護範疇 肆、網路安全建置目標與執行要點 伍、運作體系架構與職掌 陸、資源需求與預定及重要措施時程. -1-. 壹、依據. 一、奉 總統八十九年八月卅日核定「建立我國通資訊基礎建設安全機制」案辦理。 二、依行政院秘書長八十九年九月十五日台八十九科字第二七一七九號函辦理。 三、依八十九年十二月廿九日行政院 NII 委員會通過辦理。 四、九十年一月九日 院長核定同意辦理。 - PowerPoint PPT PresentationTRANSCRIPT
建立我國通資訊基礎建設安全機制計畫
簡 報
報告單位:行政院 NICI 小組 中華民國九十年四月十一日
報告內容
壹、依據貳、前言參、資通安全保護範疇肆、網路安全建置目標與執行要點伍、運作體系架構與職掌陸、資源需求與預定及重要措施時程
-1-
壹、依據一、奉 總統八十九年八月卅日核定「建立我國通
資訊基礎建設安全機制」案辦理。
二、依行政院秘書長八十九年九月十五日台八十九科字第二七一七九號函辦理。
三、依八十九年十二月廿九日行政院 NII 委員會通過辦理。
四、九十年一月九日 院長核定同意辦理。
五、九十年一月十七日行政院第 2718 次院會通過。-2-
貳、前言一、隨著現代資訊化社會的來臨,許多大型企業、金融機
構、政府機關以及國軍各軍事單位都相繼採用電腦資訊化作業,於是許多重要的資料都將儲存在電腦中或利用電腦通訊網路來傳遞。然而,這些儲存或傳遞的資料均可能涉及商業機密、個人隱私權,甚至國家安全之機密。因此,要如何防範電腦網路犯罪與危機,並維護資通系統安全將是政府施政最迫切的課題
二、現有之資訊及通訊安全措施:包括利用資料加密、身分鑑別、電子簽章、防火牆及安全偵測等作為,以防止資料及系統被不法侵入、破壞。惟此安全防護均侷限於局部性,並無整體防護、識別及回復等能力,對國家資通安全之防衛應變嚴重不足。
-3-
參、資通安全保護範疇
一、資通安全保護課題
二、資通安全保護對象
三、正常運作之重點資通安全體系
四、資通安全保護工作重點
-4-
一、資通安全保護課題
( 一 ) 安全管理政策( 二 ) 物理實體安全( 三 ) 人員管理安全( 四 ) 安全規章法律( 五 ) 硬體設備安全( 六 ) 軟體系統安全( 七 ) 網路通訊安全
-5-
二、資通安全保護對象
( 一 ) 國防方面-國防體系
( 二 ) 政府方面
( 三 ) 民間方面
政府機構事業機構學術機構
ISP 系統 (HiNet 、 Seednet…)
金融體系大型、重要民間公司-6-
三、正常運作之重點資通安全體系
( 一 ) 政府的正常運作。 ( 二 ) 軍事力量的維持。 ( 三 ) 救援體系的正常運作。 ( 四 ) 人民日常生活必需品 ( 電信、水、電、油、瓦斯、
食物 ) 的正常供給。 ( 五 ) 金融體系的正常運作。 ( 六 ) 商業的繼續進行。
-7-
四、資通安全保護工作重點( 一 ) 資通基礎建設安全的防護 資通基礎建設安全之防護以抵禦攻擊為主,並以資 通系統生存為目標。植基於此,我國除軍事單位外, 其他機構少有「資訊邊疆 (Information Frontier) 」的 概念。( 二 ) 資通基礎建設安全之識別 快速且正確的偵測與辨識惡意的使用行為對資通系 統的存活是相當重要的,必須謹慎地注意可能出現 危機癥兆的任何異常活動報告。( 三 ) 資通基礎建設安全之回復 蒐集稽核線索與分析入侵活動資料是法律證據重建 之鑑識技能。在遭受攻擊後,快速且完整地回復資 通系統之回復技能均是通資訊基礎建設安全回復須 面對面的問題。
-8-
肆、網路安全建置目標與執行要點一、目標
( 一 ) 積極防衛資通設施,維護國家運行體制。( 二 ) 建立資通安全優勢,提升國家競爭力量。( 三 ) 堅實資通安全建設,健全網路社群發展。( 四 ) 主動偵測安全威脅,降低實質危害因素。( 五 ) 建構安全通報體系,強化事前預警機制。( 六 ) 保障民眾隱私權益,促進網路多元發展。( 七 ) 增強執法專業能力,有效遏止網路犯罪。
