民航局IT架構向上集中的關鍵,打造GB級大內網串全臺
為了連離島機場航站都納入內網管理,民航局展開了全臺大內網的建置計畫,結合機場光纖線路,打造了一個具備GB級傳輸能力的VPN大內網。
走入蘭嶼機場航空站,不只是仿達悟族拼板舟的建築外觀引人注目,連站內的飛航資訊電子看板都有點不一樣。儘管離島飛機班次不多,但電子看板上的航班資訊,卻比臺灣最大的桃園國際機場還要更詳細,不只能顯示班機起降狀態和時間,甚至還能每隔15秒更新一次飛機飛行進度,讓旅客隨時都能更準確地預估班機還有多久會抵達,而不是等到電子看板出現了「班機延遲」訊息後才知道。
這個看似簡單的多功能航班顯示系統(FIDS Display),可是掌管全臺除了桃園機場以外16個航站的交通部民用航空局(簡稱民航局)資訊室主任潘啟諫,花了一番功夫,彙整了雷達及飛機GPS提供的即時班機位置資訊後,才能在航站電子看板上,以視覺化的進度條來呈現更即時的飛行進度。
不同於常見只提供抵達時間的航班表,潘啟諫想要打造出更即時提供的航班資訊,他說,要讓飛機航班資訊表就像是公車即時資訊表,讓旅客也時時能知道,飛機還要多久才會降落。
不過,光是去年,全臺起降班機多達45.4萬架次,扣除民營桃園機場公司負責的架次,民航局直屬航站也要負責彙總其中近25萬次航班的資訊,提供給近2千萬人次旅客參考。如何集結這些龐大的資料並且整合,正是民航局資訊室所面臨的挑戰。
所以,在2013年時,民航局資訊室展開了一項「民航資訊資源整合與共享」研究計畫,來改進現有飛航資訊呈現方式,才打造出以進度條顯示飛航進度的新式多功能航班顯示系統。
以國內航班為例,進度條所代表的意義為從起飛機場到目的地機場的完整過程。至於國際線,由於臺灣管轄領空稱為臺北飛航情報區,故進度條的起點為飛航情報區邊界,而目的地機場則為結束點。例如由美國飛抵桃園機場的班機進入臺北飛航情報區後,進度條則逐步增加直至班機降落。
這項計畫成果不只用於供外部旅客使用的多功能航班顯示系統,民航局也打造出供內部使用的飛航資訊顯示盤(FIDS Board),可以即時顯示飛行在臺北飛航情報區之所有航班班機。
潘啟諫表示,所有航班資訊的源頭都是來自航管系統,透過用雷達及班機上的GPS進行定位,而管理航管系統的單位是民航局的所屬單位飛航服務總臺,但是兩機關其實是獨立運作。他表示,建置此系統的難處不在開發,而是在將兩機關的資訊蒐集完整,並整合為統一的資料庫。
但民航局資訊部門僅有8人,為了維持飛航資訊顯示盤及多功能航班顯示系統能夠24小時不中斷運作,潘啟諫導入了更多自動化機制來協助。他舉例,當有特定航空站的偵測器發生當機時,會驅動通報系統自動發送簡訊、電子郵件通知當地維運人員趕赴修復。
借鏡全國醫療網架構,打造民航局大內網
資訊人力較少的問題,不只發生在民航局,連民航局所屬各航空站也都沒有資訊人員的編制。受限於政府總員額法的規定,即便是組織改造,部門人數亦不可以增加,也因此,所屬機關不少掌管航廈空調及水電等弱電設備並負責修繕水電的公務人員,也同時必須兼辦資訊業務。
潘啟諫表示,這些職員並非資訊背景出生,所以大部份的資訊業務必須仰賴與外面廠商合作,但是亦會碰到公家機關督導人力上不足或是委外廠商仗勢自己專業,導致合作上不順利。
站在民航局的立場,潘啟諫表示,這是他們一直希望可以解決的問題。過去各所屬機關都必須建置獨立的資訊系統以及機房,而此些資訊設備也需要一定人力進行維護,後來,配合組織改造的資訊改造,將資源以及人員向民航局資訊室向上集中,民航局將各所屬機關需要的資訊業務都往上集中到民航局資訊室。
