基礎設施分組報告 - 行政院環境保護署
Download
Report
Transcript 基礎設施分組報告 - 行政院環境保護署
基礎設施作業分組報告
行政院環境保護署
環境監測及資訊處
洪啓富 科長
中 華 民 國 99 年 7 月 13 日
資訊移轉及系統整合作業架構
6. 機關資訊資產移轉
7. 資料庫與電子檔案移轉
資料來源:行政院研考會
2
資訊移轉及系統整合作業
1. 資訊基礎設施及對外通訊調整
1.1 政府機關整體網路設施
1.2 機房共構及網路系統調整
1.3 網域名稱註冊調整
1.4 憑證異動調整
1.5 視訊聯網調整
2. 資訊安全調整
3. 資訊資產移轉與調整
4. 資料庫與電子檔移交
資料來源:行政院研考會
3
1. 資訊基礎設施及對外通訊調整程序
範圍
• 政府機關整體網路設施部分,包括網路、憑證
管理中心、物件識別碼、目錄服務。
• 各機關資訊基礎設施調整部分,包括網路系統、
機關憑證換領、及機關目錄。
執行程序
• 針對機關整體網路設施,應先行調查資訊設備
清單,並分析其移轉方式,以擬定網路移轉計畫
及執行細部流程。
• 執行期間,研考會將配合針對GSN契約主體協助
調整與異動。
主要文件及表單
• 網路移轉細部計畫、資訊設備清單
資料來源:行政院研考會
4
1.1 政府機關整體網路設施部分
配合組織調整,研考會應協助下列契約主體之變更
─ 原機關 GSN 契約主體變更為新機關者,由研考會單一窗
口提供服務。
─ 原機關之各項電子憑證(如:GRCA、GCA、GTESTCA、
XCA)契約涉及主體變動者,由研考會單一窗口提供服務。
配合組織改造,研考會應配合調整下列基礎設施:
─ 配合組織調整,政府憑證管理中心自即日起開始同步更新行政
院人事行政局提供組織異動之機關資料,並受理各機關單位提
出物件識別碼更新申請作業。
─ 配合組織調整,更新電子化政府服務平台(簡稱E 政府服務平
台)新機關目錄、新機關公務人員異動資料,及E 政府服務平
台之新機關憑證。
資料來源:行政院研考會
5
1.2 機房共構及網路系統調整流程
開始
以機房共構原則,規
劃機關及所屬內外網
路架構
是否需進行
委外作業
是
辦理採購
作業
否
以先建後拆及服務
不中斷原則規劃共
構機房移轉程序
資訊資產清查
提前申請GSN線路
差異化分析
進行移轉及測試
確認移轉調整應
進行之工作項目
結束
資料來源:行政院研考會
6
環資部機房共構網路調整模式
新機關建置機關VPN ,將VPN群組擴大併入其他機關。
Phase 2
Phase 1
Internet
Internet
Internet
Phase 3
Internet
環資部VPN
環資部VPN
Internet
林務局
其他整併機關
林務局
地調所
國家公園
林務局
地調所
各自獨立
網網串聯
環資部VPN
其他整併機關
國家公園
地調所
其他整併機關
國家公園
完全整併
7
本署共構機房第1、2階段架構圖
第 1 階段
98.12 已完成
第 2 階段
99.12 完成後
Internet
環資部VPN
環資部VPN
永和國
光機房
台中文心機
房
Internet
台北松德機
房
台中文心機房
備援
互為備援
互為備援
台北EPA機房
外點單位
所屬機關
台北EPA機房
逐步縮小規模,
外點單位
所屬機關
移轉至松德及文心機房
第 1 階段:
將外點單位機房之主機整併至台中文心機房
第 2 階段:
將永和國光機房之主機整併至台北松德機房
8
環資部共構機房規劃架構
Internet
GSN
台北松德機
房