-9-
二、執行要點( 一 ) 編組專職人員統合推動資通安全工作及
協調組織。 ( 二 ) 律定資通安全組織職掌及分工。 ( 三 ) 建立資通安全危機事件通報及預警機制。
( 四 ) 彙整及發布通報相關資訊,供各機關參
考運用及早作好預防措施。 ( 五 ) 執行國家重要資通基礎設施之安全防護,
建立主動偵防能力。 -10-
二、執行要點( 六 ) 策訂重要資通設施安全規範及回復重建
措施。 ( 七 ) 檢討及增修訂資通安全相關法令、訂定
資通安全技術標準及規範,建立產品檢驗及保證機制。
( 八 ) 推動資通安全學術研究及關鍵技術研發。
( 九 )加強資通安全人力培訓及觀念宣導。 ( 十 ) 提升執法機關之偵防能力及人力,建立跨國及區域性合作機制。-11-
伍、運作體系架構與職掌一、資通安全之組織架構二、國家資通安全應變中心之組織體系三、政府各機關 ( 機構 ) 「資通安全處
理小組」組織架構四、資通安全事件通報及應變作業流程五、資通安全事件通報單
-12-
一、資通安全之組織架構 ( 一 ) 國家資通安全會報組織運作架構
國家資通安全會報召 集 人 :行政院 院長兼副召集人:行政院 副院長兼委 員:相關部會首長及北高市長
國家資通安全會報召 集 人 :行政院 院長兼副召集人:行政院 副院長兼委 員:相關部會首長及北高市長
執行長:行政院 NII 小組總召集人兼副執行長:總統府國家安全會議派員兼 行政院主計處電子處理資料中心主任兼
技合術業服務務中與心綜
標準規範工作組
稽核服務工作組
資訊蒐集工作組
網路犯罪工作組
危機通報工作組
NII 小組主計處國防部交通部經濟部財政部教育部中科院工研院
電信研究所資策會民間業者
經濟部研考會國防部交通部財政部
主計處( 電子中心 )
國防部交通部經濟部財政部
國科會中科院工研院資策會
相關公協會民間業者
法務部內政部國防部交通部
主計處( 電子中心 )內政部國防部交通部財政部經濟部教育部衛生署研考會……..
國家資通安全應變中心
危機通報分組等七
組
國家安全會議顧問
-13-
附表一、國家資通安全會報委員
-14-
姓 名 職 稱 單 位 備 考張 俊 雄 院 長 行政院 國家資通安全會報召集人賴 英 照 副 院 長 行政院 國家資通安全會報副召集人蔡 清 彥 政務委員 行政院 國家資通安全會報執行長柯 承 亨 諮詢委員 國家安全會議 國家資通安全會報副執行長萬 鎮 歐 主 任 行政院主計處電子中心 國家資通安全會報副執行長邱 義 仁 秘 書 長 行政院 委員丁 渝 洲 局 長 國家安全局 委員張 博 雅 部 長 內政部 委員伍 世 文 部 長 國防部 委員顏 慶 章 部 長 財政部 委員陳 定 南 部 長 法務部 委員林 信 義 部 長 經濟部 委員葉 菊 蘭 部 長 交通部 委員曾 志 朗 部 長 教育部 委員林 全 主 計 長 行政院主計處 委員林 嘉 誠 主任委員 研考會 委員翁 政 義 主任委員 國科會 委員馬 英 九 市 長 台北市 委員謝 長 廷 市 長 高雄市 委員
召集人一員、副召集人一員、執行長一員、副執行長二員、委員十四員、合計十九員。
國家資通安全技術服務與綜合業務中心運作規劃示意圖
主任
副主任
訓練推廣
技術服務
綜合業務
技術支援
支援政府單位
支援國防單位
支援民間企業
訓練 推廣
推廣服務團
訓練推廣
人才培訓
(○) ( ) (* )
推動企劃
行政管理
綜合業務技術研發
中山科學研究院
(科專計畫支持)
工研院、資策會
學術界、民間企
業 中華電信研究所
-15-
( 二 ) 國家資通安全會報組織職掌
* (1) 統籌國家層級資通安全基礎建設規劃作業。 * (2)負責資通安全基礎建設作業綜合業務。 ○(3)負責資通安全人力培訓及籌組資通安全技術服務團。 (4)負責資通安全基礎宣導及舉辦相關技術研討會。 (5) 建置資通安全宣導及技術網站並蒐集最新資通安全相關
