壹、依據:
一、依90年1月17日行政院第二七一八次院會通過「建
立我國通資訊基礎建設安全機制計畫」。
二、依90年6月6日行政院院長核定第二次修定「建立我國
通資訊基礎建設安全機制計畫」。
三、依92年1月28日國家資通安全會報第七次工作小組
會議決議執行資通安全第二階段推動方案。
四、依92年8月7日本府府計資字第09200901090號函訂
定之「花蓮縣政府資訊安全政策與管理作業要點」。
五、依98年2月5日行政院國家資通安全會報資安發字
第0980100053號函「國家資通安全通報應變作業綱
要」。
貳、前言:
資訊是以多種型態存在,類型有列印、紙張上的資訊、
以電子郵件傳送,甚而電話中的談話內容,人員、商譽
等都可視為資訊,隨之資訊來源多元與取得方便,
資訊之機密性(Confidentiality)、完整性(Integrity)、可用
性(Availability)等就顯得十分重要。
本作業手冊架構分為整體作業、通報作業、應變作業、
資安演練等,就組織職掌資安事件影響等級定義作業流
程,通報應變作業程序及方式,事件前、中、後防護應
變及復原工作與檢討,配合國家資通安全會報辦理年度
攻防(社交工程)演練,建置即時的資訊安全事件提報系
統,以維護機關的資訊安全政策。
叁、目的:
在資通安全範圍內為有效掌握本縣各機關(單位)之資
通安全事件資訊及網路系統遭受入侵攻擊、破壞與不當
使用等災害或資安事件,能即時通報及緊急應變處置,
並在最短時間內回復,以消除或減少風險之威脅與降低
損失,確保各機關(單位)之正常運作。
肆、整體作業:
一、組織架構與職掌
(一)設置「資通安全處理小組」小組為任務編組,
設召集人由本府秘書長(資訊安全長)擔任,負
責制定資安事件通報應變作業計畫,執行資通
安全預防危機通報及緊急應變處理相關措施;
副召集人(執行長)由本府行政暨研考處處長擔
任,依本府組織及業務分工,於工作項目分組
下設有「安全資訊分組」、「安全防護分組」
、「危機處理分組」、「危機通報分組」及「
稽核分組」。
(二)組織架構圖:
花蓮縣政府資通安全處理小組:(如附件)
(三)任務分配(以職位編組為主,人員為輔)
總機:03-8227171
|
職務
|
姓名
|
單位
|
分機
|
召集人
|
秘書長
|
職位編組
|
秘書長室
|
207
|
副召集人(執行長)
|
處長
|
職位編組
|
行政暨研考處
|
320
|
安全資訊分組
|
科長
|
資訊科
|
行政暨研考處
|
328
|
安全防護分組
|
技士
|
周淑美
|
行政暨研考處
|
329
|
安全處理分組
|
管理師
|
許景庭
|
行政暨研考處
|
329
|
危機處理分組
|
技士
|
梁景財
|
行政暨研考處
|
328
|
危機通報分組
|
技士
|
張宏光
|
行政暨研考處
|
329
|
稽核分組
|
科長
|
行政科
|
政風處
|
315
|
(四)資安事件影響等級:
資安事件影響等級分為4個級別,由重至輕
分別為「4級」、「3級」、「2級」、「1級」。
1、4級事件:
符合下列任一情形者,屬4級事件:
(1)本府機密資料遭洩漏。
(2)本府重要資訊基礎建設系統或資料
遭竄改。
(3)本府資訊基礎建設運作遭影響或系
統停頓,無法於可容忍中段時間內
回復正常運作。
2、3級事件:
符合下列任一情形者,屬3級事件:
(1)密級或敏感公務資料遭洩漏。
(2)核心業務系統或資料遭嚴重竄改。
(3)核心業務運作遭影響或系統停頓,
無法於可容忍中段時間內回復正常
運作。
3、2級事件:
符合下列任一情形者,屬2級事件:
(1)非屬密級或敏感之核心業務資料遭
洩漏。
(2)核心業務系統或資料遭輕微竄改。
(3)核心業務運作遭影響或系統效率降
低,於可容忍中段時間內回復正常
運作。
4、1級事件:
符合下列任一情形者,屬1級事件:
(1)非核心業務資料遭洩漏。
(2)非核心業務系統或資料遭竄改。
(3)非核心業務運作遭影響或短暫停頓。
伍、資安事件通報及應變處理:
一、作業流程(附後)。
二、緊急應變計畫暨作業處理程序。
(一)資通安全事件緊急應變措施如后:
1、機關(單位)如遇發生重大資通安全事件
或其他災害涉及資通安全事件時,查明事
件原因、安全等級區分、判定可能影響範
圍,評估可能損失,判斷是否需要支援申
請等作業項目,逐一檢討與處置;並保留
被入侵或破壞等證據(如網頁置換…等)。
2、透過系統弱點(病毒)資料庫、網站、技
術支援單位(或廠商)等方式,查詢解決
方案(如下載漏洞修補程式、解毒方式等
);或依既定之緊急應變計畫,實施災害
緊急應變修復處理(如救援、回復運作等