台中文心機房
互為備援
T3
50M
環資部
所屬機關
以台北松德機房及台中文心機房
為未來環資部共構機房
不因未來組織架構調整,辦公場所更動,
造成共構機房需要再次搬遷
T3
外點單位
未來將共用系統放置共構機房,
減少網路連接路徑及瓶頸
(目前) 外點單位 GSN 骨幹 台北EPA機房
(未來) 外點單位 GSN 骨幹(台北台中共構機房)
9
建議作業時程
規劃政府機關網路架構(內外網)-99年12月底前
─ GSN團隊配合各機關清查GSN VPN及Internet網路使用現
況
─ 機關既有網路資源使用調查(IP、設備)
─ 機關電路歸屬劃分
─ 主導機關召開VPN規劃會議(新機關VPN網路架構,設備規
格,IP配置協商)
完成政府機關網路設施相關申請及設定-100年4月底前申請
─ GSN協助填寫申請書表,送件GSN單一窗口
─ GSN施工測試
─ 新舊網路並行及移轉
完成政府機關網路移轉
資料來源:行政院研考會 10
網路移轉細部計畫(1/3)
1. 目的
2. 適用範圍
3. 移轉項目清單
• 含網路連線、網路設備、主機系統、儲存設備、IP網段等
• 資產清冊或資訊資源調查表
4. 移轉前置準備工作
• 網路連線
− 網路連線表單填寫:新增、延用、註銷、變更網路租
用
− DNS名稱註冊:新增、延用、註銷、變更
• 網路設備、主機系統、儲存設備
− 機房空間、電力、空調、線路規劃
− 設備位置與機櫃空間規劃
− 網路設備、主機系統、儲存設備架構規劃
− 設備與線路標示
資料來源:行政院研考會
− 設備設定值確認
網路移轉細部計畫(2/3)
• IP網段
− VLAN 與網段規劃
− GSN VPN IP規劃,建議LAN使用 10.x.x.x的網段、WAN
使用172.16.x.x的網段,並以Class C Subnet Mask為單位來
進行配發及管理)
• 其他事項
− 資產轉移
− 資訊安全
− 教育訓練(資訊人員、維運廠商)
5. 移轉上線步驟
• 網路連線
− GSN或ISP執行線路調整步驟
− DNS 名稱解析時間更新(TTL)步驟
• 網路設備、主機系統、儲存設備
− 設備搬遷與移轉步驟與順序
資料來源:行政院研考會
− 設備設定調整步驟
網路移轉細部計畫(3/3)
6.
7.
8.
9.
• IP網段
−異動順序與執行方式
• 其他事項
移轉前後檢核事項
• 測試方式與步驟
• 網路設備、主機系統、儲存設備功能檢核表
• 資安檢測
• 壓力測試(option)
緊急應變計畫
• 備份與備援方式
• 緊急應變計畫
工作項目、期程及負責單位
資源預算編列
資料來源:行政院研考會
1.3 網域名稱註冊調整
可能造成之影響及衝擊
─新機關名稱變更,中英文網域名稱需進
行變更
─新成立部會網域名稱已被機關註冊使用
問題
資料來源:行政院研考會 14
網域名稱註冊調整建議作法及時程
規劃及調查政府機關網域名稱-100年5月底前完成申請
─清查機關所有服務目前使用中的網域名稱
─明確劃分新舊網域名稱歸屬
─機關架設DNS並登錄DNS之對應IP
測試及進行運作-配合100年7月1日演練前
─機關分配整合後新的域名給各項服務,如xxx.abc.gov.tw
─初期TTL(Time To Live)應設小(例如1200 secs,避免封包在網
路中循環),穩定運作後可調整TTL為適當值(例如86400 secs)
完成政府機關網路移轉(新舊並存)-併行使用至101年6月30日
完成政府機關網路移轉(移除舊網域)-註銷網域名稱保留使用至
101年3月31日
