480 likes | 694 Views
高屏澎區網工作報告. 國立中山大學 計算機與網路中心 應用組 溫竣皓 jaywen@mail. cc.nsysu.edu.tw. 96 年度第一次區網會議. 議程大綱. 高屏澎區網現況報告 線路改接報告及維運報告 TANet/TWAREN 骨幹合作 ISMS 資通安全 其他事項. Part 1. 高屏澎區網現況報告. 高屏澎區網現行架構圖. 95 年 TANet 骨幹網路架構圖. 國內 ISPs. Jan 20, 2006. 苗栗縣. 新竹縣. 新竹市. 連江縣. 金門縣. 桃園縣. 台北縣. 基隆市. 宜蘭縣. 台中市. 台中縣.
E N D
高屏澎區網工作報告 國立中山大學 計算機與網路中心 應用組 溫竣皓 jaywen@mail.cc.nsysu.edu.tw 96年度第一次區網會議
議程大綱 • 高屏澎區網現況報告 • 線路改接報告及維運報告 • TANet/TWAREN骨幹合作 • ISMS 資通安全 • 其他事項
Part 1 高屏澎區網現況報告
95年TANet骨幹網路架構圖 國內 ISPs Jan 20, 2006 苗栗縣 新竹縣 新竹市 連江縣 金門縣 桃園縣 台北縣 基隆市 宜蘭縣 台中市 台中縣 台北市 竹苗區網 新竹區網 國網中心 桃園區網 台北區網 台北區網 彰化縣 國際 Internet 多條連線 TWAREN Layer3 Backbone 教育部 中部區網 南投縣 多條連線 教育部 多條連線 雲林縣 雲嘉區網 嘉義市 中研院 台南區網 高屏澎區網 台東區網 東部區網 花蓮區網 嘉義縣 10 Gigabit Ethernet POS OC-48 Gigabit Ethernet * 2 台南市 台南縣 高雄市 高雄縣 屏東縣 澎湖縣 國網南科 台東縣 花蓮縣
TANet 新架構之設計目標 • 改善原星狀架構之缺點,在固網SDH線路的保護機制上,再自力增加架構備援機制。 • 增加Core Fail時的備援機制。 • 降低GSR不穩定造成的風險。 • 盡力達成中斷時自動切換(LP:50ms,SpanningTree:5s),快速恢復網路服務。 • 可提供多數Layer1&2 VPN給使用者(如TANet、Research、防災網路等等) • 盡量使用現有設備及最低經費達成上述目標
STM64 STM16 10GE GE TANet 網路設備與線路架構(新架構) 政大 宜大 中研院 台大 6509 15454 6509 7609 7609 7609 東華 6509 15454 7609 15454 15454 3750 6509 15600 中央 15454 12816 12816 15454 7609 暨南 MOEcc 7609C 花蓮 科技大樓 7609 12816 12816 6509 3750 6509 台中 新竹 7609C 交大 15454 7609C 15454 15454 15600 7609 NCHC 12816 NCHC 12816 6509 台南 中興 15454 NCHC 7609C 7609 台東 6509 12816 12816 15454 清華 15454 6509 3750 15600 7609 15454 15454 15454 7609 6509 7609 7609 6509 6509 中山 中正 成大
實體線路圖(新架構) 台大 中央 中研院 台北 交大 政大 清華 (2) (2) 新竹 宜大 (2) 台中 暨大 中興 東華 (2) (2) 中正 花蓮 成功 台南 中山 台東 STM-64 STM-16 10GE GE
即時流量分析 • 高屏澎區網(中山大學) – TWAREN • 台南區網(成功大學) - TWAREN • 台北區網1(台灣大學) -- TWAREN
TP GSR STARLight TP ONS T A I W A N 2.5 G TWGate ManLAN Palo Alto PAIX HC ONS 2.5G 2.5 G 2.5 G Chicago New York Telehouse 2.5 G 1.2G 250Mb LA Equinix Pwave Router ONS device TWAREN國際線路 • 至美國西岸之總連線頻寬升級為 5 Gb/s • LA、Palo Alto、芝加哥、紐約各點間頻寬為2.5 Gb/s • 經美國高頻寬 研網 Abilene 與全球接軌
