貳、區網中心之網路連線、網管策略及具體辦理事項(網路管理)
說明:1.111年度網路管理維運具體辦理事項。
2.112年度網路管理營運方針。
一、111年度網路管理維運具體辦理事項
(一)、協助高雄市、屏東縣及澎湖縣市網路中心骨幹頻寬升級
配合辦理臺灣學術網路(TANet)國內縣市教育骨幹頻寬升級案,協助設定高屏澎區網中心端網路及路由設定,提升網路連線頻寬。
1. 高雄市網:111年9月29日完成頻寬電路建置及Bundle-Ethernet設定,頻寬由40G提升至80G。
2. 屏東縣網∶111年6月14日完成頻寬電路建置及Bundle-Ethernet設定,頻寬由20G提升至40G。
3. 澎湖縣網:111年8月31日完成頻寬電路建置及Bundle-Ethernet設定,頻寬由1G提升至2G。
(二)、不當資訊防護系統
1. 高屏澎區網中心自行開發TANet不當資訊防護系統,強化臺灣學術網路的網路內容安全,保護學齡中使用者避免接觸不當資訊內容網站。
2. 防護範圍包含:全國各縣市網路中心及全國各區網高中職連線單位。
3. 系統特色及架構:請詳見特色服務。
(三) DNS版本升級及資安健檢服務
1.DNS版本升級及資安健檢服務(服務網址:https://goo.gl/6PgWh4)
2.為連線單位夥伴提供DNS Bind版本升級服務(9.10.4以上版本),並包含DNS安全性設定服務及健檢:
1.ACL設定
2.限制來源查詢要求
3.Response Rate Limit (RRL)
4.Zone Transfer 限制
5.Open DNS Resolver偵測服務(防止DNS放大攻擊)。
6.Minimal-any設定(防止DNS放大攻擊)
7.提供設定好之範例VM檔(OVF)給連線單位夥伴下載使用
8.並於區網管理會議推廣此服務
7. 年度新增異常主機委託檢查(鑑識協助、防禦建議、報告分析與修改建議、資安技術支援)
(四) 教育部DNS遞迴主機上線
111年度受教育部委託,進行DNS遞迴主機上線服務達成以下服務優點:
1.台中以南學術網路將以中山遞迴主機為主進行查詢,降低北部負載,提升學術網路效率。
2.本中心為求服務穩定另建置HA架構SWITCH,以求服務穩定提供。
3.DNS遞迴主機查詢服務,同時提供HA服務當北部據點無法查詢時,本中心據點可做為備原服務。
建置架構:
(五) 連線單位異常反應處理
111年9月中3所連線單位反映與國網介接線路對PING有掉封包之問題其處理情形如下:
- 協助國網監測界接之設備Router,發現於平日下午課程尖峰時段,有掉封包之情形,請國網中心進行效能分配調整,緩解此情形。
處理結果:
- 與國網中心討論後,請國網中心將該設備上連接之學校,規劃將使用流量較少之學校進行轉接至備援設備,分散設備流量承載,解決尖峰時段掉包問題。
(六)教育訓練辦理
時間 |
主題 |
4月8日 |
資通安全管理法及子法簡介 |
4月25日 |
資通系統防護基準解析 |
4月28日 |
以藍隊角度探討入侵事件處理常見問題 |
5月25日 |
營運持續管理訓練 |
6月17日 |
政府資訊作業委外安全管理 |
7月28日 |
HTTPS 憑證原理與安裝及加密流量分析 |
10月27日 |
以滲透測試案例:找出校園常見資安風險 |
(七) 高屏澎區網中心網站改版
- 改版特色:
1.將過去舊版套件產生之高中風險漏洞修正
2.移除舊有套件遺留檔案降低入侵風險
3.引進付費深度網站弱掃軟體Acunetix進行檢測,並修正風險值,降低網站遭受攻擊停擺服務。
二、112年度網路管理營運方針
(一) 鑒於連線單位對於網路流量需求頻寬日益提升,112年度重點將持續精進網路流量分流設備,分流出各連線單位各服務流量如HTTP、HTTPS、NTP、DNS、LDAP、Redis等流量,並持續精進Layer 7流量分析,分析並服務不同連線單位,以找出可能潛在之資安問題,以提早預警。
(二) 有鑑於近年資安攻擊頻繁(如網站置換),為提早發現異常,即時提醒轄下連線單位進行應變,今年度已將連線單位首頁導入監測,112年度將持續調整偵測規則,並擴大導入監測網站數量。
(三)部分連線單位因預算有限,其監控設備因長期經費問題無法有效獲得維護,仰賴自建服務,本中心將持續精進,各項監測服務系統,提供給需要的連線單位進行使用,以使連線單位在有限經費預算下,能夠同時擁有良好的網路監測與異常管理能力。
叁、區網中心之資安服務、資安政策及具體辦理事項(資安服務)
說明:1.111年度資安服務維運具體辦理事項。
2.112年度資安服務目標(實施措施)。
一、111年度資安服務維運具體辦理事項
(一)網頁置換偵測
- 主要運作原理:
- 使用changedetection.io open source套件進行監測,每1分鐘偵測連線單位首頁是否發生異常修改,如發生異常,將發送即使訊息至Discord平台通知區網網管人員。安裝特色如下:
- 安裝:pip3 install changedetection.io
- 特色:Docker supported
- 執行:changedetection.io -d /path/to/empty/data/dir -p 5000
2.連線單位首頁監測Dashboard
3.Discord平台即時訊息接收通知
- 使用Discord webhook串接
- Discord訊息即時接受通知
4. 調整監測週期
5. 客製化監測內容
(二)C2流量監測分析
1. 系統架構:將連線單位DNS Query封包(A及AAAA Record)透過網路分流設備導入C2惡意流量偵測系統,系統將比對查詢域名是否出現於技服中心黑名單中,如符合將紀錄於資料庫中,並通知連線單位進行確認,避免誤判情形發生。
2.C2流量監測分析畫面
3.監測畫面
(三)容器化VPN服務系統
- 系統架構
- 應用特色
快速建立需擬私人網路 |
容器化封裝 |
|
|
- 未使用VPN前
- 使用VPN後
- 系統畫面
二、112年度資安服務目標(實施措施)
- 持續精進監測連線單位首頁監測及異常流量分析,將持續透過此系統協助分析連線單位網路流量及連線,協助所有連線單位進行異常流量分析,以找出潛在的資安問題,並通知連線單位做修正。
- 持續精進現有提供之服務容器化VPN服務、弱點掃描系統、網路及硬體狀態監測系統、官方網站弱點,定期更新及修正,期鞏固轄下單位網路防護,穩定且安全提供連線服務,並持續輔導有需求之連線單位資安防護及網路監測能力。