資料來源:行政院研考會 15
網域名稱註冊調整-GSN配合措施
提供所有行政院所屬政府網域名稱清冊
所有行政院所屬政府網域名稱DNS正反解資訊
專人諮詢及政府網域名稱註冊查詢網站
(http://rs.gsn.gov.tw)
申辦作業流程諮詢
書表填寫範例
資料來源:行政院研考會 16
1.4 憑證異動調整
申請步驟
開始
憑證清查
確認機關/單位名稱
啟動日前發文提出
新機關憑證申請
相關應用系統進
行新憑證測試
啟動日後提出舊
憑證廢止申請
結束
資料來源:行政院研考會 17
憑證換發時程
100/1/1
100/4/1
啟動日
100/5/1
100/7/1
101/1/1
演練日
生效日
101/4/1
100/1/1依據CPA建新機關OID
以舊名稱申請憑證(100/12/31截止)
系統測試期(1個月)
100/5/1試發
100/7/1正式發新憑證
舊憑證
失效日
新舊名稱之有效憑證併行期間 (11個月) 101/4/1
資料來源:行政院研考會 18
新舊憑證銜接規劃
啟動日前,舊憑證仍可申請
設置新舊機關/單位憑證緩衝期
─ 100年5月~101年4月期間,新舊憑證均屬有
效
─ 待各主要應用系統及其用戶,都可正確應用
新憑證後,則將依GCA/XCA CPS規範,由
GCA/XCA逕行廢止舊憑證
─ 啟動日時,機關應使用新機關憑證
─ 研考會將於101年5月1日依規定廢止機關舊
憑證
資料來源:行政院研考會 19
1.5 視訊聯網調整
可能造成之影響及衝擊
─視訊機關名稱變更
─新增或移除視訊節點
─電路歸屬劃分
資料來源:行政院研考會 20
視訊聯網調整建議作法
建議作法
─各機關視訊聯網網路資源調查(電路型態、頻寬、IP、
裝機地、帳址、E.164)
─明確劃分視訊聯網電路歸屬(建議與視訊CODEC相同
歸屬)
─機關提出機關及帳單地址異動申請
─因應組改,各機關申請/變更/註銷網路服務
GSN因應措施
─配合各機關視訊聯網網路清查工作(電路資訊、IP、
E.164)
─申裝移置或異動作業流程
資料來源:行政院研考會 21
電子化政府服務平台異動申請
相關變更/衝擊/規劃作法
─E政府服務平台(政府入口網)公務帳號
─E政府服務平台WebIR或其它一站式服務
─E政府服務平台單一登入(SSO)之機關系統
─與E政府服務平台介接之既有系統與電子付
費
─既有系統更換LI簽章解密之GCA憑證
─機關網站Domain Name或IP變更
資料來源:行政院研考會 22
介接之既有系統與電子付費者
電子付費–
─各介接機關AP需修改程式或設定,逐一更新
OID
透過離峰時間變更並與平台對測
建議於啟動日2個月前先與平台聯繫進行變
更安排
既有系統介接–
─既有系統介接服務需逐一重新註冊,各既有
系統介接機關需配合修改LI設定
透過離峰時間變更並與平台對測
建議於啟動日2個月前先與平台聯繫進行變
更安排
資料來源:行政院研考會 23
機關伺服器Domain Name或IP 變更者
平台與入口網許多功能基於安全有鎖IP與Domain
Name,若有變更,介接機關需通知本平台進行相
關設定,並於啟動日1個月前先與平台進行對測。
影響舉例如下:
─ 電子付費 – 需先提供新的Redirect URL / IP位
址,以進行對鎖
─ SSO介接系統 – 需先提供新的Redirect URL ,
以進行對鎖
─ 既有系統介接 – 平台需更新服務註冊,LI端
配合修正
─ 其它防火牆有對鎖之服務
資料來源:行政院研考會 24
2. 資訊安全調整程序
範圍
• 網路安全、作業系統安全、應用系統安全、檔案
