潘啟諫 交通部民用航空局資訊室主任

走入蘭嶼機場航空站,不只是仿達悟族拼板舟的建築外觀引人注目,連站內的飛航資訊電子看板都有點不一樣。儘管離島飛機班次不多,但電子看板上的航班資訊,卻比臺灣最大的桃園國際機場還要更詳細,不只能顯示班機起降狀態和時間,甚至還能每隔15秒更新一次飛機飛行進度,讓旅客隨時都能更準確地預估班機還有多久會抵達,而不是等到電子看板出現了「班機延遲」訊息後才知道。

這個看似簡單的多功能航班顯示系統(FIDS Display),可是掌管全臺除了桃園機場以外16個航站的交通部民用航空局(簡稱民航局)資訊室主任潘啟諫,花了一番功夫,彙整了雷達及飛機GPS提供的即時班機位置資訊後,才能在航站電子看板上,以視覺化的進度條來呈現更即時的飛行進度。

不同於常見只提供抵達時間的航班表,潘啟諫想要打造出更即時提供的航班資訊,他說,要讓飛機航班資訊表就像是公車即時資訊表,讓旅客也時時能知道,飛機還要多久才會降落。

不過,光是去年,全臺起降班機多達45.4萬架次,扣除民營桃園機場公司負責的架次,民航局直屬航站也要負責彙總其中近25萬次航班的資訊,提供給近2千萬人次旅客參考。如何集結這些龐大的資料並且整合,正是民航局資訊室所面臨的挑戰。

所以,在2013年時,民航局資訊室展開了一項「民航資訊資源整合與共享」研究計畫,來改進現有飛航資訊呈現方式,才打造出以進度條顯示飛航進度的新式多功能航班顯示系統。

以國內航班為例,進度條所代表的意義為從起飛機場到目的地機場的完整過程。至於國際線,由於臺灣管轄領空稱為臺北飛航情報區,故進度條的起點為飛航情報區邊界,而目的地機場則為結束點。例如由美國飛抵桃園機場的班機進入臺北飛航情報區後,進度條則逐步增加直至班機降落。

這項計畫成果不只用於供外部旅客使用的多功能航班顯示系統,民航局也打造出供內部使用的飛航資訊顯示盤(FIDS Board),可以即時顯示飛行在臺北飛航情報區之所有航班班機。

潘啟諫表示,所有航班資訊的源頭都是來自航管系統,透過用雷達及班機上的GPS進行定位,而管理航管系統的單位是民航局的所屬單位飛航服務總臺,但是兩機關其實是獨立運作。他表示,建置此系統的難處不在開發,而是在將兩機關的資訊蒐集完整,並整合為統一的資料庫。

但民航局資訊部門僅有8人,為了維持飛航資訊顯示盤及多功能航班顯示系統能夠24小時不中斷運作,潘啟諫導入了更多自動化機制來協助。他舉例,當有特定航空站的偵測器發生當機時,會驅動通報系統自動發送簡訊、電子郵件通知當地維運人員趕赴修復。

借鏡全國醫療網架構,打造民航局大內網

資訊人力較少的問題,不只發生在民航局,連民航局所屬各航空站也都沒有資訊人員的編制。受限於政府總員額法的規定,即便是組織改造,部門人數亦不可以增加,也因此,所屬機關不少掌管航廈空調及水電等弱電設備並負責修繕水電的公務人員,也同時必須兼辦資訊業務。

潘啟諫表示,這些職員並非資訊背景出生,所以大部份的資訊業務必須仰賴與外面廠商合作,但是亦會碰到公家機關督導人力上不足或是委外廠商仗勢自己專業,導致合作上不順利。

站在民航局的立場,潘啟諫表示,這是他們一直希望可以解決的問題。過去各所屬機關都必須建置獨立的資訊系統以及機房,而此些資訊設備也需要一定人力進行維護,後來,配合組織改造的資訊改造,將資源以及人員向民航局資訊室向上集中,民航局將各所屬機關需要的資訊業務都往上集中到民航局資訊室。

