第13卷第3期
中華民國108年6月出刊

關閉章節選單
頭條故事HEADLINE
NEWS
網路攻擊無所不在 食衣住行當心被駭通訊傳播網路資通安全防護之策略與整備(上篇)
人物專訪FOCUS
INTERVIEW
在不疑處有疑 資安攻防永無休止我國國家資通安全之願景及推動情形―專訪行政院資通安全處首任處長簡宏偉
會務側寫NCC
LOCOMOTION
委員會議重要決議
簡秀峯
上一章

打造數位國家後盾 深化防護能量淺談國家關鍵基礎設施防護推行情形

一、美國推動國家關鍵基礎設施緣由

2001年在美國發生911恐怖攻擊事件,恐怖分子以民航機衝撞紐約世貿大樓和國防部五角大廈,造成人員死傷慘重。為防範日後事件重演,美國調整全球戰略,強化與盟邦雙邊或多邊合作,防止恐怖組織針對國際社會發動安全威脅。

隔年(2002年)美國制定國土安全法(The Home-land Security Act of 2002),並成立國土安全部(United States Department of Homeland Security, DHS),致力於保護國家避免所有的危險威脅,以減少生命及財產喪失。2004年卡翠娜颶風造成美國重大財產人員傷亡,美國再次重新檢討國土安全部的定位,由以前著重於恐攻防護,轉為提升全方位災害威脅(all hazard threats)在防範(prevent)、預作準備(prepare for)、維護(protect against)、應變(respond to)及復原(recover from)等方面的能力。

二、我國國家關鍵基礎設施推動情形

為因應國際反恐趨勢,我國於民國92年1月6日訂定「行政院反恐怖行動政策小組設置要點」,成立反恐怖行動政策小組,93年11月16日核定通過「我國反恐怖行動組織架構及運作機制」,並決議將政策小組全銜修正為「行政院反恐怖行動政策會報」;而後,為因應全災害概念導入,行政院96年12月21日核定「行政院反恐怖行動政策會報設置要點」修正為「行政院國土安全政策會報設置要點」,以「國土安全辦公室」作為幕僚單位,主要任務在整合國內反恐怖行動、災害防救、全民防衛動員、核子事故、傳染病疫病、毒災應變、國境管理及資通安全等機制,以建立專業分工,協同合作之「國土安全應變網」。同時為強化國內關鍵基礎設施持續營運之韌性,行政院於101年3月核定「國家關鍵基礎設施安全防護指導綱要」,開始推動國家關鍵基礎設施之盤點及分類分級,102年11月6日國土安全政策會報決議,正式展開國家關鍵基礎設施的安全防護工作,由行政院國土安全辦公室邀集專家學者、主領域協調機關代表組成關鍵基礎設施防護專案小組,針對各領域重要之關鍵基礎設施,實施風險評估與管理;檢討國土安全相同之年度工作計畫、教育訓練、演練計畫,俾建構防災韌性與政府持續運作之能量。

目前國內國家關鍵基礎設施安全防護推動工作,皆由行政院國家關鍵基礎設施安全防護指導綱要規範,其中包含了國家關鍵基礎設施定義、策略、目標等,下文將介紹該綱要規範的整體國家關鍵基礎設施推動架構。

()國家關鍵基礎設施定義

行政院國家關鍵基礎設施安全防護指導綱要對於國家關鍵基礎設施(Critical Infrastructure, CI)定義為,公有或私有、實體或虛擬的資產、生產系統以及網絡,因人為破壞或自然災害受損,將進而影響政府及社會功能運作,造成人民傷亡或財產損失,引起經濟衰退,以及造成環境改變或其他足使國家安全或利益遭受損害之虞者。

()國家關鍵基礎設施策略

為達成國家關鍵基礎設施安全防護目標,應採用風險管理程序,其執行策略包括:

  1. 以全災害防護概念,實施關鍵基礎設施風險管理:國家關鍵基礎設施安全防護應採取「全災害」防護的概念,從設施內部與外部進行風險辨識,並應將風險管理與持續營運管理的方法導入國家關鍵基礎設施安全防護工作之中。
  2. 發展應變戰術與戰略,研擬各層級安全防護計畫:為有效執行國家關鍵基礎設施安全防護管理工作,應全面性、有系統的進行設施盤點工作,依照設施重要性進行分級管理;並建立完整的國家關鍵基礎設施資料庫,定期更新,各設施領域管理層級應掌握設施系統之間相依關係與失效影響性;並按照實際風險辨識結果,依管理範圍發展包含預防、整備、保護、復原的應變戰術與戰略,研擬具體可執行的安全防護計畫。
  3. 強化領域間合作聯防,建立資訊分享機制:各主、次領域主管機關應協同國家關鍵基礎設施提供者,建立並強化單位內部與外部、中央與地方等跨領域聯防機制,積極推動公、私部門合作,鼓勵私部門共同參與。跨領域、跨公私部門之間應分享風險資訊,並應建立威脅預警與安全防護資訊分享平台,健全資訊分享機制,提升國家關鍵基礎設施安全防護的整體性。
  4. 有效整備安全防護資源,提升持續運作能力:各主、次領域主管機關及國家關鍵基礎設施提供者應積極協調整備安全防護之資源與支援,有效保護國家關鍵基礎設施與重要資產之安全。應建立對策計畫,設法減緩設施功能中斷影響,提升政府及社會功能的持續運作能力,進而保障人民生命財產與福祉,維護國土安全與國家安全。