技術。 * (6)編訂資通安全基本作業手冊並協助各機關訂定作業系統
安全等級。 ○(7)推動資通安全關鍵技術研發及學術研究並協助發展我國資
通安全相關產業。 ○(8)辦理資通安全攻防模擬環境建置及相關訓練等事項。 (9)提供各界資通安全技術諮詢服務。
1 、技術服務與綜合業務中心 (辦理單位: NICI 小組主責、主計處、國防部、交通部、經濟部、財政部、教育部、中科院、資策會、工研院配合協辦 )
-16-
(1)訂定資通安全技術標準。 (2)訂定各機關辦理資通安全有關作業規範。 (3) 規劃建置資通安全檢測技術。 (4) 規劃建置資通安全驗證方法 (5) 規劃建置資通安全認證程序。
2 、標準規範工作組 (辦理單位:經濟部主責、研考會、國防部、交通部、財政部配合協辦 )
( 二 ) 國家資通安全會報組織職掌 ( 續 )
-17-
(1)培訓資通安全稽核人力。 (2)籌組資通安全稽核服務團。 (3)選定資通安全等級高之作業系統。 (4) 對重要系統不定期辦理資通安全稽核。 (5)彙編重要系統資通安全稽核報告。
3 、稽核服務工作組 (辦理單位:主計處主責、國防部、交通部、經濟部、財政部配合協辦 )
( 二 ) 國家資通安全會報組織職掌 ( 續 )
-18-
(1) 蒐集國內外資通安全相關資訊。 (2) 統計分析資通安全事件資料。 (3)結合技術服務組,研擬資通安全防範措施
並對外提供。
4 、資訊蒐集工作組 (辦理單位:國科會主責、中科院、工研院、資策會、相關公協會及民間業者配合協辦 )
( 二 ) 國家資通安全會報組織職掌 ( 續 )
-19-
(1)指派人員負責資通網路犯罪事件偵查工作。 (2)培訓執法人員辦理資通安全有關偵防能力。 (3) 建立跨國及區域性合作偵防機制。(4)配合研修網路犯罪相關法規。
5 、網路犯罪工作組 (辦理單位:法務部主責、調查局、內政部、國防部、交通部配合協辦 )
( 二 ) 國家資通安全會報組織職掌 ( 續 )
-20-
(1) 建立資通安全事件通報處理程序。 (2) 建置資通安全事件通報網站。 (3) 建立資通安全事件危及公共安全、社會秩序有關緊急應變程序。
(4)協調技術服務組,提供技術服務。 (5) 建立事前各項資通安全事項通報及預警機制。 (6) 統計發布我國資通安全事件及應變程序。
6 、危機通報工作組 (辦理單位:主計處主責、內政部、國防部、交通部、經濟部、財政部、研考會配合協辦 )
( 二 ) 國家資通安全會報組織職掌 ( 續 )
-21-
二、國家資通安全應變中心之組織體系召 集 人:國家資通安全會報執行長兼副召集人:國家安全會議派員兼副召集人:國家資通安全會報副執行長兼影響等級『B』級以下時由主計處電子中心負責處理影響等級達到『A』級時由召集人及副召集人進駐處理
民營機構分組
召集單位:交通部
國防體系分組
召集單位:國防部
學術機構分組
召集單位:教育部
事業機構分組
召集單位:主計處
行政機構分組
召集單位:研考會
危機救災分組
召集單位:內政部
危機通報分組
召集單位:主計處
負責民營機構(
網路通信業
、金融業、證券業、電信
重點製造業)
資通安全危
機事件通報及應變處理事
項 負責國防體系資通安全危
機事件通報及應變處理事
項 負責學校及研究機關資通
安全危機事件通報及應變
處理事項
負責政府事業機構(
電力、
石油、自來水、金融、證
券、關貿、航管、瓦斯)
資通安全危機事件通報及
應變處理事項
負責政府行政機關資通
安全危機事件通報及應變
處理事項
協調警政、消防、衛生等
救援體系支援事故緊急處
置 一、規劃通報應變作業計
畫二、建立通報體系
三、辦理通報宣導研討會
四、建立通報網站
五、彙整及發布通報資訊
(國防通資訊危機事件通報及應變體系
)(民間通資訊危機事件通報及應變體系)
(政府通資訊危機事件通報及應變體系
) (通資訊安全報案通報及危機救災體系)
技服與綜業中心 資訊蒐集工作組
-22-
資通安全危機等級
『 A』級:影響公共安全、社會秩序、人民 生命財產。
