建立我国通资讯基础建设安全机制计画简报

1、建立我國通資訊基礎建設安全機制計畫簡報 報告單位：行政院NICI小組 中華民國九十年四月十一日報告內容壹、依據貳、前言參、資通安全保護範疇肆、網路安全建置目標與執行要點伍、運作體系架構與職掌陸、資源需求與預定及重要措施時程-1-壹、依據一、奉總統八十九年八月卅日核定建立我國通資訊基礎建設安全機制案辦理。二、依行政院秘書長八十九年九月十五日台八十九科字第二七一七九號函辦理。三、依八十九年十二月廿九日行政院NII委員會通過辦理。四、九十年一月九日院長核定同意辦理。五、九十年一月十七日行政院第2718次院會通過。-2-貳、前言一、隨著現代資訊化社會的來臨，許多大型企業、金融機構、政府機關以及國軍各軍

2、事單位都相繼採用電腦資訊化作業，於是許多重要的資料都將儲存在電腦中或利用電腦通訊網路來傳遞。然而，這些儲存或傳遞的資料均可能涉及商業機密、個人隱私權，甚至國家安全之機密。因此，要如何防範電腦網路犯罪與危機，並維護資通系統安全將是政府施政最迫切的課題 二、現有之資訊及通訊安全措施：包括利用資料加密、身分鑑別、電子簽章、防火牆及安全偵測等作為，以防止資料及系統被不法侵入、破壞。惟此安全防護均侷限於局部性，並無整體防護、識別及回復等能力，對國家資通安全之防衛應變嚴重不足。 -3-參、資通安全保護範疇一、資通安全保護課題二、資通安全保護對象三、正常運作之重點資通安全體系四、資通安全保護工作重點-4-一

3、、資通安全保護課題(一)安全管理政策(二)物理實體安全(三)人員管理安全(四)安全規章法律(五)硬體設備安全(六)軟體系統安全(七)網路通訊安全 -5-二、資通安全保護對象(一)國防方面國防體系(二)政府方面(三)民間方面政府機構事業機構學術機構ISP系統(HiNet、Seednet)金融體系大型、重要民間公司-6-三、正常運作之重點資通安全體系(一)政府的正常運作。 (二)軍事力量的維持。 (三)救援體系的正常運作。 (四)人民日常生活必需品(電信、水、電、油、瓦斯、食物)的正常供給。 (五)金融體系的正常運作。 (六)商業的繼續進行。 -7-四、資通安全保護工作重點(一)資通基礎建設安全的

4、防護 資通基礎建設安全之防護以抵禦攻擊為主，並以資 通系統生存為目標。植基於此，我國除軍事單位外， 其他機構少有資訊邊疆(Information Frontier)的 概念。(二)資通基礎建設安全之識別 快速且正確的偵測與辨識惡意的使用行為對資通系 統的存活是相當重要的，必須謹慎地注意可能出現 危機癥兆的任何異常活動報告。(三)資通基礎建設安全之回復 蒐集稽核線索與分析入侵活動資料是法律證據重建 之鑑識技能。在遭受攻擊後，快速且完整地回復資 通系統之回復技能均是通資訊基礎建設安全回復須 面對面的問題。 -8-肆、網路安全建置目標與執行要點一、目標(一)積極防衛資通設施，維護國家運行體制。(二)

5、建立資通安全優勢，提升國家競爭力量。(三)堅實資通安全建設，健全網路社群發展。(四)主動偵測安全威脅，降低實質危害因素。(五)建構安全通報體系，強化事前預警機制。(六)保障民眾隱私權益，促進網路多元發展。(七)增強執法專業能力，有效遏止網路犯罪。-9-二、執行要點(一)編組專職人員統合推動資通安全工作及協調組織。 (二)律定資通安全組織職掌及分工。 (三)建立資通安全危機事件通報及預警機制。 (四)彙整及發布通報相關資訊，供各機關參考運用及早作好預防措施。 (五)執行國家重要資通基礎設施之安全防護，建立主動偵防能力。 -10-二、執行要點(六)策訂重要資通設施安全規範及回復重建措施。 (七)檢

