壹、依據臺北市政府九十一年九月十六日府主資字第0九一一九二七0七
00號函、行政院資通安全會報九十一年八月五日(九一)資安發字
第0六一五號函發布「各機關處理資通安全事件危機通報緊急應變作
業注意事項」辦理。
|
貳、臺北市政府環境保護局(以下簡稱「本局」)為有效掌握本局暨附屬
機關之資通訊及網路系統因遭受破壞、不當使用等所造成之危安或重
大災害事件,俾迅速辦理通報及緊急應變處置,並在最短時間內回復
,以確保本局各業務之正常運作,特定訂本局暨附屬機關處理資通安
全事件緊急應變計畫暨作業處理程序(以下簡稱「本作業處理程序」
)。
|
參、本局各單位及附屬機關於發生重大資通安全事件或其他災害涉及資通
安全事件時,應立即依本作業處理程序執行通報、應變及復原作業。
|
肆、為執行資通安全預防及危機通報,採取緊急應變處理措施,本局設置
「臺北市政府環境保護資通安全處理小組」(以下簡稱資安處理小組
),召集人由局長指派副局長一人兼任,副召集人由本局主任秘書兼
任。小組幕僚作業由本局資訊小組擔任,並負責本局區域網路、網際
網路等資通安全預防及危機處理相關事項;政風室負責資訊機密維護
及稽核使用管理事項;各科室及附屬機關負責所屬資料及資訊系統之
安全、使用管理及保護事項。並由資訊小組建置各單位資訊系統及技
術支援相關人員通訊名冊,以便緊急聯繫處理相關事項。
|
伍、資通安全事件等級概分為四級:
『A』級:影響公共安全、社會秩序、人民生命財產。
『B』級:系統停頓,業務無法運作。
『C』級:業務中斷,影響系統效率。
『D』級:業務短暫停頓,可立即修復。
|
陸、資通安全事件危機通報作業機制及注意事項:
一、本局各單位及附屬機關於發生重大災害,且影響層面深廣、受損程度
嚴重時(如外力入侵、資通訊網路系統骨幹中斷重大突發事件等,或
水、火災、地震、天然災害等涉及資通安全事件者),應先依「臺北
市政府環境保護局突發或緊急事件處理暨通報程序表」規定向單位主
管、局長、政風室通報,並依規定儘速填具通報單向臺北市政府政風
處及國家資通安全應變中心危機通報分組辦理通報;惟如屬一般性【
D級(含)以下】,僅涉及機關內、受損程度輕微之內部危安、電腦
病毒感染等事件,可由各單位自行處理後再行通報。
二、資通安全事件危機通報作業處理程序如下:
(一)本局各單位及附屬機關資訊或通信系統用戶端於發生危安事故時
,應立即向單位之資訊人員反應事實,系統管理人員或本局資安
處理小組於接獲通報後,應依據事故狀況,評估相關可能因素,
並藉由上網或資料庫查詢等方式尋求解決方案,並儘速協助用戶
端進行緊急應變處置。
(二)本局各單位及附屬機關如發生C級(含)以上資通安全危害事件
,應於知悉事件發生十分鐘內先以電話通知單位主管、局長及政
風室,並將事件發生之事實、可能影響之範圍、損失評估、判斷
支援申請、採取之應變措施等事項,立即(最遲不得超三十分鐘
)填具「臺北市政府環境保護局資通安全事件通報單」(格式如
附表),透過傳真或電子郵件等方式,通報至本局資安處理小組
及政風室,再由資安處理小組及政風室分別通報「國家資通安全
應變中心及臺北市政府政風處。
(三)本局資安處理小組一旦接獲通報開始,即應迅速掌握全盤狀況,
並適時指導各單位採取相關因應作為或協調臺北市政府資訊中心
、國家資通安全會報技術服務中心提供技術支援,以迅速解決狀
況,並降低資妥事件之危害。
(四)本局各單位及附屬機關如遇資通安全事件,危及人員生命或設備
遭到破壞等涉及民、刑事案件時,由政風室即時通報檢調單位請
求處理。
(五)如發生災損,則通報單之損失評估應包含下列內容:作業影響情
況、設備或系統損害情況,作業延誤情況、資料受損項目、估算
資通訊系統作業及資料回復所需時間、備援中心設備及人員支援
狀況等。
|
柒、資通安全事件緊急應變作業處理程序及注意事項:
一、事前安全防護:
(一)各單位及附屬機關建置之資訊作業系統應視其資料或服務之重要
性規劃建置網路安全整體防護環境,採取必要安全措施,如系統
存取控管機制、連線紀錄資料庫、建構防火牆軟硬體、虛擬私人
網路(VP N)、病毒掃描機制、身份認證授權、資料加解密、電
子簽章、入侵偵測系統( IDS)、外部弱點掃描、頻寬管理、系