『B』級:系統停頓,業務無法運作。『C』級:業務中斷,影響系統效率。『D』級:業務短暫停頓,可立即修復。
-23-
國家資通安全應變中心各分組職掌 主計處擔任國家資通安全應變中心總召集單位,兼負中心幕僚作業並負責資通安全危機事前預警機制建立、彙總各分組有關資通安全危機事件通報、分析報告及協調技術服務組提供相關技術支援等事項。 ( 一 ) 危機通報分組: ( 主計處擔任召集單位 ) 負責規劃通報應變作業計畫、建立通報體系、辦理通報宣導講習、建立通報網站、彙整、發 布通報資訊及資通應變中心幕僚作業。( 二 ) 事業機構分組: ( 主計處擔任召集單位 ) 負責政府事業單位 ( 如電力、石油 、自來水、金融、證券、關貿、航管 及瓦斯 等 ) 有關資通安 全危機事件通報及應變處理事項。(三 ) 危機救災 分組: (內政部擔任召集單位 ) 負責協調警政、消防、衛生等救援 體系支援事故緊急 處置。(四 ) 行政機關分組: (研考會擔任召集單位 ) 負責政府行政機關有關資通安全危機事件通報及應變處理事項。(五 )學術機構分組: (教育部擔任召集單位 ) 負責學校 及研究機構有關資通安全危機事件通報及應變處理事項。(六 ) 國防體系分組: ( 國防部擔任召集單位 ) 負責國防體系有關資通安全危機事件通報及應變處理事項。(七 )民營機構分組: ( 交通部負責召集單位 ) 負責民營機構中電信網路業者有關資通安全危機事件之通報及應變處理,並協調財政部( 有關 金融業者 ) 、經濟部 ( 有關重點製造 業者 ) 對其主管重要目的事業辦理通報及相關應變處理事 宜。
-24-
三、政府各機關 ( 機構 ) 「資通安全處理小組」組織架構
國家資通安全應變中心
各機關 ( 機構 ) 資通安全處理小組各機關 ( 機構 ) 資通安全處理小組
危機處理危機處理 安全預防安全預防
一蒐集資通安全資訊
二培訓資通安全技術
三訂定系統安全等級
四建置資通安全措施
五執行資通安全監控
一蒐集資通安全資訊
二培訓資通安全技術
三訂定系統安全等級
四建置資通安全措施
五執行資通安全監控
一規劃危機處理程序
二查明安全事件原因
三確定影響範圍並作
損 失評估
四執行緊急應變措施
五辦理安全事件通報
六執行解決辦法
一規劃危機處理程序
二查明安全事件原因
三確定影響範圍並作
損 失評估
四執行緊急應變措施
五辦理安全事件通報
六執行解決辦法
-25-
各機關資通安全處理小組職掌
( 一 ) 安全預防:負責蒐集網路安全資訊、培訓網路安全技術、訂定各機關系統安全等級、建置網路安全措施、執行網路安全監控 等事項。
( 二 ) 危機處理:負責規劃危機處理程序、查明危機事件原因、確定影響範圍並作損失評估 、執行緊急應變措施、辦理危機通報、執行解決辦 法等事項。
-26-
四、資通安全事件通報及應變作業流程
發現資通安全危機事件
確定影響範圍,評估 可能損失 ,判斷是否需要支援
啟動緊急應變措施
辦理資通安全事件通報
通報災害 防救體系
資通安全事件通報建檔
需要支援
重大災害
重大事故
通報檢調單位 協調資通技術服務組支援 納入列管
是
否
是是
否
執行解決辦 法辦理資通安全事件結案通報
資通安全事件解除列管
否
資通安全事件通報單 (表二 )
-27-
附表一
( 單位全銜 ) 資通安全通報網聯絡人員調查表
姓名 職稱 電話 傳真 行動電話 電子信箱
-28-
五、資通安全事件通報單 機關 ( 機構 )名稱 資通安全事件通報單 洽詢電話: 傳真:
e-mail: 或逕送:台北市廣州街二號填報時間: 年 月 日 時 分 編號: 一、發生網路安全之機關 ( 機構 )聯絡資料:機關 ( 機構 )名稱: E-MAIL : 聯絡人: 電話: 傳真: 二、網路安全事件通報事項: 1. 事件發生時間: 年 月 日 時 分 2. 主機 (伺服器 ) 資料: ◎ IP 位址 (IP Address) : ◎網域名稱 (Domain name) : ◎主機 (伺服器 )廠牌、機型: ◎作業系統名稱、版本、序號: ◎網際網路資訊位址 (Web URL) : ◎已裝置之安全機制:
