一、
南投縣政府(以下簡稱本府)為有效掌握本府各項資訊系統及通訊系統(以下簡稱資通訊系統)遭受破壞、不當使用等危安或重大災害事件,能迅速通報及緊急應變處置,並在最短時間內回復,以確保國家利益與政府之正常運作,特訂定本處理程序。
二、
本府各單位於下列系統發生重大資通安全事件或其他災害涉及資通安全事件時,應立即依本處理程序通報及作業流程(如附表1)辦理。
(一) 戶役政資訊系統。
(二) 土地登記複丈地價地用電腦作業系統。
(三) 專案放領地籍資料管理系統。
(四) 都市地區地價指數作業系統。
(五) 社政資訊管理系統。
(六) 全國家庭暴力整體資料庫系統。
(七) 財會資訊系統。
(八) 全國工商資訊管理系統。
(九) 南投縣城鄉地理資訊系統。
(十) 觀光旅遊導覽系統。
(十一) 建築管理資訊系統。
(十二) 公文管理系統。
(十三) 本府全球資訊網系統。
(十四) 本府所屬機關全球資訊網系統。
(十五) 電子公文交換系統。
(十六) 電子郵件系統。
(十七) 人事管理資訊系統。
(十八) 本府自行購置之電腦軟硬體。
(十九) 其他本府自行開發建置或上級撥付之各項資通訊系統。
三、
資通安全事件影響之等級概分為下列四級:
(一) 4級:符合下列任一情形者,屬4級事件:
1、
國家機密遭洩漏。
2、
國家重要資訊基礎建設系統或資料遭竄改。
3、
國家重要資訊基礎建設運作遭影響或系統停頓,無法於容忍中斷時間內回復正常。
(二) 3級:符合下列任一情形者,屬3級事件:
1、
密級或敏感公務資料遭洩漏。
2、
核心業務系統或資料遭嚴重竄改。
3、
核心業務遭影響或系統停頓,無法於容忍中斷時間內回復正常。
(三) 2級:符合下列任一情形者,屬2級事件:
1、
非屬密級或敏感之核心業務資料遭洩漏。
2、
核心業務系統或資料遭輕微竄改。
3、
核心業務遭影響或系統停頓,於可容忍中斷時間內回復正常。
(四) 1級:符合下列任一情形者,屬1級事件:
1、
非核心業務資料遭洩漏。
2、
非核心業務系統或資料遭竄改。
3、
非核心業務遭影響或短暫停頓。
四、
資通安全事件危機通報作業程序:
(一)本縣資通安全通報聯絡網各單位資通訊系統用戶端於發生危安事故時,除受損程度輕微(如一般性電腦病毒感染或資通安全事件影響等級為1級者)外,該單位聯絡網聯絡人或負責人應立即(最遲不得超過三十分鐘)填具「資通安全事件通報單」(附表2)透過上網、固網電話、行動電話、衛星電話、傳真或電子郵件等方式向本府資通安全處理小組(以下簡稱本小組)反應事實或請求支援,並通報國家資通安全會報負責通報應變之分組,完成通報流程,府內單位應透過本小組向國家資通安全會報負責通報應變之分組通報;如為中央開發維護之共通性系統,並應副知業務督導單位,請求提供相關支援。
(二)本小組應進行資通安全事件內部建檔列管,並依事故狀況,評估相關可能因素,藉由上網或資料庫等查詢方式,以尋求解決方案,儘速協助用戶端進行緊急應變處置。
(三)本小組於發生資通安全事件影響等級為3級以上之危安事故時,應將事件發生之事實、可能影響之範圍、損失評估、判斷支援申請、採取之應變措施等事項呈報本小組召集人。
(四)各單位於系統回復正常運作時,該單位聯絡網聯絡人或負責人應填具「資通安全事件解除通報單」(附表3)將解決辦法通報本小組,並通報國家資通安全會報負責通報應變之分組以解除列管,府內單位應透過本小組向國家資通安全會報負責通報應變之分組通報解除列管。
(五)各單位如遇資通安全事件,危及人員生命或設備遭到破壞等涉及民、刑事案件時,應即時通報檢調單位請求處理;如引發重大災害時,同時向現行災害防救體系提報,請求支援處理。
(六)如發生災損,有關通報單之災害損失評估內容包括如下:作業影響情況、設備或系統損害情況、作業延誤情況、資料受損項目、估算資通訊系統作業及資料回復所需時間、備援中心設備及人員支援狀況等。
五、
資通安全事件緊急應變作業程序:
(一)事前建置安全防護機制:
1、各單位針對於主管之資通訊系統應依遭遇內部危安(如人為破壞)、外力入侵(如病毒感染、駭客攻擊、非法入侵)、天然災害或重大突發(如水災、火災、地震、資通訊網路系統骨幹中斷)等事件,訂定資通安全應變(回復)計畫,內容包括緊急應變措施、復原作業程序及人工替代作業方式,並定期演練,以建立緊急應變能量。