為了實踐資訊改造的目標,潘啟諫表示,無論民航局要打造雲端服務或是建立共用資訊系統,「網路的基礎建設都是第一前提。」

但民航局所屬機關眾多,尤其許多航空站更是散布在離島,如南竿、北竿及蘭嶼等地。若完全透過外部網路與各地連線的資訊安全風險過高,所以,潘啟諫想到了一個解決方法,就是建立一個民航局專屬VPN,作為民航局與所屬機關間的「大內網」。

他表示,就像他過去在衛生署(現為衛福部)擔任簡任技正時,用VPN打造出衛生署全國醫療網的架構,潘啟諫也要來打造出一個屬於民航局的行政網路。所以在2011年時,民航局建立了民航行政網路(CAANet)。

潘啟諫表示,過去公家機關若有建立內網的需求,會透過研考會(現與經建會等部會併為國發會)與中華電信接洽,並連線到政府網際服務網(GSN)。

不過,當資訊室在建立民航行政網路時,他靈光一閃,想到可以利用松山機場有的環場光纖網路,來串接鄰近機場周圍的機關。如位於濱江街的飛航服務總臺總部以及民航人員訓練所,都以松山機場為中心圍繞在四周,只需各自再擴建一小段光纖就能串接到環場光纖網路上,不只大幅節省預算,各機關也能沿用各自過去的防火牆等資安機制。

「民航局是核心,最後網路流量還是會回到民航局的機房」,潘啟諫表示,透過此內網的架構,串接將原本分散各處的機關,而且還能達到與外網隔絕的效果。

更大好處是,民航行政網路是Gb級光纖,其速度GSN所比不上的,「而這樣一串,已經把民航局所屬機關中2,000人中的1,400人連接起來。」他表示,其餘距離較遠如在離島的所屬機關,就只能透過GSN連回民航局。不過,潘啟諫考量離島單位所在位置較遠,還採用外網備援的設計,當這些單位對GSN網路出現故障時,可以改走外網連回民航行政網路。

 

交通部民用航空局資訊室主任潘啟諫表示,除結合航班資訊和航管資訊,來提供更精緻的航班動態資訊,未來還要開放這些資料。

 

雖非機敏單位,資安措施不打折

然而,此外網連線至民航行政網路的過程,中間會存在公網與私網的交集點,而此介接點為許多駭客鎖定的攻擊目標。

對此,潘啟諫表示,民航局的因應措施為透過SSL機制,建立加密的VPN,同時民航局的防火牆會鎖定所屬機關的IP網域位置,其餘的外部IP無法與私網連線。此外,也要導入基本的入侵預測系統、入侵偵測系統以及防火牆,確保公網與私網介接的過程中安全無虞。

民航局主要業務為是服務旅客,並且提供好的設施、場地,讓各家廠商在航空站營運免稅店等。儘管潘啟諫認為,民航局不會是駭客的攻擊首選目標,不過,這並不代表他在資安措施上完全沒有準備。

潘啟諫表示,在資安CIA三大考量,機密性、完整性以及可用性中,民航局以系統可用性為第一順位,IT必須確保系統運作不中斷。反而是許多企業擔心的機密問題倒不是民航局的首要考量,因為民航局的資料大部份都需公開。

潘啟諫表示,民航局在資安上的措施採取集中與分散兼用的策略,每個所屬機關需保留自己的資安作業的獨立性,但是民航局資訊室仍然會採取集中監控的措施。他表示,民航局委託廠商建立SOC資安監控中心,並且在其所屬機關部署搜集Log資料的偵測器。他表示,此些Log資料主要記錄是觸發入侵偵測系統、防火牆等資安設備反應的事件。