統內部安全漏洞檢測(更新、補強)暨資料庫(含解決方案)建
立、電磁脈衝防護、定期體檢、儲備必要之備份資料、重要主機
之硬體容錯裝置(如雙CPU、RA ID硬碟、雙 POWER)、備份主機
、程式或異地備援(簽訂備援協議)、極重要及重要文件資料檔
案應採取加密方式儲存或實體隔離等防護工具或措施。並定期實
施安全稽核、網路監控、人員安全管理等機制,以強化資通安全
整體防護能力,降低安全威脅及災害損失。
(二)各單位及附屬機關建置之資訊系統所採安全措施,必要時得由資
訊小組協調相關單位聯合建置。其採取之安全措施內容,併應主
動提供本局政風室、資安處理小組備查,資安處理小組並得建議
其增加或加強安全措施項目。
(三)各單位及附屬機關應配合相關單位稽核工作及「國家資通安全會
報技術服務中心」入侵偵測、安全掃描、漏洞檢測修復等安全體
檢,如有發現安全漏洞立即進行修補,以做好事前防禦準備。
(四)各單位及附屬機關應就主管業務需求,評估規劃建置資通訊網路
系統骨幹(含主幹頻寬)實體備援能量,期於資通訊網路系統中
斷時,得立即啟動緊急備援機制,儘速回復正常運作。
(五)各單位及附屬機關應宣導系統使用人定期更新帳號密碼,系統使
用人或管理人如有調整職務或離職應由新的承辦人員修正登入帳
號及密碼。各業務承辦人及系統管理人對其使用之電腦應確實定
期執行重要檔案資料備份、電腦系統病毒掃描清理等基本安全防
護工作,各單位及附屬機關得指定單位內一至二部電腦設定分享
資料夾,供各該單位其他業務同仁存取備份資料使用。
二、事中預警緊急應變:
(一)病毒、駭客入侵之防範及應變
1.於接獲「國家資通安全應變中心」所發出之資通安全危害通告
資訊(如最新電腦病毒疫情、漏洞、弱點及駭客攻擊等)之預
警訊息、防範須知或解決方案時,應即時轉知本局各單位及附
屬機關,俾利妥採因應作為,並加強防範措施。
2.執行即時偵防、監測預警工作,藉由二十四小時之監測工具(
如入侵偵測系統 IDS等)或透過相關單位危機通告等方式,以
掌握最新的預警訊息,並適時對單位內發佈警告訊息及控制發
展趨勢,以降低受損程度。
3.各單位人員發現使用軟體功能異常、螢幕出現不正常徵兆或訊
息或其他奇怪現象時,應立即停止使用電腦,並迅速通知本局
資安處理小組確認是否為資通安全危害事件,並採取必要之措
施。
4.如為病毒感染事件,於病毒入侵後,應隨時掌握電腦病毒感染
最新動態,隔離病毒避免疫情擴散;同時儘速取得所需病毒清
除程式,並按病毒修護程序,完成病毒清除及修護復原工作。
5.如為駭客攻擊(或非法入侵)事件,依下列程序處理:
A.發現(或)被入侵時,立即隔離受入侵系統及拒絕入侵者任
何存取動作,如切斷入侵者之實體連線或調整防火牆設定等
,以阻絕駭客進一步入侵,並迅速啟動備援系統或程序。
B.如入侵者已被嚴密監控暨不危害內部網路安全時,可考慮讓
入侵者作有條件的連接,適度允許其繼續動作,並請求「國
家資通安全會報技術服務中心」協助追查入侵者IP位置;並
利用稽核檔案或系統指令、聯合 ISP公司等方式,追蹤入侵
者行蹤。
惟一旦入侵者危害到內部網路安全,則應立即切斷入侵者之
實體連線。
C.全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定
等具體改善補救措施,以防止類似入侵或攻擊情事再度發生
。
D.保留被入侵或破壞等證據(如網頁置換),正式紀錄入侵情
形、被駭統計分析及損失評估等資料,以供防護與預警之參
考,並向主管機關或檢警單位反應。
6.前述網路安全改善措施,可透過系統弱點(病毒)資料庫、上
網站、技術支援單位(或廠商)等方式,查詢獲得解決方案(
如下戴漏洞修補程式、解毒程式等)
7.視情況實施災害緊急應變搶修處置(如保護、救援、回復運轉
等),並持續性主動積極之監控與追蹤管制。並視災損程度啟
動備援計畫、異地備援或備援中心等應變措施。
8.如屬新生(以往未發生過)無法解決之危害事件,應迅速向「
國家資通安全應變中心危機通報分組」反映,請求提供相關技
術支援。
9.執行其他災害應變及防止事件擴大之措施。
(二)內部危安事件:發現(或疑似)遭人為惡意破壞毀損、作業不慎
