年度政府机关(构)资安演练说明.doc

97-98年度政府機關（構）資安演練說明行政院國家資通安全會報97年9月一、 依據96年2月15日行政院核定修正建立我國通資訊基礎建設安全機制計畫（94年至97年）第5項行動方案加強資通安全演練辦理。二、 目的檢測政府機關（構）於系統端、網路端及使用者端之資安防護能力，並強化政府機關（構）在遭遇資安事件時之緊急應變、系統復原、協調管控等能力。此外，透過整體檢視我國資安防護措施，研議資安防護精進作為。三、 施行對象(一) 演練執行單位由行政院國家資通安全會報（以下簡稱本會報）統籌編成演練專案小組，負責規劃、執行演練各項事宜。(二) 演練對象1. 資安攻防演練(1) 演練範圍為各級政府機關（構），惟不含駐外館處。(2) 由金管會薦報網路銀行參與本計畫。2. 電子郵件社交工程演練演練範圍為行政院院本部暨所屬各部會行處局署、省市政府、各縣市政府等主管機關（如附件一所列），惟不含國防部。四、 演練重點(一) 演練項目包含資安攻防演練與電子郵件社交工程演練兩項。(二) 演練時間於97年10月起至98年12月底間，採全年度、無預警、不定期方式辦理。(三) 演練攻擊手法說明如下：1. 資安攻防演練：因應新型態駭客手法，精進模擬攻擊技術。2. 電子郵件社交工程演練：偽冒寄件者發送惡意郵件給演練對象，郵件主題可分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或附加檔案。(四) 資安責任等級列A、B級機關（構）列為重點演練對象。(五) 針對資安等級列A級機關（構），資安攻防演練項目新增更為擬真之攻擊手法，以模擬駭客入侵實境。(六) 各主管機關除強化機關本身防護外，應要求所屬機關（構）辦理資安教育訓練及相關防護措施。並請附件一所列主管機關於每年10月底前彙整本身暨A、B級所屬機關（構）整備成果（格式如附件二、三）提送本會報。(七) 對於所屬遭模擬入侵成功機關（構），主管機關應督導其於入侵成功後1個月內研提改善計畫，且所屬機關（構）應於3個月內提報改善情形報告送主管機關備查（免副知本會報）。五、 演練專案小組演練專案小組預定於97年9月中旬前統籌編成，由本會報執行長兼任召集人，設立諮詢指導組及3個任務分組規劃分組、技術分組、評審及監控分組，並分別由本會報綜合規劃組、通報應變組、行政院主計處派員組成。(一) 組織架構(二) 任務分工召集人/分組編成任務召集人本會報執行長兼綜合指導各任務分組辦理資安演練全般事宜，並得視需要終止本計畫之進行諮詢指導組本會報3位副執行長及行政院科技顧問組鐘嘉德副執行秘書、蔡志宏顧問、許清琦研究員兼負責演練任務諮詢與指導事宜規劃分組組長：本會報綜合規劃組主任兼組員：由本會報綜合規劃組派員辦理有關演練作業規劃、計畫訂頒、協調及管制等事宜技術分組組長：本會報通報應變組主任兼組員：由本會報通報應變組派員(1) 從相關單位遴選人員編成攻擊團隊、技術服務團隊。前者負責執行模擬駭客攻擊作業；後者依技術支援原則提供資安技術服務(2) 訂定演練攻擊計畫(3) 建置監控環境並負責提供演練所需軟硬體設備(4) 執行演練攻擊並提供技術服務(5) 辦理演練期間相關資安事件之通報、管制等事宜評審及監控分組組長：行政院主計處電子中心副主任兼組員：由行政院主計處派員負責有關資安演練之評審、監控等作業規劃及執行事宜六、 演練整備作業於演練開始前，各演練對象應先整備以下事項，以因應演練作業。(一) 主管機關應督導並協助所屬機關（構）辦理防護作為。(二) 資訊安全長（CISO）應督導機關（構）辦理資安教育訓練或相關防護事宜。(三) 依政府機關（構）資訊安全責任等級分級作業施行計畫規定，各機關（構）應按其資安等級，每年定期舉辦主官、主管、技術人員、一般人員之資安教育訓練。(四) 主管機關應定期對所屬機關（構）之資安聯絡人做通報聯絡測試，確保通報管道暢順。(五) 附件一所列機關應於每年10月底前彙整本身暨A、B級所屬機關（構）整備成果（格式如附件二、三）提送本會報。七、 演練防護作業於演練期間，演練對象應確實辦理防護事項，當發生資安事件或發現遭模擬入侵成功時，應依通報與應變處理相關作業程序辦理。(一) 基本防護作業1. 各機關（構）應定期做好重要資料備份、系統備援，並訂定系統回復作業程序等防護措施。2. 各機關（構）可利用防火牆、入侵偵測系統、防毒軟體等偵測工具，檢視網路、系統有無異常狀況。(二) 通報應變作業1. 機關（構）發生資安事件或發現遭模擬入侵成功時，應依國家資通安全會報通報與應變作業流程辦理通報應變作業，惟配合演練，調整相關規定如下：(1) 機關（構）應於24小時內至國家資通安全通報應變網站通報，並循內部程序上報主管機關。(2) 機關（構）應於48小時內將受駭系統復原、完成系統弱點修補，並至國家資通安全通報應變網站通報完成事件處理及結案；再由技術分組進行複測作業。(3) 機關於事件發生後5天內未能完成事件處理及結案者，或經技術分組複測未通過（以第一次複測結果為準）者，依獎懲規定（請參照章節十及附件四）辦理。