6、討及增修訂資通安全相關法令、訂定資通安全技術標準及規範，建立產品檢驗及保證機制。 (八)推動資通安全學術研究及關鍵技術研發。 (九)加強資通安全人力培訓及觀念宣導。 (十)提升執法機關之偵防能力及人力，建立跨國及區域性合作機制。-11-伍、運作體系架構與職掌一、資通安全之組織架構二、國家資通安全應變中心之組織體系三、政府各機關(機構)資通安全處理小組組織架構四、資通安全事件通報及應變作業流程五、資通安全事件通報單-12-一、資通安全之組織架構 ( 一)國家資通安全會報組織運作架構國家資通安全會報召 集 人 ：行政院 院長兼副召集人：行政院 副院長兼委 員：相關部會首長及北高市長執行長：行政院N

7、II小組總召集人兼副執行長：總統府國家安全會議派員兼行政院主計處電子處理資料中心主任兼技合術業服務務中與心綜標準規範工作組稽核服務工作組資訊蒐集工作組網路犯罪工作組危機通報工作組NII小組主計處國防部交通部經濟部財政部教育部中科院工研院電信研究所資策會民間業者經濟部研考會國防部交通部財政部主計處(電子中心)國防部交通部經濟部財政部 國科會中科院工研院資策會相關公協會民間業者法務部內政部國防部交通部 主計處(電子中心)內政部國防部交通部財政部經濟部教育部衛生署研考會.國家資通安全應變中心危機通報分組等七組國家安全會議顧問-13-附表一、國家資通安全會報委員-14-姓名職稱單位備考張俊雄院長行政院

8、國家資通安全會報召集人賴英照副 院 長行政院國家資通安全會報副召集人蔡清彥政務委員行政院國家資通安全會報執行長柯承亨諮詢委員國家安全會議國家資通安全會報副執行長萬鎮歐主任行政院主計處電子中心國家資通安全會報副執行長邱義仁秘 書 長行政院委員丁渝洲局長國家安全局委員張博雅部長內政部委員伍世文部長國防部委員顏慶章部長財政部委員陳定南部長法務部委員林信義部長經濟部委員葉菊蘭部長交通部委員曾志朗部長教育部委員林全主 計 長行政院主計處委員林嘉誠主任委員研考會委員翁政義主任委員國科會委員馬英九市長台北市委員謝長廷市長高雄市委員召集人一員、副召集人一員、執行長一員、副執行長二員、委員十四員、合計十九員。

9、國家資通安全技術服務與綜合業務中心運作規劃示意圖主任副主任訓練推廣技術服務綜合業務技術支援支援政府單位支援國防單位支援民間企業訓練推廣推廣服務團訓練推廣人才培訓()()()推動企劃行政管理綜合業務技術研發中山科學研究院（科專計畫支持）工研院、資策會學術界、民間企業中華電信研究所-15-(二)國家資通安全會報組織職掌(1)統籌國家層級資通安全基礎建設規劃作業。 (2)負責資通安全基礎建設作業綜合業務。 (3)負責資通安全人力培訓及籌組資通安全技術服務團。 (4)負責資通安全基礎宣導及舉辦相關技術研討會。 (5)建置資通安全宣導及技術網站並蒐集最新資通安全相關技術。 (6)編訂資通安全基本作業手冊

10、並協助各機關訂定作業系統安全等級。 (7)推動資通安全關鍵技術研發及學術研究並協助發展我國資通安全相關產業。 (8)辦理資通安全攻防模擬環境建置及相關訓練等事項。(9)提供各界資通安全技術諮詢服務。 1、技術服務與綜合業務中心 (辦理單位：NICI小組主責、主計處、國防部、交通部、經濟部、財政部、教育部、中科院、資策會、工研院配合協辦) -16-(1)訂定資通安全技術標準。 (2)訂定各機關辦理資通安全有關作業規範。 (3)規劃建置資通安全檢測技術。 (4)規劃建置資通安全驗證方法 (5)規劃建置資通安全認證程序。 2、標準規範工作組(辦理單位：經濟部主責、研考會、國防部、交通部、財政部配合協