附表二
-29-
3. 網路安全事件資料: ◎安全等級:□『A』級;□『B』級;□『C』級;□『D』級 ◎影響等級:□ 『A』級:影響公共安全、社會秩序、人民生命財產。 □ 『B』級:系統停頓,業務無法運作。 □ 『C』級:業務中斷,影響系統效率。 □ 『D』級:業務短暫停頓,可立即修復。 ◎事件說明: ◎可能影響範圍及損失評估 : ◎應變措施:三、期望支援項目:四、解決辦 法:五、已解決時間 : 年 月 日 時 分
-30-
陸、資源需求與預定及重要措施時程一、資源需求 資通安全經費/預算總表 單位:台幣仟元
狀況 單位/體系 經費/預算 備註
平時作業
技術服務與綜合業務中心 80,000 行政院 NII 小組負責規劃標準規範工作組 - 經濟部負責規劃稽核服務工作組 - 主計處負責規劃資訊蒐集工作組 - 國科會負責規劃網路犯罪工作組 - 法務部負責規劃通報應變工作組 - 主計處負責規劃
小計 -
平時通報及
應變處理
國家資通安全應變中心 - 主計處負責規劃危機通報分組 - 主計處負責規劃危機救災 分組 - 內政部負責規劃行政機關分組 - 研考會負責規劃事業機關分組 - 主計處負責規劃學術機關分組 - 教育部負責規劃國防體系分組 - 國防部負責規劃民營機構分組 - 交通部負責規劃
小計 -總計 -
-31-
二、推動經費來源需求規劃建議
項 目 規劃案技術服務與綜合業務中心
技術支援 訓練推廣 技術研發 綜合業務人 力 37 人 15 人 2 人 10 人 10 人經費需求 (仟
元 )80,000 35,000 45,000
小 計 80,000 35,000 45,000
( 一 ) 、技術服務與綜合業務中心經費需求及來源
註:技術服務與綜合業務中心預算 (8仟萬元 ) 來源,擬請經濟部技術處由科技專案計 畫項下檢討勻支。
( 二 ) 、技術服務與綜合業務中心細部規劃 各相關工作組提送工作計畫書 提 出預算需求 1.可由原有單位預算自行檢討支應。 2.需呈報另行籌措來源。
-32-
三、主要工作預定時程
第一階段
第二階段
89.9 90.1 91.1 92.1 93.1 93.12資通安全通報體系 (89.12.月已完成通報體系建立 )
國家資通安全會報組織 (已於 90.1.月報院後編成 )
國家資通安全應變中心 (已於 90.1.月報院後編成 )
資通技術研發策略規劃及系統弱點評估 (預計 90.7.月前完成 )
認證、保證、信息分享體系完成政府 (PKI) 基礎建設 (配合電子化政府完成 CA認證機制 )完成基本防護體系 ( 目標:危害層面限於局部 )
入侵偵防及緊急應變計畫
認證、保證、信息分享及通報體系之檢討及修正
各工作組提出第一階段執行工作計劃 (預計 90.2.15月前完成 )
技術服務與綜合業務工作組提出資通規劃細部報告 (預計 90.3.月前完成 )
完成主動偵測及有效預防之整體防護體系( 目標:有效遏止潛在威脅可能發動之攻擊、入侵或破壞行動 )
-33-
四、重要措施時程 ( 範例格式 )
重 要 措 施 完 成 期 限 主 辦 機 關
一、檢討及增修網路犯罪相關法規二、籌組資通安全技術服務團三、建置資通安全技術網站四、訂定資通安全技術標準、檢測技術、 驗證方法及認證程序
五、檢討修訂資通安全作業規範六、研擬資通安全相關防範措施
七、籌組資通安全稽核服務團八、建置資通安全宣導網站九、編訂資通安全基本作業手冊十、建置資通安全危機通報網站
九十年六月底九十年六月底九十年六月底九十年六月底
九十年六月底九十年六月底
九十年六月底九十年六月底九十年六月底九十年六月底
法務部國防部國防部經濟部標準檢驗局、交通部電信總局、國防部通資局、財政部金融局研考會國科會科資中心、國防部通資局主計處電子中心主計處電子中心主計處電子中心主計處電子中心
-34-