()國家關鍵基礎設施安全防護(Critical Infrastructure Protection, CIP)的目標

  1. 維護國家與社會重要功能持續運作,確保攸關國家安全、政府治理、公共安全、經濟與民眾信心之基礎設施與資產的安全。
  2. 以全災害為安全防護考量,掌握設施相依關係,辨識潛在威脅與災害影響,降低設施脆弱性,縮減設施失效影響範圍與程度,提高應變效率並加速復原。
  3. 促進夥伴關係,健全跨領域、跨公私部門合作與資訊分享,進行實體、資通訊以及人員的保防與安全防護,預防因應各類災害所造成的衝擊影響,強化設施的安全性和韌性。

()國家關鍵基礎設施管理架構

我國國家關鍵基礎設施採3層架構分類。第一層為主領域,第二層為次領域,第三層為次領域下的重要功能設施與系統。其中主領域分為能源、銀行與金融、水資源、緊急救援與醫院、通訊傳播、政府機關、交通、科技與工業園區等8個主領域,每個主領域再分為不同次領域,每個次領域則是由該次領域關鍵基礎設施所組成。國家通訊傳播委員會(以下簡稱本會)則是通訊傳播主領域、通訊次領域、傳播次領域之主管機關,負責督導及執行通訊與傳播次領域關鍵基礎設施之工作事項。

我國國家關鍵基礎設施管理組織架構,由上而下分別為行政院國土安全辦公室、主次領域主管機關、關鍵基礎設施維管者。行政院國土安全辦公室負責整體國家關鍵基礎設施規劃,並督導各領域關鍵基礎設施防護管理工作。主次領域主管機關則係負責該領域關鍵基礎設施防護規劃(如關鍵基礎設施盤點、督導所轄關鍵基礎設施防護管理工作等),關鍵基礎設施維管者則須制訂關鍵基礎設施防護計畫及辦理防護作業。

國家關鍵基礎設施主領域圖
圖1國家關鍵基礎設施主領域圖
資料來源:參考資料1
國家關鍵基礎設施管理架構圖
圖2國家關鍵基礎設施管理架構圖
資料來源:參考資料1

()動態修正國家關鍵基礎設施防護規劃

整體國家關鍵基礎設施管理程序,主要分為設定安全目標、資產辨識、風險評估、防護優先順序、實施防護計畫及衡量實施成效等,並採動態修正檢討,以因應關鍵基礎設施防護風險變化及缺失;而國家關鍵基礎設施營運韌性,主要係由預防、減災、應變、復原等4個階段來達成,防護工作重點係透過預防及減災以因應緊急事件應變,降低對關鍵基礎設施影響,並藉由應變及復原程序,縮短關鍵基礎設施失效時間,於最短時間內恢復關鍵基礎設施最低可接受服務水準。

國家關鍵基礎設施管理程序圖
圖3國家關鍵基礎設施管理程序圖
資料來源:參考資料1
關鍵基礎設施預防、減災、應變、復原關係示意圖
圖4關鍵基礎設施預防、減災、應變、復原關係示意圖
資料來源:參考資料1

三、總結

為確保國家關鍵基礎設施營運不中斷,行政院國土安全辦公室依國家關鍵基礎設施安全防護指導綱要持續推動關鍵基礎設施安全防護作業,本會亦配合行政院推動通訊傳播領域國家關鍵基礎設施防護作業,已分別在103年12月、107年8月督導通傳事業完成2次通訊傳播關鍵基礎設施盤點與分級;另為檢視及精進通訊傳播領域關鍵基礎設施防護成效,本會配合行政院在104年至107年間共辦理9場關鍵基礎設施防護演習,另於106年及107年自行敦促通傳事業舉辦7場關鍵基礎設施防護演習。今年度將繼續配合辦理,以持續提升參與演練業者關鍵基礎設施的整體防護能量,同時檢討演習缺失,促使參演業者動態修正自身防護計畫。

本會將持續透過演習檢視防護成效,以動態修正防護措施因應風險變化及防護缺失,並視關鍵基礎設施重要性之變化,不定期盤點關鍵基礎設施,以利國家資源有效投入關鍵基礎設施防護,強化關鍵基礎設施持續營運的韌性。

(作者為基礎設施事務處技正)

參考資料

  1. 國家通訊傳播委員會108年度通訊傳播關鍵基礎設施防護演習教育訓練,「國家關鍵基礎設施安全防護工作之認知-李中生教授」04/2019.
  2. 國土安全政策會報網站https://ohs.ey.gov.tw/
下一章
調整文字大小 回 NCC 首頁 瀏覽其他期 NCC NEWS 列印本章節 分享本頁面

關閉搜尋

分享本文章

關閉分享