安全、身分認證
執行程序
• 依據機關移轉業務整併複雜程度、資訊系統涵蓋
層面及資訊安全等考量因素,研訂機關移轉資訊
安全執行程包括:組織調整IT之整併類型、整併類
型資訊安全需求、各資訊系統之資訊安全SOP、
SOP實際使用與推行
主要文件及表單
• 網路移轉細部計畫、資訊設備清單
資料來源:行政院研考會 25
資訊安全調整執行程序
• 規範機關從現行組織架構轉換到新組織架構時,共通性事項之安全作業原
則,以確保移轉作業順利且安全
訂定安全治
理模式
規範安全治
理模式操作
內容
• 作為機關執行移轉作業時之參考及實作導引,例如網路安全可細分成廣域
網路、區域網路、無線網路等作業項目執行指引
• 機關應依業務性質及實際作業模式,建立其專屬安全治理模式,以調適其
特有屬性,使安全作業機制有效運用,例如加入人員安全、環境安全等模
安全治理模
組,以期更完善
式之擴充
• 為確保安全治理模式中每一模組務實可用且安全無虞,各資安作業項目執
行指引研訂時,應配合資通作業知識領域劃分,納入各領域專業人才共同
安全治理模
作業,詳加訂定轉換執行細節,並隨時更新維護
式之維護
資料來源:行政院研考會 26
資訊作業整併類型與資訊安全調整
資訊安全工作項目
網路安全
作業系統
安全
吸收
(大型機關合併
小型機關)
結合
(合併機關
大小相同)
擇大存續
擇重要存續
擇一存續
應用系統
安全
檔案安全
組合管理
(合併機關因
特殊任務而組成)
身分認證
互補性結合
(合併機關因互補
而結合)
擇需要並存
擇限制並存
並存
資料來源:行政院研考會
本署資訊安全認證範圍
現況
未來
Internet
Internet
GSN
台北松德機房
備援
GSN
台中文心
機房
台北松德機房
互為備援
台中文心
機房
互為備援
台北EPA機房
外點單位
所屬機關
ISO 27001認證範圍:
台北EPA機房之機房設施及網路
台北松德及台中文心之機房管理(中華電信)
ISO 20000認證範圍:
公文系統、行政系統、全球資訊網...等
環資部
所屬機關
外點單位
ISO 27001認證範圍:
台北松德之網路設施、目錄服務、電子郵件...等
台北松德及台中文心之機房管理(中華電信)
ISO 20000認證範圍:
公文系統、行政系統、全球資訊網...等
28
3. 機關資訊資產移轉程序
範圍
• 個人資訊資產
• 事務性資訊資產
• 電腦機房資訊資產
• 軟體授權,包括對機關或對設備授權之移轉授權
執行程序
• 確認移轉原則與資訊資產調查。
• 已屆使用年限且已不堪用資產先行報廢。
• 建立移轉清冊。
• 業務承接新機關與移出機關權責單位,進行資產
的點收與確認。
主要文件及表單
• 資訊資產移轉細部計畫、資訊資產移轉清冊
29
資訊資產移轉細部計畫(1/4)
1.目的
2.適用範圍
• 個人資訊資產
[如個人電腦、個人資料電子檔、作業系統、辦公室應用軟體及防毒軟體]
• 機關事務性資訊資產
[如印表機、傳真機、影印機等辦公設備]
• 機關電腦機房資訊資產
[如電腦主機、網路設備等資產]
• 軟體授權
[包括對機關或對設備授權之移轉授權,例如作業系統及辦公室應用軟體之
機關授權、主機系統軟體與開發工具之個別授權、套裝軟體授權等]
資料來源:行政院研考會 30
資訊資產移轉細部計畫(2/4)
3. 權責
• 資訊資產權責單位
• 資訊資產保管單位
• 資訊資產使用單位
4. 名詞定義
5. 作業規劃
工作項目
期程
負責人員
資訊資產鑑別
XX-XX
XXX
資訊資產分類
XX-XX
XXX