TWGate Asia-Pacific Transit (POS-OC48) Circuit ID: 223uD-87493 Max Speed: 2488 Mbits/s 上次統計更新時間: 2007 五 3 日, 星期四, 15:55每日 圖表 (5 分鐘 平均) • 最大 Internet ==> TANet 961.6 Mb/秒 (38.6%) 平均 Internet ==> TANet 908.2 Mb/秒 (36.5%) 目前 Internet ==> TANet 951.0 Mb/秒 (38.2%) 最大 TANet ==> Internet 936.1 Mb/秒 (37.6%) 平均 TANet ==> Internet 747.0 Mb/秒 (30.0%) 目前 TANet ==> Internet 772.8 Mb/秒 (31.1%) 每週 圖表 (30 分鐘 平均) • 最大 Internet ==> TANet 956.6 Mb/秒 (38.5%) 平均 Internet ==> TANet 869.6 Mb/秒 (35.0%) 目前 Internet ==> TANet 950.8 Mb/秒 (38.2%) 最大 TANet ==> Internet 938.0 Mb/秒 (37.7%) 平均 TANet ==> Internet 758.0 Mb/秒 (30.5%) 目前 TANet ==> Internet 742.7 Mb/秒 (29.9%) 每月 圖表 (2 小時 平均)
連線單位改接 • 更改電路: • 中山校園網路骨幹已提升至10G。 • TANet 線路與 TWAREN合併。 • 通過審核連接TANet線路速度升級: • 教育電台 4/20昇速100Mb完成、 • 屏東科技大學 6/26昇速 200Mb完成、 • 陸軍官校昇速 1G完成。 • 高屏澎區網中心所屬連線單位全改GE光纖介接。 • 文藻線路將因為了改善對美國連線品質,原架構為:文藻 ---> 6509 ---> TANet
重大連線問題與處置 • 2007 03/30 DNS 故障報告。 • (2007.03.30)凌晨一點半計中DNS伺服器IP:140.117.11.1旗下五台DNS Server因作業系統Kernel突然異常。這五台是第一次,中心先前也未發生過此種案例。 • [解決方案] 於系統的Crontable加入每週清晨四點讓這五台機器重開機,清除因Query過量過大而佔太多記憶體空間,讓每套Service都能穩定服務。並將Kernel升級patch到最近的穩定版本。 • 2007 03/21 與各固網公司(中華電信、亞太寬頻、速博)延續新電信機房使用合約(五年) ,以便利台灣學術網路使用者使用網際網路上的資源。 • 2007/3/13 義守大學向教育局申請新網段, 已經核準 (140.133.32.0/19, 共32個C) • 2007 03/06 正修科技大學斷線後續發展根據教育部的說法為該校與6509介接端口IP (163.15.220.202) 因為mailserver濫發廣告信而被封鎖。 • 2006/1/24 下列這兩段IP address (140.127.254.0/24, 140.127.255.0/24) 經查證是教育部電算中心核發有誤, 誤發給文藻學院, 已經回收且緊急修改區網routing 設定。
擬請TANet國際流量排名前五大之學校至本會議報告案討論擬請TANet國際流量排名前五大之學校至本會議報告案討論 • 說明: • 為提昇國際頻寬有效利用,並分享主機管理效能之技術,國際頻寬使用名列前矛者,應有必要分享相關伺服主機或個人電腦之架設技術與管理狀況。 • 擬於每次技術小組會議中,邀請每月使用國際流量排名前五大之學校做相關報告,報告內容應含有:主機軟硬體配備、提供服務狀況與內容展示、管理狀況說明等。 • 目前本中心針對國際頻寬之使用已進行前100大使用IP address統計排行,今年1~3月統計資料可參考
TANet骨幹網路流量統計-Internet進出流量-前100名流量排行榜TANet骨幹網路流量統計-Internet進出流量-前100名流量排行榜 正修科技大學- 根據教育部的abuse信箱資料來看,該IP被檢舉濫發廣告信 FROM THE LOTTERY OFFICE UKLN, 3/5/2007
Part 3 ISMS提升校園資通安全服務計畫