11、辦) (二)國家資通安全會報組織職掌(續)-17-(1)培訓資通安全稽核人力。 (2)籌組資通安全稽核服務團。 (3)選定資通安全等級高之作業系統。 (4)對重要系統不定期辦理資通安全稽核。 (5)彙編重要系統資通安全稽核報告。 3、稽核服務工作組(辦理單位：主計處主責、國防部、交通部、經濟部、財政部配合協辦)(二)國家資通安全會報組織職掌(續)-18-(1)蒐集國內外資通安全相關資訊。 (2)統計分析資通安全事件資料。 (3)結合技術服務組，研擬資通安全防範措施並對外提供。 4、資訊蒐集工作組(辦理單位：國科會主責、中科院、工研院、資策會、相關公協會及民間業者配合協辦) (二)國家資通安全會

12、報組織職掌(續)-19-(1)指派人員負責資通網路犯罪事件偵查工作。 (2)培訓執法人員辦理資通安全有關偵防能力。 (3)建立跨國及區域性合作偵防機制。(4)配合研修網路犯罪相關法規。 5、網路犯罪工作組(辦理單位：法務部主責、調查局、內政部、國防部、交通部配合協辦)(二)國家資通安全會報組織職掌(續)-20-(1)建立資通安全事件通報處理程序。 (2)建置資通安全事件通報網站。 (3)建立資通安全事件危及公共安全、社會秩序有關緊急應變程序。 (4)協調技術服務組，提供技術服務。 (5)建立事前各項資通安全事項通報及預警機制。 (6)統計發布我國資通安全事件及應變程序。 6、危機通報工作組(辦

13、理單位：主計處主責、內政部、國防部、交通部、經濟部、財政部、研考會配合協辦) (二)國家資通安全會報組織職掌(續)-21-二、國家資通安全應變中心之組織體系召 集 人：國家資通安全會報執行長兼副召集人：國家安全會議派員兼副召集人：國家資通安全會報副執行長兼影響等級級以下時由主計處電子中心負責處理影響等級達到級時由召集人及副召集人進駐處理民營機構分組召集單位：交通部國防體系分組召集單位：國防部學術機構分組召集單位：教育部事業機構分組召集單位：主計處行政機構分組召集單位：研考會危機救災分組召集單位：內政部危機通報分組召集單位：主計處負責民營機構(網路通信業、金融業、證券業、電信重點製造業) 資通安

14、全危機事件通報及應變處理事項負責國防體系資通安全危機事件通報及應變處理事項負責學校及研究機關資通安全危機事件通報及應變處理事項負責政府事業機構(電力、石油、自來水、金融、證券、關貿、航管、瓦斯) 資通安全危機事件通報及應變處理事項負責政府行政機關資通安全危機事件通報及應變處理事項協調警政、消防、衛生等救援體系支援事故緊急處置一、規劃通報應變作業計畫二、建立通報體系三、辦理通報宣導研討會四、建立通報網站五、彙整及發布通報資訊（國防通資訊危機事件通報及應變體系）（民間通資訊危機事件通報及應變體系）（政府通資訊危機事件通報及應變體系）（通資訊安全報案通報及危機救災體系）技服與綜業中心資訊蒐集工作組-

15、22-資通安全危機等級A級：影響公共安全、社會秩序、人民 生命財產。級：系統停頓，業務無法運作。級：業務中斷，影響系統效率。級：業務短暫停頓，可立即修復。-23-國家資通安全應變中心各分組職掌主計處擔任國家資通安全應變中心總召集單位，兼負中心幕僚作業並負責資通安全危機事前預警機制建立、彙總各分組有關資通安全危機事件通報、分析報告及協調技術服務組提供相關技術支援等事項。 (一)危機通報分組：(主計處擔任召集單位) 負責規劃通報應變作業計畫、建立通報體系、辦理通報宣導講習、建立通報網站、彙整、發布通報資訊及資通應變中心幕僚作業。(二)事業機構分組：(主計處擔任召集單位) 負責政府事業單位(如電力、

