貳、區網中心之網路連線、網管策略及具體辦理事項(網路管理)
說明:
1.112 年度網路管理維運具體辦理事項。
2.113 年度網路管理營運方針。
一、112年度網路管理維運具體辦理事項
(一)、協助縣市網路中心骨幹頻寬升級
1.澎湖縣網:112 年 9 月 11 日完成頻寬電路建置及 Bundle-Ethernet 設定,頻寬由 1G 提升至5G。
(二)、不當資訊防護系統
1.高屏澎區網中心自行開發 TANet 不當資訊防護系統,強化臺灣學術網路的網路內容安全, 保護學齡中使用者避免接觸不當資訊內容網站。
2.防護範圍包含:全國各縣市網路中心及全國各區網高中職連線單位。
3.系統特色及架構:請詳見特色服務。
(三)、DNS版本升級及資安健診服務
DNS 版本升級及資安健檢服務(服務網址:https://goo.gl/6PgWh4)
為連線單位夥伴提供 DNS Bind 版本升級服務(9.10.4 以上版本),並包含 DNS 安全性設定服務及健檢:
1.ACL 設定
2.限制來源查詢要求
3.Response Rate Limit (RRL)
4.Zone Transfer 限制
5.Open DNS Resolver 偵測服務(防止 DNS 放大攻擊)。
6.Minimal-any 設定(防止 DNS 放大攻擊)
提供設定好之範例 VM 檔(OVF)給連線單位夥伴下載使用並於區網管理會議推廣此服務
(四)、教育部DNS遞迴主機上線
111 年度受教育部委託,進行 DNS 遞迴主機上線服務達成以下服務優點:
1.台中以南學術網路將以中山遞迴主機為主進行查詢,降低北部負載,提升學術網路效率。
2.本中心為求服務穩定另建置 HA 架構 SWITCH,以求服務穩定提供。
3.DNS 遞迴主機查詢服務,同時提供 HA 服務當北部據點無法查詢時,本中心據點可做為備原服務。
建置架構:
(五)、連線單位異常反應處理
- 112年10月國網連線單位反應packet loss:
- 國網下轄學校發現有掉封包之情形,協助國網中心進行線路改接與調整。
- 處理結果:
- 規劃將調封包之學校進行轉接至其他設備,解決網路不穩掉包的問題(已於10/25完成)。
(六)、教育訓練辦理
時間 |
主題 |
5月31日 |
資訊安全制度推動相關議題 |
8月10日 |
開源網路設備監測系統建置及部署策略 |
8月21日 |
Reverse Proxy 運作原理與實作 |
10月27日 |
Reverse Proxy 運作原理與實作 Part II |
(七)、高屏澎區網中心網站改版
1.將過去舊版套件產生之高中風險漏洞修正
2.移除舊有套件遺留檔案降低入侵風險
二、113年度網路管理營運方針
(一) 鑒於連線單位對於網路流量需求頻寬日益提升,113 年度重點將持續精進網路流量分流設備,分流出各連線單位各服務流量如 HTTP、HTTPS、NTP、DNS、LDAP、Redis 等流量, 並持續精進Layer 7 流量分析,分析並服務不同連線單位,以找出可能潛在之資安問題,以提早預警。
(二) 有鑑於近年資安攻擊頻繁(如網站置換),為提早發現異常,即時提醒轄下連線單位進行應變,今年度已將連線單位首頁導入監測,112 年度將持續調整偵測規則,並擴大導入監測網站數量。
(三)部分連線單位因預算有限,其監控設備因長期經費問題無法有效獲得維護,仰賴自建服務,本中心將持續精進,各項監測服務系統,提供給需要的連線單位進行使用,以使連線單 位在有限經費預算下,能夠同時擁有良好的網路監測與異常管理能力。
參、請詳述貴區網中心之資安服務、資安政策及具體辦理事項(資安服務)
說明:1.112 年度資安服務維運具體辦理事項。
2.113 年度資安服務目標(實施措施)。
一、112年度資安服務維運具體辦理事項
- C2流量監測分析
- 系統架構:將連線單位 DNS Query 封包(A 及 AAAA Record)透過網路分流設備導入 C2 惡意流量偵測系統,系統將比對查詢域名是否出現於技服中心黑名單中,如符合將紀錄於資料庫中,並通知連線單位進行確認,避免誤判情形發生。
2.C2 流量監測分析畫面
3.監測畫面
二、112年度資安服務目標(實施措施)
(一) 持續精進監測連線單位首頁監測及異常流量分析,將持續透過此系統協助分析連線單位網路流量及連線,協助所有連線單位進行異常流量分析,以找出潛在的資安問題,並通知連線單位做修正。