1、建立我國通資訊基礎建設 安全機制計畫 簡 報,報告單位:行政院NICI小組 中華民國九十年四月十一日,報告內容,壹、依據 貳、前言 參、資通安全保護範疇 肆、網路安全建置目標與執行要點 伍、運作體系架構與職掌 陸、資源需求與預定及重要措施時程,-1-,壹、依據,一、奉 總統八十九年八月卅日核定建立我國通資訊基礎建設安全機制案辦理。 二、依行政院秘書長八十九年九月十五日台八十九科字第二七一七九號函辦理。 三、依八十九年十二月廿九日行政院NII委員會通過辦理。 四、九十年一月九日 院長核定同意辦理。 五、九十年一月十七日行政院第2718次院會通過。,-2-,貳、前言,一、隨著現代資訊化社會的來臨,
2、許多大型企業、金融機構、政府機關以及國軍各軍事單位都相繼採用電腦資訊化作業,於是許多重要的資料都將儲存在電腦中或利用電腦通訊網路來傳遞。然而,這些儲存或傳遞的資料均可能涉及商業機密、個人隱私權,甚至國家安全之機密。因此,要如何防範電腦網路犯罪與危機,並維護資通系統安全將是政府施政最迫切的課題 二、現有之資訊及通訊安全措施:包括利用資料加密、身分鑑別、電子簽章、防火牆及安全偵測等作為,以防止資料及系統被不法侵入、破壞。惟此安全防護均侷限於局部性,並無整體防護、識別及回復等能力,對國家資通安全之防衛應變嚴重不足。,-3-,參、資通安全保護範疇,一、資通安全保護課題 二、資通安全保護對象 三、正常運
3、作之重點資通安全體系 四、資通安全保護工作重點,-4-,一、資通安全保護課題,(一)安全管理政策 (二)物理實體安全 (三)人員管理安全 (四)安全規章法律 (五)硬體設備安全 (六)軟體系統安全 (七)網路通訊安全,-5-,二、資通安全保護對象,-6-,三、正常運作之重點資通安全體系,(一)政府的正常運作。 (二)軍事力量的維持。 (三)救援體系的正常運作。 (四)人民日常生活必需品(電信、水、電、油、瓦斯、食物)的正常供給。 (五)金融體系的正常運作。 (六)商業的繼續進行。,-7-,四、資通安全保護工作重點,(一)資通基礎建設安全的防護 資通基礎建設安全之防護以抵禦攻擊為主,並以資 通系
4、統生存為目標。植基於此,我國除軍事單位外, 其他機構少有資訊邊疆(Information Frontier)的 概念。 (二)資通基礎建設安全之識別 快速且正確的偵測與辨識惡意的使用行為對資通系 統的存活是相當重要的,必須謹慎地注意可能出現 危機癥兆的任何異常活動報告。 (三)資通基礎建設安全之回復 蒐集稽核線索與分析入侵活動資料是法律證據重建 之鑑識技能。在遭受攻擊後,快速且完整地回復資 通系統之回復技能均是通資訊基礎建設安全回復須 面對面的問題。,-8-,肆、網路安全建置目標與執行要點,一、目標,(一)積極防衛資通設施,維護國家運行體制。 (二)建立資通安全優勢,提升國家競爭力量。 (三)
5、堅實資通安全建設,健全網路社群發展。 (四)主動偵測安全威脅,降低實質危害因素。 (五)建構安全通報體系,強化事前預警機制。 (六)保障民眾隱私權益,促進網路多元發展。 (七)增強執法專業能力,有效遏止網路犯罪。,-9-,二、執行要點,(一)編組專職人員統合推動資通安全工作及協調組織。 (二)律定資通安全組織職掌及分工。 (三)建立資通安全危機事件通報及預警機制。 (四)彙整及發布通報相關資訊,供各機關參考運用及早作好預防措施。 (五)執行國家重要資通基礎設施之安全防護,建立主動偵防能力。,-10-,二、執行要點,(六)策訂重要資通設施安全規範及回復重建措施。 (七)檢討及增修訂資通安全相關法