),並持續性主動積極之監控與追蹤管制。
3、視災害損失程度啟動備援回復程序之應變
措施。
4、如屬新興事件(無參考案例),無法解決
之危害事件,應迅速向「危機通報分組」
反映,請求相關技術支援。
5、執行其他災害應變及防止事件擴大之措施。
(二)資通安全事件分類應變步驟如后:
1、內部危安事件:發現(或疑似)遭人為惡意破
壞之危安事件時,應即時查明事件影響受損
程度,啟用備份資料、程式或啟動備援計畫
相關程序,儘速回復正常運作。
2、外力入侵事件:
(1)病毒感染事件:病毒入侵後,隨時掌
握病毒感染最新動態,隔離病毒避免
疫情擴散;同時即時取得病毒清除程
式,並依病毒修護程序,完成清除病
毒及復原工作。
(2)駭客攻擊(非法入侵)事件:
A、發現入侵事件時,立即阻斷受入
侵系統及拒絕入侵者任何之存取
動作。如切斷實體連線或調整防
火牆設定等,以斷絕駭客進一步
入侵,並迅速啟動修復程序。
B、如入侵者已被嚴密監控與不危害
內部(含DMZ非軍事區)網路安
全下,可考慮有條件的連接,適
度允許其後續動作,以利追查入
侵者資訊(I P 等)進行反追蹤程
序。唯一旦入侵者危害到網路安全
時,即立刻切斷入侵者之實體連
線。
C、全面檢討網路安全措施,修補安全
漏洞或修正防火牆設定等具體改
善補救措施,以防止類似入侵或
攻擊情事再度發生。
D、正式記錄入侵狀態,分析及損失
評估等資料,以供防護與預警之
參考,並向主管機關或撿警單位
通報或反映。
3、天然災害或其他重大突發事件:
(1)遇颱風、水災、地震等天然災害或火
災、爆炸,核子事故,重大建築災害
等重大意外事件,應迅速攜帶重要資
料及程式等離開現場,或儲存於防火
保險櫃等設施內,以利爾後系統重置
復原。
(2)遇通訊網路系統骨幹(主幹頻寬)中斷
事件,應立即查明障礙點,影響區域
及範圍,啟動調撥備援系統或替代路
由,實施流量控管,執行報修作業。
(3)遇電力中斷時,主要系統機房,提供
UPS不斷電系統支援電力運作,或啟
動備援電力(如發電機…等)。即時查
明斷電資訊,如斷電時限超過備援
電力提供時限時,啟動各主機系統,
關機作業,以維護主機系統在正常運
作(不正常電力下造成之異常損害)。
陸、資通安全事件危機通報作業:
一、資通安全事件影響層面如遇重大災害,且影響層面深
廣,受損程度嚴重時(如外力入侵,通訊網路系統骨
幹中斷重大突發事件,水災、火災、地震等天然災害
,涉及資通安全事件者),應儘速向「危機通報分組
」通報;唯如屬一般性〔D級〕僅涉及機關(單位)
內部受損程度輕微時(如內部危安,電腦病毒感染)
可由各機關(單位)自行處理,並逕以本府通報作
業辦理。
二、資通安全事件危機通報作業程序如後:
(一)單位資訊或通信系統使用者端於發生危安事
故時,應於三十分鐘內依本府「資通安全事
件危機通報流程」(附件一),向本府「資
通安全處理小組」反映事件或請求支援,完
成本府通報流程。
(二)「資通安全處理小組」依據事故狀況,可能
影響範圍損失評估,判斷支援申請、採取之
應變措施,藉上網或資料庫等查詢方式,以
尋求解決之方案,即時協助使用者端進行緊
急應變處理。
(三)在發生危安事件時,應於三十分鐘內,填寫
「資通安全事件通報單」(附件二),並透
過上網、電話、傳真、E-MAIL 或行政院國
家資通安全應變中心網頁(http:/)等方式,通報至「行政院國家資通安全會報」。
/www.ncert.nat.gov.tw
(四)機關(單位)如遇資通安全事件、危及人員
生命或設備遭受到破壞等涉及民、刑事案件
時,應即時通報檢調單位請求處理。
(五)有關通報單之災害損失評估內容包括如后:
作業影響情況、設備或系統損害情況、作業
延誤情況、資料受損項目、估算通訊系統、
作業及資料回復所需時間、備援設備及人員
支援狀況等。
柒、事後復原追蹤管理:
一、受損狀態下執行災害復原工作,首先檢驗資通安全
環境及硬體設備是否可以正常運作,並執行環境重
建系統復原等,其步驟包含軟硬體設備重新取得建
置,作業系統及應用系統之重置,以及運轉測試等
,並俟運作正常後即進行安全備份檔案、資料回復
重置等相關事宜。
二、當危機解除後,應將災害應變處理復原過程相關完
整記錄(如事件原因分析,檢討改善方案,防止類
似事件再次發生之具體方案,稽核軌跡及蒐集分
析相關證據等資料),予以建檔列管以為資通安全
資訊參考依據。
三、應保留事件發生之線索,向行政院國家資通安全會
報技術服務中心或檢警單位申請追蹤偵查支援,藉
研究分析稽核記錄或入侵活動偵測等相關資料,並
找出系統防護之漏洞,尋求補強保護方法,避免事
件之再度發生。