等危安事件時,應迅速查明事件影響狀況、受損程度等,啟用備
分資料、程式或啟動備援計畫相關措施,以期儘速回復正常運作
。
(三)天然災害或重大突發事件:
1.為防備颱風、水災、地震等天然害或火災、爆炸、核子事故、
重大建築災害等重大意外事件,應將重要資料採異地存放措施
,或儲存於防火保險櫃等設施內,以利爾後系統重置復原。
2.遇資通訊網路系統骨幹(主幹頻寬)中斷事件,應立即查明障
礙點、影響區間及範圍,啟動應變機制,緊急調撥備援系統或
替代路由,實施流量控管,執行搶救作業。
3.天然災害應變
(1)火災應變:
A.察知火災發生時應迅速尋找起火原因,並立刻關閉電源開關
,設法移除燃燒物或使用滅火器撲滅火苗;滅火器之使用,
除非情況之絕對需要,儘量以避免對電腦設備直接噴灑為原
則,並通知政風單位。如未能即時撲滅,應撥一一九通知消
防單位,鎮靜說清楚災變地點及起火原因。
B.易燃物品及相關設備、媒體應即時移離,並向長官報告請求
支援。
C.火災發生過後,應先行檢測主機系統及硬體受損程度,如系
統無法正常使用或硬體嚴重受損時,依人工處理程序辦理。
D.由各系統管理人員研判故障類型,並先行設法排除,如無法
解決時,應詳細記錄當時狀況及顯示之訊息後,立即就故障
問題通知相關人員前來維修。
E.如主機硬體嚴重受損時,應與維修人員連絡,並詳述損壞情
形,以減少維修人員修復之時間,並於最短時間內回復硬體
設備,如短時間無法回復硬體設備時,應協調商借主機暫時
使用。
F.如遇系統受損或資料毀損無法回復時,應由平時備份之系統
磁帶及資料庫磁帶中轉回資料,將損壞減低到最小之程度。
G.系統修復完畢後提出相關維修報告陳送核判。
(2)震災應變:
A.遇有強烈地震發生,應提醒週遭人員保護自身安全為首務,
勿慌張進出建築物,遠離窗戶、玻璃、大型辦公家俱等危險
墜落物,就地尋求避難點應依震災逃生法則尋求掩避,如狀
況稍有紓解時即進行緊急關機。
B.地震發生後,相關人員應立即檢視各項設備,對於電源線路
應小心查察,如系統無法正常使用或硬體嚴重受損時,先行
依人工處理程序辦理。
C.由各系統管理人員研判故障類型,並先行設法排除,如無法
解決時,應詳細記錄當時狀況及顯示之訊息後,立即就故障
問題通知相關人員前來維修。
D.如主機硬體嚴重受損時,應與維修人員連絡,並詳述損壞情
形,以減少維修人員修復之時間,並於最短時間內回復硬體
設備。
E.如遇系統受損或資料毀損無法回復時,應由平時備份之系統
磁帶及資料庫磁帶中轉回資料,將損壞減低到最小之程度。
F.系統修復完畢後提出相關維修報告陳送核判。
(3)其他災變:應先視發生狀況採取適當應變措施,並逐級陳報。
三、事後復原追蹤鑑識偵查:
(一)如有資通安全事件發生,受損單位於事後應儘速執行復原重建作
業,若於短時間資訊設備當機或資料漏失無法回復正常應洽各使
用人,改採人工處理程序辦理,並將人工表單資料妥善保存,供
設備修護完畢候補正資料之需。設備與資料恢復正常後應盡快通
知相關作業人員,檢查並補正漏失資料以便繼續作業。
(二)受損單位執行災後復原重建工作,首先應檢驗資通安全環境及硬
體設備是否可以正常運作,並執行環境重建、系統復原及掃描作
業,其步驟包含軟硬體設備重新取得建置、重置作業系統及應用
系統,執行運轉測試等;並俟運作正常後即進行安全備份檔案下
載、資料回復、資料重置等相關事宜。
(三)當危機解除後,受損單位應將災害應變處置復原過程相關完整紀
錄(如事件原因分析及檢討改善方案、防止類似事件再次發生之
具體方案、稽核軌跡及蒐集分析相關證據等資料),予以建檔管
制(如建立資通安全事件資料庫或列入更新解決方案資料庫等)
,以利爾後查考使用。
(四)受損單位如有需要,應保留事件發生之線索,向「國家資通安全
會報技術服務中心」或檢警單位申請追蹤鑑識、偵查支援,藉研
析稽核紀錄或入侵活動偵測等相關資料,以釐清事件發生的原因
與責任;並找出防護系統之漏洞,尋求補強保護方法,避免事件
再度發生。
|
捌、本局暨附屬機關資通安全事件通報及應變作業流程如附圖。
|
玖、本作業處理程序奉核後實施,其如有未盡事宜仍依相關規定辦理,並
隨時修正之。
|