2、各單位對於主管之重要資料或是重要主機系統資料,必須有完整之備份計畫,定期於備援主機上測試重要資料回復,檢查備份資料是否可用。並定期檢視回復機制,檢討修改相關程序。
3、各單位對於主管之重要系統主機之硬體除應具有容錯(Fault tolerance)裝置(比如雙CPU,RAID硬碟,雙Power)外,並須規劃建立系統備援機制。
4、各單位對於主管之重要主機設備應規劃另一台備份主機(如防火牆、核心交換器、路由器、對外通訊線路等)。
5、各單位可依資通安全防護需要,協調技服中心支援執行入侵偵測、安全掃瞄、漏洞檢測修復等安全體檢工作,以做好事前防禦準備。
6、各單位應就主管業務需求,規劃建置資通訊網路系統骨幹(含主幹頻寬)實體備援能量及緊急應變機制;期於資通訊網路系統中斷時,得立即啟動緊急備援機制,儘速回復正常運作。
(二)資通安全事件緊急應變措施:
1、各單位應就資通安全危害事件之徵兆,查明事件原因、安全等級區分、判定可能影響範圍、評估可能損失、判斷是否需要支援申請等作業項目逐一檢討與處置;並保留被入侵或破壞等證據(如網頁置換等)。
2、透過系統弱點(病毒)資料庫、上網站、技術支援單位(或廠商)等方式,查詢獲得解決方案(如下載漏洞修補程式、解毒程式等);或依各系統既定之緊急應變計畫,實施災害緊急應變搶修處置(如保護、救援、回復運轉等),並持續性主動積極之監控與追蹤管制。
3、視災損程度啟動備援計畫、異地備援或備援中心等應變措施。
(三)資通安全事件分類應變步驟如下:
1、內部危安事件:發現(或疑似)遭人為惡意破壞毀損、作業不慎等危安事件時,應迅速查明事件影響狀況、受損程度等,啟用備分資料、程式或啟動備援計畫相關措施,期儘速回復正常運作。
2、外力入侵事件之病毒感染事件:病毒入侵後,隨時掌握電腦病毒感染最新動態,隔離病毒避免疫情擴散;同時儘速取得所需病毒清除程式,並按病毒修護程序,完成病毒清除及修護復原工作。
3、外力入侵事件之駭客攻擊(或非法入侵)事件:
(1)發現被入侵時,立即隔離受入侵系統及拒絕入侵者任何存取動作,如切斷入侵者之實體連線或調整防火牆設定等,以阻絕駭客進一步入侵,並迅速啟動備援系統或程序。
(2)如入侵者已被嚴密監控暨不危害內部(含DMZ非軍事區)網路安全下,可考慮讓入侵者作有條件的連接,適度允許其繼續動作,以利追查入侵者IP位置;並利用稽核檔案或系統指令、聯合ISP公司等方式,追蹤入侵者行蹤。惟一旦入侵者危害到內部(含DMZ非軍事區)網路安全,則立即切斷入侵者之實體連線。
(3)全面檢討網路安全措施、修補安全漏洞或修正防火牆之設定等具體改善補救措施,以防止類似入侵或攻擊情事再度發生。
(4)正式紀錄入侵情形、被駭統計分析及損失評估等資料,以供防護與預警之參考,並向主管機關或檢警單位反映。
4、天然災害或重大突發事件:
(1)如遇颱風、水災、地震等天然災害或火災、爆炸、核子事故、重大建築災害等重大意外事件,應迅速攜帶重要資料及程式等離開現場,或儲存於防火保險櫃等設施內,以利爾後系統重置復原。
(2)如遇資通訊網路系統骨幹(主幹頻寬)中斷事件,應立即查明障礙點、影響區間及範圍,啟動應變機制,緊急調撥備援系統或替代路由,實施流量控管,執行搶修作業。
(四)事後復原追蹤鑑識偵查:
1、受損單位速依各資通訊系統應變(回復)計畫,實施災後復原重
建。
2、受損單位執行災後復原工作,首先檢驗資通安全環境及硬體設備是否可以正常運作,並執行環境重建、系統復原及掃描作業,其步驟包含軟硬體設備重新取得建置、重置作業系統及應用系統,以及運轉測試等;並俟運作正常後即進行安全備份檔案下載、資料回復、資料重置等相關事宜。
3、當危機解除後,受損單位應將災害應變處置復原過程相關完整紀錄(如事件原因分析及檢討改善方案、防止類似事件再次發生之具體
方案、稽核軌跡及蒐集分析相關證據等資料),予以建檔管制(如建立資通安全事件資料庫或列入更新解決方案資料庫等),以利爾後查考使用。
4、受損單位如有需要,應保留事件發生之線索,向技術服務中心或檢警單位申請追蹤鑑識、偵查支援,藉研析稽核紀錄或入侵活動偵測等相關資料,以釐清事件發生的原因與責任;並找出防護系統之漏洞,尋求補強保護方法,避免事件再度發生。