6、令、訂定資通安全技術標準及規範,建立產品檢驗及保證機制。 (八)推動資通安全學術研究及關鍵技術研發。 (九)加強資通安全人力培訓及觀念宣導。 (十)提升執法機關之偵防能力及人力,建立跨國及區域性合作機制。,-11-,伍、運作體系架構與職掌,一、資通安全之組織架構 二、國家資通安全應變中心之組織體系 三、政府各機關(機構)資通安全處理小組組織架構 四、資通安全事件通報及應變作業流程 五、資通安全事件通報單,-12-,一、資通安全之組織架構 ( 一)國家資通安全會報組織運作架構,附表一、國家資通安全會報委員,-14-,國家資通安全技術服務與綜合業務中心 運作規劃示意圖,主任,副主任,訓 練 推 廣
7、,技 術 服 務,綜 合 業 務,(),( ),(),-15-,(二)國家資通安全會報組織職掌,(1)統籌國家層級資通安全基礎建設規劃作業。 (2)負責資通安全基礎建設作業綜合業務。 (3)負責資通安全人力培訓及籌組資通安全技術服務團。 (4)負責資通安全基礎宣導及舉辦相關技術研討會。 (5)建置資通安全宣導及技術網站並蒐集最新資通安全相關技術。 (6)編訂資通安全基本作業手冊並協助各機關訂定作業系統安全等級。 (7)推動資通安全關鍵技術研發及學術研究並協助發展我國資通安全相關產業。 (8)辦理資通安全攻防模擬環境建置及相關訓練等事項。(9)提供各界資通安全技術諮詢服務。,1、技術服務與綜合業
8、務中心 (辦理單位:NICI小組主責、主計處、國防部、交通部、經濟部、財政部、教育部、中科院、資策會、工研院配合協辦),-16-,(1)訂定資通安全技術標準。 (2)訂定各機關辦理資通安全有關作業規範。 (3)規劃建置資通安全檢測技術。 (4)規劃建置資通安全驗證方法 (5)規劃建置資通安全認證程序。,2、標準規範工作組(辦理單位:經濟部主責、研考會、國防部、交通部、財政部配合協辦),(二)國家資通安全會報組織職掌(續),-17-,(1)培訓資通安全稽核人力。 (2)籌組資通安全稽核服務團。 (3)選定資通安全等級高之作業系統。 (4)對重要系統不定期辦理資通安全稽核。 (5)彙編重要系統資通
9、安全稽核報告。,3、稽核服務工作組(辦理單位:主計處主責、國防部、交通部、經濟部、財政部配合協辦),(二)國家資通安全會報組織職掌(續),-18-,(1)蒐集國內外資通安全相關資訊。 (2)統計分析資通安全事件資料。 (3)結合技術服務組,研擬資通安全防範措施並對外提供。,4、資訊蒐集工作組(辦理單位:國科會主責、中科院、工研院、資策會、相關公協會及民間業者配合協辦),(二)國家資通安全會報組織職掌(續),-19-,(1)指派人員負責資通網路犯罪事件偵查工作。 (2)培訓執法人員辦理資通安全有關偵防能力。 (3)建立跨國及區域性合作偵防機制。 (4)配合研修網路犯罪相關法規。,5、網路犯罪工作
10、組(辦理單位:法務部主責、調查局、內政部、國防部、交通部配合協辦),(二)國家資通安全會報組織職掌(續),-20-,(1)建立資通安全事件通報處理程序。 (2)建置資通安全事件通報網站。 (3)建立資通安全事件危及公共安全、社會秩序有關緊急應變程序。 (4)協調技術服務組,提供技術服務。 (5)建立事前各項資通安全事項通報及預警機制。 (6)統計發布我國資通安全事件及應變程序。,6、危機通報工作組(辦理單位:主計處主責、內政部、國防部、交通部、經濟部、財政部、研考會配合協辦),(二)國家資通安全會報組織職掌(續),-21-,二、國家資通安全應變中心之組織體系,-22-,資通安全危機等級,A級:
11、影響公共安全、社會秩序、人民 生命財產。 級:系統停頓,業務無法運作。 級:業務中斷,影響系統效率。 級:業務短暫停頓,可立即修復。,-23-,國家資通安全應變中心各分組職掌,主計處擔任國家資通安全應變中心總召集單位,兼負中心幕僚作業並負責資通安全危機事前預警機制建立、彙總各分組有關資通安全危機事件通報、分析報告及協調技術服務組提供相關技術支援等事項。,(一)危機通報分組:(主計處擔任召集單位)負責規劃通報應變作業計畫、建立通報體系、辦理通報宣導講習、建立通報網站、彙整、發 布通報資訊及資通應變中心幕僚作業。 (二)事業機構分組:(主計處擔任召集單位)負責政府事業單位(如電力、石油、自來水、金
12、融、證券、關貿、航管及瓦斯等)有關資通安 全危機事件通報及應變處理事項。 (三)危機救災分組:(內政部擔任召集單位)負責協調警政、消防、衛生等救援體系支援事故緊急處置。 (四)行政機關分組:(研考會擔任召集單位)負責政府行政機關有關資通安全危機事件通報及應變處理事項。 (五)學術機構分組:(教育部擔任召集單位)負責學校及研究機構有關資通安全危機事件通報及應變處理事項。 (六)國防體系分組:(國防部擔任召集單位)負責國防體系有關資通安全危機事件通報及應變處理事項。 (七)民營機構分組:(交通部負責召集單位)負責民營機構中電信網路業者有關資通安全危機事件之通報及應變處理,並協調財政部(有關 金融業
13、者)、經濟部(有關重點製造業者)對其主管重要目的事業辦理通報及相關應變處理事 宜。,-24-,三、政府各機關(機構)資通安全處理小組組織架構,-25-,各機關資通安全處理小組職掌,(一)安全預防:負責蒐集網路安全資訊、培訓網路安全技術、訂定各機關系統安全等級、建置網路安全措施、執行網路安全監控等事項。 (二)危機處理:負責規劃危機處理程序、查明危機事件原因、確定影響範圍並作損失評估、執行緊急應變措施、辦理危機通報、執行解決辦法等事項。,-26-,四、資通安全事件通報及應變作業流程,-27-,附表一,(單位全銜) 資通安全通報網聯絡人員調查表,-28-,五、資通安全事件通報單,機關(機構)名稱
14、資通安全事件通報單洽詢電話: 傳真: e-mail: 或逕送:台北市廣州街二號 填報時間: 年 月 日 時 分 編號: 一、發生網路安全之機關(機構)聯絡資料: 機關(機構)名稱: E-MAIL: 聯絡人: 電話: 傳真: 二、網路安全事件通報事項:1.事件發生時間: 年 月 日 時 分2.主機(伺服器)資料: IP位址(IP Address): 網域名稱(Domain name): 主機(伺服器)廠牌、機型: 作業系統名稱、版本、序號: 網際網路資訊位址(Web URL): 已裝置之安全機制:,附表二,-29-,3.網路安全事件資料: 安全等級:級;級;級;級影響等級: 級:影響公共安全、社
15、會秩序、人民生命財產。 級:系統停頓,業務無法運作。 級:業務中斷,影響系統效率。 級:業務短暫停頓,可立即修復。事件說明:可能影響範圍及損失評估:應變措施: 三、期望支援項目: 四、解決辦法: 五、已解決時間: 年 月 日 時 分,-30-,陸、資源需求與預定及重要措施時程,一、資源需求資通安全經費預算總表 單位:台幣仟元,-31-,二、推動經費來源需求規劃建議,(一) 、技術服務與綜合業務中心經費需求及來源,註:技術服務與綜合業務中心預算(8仟萬元) 來源,擬請經濟部技術處由科技專案計畫項下檢討勻支。,(二) 、技術服務與綜合業務中心細部規劃 各相關工作組提送工作計畫書 提出預算需求 1.可由原有單位預算自行檢討支應。2.需呈報另行籌措來源。,-32-,三、主要工作預定時程,-33-,四、重要措施時程(範例格式),-34-,