行政院資通安全推動規範 • 兼辦行政院「建立我國通資訊基礎建設安全機制計畫」規定之「資通安全處理小組」職掌事項。 • 資訊安全預防事項。 • 資訊安全危機處理事項。 • B 級單位每年至少2次檢討資通安全現況。
防 禦 機 制 強 度 防 護 縱 深 ISMS推動 作業 稽核方式 資安教育訓練(主官,主管,技術,一般) 專業證照 作業名稱 內容 等級 A級 強度等級4 NSOC/SOCIDS 防火牆 防毒 96年通過第三者認証 每年至少執行二次內稽 (4,6,18,4 小時)/每年 96年資安專業鑑定二張 B級 強度等級3 SOC(OP)IDS 防火牆 防毒 97年通過第三者認証 每年至少執行一次內稽 (4,6,18,4 小時)/每年 96年資安專業鑑定 一張 C級 強度等級2 IDS, 防火牆 防毒 各單位自行成立推動小組規劃作業 自我檢視 (2,6,12,4 小時)/每年 資安專業訓練 D級 強度等級1 防火牆 防毒 推動ISMS觀念宣導 自我檢視 (1,4,8,2 小時)/每年 資安專業訓媡 依據行政院國家資通安全會報,各類資安系統等級應執行之工作事項:
相關機關學校對應如下表: 針對資訊安全責任分級規劃教育體系機關學校共分為 A、B、C、D 級
提升校園資通安全服務計畫 -1 • 教育部提升校園資通安全服務計畫。說明: • 本部依據行政院國家資通安全會報指示,推動教育體系資通安全相關工作,本部已完成「教育體系資通安全責任分級原則」,並訂定「教育體系資通安全管理規範」、「國中小學資通安全管理系統實施原則」,並將函送各級學校與縣市。 • 教育部電算中心將成立資安推動委員會;並進行資通安全管理系統(ISMS)導入試辦;輔導取得資安證照;並舉辦相關教育訓練等。
教育部提昇校園資通安全服務計畫(96-97年) – 第一項 成立教育體系資通安全推動委員會 • 規劃成立資安規劃組織及營運 • 成立規劃驗證小組、通報處理小組、教育推廣小組。 • 規劃教育體系「第三者驗證」機制並推廣認證標章(認證及後續複審費用每個單位3萬元以下為原則) • 規劃資安通報處理組織及營運 • 建立教育體系(4000多個單位)通報應變網站(將再與研考會討論後定案)並營運(通報演練達成率至少達90%以上)
教育部提昇校園資通安全服務計畫(96-97年) – 第二項 資通安全管理系統(ISMS)推動作業 • 試辦教育體系各級單位資訊安全管理系統(ISMS)及推廣,至少包含私立大學(公立大學已有成功大學試辦)、學院、專科、高中、高職、本部館所、國中、國小計8個以上試作點、並將相關輔導產出文件轉換為範本、加強推廣教育。 • 導入全部區、縣市網路中心(約36個)資安管理制度、取得教育體系「第三者認證」。 • 公私立大學(B級)導入資安管理制度由本部提供規範及範本由學校自行導入。
原 ISO 27000 series 規範 各單位使用的將會是教育部新制訂精簡版
教育部提昇校園資通安全服務計畫(96-97年) – 第三項 專業證照-由本部規劃辦理教育體系A、B、C 級單位人員教育訓練,並取得資訊安全證照200人(AB級優先)。
教育部提昇校園資通安全服務計畫(96-97年) – 第四項 資安教育訓練-針對教育體系主官、主管、資訊技術人員、及一般教師 (PS:教材公開) • 高階主官會議教育訓練1小時 X 2次。 • 辦理資訊安全長及相關主管(約600人次)教育訓練3小時X 2次,國中小學部分(3400人次)請各縣市自行規劃辦理。 • 資訊人員訓練12 小時X 3次教育訓練。 • 國中小學教師(3400人次)請各縣市自行規劃辦理。
教育部提昇校園資通安全服務計畫(96-97年) – 第五項 針對教育體系學生規劃與執行資安認知推廣活動 • 建立一般教師及高中以上學生線上學習教材,辦理推廣活動訓練人數至少達2萬人次。 • 建立國小4、5、6年級國中1、2、3年級6種教材,並辦理推廣活動,國中小學教育訓練人數至少達64萬人次並完成測驗。 • 規劃製作媒體宣傳文宣於媒體進行宣傳活動。 • 規劃建置營運專屬網站以整合教育體系資訊安全資訊、辦理推廣活動服務。
校園資通安全 • 96年度教育部統合視導地方教育事務-縣(市)網路中心運作及資安部分說明。說明:依本部台國通字第0960052185號書函辦理,電算中心訪視項目為【資訊教育推動成效】,縣(市)教育網路中心相關業務項目 • 行政院資通安全推動規範
Break • 問題提問?
