民用航空局恆春航空站資通安全緊急應變計晝暨作業處理程序
壹、計畫依據
一、依民用航空局九十一年六月二十六日資字第0九一00一七七九九號函送行政院核定「建立我國通資訊基礎建設安全機制計畫」辦理。
二、依民用航空局九十一年八月二十九日資字第0九一00二四五一五號函轉行政院國家資通安全會報函送「各機關處理資通安全事件危機通報緊急應變作業注意事項」辦理。
三、依民用航空局九十一年十月四日資字第0九一00二八九八八號函辦理。
貳、計畫目的
為有效掌握本站之資訊及網路系統當遭受破壞、不當使用等危安或重大災害事件發生時能即時作處置,並落實資通安全事件之危機通報及緊急應變作業。
參、計畫範圍
一、 網路系統(包含網站)。
二、 飛航資訊顯示系統。
三、 公文管理系統。
肆、計畫內容
一、 成立資通安全處理小組:本「資通安全處理小組」為常態任務編組,以確保航站資訊系統正常運作,編組如后。
- 主 任:負責召集相關業務承辦人處理各項狀況。
- 航 務 員:負責中控室電腦及資訊看板等。
- 工 務 員:負責航站電話系統及網路之暢通。
- 組 員:負責電子收發文系統之保持暢通及狀況之緊急處理。
二、資通安全處理小組之業務職掌
- 安全預防:負責蒐集資通安全資訊、培訓資通安全技術、訂定系統安全等級、建置資通安全措施、執行資通安全監控等事項。
- 危機處理:負責規劃危機處理程序、查明危機事件原因、確定影響範圍並作損失評估、執行緊急應變措施、辦理危機通報、執行解決辦法等事項。
- 電腦作業系統與網路安全管理:負責系統各項安全措施。
三、資通安全事件危機通報作業注意事項:
(一)資通安全事件等級概分為四級:
- 『A』級:影響公共安全、社會秩序、人民生命財產。
- 『B』級:系統停頓,業務無法運作。
- 『C』級:業務中斷,影響系統效率。
- 『D』級:業務短暫停頓,可立即修復。
(二)通報作業注意事項:
「資通安全處理小組」負責執行資通安全預防及危機通報、緊急應變處理相關措施。
資通安全事件影響層面如遇重大災害,且影響層面深廣、受損程度嚴重時(如外力入侵、資通訊網路系統骨幹中斷重大突發事件等,或水、火災、地震、天然災害等涉及資通安全事件者),應儘速通報,惟如屬一般性【D級(含)以下】,僅涉及單位內、受損程度輕微時(如內部危安、電腦病毒威染),可由本站自行處置,並逕行於處理完畢後通報。
四、資通安全事件危機通報作業程序
(一)本站資訊或通信系統用戶端於發生異常事故時,應立即(最遲不得超過三十分鐘)向本站之「資通安全處理小組」反應事實或請求支援,完成內部通報流程。本站「資通安全處理小組」則依據事故狀況,評估相關可能因素,藉由上網或資料庫等查詢方式,以尋求解決方案,儘速協助用戶端進行緊急應變處置,如係系統問題,應於上班時間通報首長,非上班時間通報值日官。
(二)本站「資通安全處理小組」於發生『C』級以上資危安事故時,且短時間無法修護時,應依 資訊安全事件緊急處理程序(如附件一),立即向首長報告,應將事件發生之事實、可能影響之範圉、損失評估、判斷支援申請、採取之應變措施等事項,並立即(最遲不得超過三十分鐘)填具「資通安全事件通報單」(如附件二),並透過上網、固網電話、行動電話、衛星電話、傳真、國家資通安全應變中心( N-CERT)網頁或電子郵件等方式,通報至「國家資通安全應變中心」及民航局資訊災害緊急應變處理小組,同時聯絡維護廠商協助處理。
(三)如遇資通安全事件,危及人員生命或設備遭到破壞等涉及民、刑事案件時,應即時通報航空警察局(電話:0八 - 八八九四二九八)及法務部調查局屏東縣調查站(電話:0八 - 七三六八八八八)請求處理。
(四)如發生災損,有關通報單之災害損失評估內容包括如下:作業影響情況、設備或系統損害情況、作業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所需時間、備援中心設備及人員支援狀況等。
(五)系統修護後,再通報民航局資訊災害緊急應變處理小組已復工,並就改進系統加強防範功能提出報告,陳報民航局核備。
五、資通安全事件緊急應變措施:
(一)內部危安事件:發現(或疑似)遭人為蓄意破壞毀損、作業不慎等危安事件時,應迅速查明事件影響狀況、受損程度等,啟用備分資料、程式或啟動備援計畫相關措施,期儘速回復正常運作。
(二)外力入侵事件:
- 病毒感染事件:病毒入侵後,隨時掌握電腦病毒感染最新動態,隔離病毒避免疫情擴散;同時儘速取得所需病毒清除程式,並按病毒修護程序,完成病毒清除及修護復原工作。
- 駭客攻擊(或非法入侵)事件:
- 發現(或)被入侵時,立即隔離受入侵系統及拒絕入侵者任何存取動作,如切斷入侵者之實體連線或調整防火牆設定等,以阻絕駭客進一步入侵,並迅速啟動備援系統或程序。
- 如入侵者已被嚴密監控暨不危害內部(含 DMZ 非軍事區)網路安全下,可考慮讓入侵者作有條件的連接,適度允許其繼續動作,以利追查入侵者 IP 位置;並利用稽核檔案或系統指令、聯合 ISP 公司等方式,追蹤入侵者行蹤。惟一旦入侵者危害到內部(含 DMZ 非軍事區)網路安全,則立即切斷入侵者之實體連線。
- 全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定等具體改善補救措施,以防止類似入侵或攻擊情事再度發生。
- 正式紀錄入侵情形、被駭統計分析及損失評估等資料,以供防護與預警之參考,並向主管機關或檢警單位反映。
(三)其他應變措施:
- 飛航資訊顯示系統:如系統故障無法連線顯示班機資訊時,除做緊急搶修外,並請航空公司多利用廣播系統及書面告示方式告知旅客班機資訊,以減少旅客不便。
- 公文管理系統:
- 公文管理系統如遇斷線無法順利收發文時,先請維護廠商進行初步故障原因確認及排除。
- 經初步檢查如為系統故障,則由「資通安全處理小組」立即以電話陳報政府電子公文交換中心進行緊急查修,同時由「公文管理業務員」(即本站總收文人員)通報大局秘書室及局屬各單位如有緊急公文請先以以書面或傳真方式辦理。
- 公文管理未修復前,所有書面公文及傳真公文一律以人工登錄,事後再補錄於公文系統內。
伍、本計畫未盡事宜另行補充