為了實踐資訊改造的目標,潘啟諫表示,無論民航局要打造雲端服務或是建立共用資訊系統,「網路的基礎建設都是第一前提。」
但民航局所屬機關眾多,尤其許多航空站更是散布在離島,如南竿、北竿及蘭嶼等地。若完全透過外部網路與各地連線的資訊安全風險過高,所以,潘啟諫想到了一個解決方法,就是建立一個民航局專屬VPN,作為民航局與所屬機關間的「大內網」。
他表示,就像他過去在衛生署(現為衛福部)擔任簡任技正時,用VPN打造出衛生署全國醫療網的架構,潘啟諫也要來打造出一個屬於民航局的行政網路。所以在2011年時,民航局建立了民航行政網路(CAANet)。
潘啟諫表示,過去公家機關若有建立內網的需求,會透過研考會(現與經建會等部會併為國發會)與中華電信接洽,並連線到政府網際服務網(GSN)。
不過,當資訊室在建立民航行政網路時,他靈光一閃,想到可以利用松山機場有的環場光纖網路,來串接鄰近機場周圍的機關。如位於濱江街的飛航服務總臺總部以及民航人員訓練所,都以松山機場為中心圍繞在四周,只需各自再擴建一小段光纖就能串接到環場光纖網路上,不只大幅節省預算,各機關也能沿用各自過去的防火牆等資安機制。
「民航局是核心,最後網路流量還是會回到民航局的機房」,潘啟諫表示,透過此內網的架構,串接將原本分散各處的機關,而且還能達到與外網隔絕的效果。
更大好處是,民航行政網路是Gb級光纖,其速度GSN所比不上的,「而這樣一串,已經把民航局所屬機關中2,000人中的1,400人連接起來。」他表示,其餘距離較遠如在離島的所屬機關,就只能透過GSN連回民航局。不過,潘啟諫考量離島單位所在位置較遠,還採用外網備援的設計,當這些單位對GSN網路出現故障時,可以改走外網連回民航行政網路。
雖非機敏單位,資安措施不打折
然而,此外網連線至民航行政網路的過程,中間會存在公網與私網的交集點,而此介接點為許多駭客鎖定的攻擊目標。
對此,潘啟諫表示,民航局的因應措施為透過SSL機制,建立加密的VPN,同時民航局的防火牆會鎖定所屬機關的IP網域位置,其餘的外部IP無法與私網連線。此外,也要導入基本的入侵預測系統、入侵偵測系統以及防火牆,確保公網與私網介接的過程中安全無虞。
民航局主要業務為是服務旅客,並且提供好的設施、場地,讓各家廠商在航空站營運免稅店等。儘管潘啟諫認為,民航局不會是駭客的攻擊首選目標,不過,這並不代表他在資安措施上完全沒有準備。
潘啟諫表示,在資安CIA三大考量,機密性、完整性以及可用性中,民航局以系統可用性為第一順位,IT必須確保系統運作不中斷。反而是許多企業擔心的機密問題倒不是民航局的首要考量,因為民航局的資料大部份都需公開。
潘啟諫表示,民航局在資安上的措施採取集中與分散兼用的策略,每個所屬機關需保留自己的資安作業的獨立性,但是民航局資訊室仍然會採取集中監控的措施。他表示,民航局委託廠商建立SOC資安監控中心,並且在其所屬機關部署搜集Log資料的偵測器。他表示,此些Log資料主要記錄是觸發入侵偵測系統、防火牆等資安設備反應的事件。
而所屬機關蒐集的資料除了傳回民航局,也會將機敏性資料過濾,傳送給廠商進行分析,並且定期召開會議,判斷民航局所屬機關的運作是否正常,抑或分析是否存在感染電腦病毒的跡象。此外,廠商也派員工駐點至民航局,時時監控蒐集的資料是否顯示異常狀況。如有發生異常狀況,廠商會隨時通報民航局。
《詳細內文請見iThome電腦報(www.ithome.com.tw)》