貳、區網中心之網路連線、網管策略及具體辦理事項(網路管理)

說明:1.111年度網路管理維運具體辦理事項。

2.112年度網路管理營運方針。

一、111年度網路管理維運具體辦理事項

(一)、協助高雄市、屏東縣及澎湖縣市網路中心骨幹頻寬升級

配合辦理臺灣學術網路(TANet)國內縣市教育骨幹頻寬升級案,協助設定高屏澎區網中心端網路及路由設定,提升網路連線頻寬。

1.      高雄市網:111年9月29日完成頻寬電路建置及Bundle-Ethernet設定,頻寬由40G提升至80G。

2.      屏東縣網∶111年6月14日完成頻寬電路建置及Bundle-Ethernet設定,頻寬由20G提升至40G。

3.      澎湖縣網:111年8月31日完成頻寬電路建置及Bundle-Ethernet設定,頻寬由1G提升至2G。

(二)、不當資訊防護系統

1. 高屏澎區網中心自行開發TANet不當資訊防護系統,強化臺灣學術網路的網路內容安全,保護學齡中使用者避免接觸不當資訊內容網站。

2. 防護範圍包含:全國各縣市網路中心及全國各區網高中職連線單位。

3. 系統特色及架構:請詳見特色服務。

(三) DNS版本升級及資安健檢服務

1.DNS版本升級及資安健檢服務(服務網址:https://goo.gl/6PgWh4)

2.為連線單位夥伴提供DNS Bind版本升級服務(9.10.4以上版本),並包含DNS安全性設定服務及健檢:

1.ACL設定

2.限制來源查詢要求

3.Response Rate Limit (RRL)

4.Zone Transfer 限制

5.Open DNS Resolver偵測服務(防止DNS放大攻擊)。

6.Minimal-any設定(防止DNS放大攻擊)

7.提供設定好之範例VM檔(OVF)給連線單位夥伴下載使用

8.並於區網管理會議推廣此服務

7. 年度新增異常主機委託檢查(鑑識協助、防禦建議、報告分析與修改建議、資安技術支援)

(四) 教育部DNS遞迴主機上線

 111年度受教育部委託,進行DNS遞迴主機上線服務達成以下服務優點:

1.台中以南學術網路將以中山遞迴主機為主進行查詢,降低北部負載,提升學術網路效率。

2.本中心為求服務穩定另建置HA架構SWITCH,以求服務穩定提供。

3.DNS遞迴主機查詢服務,同時提供HA服務當北部據點無法查詢時,本中心據點可做為備原服務。

建置架構:

(五) 連線單位異常反應處理

111年9月中3所連線單位反映與國網介接線路對PING有掉封包之問題其處理情形如下:

  • 協助國網監測界接之設備Router,發現於平日下午課程尖峰時段,有掉封包之情形,請國網中心進行效能分配調整,緩解此情形。

處理結果:

  • 與國網中心討論後,請國網中心將該設備上連接之學校,規劃將使用流量較少之學校進行轉接至備援設備,分散設備流量承載,解決尖峰時段掉包問題。

          (六)教育訓練辦理  

時間

主題

4月8日

資通安全管理法及子法簡介

4月25日

資通系統防護基準解析

4月28日

以藍隊角度探討入侵事件處理常見問題

5月25日

營運持續管理訓練

6月17日

政府資訊作業委外安全管理

7月28日

HTTPS 憑證原理與安裝及加密流量分析

10月27日

以滲透測試案例:找出校園常見資安風險

   (七) 高屏澎區網中心網站改版

  • 改版特色:

     1.將過去舊版套件產生之高中風險漏洞修正

     2.移除舊有套件遺留檔案降低入侵風險

     3.引進付費深度網站弱掃軟體Acunetix進行檢測,並修正風險值,降低網站遭受攻擊停擺服務。

二、112年度網路管理營運方針

(一)  鑒於連線單位對於網路流量需求頻寬日益提升,112年度重點將持續精進網路流量分流設備,分流出各連線單位各服務流量如HTTP、HTTPS、NTP、DNS、LDAP、Redis等流量,並持續精進Layer 7流量分析,分析並服務不同連線單位,以找出可能潛在之資安問題,以提早預警。

(二)  有鑑於近年資安攻擊頻繁(如網站置換),為提早發現異常,即時提醒轄下連線單位進行應變,今年度已將連線單位首頁導入監測,112年度將持續調整偵測規則,並擴大導入監測網站數量。

          (三)部分連線單位因預算有限,其監控設備因長期經費問題無法有效獲得維護,仰賴自建服務,本中心將持續精進,各項監測服務系統,提供給需要的連線單位進行使用,以使連線單位在有限經費預算下,能夠同時擁有良好的網路監測與異常管理能力。

叁、區網中心之資安服務、資安政策及具體辦理事項(資安服務)

說明:1.111年度資安服務維運具體辦理事項。

2.112年度資安服務目標(實施措施)。

一、111年度資安服務維運具體辦理事項

 (一)網頁置換偵測

  1.  主要運作原理:
  • 使用changedetection.io open source套件進行監測,每1分鐘偵測連線單位首頁是否發生異常修改,如發生異常,將發送即使訊息至Discord平台通知區網網管人員。安裝特色如下:
  • 安裝:pip3 install changedetection.io
  • 特色:Docker supported
  • 執行:changedetection.io -d /path/to/empty/data/dir -p 5000

         2.連線單位首頁監測Dashboard

3.Discord平台即時訊息接收通知

  • 使用Discord webhook串接

  • Discord訊息即時接受通知

4. 調整監測週期

5. 客製化監測內容

(二)C2流量監測分析

1. 系統架構:將連線單位DNS Query封包(A及AAAA Record)透過網路分流設備導入C2惡意流量偵測系統,系統將比對查詢域名是否出現於技服中心黑名單中,如符合將紀錄於資料庫中,並通知連線單位進行確認,避免誤判情形發生。

2.C2流量監測分析畫面

3.監測畫面

 

(三)容器化VPN服務系統

  1. 系統架構

  1. 應用特色

快速建立需擬私人網路

容器化封裝
  • 加強系統資安
  • 減少開啟對外易受攻擊服務
  • 遠端桌面風險降低
  • 免密碼加密式金鑰
  • 支援手機/電腦使用
  • 減少防火牆管理負載
  • 支援(WIN、MAC、Linux)
  • 免除安裝參數調整及複雜設定
  • 快速啟用及關閉連線
  • 不受系統環境限制
  1. 未使用VPN前

  1. 使用VPN後

  1. 系統畫面

二、112年度資安服務目標(實施措施)

  1. 持續精進監測連線單位首頁監測及異常流量分析,將持續透過此系統協助分析連線單位網路流量及連線,協助所有連線單位進行異常流量分析,以找出潛在的資安問題,並通知連線單位做修正。
  2. 持續精進現有提供之服務容器化VPN服務、弱點掃描系統、網路及硬體狀態監測系統、官方網站弱點,定期更新及修正,期鞏固轄下單位網路防護,穩定且安全提供連線服務,並持續輔導有需求之連線單位資安防護及網路監測能力。