什麼是ISMS 資訊安全三元素 • 機密性(Confidentiality) • 確保只有經過授權的人才能存取資訊 • 完整性(Integrity) • 保證資訊及其處理方法的準確性和完整性 • 可用性(Availability) • 保證資訊及其處理方法的準確性和完整性 如果資訊安全出現問題,除了造成服務中斷,喪失生產力、損失利潤和增加直接成本等有形的損失外,也會造成使用者信心、學校形象等無形的損失,正確的資訊應具有『機密性』、『可用性』和『完整性』等安全必備的條件,如何妥善保護資訊,已是資訊化社會最重要的課題。
弱點, 威脅, 資產 與 風險 的關係 威脅來源 產生 威脅 入侵 導致 弱點 風險 阻擋或改變 資訊資產 可能損害 資訊洩漏 造成 控制機制 可以被管控
規劃 風險評鑑 準備: - 資訊資產清查、分類與建立清冊 - 決定資產價值 - 成立資訊安全 委員會 - 訂定資訊安全 目標與範圍 - 制定高層資訊 安全政策 - 系統現況分析 - 收集相關資料 - 資訊安全認知 教育訓練 分析: - 威脅、弱點、衝擊評估 - 法規與業務需求影響評估 - 系統安全技術評估 - 計算風險層級 建議: - 風險評鑑報告 - 風險處理計畫 檢討改進 風險管理 資訊安全委員會 定期檢討 決定臨界風險值 避開或轉移風險 降低風險 可接受之風險 審查稽核 建立ISMS 文件體系 選擇控制機制 與管理辦法 (參考 BS7799) 執行控制機制 與管理辦法 確認安全需求 內部與外部 獨立稽核作業 ISMS 推動程序 u v w x
建立資訊安全管理架構 政策文件 制定政策 步驟 1 ISMS範圍 步驟 2 定義ISMS範圍 資訊資產 風險評估 步驟 3 威脅、弱點、衝擊 風險評估 結果及結論 組織對風險的管理方法 所需的安全保證程度 風險管理 步驟 4 選取的控制項目 BS7799-2第3節-控制目標及控制項目 不在BS7799內要求的控制方法 選擇要實行的控制目標及控制方法 步驟 5 選取的控制目標及控制方法 適用性聲明 步驟 6 準備適用性聲明 BS7799-2:1999
PDCA 循環 (Plan) (Do) (Action) (Check)
重要度 移動 避免 通過 減少 可能性 資訊安全管理系統 • ISMS (Information Security ManagementSystem) 是一套有系統地分析和管理資訊安全風險的方法。 • 要達到100% 的資訊安全是一種過高的期望,資訊安全管理的目標是透過控制方法,把資訊風險降低到可接受的程度內。
資訊安全管理系統的重要性 • 表達提供安全營運環境的決心與承諾 • 定義使用資訊與資訊系統的規範 • 擘劃資訊安全架構 • 為管理階層與全體員工溝通之依據
維運成效監督 • 每月查核 • 每月向應用組組長報告該月之服務事項與重大中斷事件,並說明改採取的對應措施與事後之狀況。 • 區網相關網路服務確保透明化,所有活動儘量要求都有文件紀錄。(e.g. 線路廠商速博進入機房進行維護行為) • 所有風險評估、流程、規範、紀錄、服務將逐步完整文件敘述以符合ISMS校園資通安全管理規範專案。
敬請提供意見與指導 Thank You
備用資料 • 以下是備用補充資料.
資訊安全相關定義 • 弱點 (Vulnerability) • 指軟硬體設備或程序中具有可能提供駭客入侵的缺失,讓駭客得以進入系統或網路中,以非經授權的方式獲取環境中的資源。 • 威脅 (Threat) • 資訊或系統中所存在的潛在危險。威脅原可能經由防火牆入侵網路、以違反安全政策的方式存取資料,設備的徹底破壞,或只是員工的過失,而造成資料洩漏或檔案完整性的破壞。 • 風險 (Risk) • 威脅原利用弱點而造成損害的可能性。 • 資訊洩漏 (Exposure) • 因威脅原所造成資料或資源暴露於外而造成損失,弱點會使組織因外漏而受到損害。 • 控制措施 (Countermeasure) • 用以防禦或減輕潛在風險的對策,可以是一種軟體設定、硬體或程序來消除弱點,進而降低威脅原利用弱點破壞的風險。
風險管理 • 風險管理是界定、取得及降低風險到可接受的程度,並執行正確的機制去維持該程度。下列是可能的風險: • 實體為害 (physical damage) • 人為錯誤 (human error) • 儀器功能喪失 (equipment malfunction) • 內外部攻擊 (inside and outside attacks) • 資料濫用 (misuse of data) • 資料遺失 (loss of error)
風險是什麼? • 風險? 威脅 弱 點 資產 威脅 威脅 保護措施