資訊資產清單及價值確認
XX-XX
XXX
資訊資產編號及標示
XX-XX
XXX
資訊資產移轉作業
XX-XX
XXX
覆核
XX-XX
XXX
資料來源:行政院研考會
31
資訊資產移轉細部計畫(3/4)
5. 作業規劃(續)
•資訊資產鑑別
• 資訊資產清單
• 定期更新與維護
• 彙整與控管
•資訊資產分類
• 性質分類
• 機密等級分類
•資訊資產清單及價值確認
• 依據資訊資產清單之機密性、可用性及完整性之評估標準,確認資產價
值
•資訊資產編號及標示
資料來源:行政院研考會 32
資訊資產移轉細部計畫(4/4)
5. 作業規劃(續)
•資訊資產移轉作業
(個人性/機關事務性/機關電腦機房資訊資產/軟體授權)
− 隨人員或人員比例移撥(例如:個人電腦使用之作業系統、辦公室應用軟
體、防毒軟體等)
− 已屆使用年限且已不堪用設備,於組織改造前應建立財產報廢清冊,
原機關並依財產報廢相關規定辦理
− 召開資產移轉協商會議
− 依承接人或機關建立資訊資產移轉清冊
− 準備相關移交事宜
− 接收單位承辦人進行資產的點收與確認
•覆核
− 權責單位於啟動日1個月前完成資訊資產盤點與資訊資產清單覆核
•資訊資產之報廢
6. 資源預算編列
資料來源:行政院研考會 33
4. 資料庫與電子檔移交程序
資料來源:行政院研考會
34
資料庫與電子檔移交細部計畫(1/4)
1. 目的
2. 適用範圍
•電子檔:包括公文、業務單位共用、及業務系統使用之電子檔
•資料庫:包括公文系統及業務系統使用資料庫
3. 權責
•資料庫/電子檔權責單位
•資料庫/電子檔保管單位
•資料庫/電子檔使用單位
4. 名詞定義
資料來源:行政院研考會 35
資料庫與電子檔移交細部計畫(2/4)
5. 作業規劃
階段
籌備期整備階段
籌備期轉換階段
完備階段
工作項目
期程
負責人員
辦理資料庫及電子檔調查
XX-XX
XXX
召開資料庫及電子檔移交協商會議
XX-XX
XXX
建立資料庫及電子檔移轉清冊
XX-XX
XXX
擬訂轉入計畫
XX-XX
XXX
原機關辦理移交
XX-XX
XXX
辦理相關使用操作說明
XX-XX
XXX
辦理轉入作業與演練
XX-XX
XXX
建立緊急復原程序
XX-XX
XXX
整合測試及驗收
XX-XX
XXX
辦理帳號權限檢視
XX-XX
XXX
資料來源:行政院研考會 36
資料庫與電子檔移交細部計畫(3/4)
5. 作業規劃(續)
• 籌備期整備階段
• 辦理資料庫及電子檔調查
• 召開資料庫及電子檔移交協商會議
• 依業務承接新機關別,分別建立資料庫及電子檔移交清冊
• 業務承接機關擬訂各系統資料庫及電子檔轉入計畫
• 針對特殊資料或機敏資料,及人員存取權限移轉,擬訂相關計畫,
並重新檢視權限授予情形
• 原機關應建立資料移轉後舊主機資料刪除之有效性,並規劃監督機
制
資料來源:行政院研考會 37
資料庫與電子檔移交細部計畫(4/4)
5. 作業規劃(續)
•籌備期轉換階段
•
•
•
•
•
原機關辦理資料庫、電子檔及相關系統手冊移交
辦理相關使用操作說明
辦理資料備份作業
業務承接機關辦理業務系統資料庫轉入作業與演練
業務承接機關若須與現有資料庫整合,應事先規劃系統整合事宜,再
匯入舊有系統資料庫
• 業務系統提供新機關檢索查詢原機關業務資料與檔案之機制
• 建立緊急復原程序
•完備階段
• 業務承接機關整合測試無誤,並完成驗收
• 業務承接機關辦理帳號權限檢視並移除非必要之帳號、群組或權限
6. 資源預算編列
資料來源:行政院研考會 38
簡報完畢
敬請指教