16、石油、自來水、金融、證券、關貿、航管及瓦斯等)有關資通安全危機事件通報及應變處理事項。(三)危機救災分組：(內政部擔任召集單位) 負責協調警政、消防、衛生等救援體系支援事故緊急處置。(四)行政機關分組：(研考會擔任召集單位) 負責政府行政機關有關資通安全危機事件通報及應變處理事項。(五)學術機構分組：(教育部擔任召集單位) 負責學校及研究機構有關資通安全危機事件通報及應變處理事項。(六)國防體系分組：(國防部擔任召集單位) 負責國防體系有關資通安全危機事件通報及應變處理事項。(七)民營機構分組：(交通部負責召集單位) 負責民營機構中電信網路業者有關資通安全危機事件之通報及應變處理，並協調財政部

17、(有關 金融業者)、經濟部(有關重點製造業者)對其主管重要目的事業辦理通報及相關應變處理事 宜。-24-三、政府各機關(機構)資通安全處理小組組織架構國家資通安全應變中心各機關(機構)資通安全處理小組危機處理安全預防一蒐集資通安全資訊二培訓資通安全技術三訂定系統安全等級四建置資通安全措施五執行資通安全監控一規劃危機處理程序二查明安全事件原因三確定影響範圍並作損失評估四執行緊急應變措施五辦理安全事件通報六執行解決辦法-25-各機關資通安全處理小組職掌(一)安全預防：負責蒐集網路安全資訊、培訓網路安全技術、訂定各機關系統安全等級、建置網路安全措施、執行網路安全監控等事項。(二)危機處理：負責規劃危

18、機處理程序、查明危機事件原因、確定影響範圍並作損失評估、執行緊急應變措施、辦理危機通報、執行解決辦法等事項。 -26-四、資通安全事件通報及應變作業流程發現資通安全危機事件確定影響範圍，評估可能損失，判斷是否需要支援啟動緊急應變措施辦理資通安全事件通報通報災害防救體系資通安全事件通報建檔需要支援重大災害重大事故通報檢調單位協調資通技術服務組支援納入列管是否是是否執行解決辦法辦理資通安全事件結案通報資通安全事件解除列管否資通安全事件通報單(表二)-27-附表一(單位全銜)資通安全通報網聯絡人員調查表-28-五、資通安全事件通報單機關(機構)名稱資通安全事件通報單洽詢電話： 傳真： e-mail:

19、 或逕送：台北市廣州街二號填報時間： 年 月 日 時 分編號：一、發生網路安全之機關(機構)聯絡資料：機關(機構)名稱： E-MAIL：聯絡人： 電話： 傳真： 二、網路安全事件通報事項： 1.事件發生時間： 年 月 日 時 分 2.主機(伺服器)資料： IP位址(IP Address)： 網域名稱(Domain name)： 主機(伺服器)廠牌、機型： 作業系統名稱、版本、序號： 網際網路資訊位址(Web URL)： 已裝置之安全機制： 附表二-29- 3.網路安全事件資料： 安全等級：級；級；級；級 影響等級： 級：影響公共安全、社會秩序、人民生命財產。 級：系統停頓，業務無法運作。 級：

20、業務中斷，影響系統效率。 級：業務短暫停頓，可立即修復。 事件說明： 可能影響範圍及損失評估： 應變措施：三、期望支援項目：四、解決辦法：五、已解決時間：年月日時分-30-陸、資源需求與預定及重要措施時程一、資源需求資通安全經費預算總表單位：台幣仟元-31-二、推動經費來源需求規劃建議項目規劃案技術服務與綜合業務中心技術支援訓練推廣技術研發綜合業務人力37人15人2人10人10人經費需求(仟元)80,00035,00045,000小計80,00035,00045,000(一) 、技術服務與綜合業務中心經費需求及來源註：技術服務與綜合業務中心預算(8仟萬元) 來源，擬請經濟部技術處由科技專案計 畫項下檢討勻支。(二) 、技術服務與綜合業務中心細部規劃 各相關工作組提送工作計畫書 提 出預算需求 1.可由原有單位預算自行檢討支應。 2.需呈報另行籌措來源。-32-三、主要工作