(4) 機關（構）及其主管機關無法處理資安事件或復原系統時，應依通報程序提出技術支援申請，由技術服務團隊依以下原則進行支援：a. 不屬本計畫模擬入侵行為或因攻擊人員作業失誤所造成之資安事件，技術服務團隊應立即支援。b. 如屬本計畫正常作業狀況下所致之資安事件，由技術服務團隊視情況進行協助作業，暫不提供立即支援。2. 機關（構）若於遭模擬入侵成功後逾24小時未依通報程序進行通報，技術分組將立即通知該機關（構）及其主管機關處理。八、 演練模擬入侵成功定義本演練模擬入侵成功定義如下：演練項目模擬入侵成功定義資安攻防演練攻擊團隊於一定時間內，模擬入侵演練對象之防護IP，若達到以下任何一項則表示模擬入侵成功：(1) 於網站網頁中插入本次資安演練規定之圖片或文字等警示資料。(2) 於系統植入本次資安演練規定之後門程式。電子郵件社交工程演練對於攻擊團隊寄發之惡意郵件，參演人員若開啟郵件、或點選郵件內所附連結或檔案，則表示模擬入侵成功。九、 檢討作業為精進資安防護作為，各演練對象應定期檢討演練辦理情形。(一) 遭模擬入侵成功機關（構）應儘速檢討遭入侵成功原因，並完成系統弱點修補以接受演練複測。(二) 遭模擬入侵成功機關（構）應整體檢視資通安全防護，並於遭模擬入侵成功後1個月內，由主管機關督導研提改善計畫。(三) 遭模擬入侵成功機關（構）應依改善計畫辦理，於遭模擬入侵成功後3個月內，由資訊安全長召開會議檢討改善情形，並提報主管機關備查。十、 獎懲規定規劃分組應每年彙整資安演練情形，並召開檢討會議，依評審辦法（如附件四）評選防護績優機關、通報應變優良機關及加強改善機關數名，若無機關符合相關評審條件，則以從缺計。(一) 評審結果由本會報發文各主管機關，俾利機關本於權責辦理敘獎作業。(二) 演練結束後，預計於行政院院會提報演練情形報告（含演練評審結果）。十一、 聯絡方式(一) 有關本演練相關事宜，請洽本案承辦人林宜燕。聯絡電話：(02)2737-7223傳真電話：(02)2737-7333電子郵件：.tw(二) 演練專案小組之技術分組聯絡方式：聯絡電話：(02)2733-9922傳真電話：(02)2733-1655電子郵件：.tw十二、 辦理時程表時程97/997/1097/1298/12本會報(1) 發文蒐集所需演練對象之相關資料(2) 成立演練專案小組召開97年度檢討會議，並評選防護績優機關、通報應變優良機關、加強改善機關(1) 召開98年度檢討會議，並評選防護績優機關、通報應變優良機關、加強改善機關(2) 於行政院院會提報演練情形報告時程97/997/1097/10 - 98/12演練專案小組 演練專案小組係由本會報執行長擔任召集人，設置諮詢指導組及3個任務分組規劃分組、技術分組、評審及監控分組。(1) 彙整完成所需演練對象之相關資料(2) 完成演練環境整備(3) 完成攻擊計畫(1) 辦理資安攻防演練、電子郵件社交工程演練(2) 針對遭入侵成功機關（構）辦理演練複測各主管機關督導並協助所屬機關（構）辦理防護作為彙整機關暨所屬A、B級機關（構）之整備成果，並經資訊安全長核定後，提送本會報(1) 接受資安攻防演練、電子郵件社交工程演練(2) 協助所屬遭模擬入侵成功機關（構）於入侵後1個月內研提改善計畫各演練對象資訊安全長應督導機關（構）辦理資安教育訓練或相關防護作為(1) 接受資安攻防演練、電子郵件社交工程演練(2) 遭模擬入侵成功機關（構）應：a. 修補系統弱點以接受演練複測b. 於入侵後1個月內研提改善計畫，且由資訊安全長召開會議檢討改善情形，並於3個月內提報主管機關第11頁附件一：主管機關名單本名單包含行政院院本部、行政院所屬各部會行處局署、省市政府、各縣市政府等63個主管機關如下所列：1. 行政院院本部（無所屬機關）2. 內政部3. 外交部4. 國防部5. 財政部6. 教育部7. 法務部8. 經濟部9. 交通部10. 蒙藏委員會（無所屬機關）11. 僑務委員會（無所屬機關）12. 行政院主計處13. 行政院新聞局（無所屬機關）14. 行政院人事行政局15. 行政院衛生署16. 行政院環境保護署17. 行政院海岸巡防署18. 國立故宮博物院（無所屬機關）19. 行政院大陸委員會（無所屬機關）20. 行政院國軍退除役官兵輔導委員會21. 行政院經濟建設委員會（無所屬機關）22. 行政院青年輔導委員會23. 行政院國家科學委員會24. 行政院研究發展考核委員會25. 行政院農業委員會26. 行政院文化建設委員會27. 行政院勞工委員會28. 行政院公共工程委員會（無所屬機關）29. 行政院原住民族委員會30. 行政院體育委員會（無所屬機關）31. 行政院客家委員會32. 中央銀行33. 行政院原子能委員會34. 中央選舉委員會35. 行政院公平交易委員會（無所屬機關）36. 行政院消費者保護委員會（無所屬機關）37. 行政院金融監督管理委員會38. 國家通訊傳播委員會（無所屬機關）39. 臺