而所屬機關蒐集的資料除了傳回民航局,也會將機敏性資料過濾,傳送給廠商進行分析,並且定期召開會議,判斷民航局所屬機關的運作是否正常,抑或分析是否存在感染電腦病毒的跡象。此外,廠商也派員工駐點至民航局,時時監控蒐集的資料是否顯示異常狀況。如有發生異常狀況,廠商會隨時通報民航局。

機房導入虛擬化才能讓服務更彈性

此外,民航局資訊室更在2013年導入VMware伺服器虛擬化,一開始先使用免費ESXi,來評估現有系統轉換後的效能是否符合需求,等到正式導入時,由於先前測試時已建立了映像檔,就能順利改部署到正式的線上環境中運作。

另外,民航局也在3處機房(民航局、松山機場和GSN機房)建立互相備援機制,並導入Double-Take備援解決方案,來因應當某處機房的虛擬機器停止運作,自動啟動備援系統接手。

潘啟諫表示,資訊室走向虛擬化是不得以的策略。由於機房空間有限,而因為服務越來越多,所需實體主機數量也越來越多。

此外,實體主機管理難進行管理,如散落在機房各處的實體線路,或是有臨時增設主機提供額外服務的需求,在管理上的彈性就因此受限。

潘啟諫表示,公家機關約莫5至6年就要進行伺服器汰換,這些例行性汰換成本也是資訊預算不小的負擔,導入虛擬化對資訊部門可以帶來許多正向循環,他解釋,減少了實體主機數量意味增加機房的空間,增進冷卻的效率,更進一步就能減少電費。

此外,資訊室也會衡量各系統的重要性,根據其權重訂定不同的備援策略。潘啟諫舉例,如維持公務運作的公文系統就必須採用即時備援策略,一旦服務終止,系統必須在另外一處開啟實例繼續運作。

而線上學習系統、薪資系統則可以忍受暫時性的服務中斷,故可以採取延後備援策略,重啟虛擬機器後再透過備份資料重建服務。

十多年前當潘啟諫在交通部任職時,他就想要將陸空交通即時資訊放上網路,直到現在,他終於跨出了一大步,將航空資訊表揭露的資訊更精緻也更視覺化,甚至有一天還要成為像公車時刻表那樣即時且讓民眾可預期,未來,民航局還要將這些航班資料開放,讓外界能有更大的運用。

這位從Apple 2問世時就開始玩起電腦的資訊主管,儘管一路所學的都是IT,但他很清楚,這些民航相關資訊建置背後的目的,依舊是為了服務成千上萬的旅客。

 

CIO小檔案

潘啟諫

交通部民用航空局資訊室主任

學歷:臺灣大學資訊工程研究所博士

經歷:臺灣大學資訊工程學士畢業後,陸續在公部門任職,如交通部運輸研究所運輸資訊組工程司、民用航空局飛航服務總臺資訊管理中心副主任、衛生署資訊中心簡任技正以及民用航空局資訊室高級分析師,並在2010年12月接任民用航空局資訊室主任一職

 

機關檔案

交通部民用航空局

●      地址:臺北市敦化北路340號

●      成立時間:1947年

●      主要業務:掌管民航事業發展,並且擬定民航相關政策

●      員工數:255人

●      局長:林志明

資訊部門檔案

●      資訊部門主管職稱:資訊室主任

●      資訊部門主管姓名:潘啟諫

●      直屬主管:林志明

●      資訊部門人數:8人

IT部門大事紀:

●      1999年6月:資訊室成立

●      2011年11月:建立民航行政網路(CAANet)

●      2013年5月:建置雲端虛擬化系統平臺

●      2014年1月:進行電腦機房重整

●      2014年4月:民航局局內電子公文線上簽核系統上線

●      2014年7月:民航局及所屬機關整體SOC委外服務上線

●      2014年8月:建置IDC機房共用環境

●      2014年11月:完成所屬機關電子公文線上簽核系統上線

熱門新聞

Advertisement