1 / 63

經濟部九十年度科技專案 國家資通安全技術服務計劃 『 區域聯防之技術支援 』 (南區)

經濟部九十年度科技專案 國家資通安全技術服務計劃 『 區域聯防之技術支援 』 (南區). 賴溪松教授 國立成功大學計網中心主任 中華民國資訊安全學會理事長 TEL : (06)2757575-61001 FAX : (06)2368855 E-Mail : laihcs@eembox.ncku.edu.tw URL : http://crypto.ee.ncku.edu.tw. 大綱. TANet 簡介 校園網路安全之考量 校園網路安全現況 國內資安機構 安全防禦架構 結論. TANet 簡介.

reece-freeman
Download Presentation

經濟部九十年度科技專案 國家資通安全技術服務計劃 『 區域聯防之技術支援 』 (南區)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 經濟部九十年度科技專案國家資通安全技術服務計劃『區域聯防之技術支援』(南區)經濟部九十年度科技專案國家資通安全技術服務計劃『區域聯防之技術支援』(南區) 賴溪松教授 國立成功大學計網中心主任 中華民國資訊安全學會理事長 TEL:(06)2757575-61001 FAX :(06)2368855 E-Mail:laihcs@eembox.ncku.edu.tw URL:http://crypto.ee.ncku.edu.tw

  2. 大綱 • TANet簡介 • 校園網路安全之考量 • 校園網路安全現況 • 國內資安機構 • 安全防禦架構 • 結論

  3. TANet簡介 • 校園網路:由學校之電算中心或相關單位負責規劃、建置與維護管理,系所配合規劃 • 校際網路:由區域網路中心、縣市網路中心與學校電算中心負責網路中心與該校連線之相關事宜;教育部與區域網路中心、縣市網路中心負責骨幹線路之正常順暢運作 • 國際網路:由教育部負責規劃、建置與維護等事宜

  4. TANet簡介 (cont.) • 國內主幹網路 • 第一層:以教育部、台大、政大、中央、交大、中興、中正、成大、中山、花師、東華與台東師院等校為區域網路中心,對外頻寬為ATM (120Mbps) • TANet1(學術網路 -- 教育部): 70Mbps • TANet2(研究網路 -- 國家高速電腦中心): 50Mbps • 第二層: 27個縣市教育網路中心,對區域網路中心連線頻寬為ATM (45M),部份縣市為T3,離島:澎湖縣、金門縣、馬祖分別為2*T1, T1, T1

  5. TANet簡介 (cont.) • 國際電路 • 89年10月擴充為STM1(155 Mpbs)專線連接美國加州 AT&T WorldNet,與全球網際網路Internet互通 • TANet1: 100Mbps, TANet2: 35Mbps, Sinica: 20Mbps • 國內規模最大的資訊網路,且其在亞洲地區居領先地位,連線單位已超過4178個單位 • 至少有20萬個電腦節點,使用人數超過200萬 (89.12.31)

  6. 教育部 交通大學 清華大學 高速電腦中心 台灣大學 政治大學 中研院 T3 STM-1*2 T3 ATM 155M STM-4*1 中央大學 T3 STM-1*4 STM-4*1 花蓮師院 120M 台灣學術網路骨幹及中華 電信超高速數據交換網路 T3 120M STM-1 中興大學 120M T3 東華大學 120M 120M 中正大學 台東師院 成功大學 中山大學 台灣學術網路骨幹架構圖 資料來源: 教育部電算中心

  7. 台北市 (市立師院) 中研院 台北縣 (大觀國小) 教育部 馬祖 (介壽國中小) 基隆市 (海洋大學) 政治大學 桃園縣 (建國國中) 金門縣 (金城國中) T1 OC 3 T 3 T1 宜蘭縣 (宜蘭國中) OC12 +OC3 *2 臺灣大學 中央大學 OC 3 + T3 新竹縣 (教師研習中心) OC 12 清華大學 OC 12 國家高速電腦中心 新竹市 (東門國小) 交通大學 OC 3 苗栗縣 (聯合技術學院) 花蓮師院 台中縣 (教育局) OC 3 花蓮縣 (美崙國中) T 3 中興大學 東華大學 雲林縣 (雲林科大) 台中市 (居仁國中) 彰化縣 (彰化師大) 南投縣 (漳興國小) 嘉義縣 (頂六國小) T 3 OC 3 嘉義市 (蘭潭國小) OC 3 中正大學 台東師院 台南市 (大港國小) OC 3 台南縣 (教育局) 台東縣 (教育局) 2*T1 區網 ATM SW 成功大學 中山大學 縣網 45Mbps 高雄縣 (五甲國小) 90年2月 屏東縣 (屏東科大) (和平國小) 澎湖縣 (澎湖海專) 高雄市 (中正高工) 台灣學術網路骨幹網路 資料來源: 教育部電算中心

  8. 未來TANet網路架構(草案) • 國際電路 • STM1 *2 (今年底) • STM1 *3 (明年底) • 第一層 2-3 G • 第二層 1 G

  9. TANet Upgrade架構(草案) GE-ZX(70KM)/ GE-LX(10KM) GE-ZX(70KM) TANet 20Gbps L2 Backbone GE-LX(10KM) 1G

  10. 區網建議架構(草案) TANet Backbone Backbone Area 0 … GE-LX(10KM) 大專 GE-LX(10KM) GE-ZX(70KM) C6509 縣市網 大專 Area 140.116.0.0 C7513 SLB/IDS c6509 C6509 1G

  11. TANet Upgrade Requirements • Product/Routing Protocol Compatibility • Netflow for IP/TCP Accounting • WCCP for Web-Transparent Proxy • Gigabit EtherChannel for Port Aggregation • IPv6 for future usage • Proven BGP for ISP/IDC • IDS for Security Protection

  12. 5 稽核 4 內部人員 之安全管理 3 網路服務之安全考量 2 與外部連線之安全考量 1 機房與電腦主機實體之安全考量 校園網路安全之考量

  13. 機房與電腦主機實體之安全考量 • 避免大自然(如水災、雷擊等)各種自然災害 • 電腦機房之自動滅火系統的建置 • 建築安全 • 避免硬體設備受到無法預測因素(如停電、地震等)的傷害 • 異地備份(必須以距離隔離, 重要資料保持三代以上) • 實體安全( 機密性工作站專人管理) • 備用電源(發電機,UPS等)

  14. 稽核 內部人員 之安全管理 網路服務之安全 與外部連線之安全 機房與電腦主機實體之安全 與外部連線之考量 • 利用密碼器、電子簽章及識別協定等資訊安全技術建立安全之通道及使用者連線之認證機制 • 保護自己在與外部連線通訊之隱私性及認證性 • 目前教育部電子公文系統正在建置中

  15. 電子公文系統 • Developed a non-repudiation mechanism for electronic messing ( 1998) • More than 1,000 government units and more than 3,000 officers • exchanging signed mails over GSN

  16. 稽核 內部人員 之安全管理 網路服務之安全 與外部連線之安全 機房與電腦主機實體之安全 網路服務之安全 • 避免遭外部駭客之入侵及病毒之散播 • 利用網路防火牆隔離不必要的連線 • 確保網路能正常服務 • 網路伺服器當機的緊急處理 • 定期安全健康檢查 • 駭客、病毒與網蟲的危機應變處理 • 監測網路連線狀況

  17. 稽核 內部人員 之安全管理 網路服務之安全 與外部連線之安全 機房與電腦主機實體之安全 內部人員之安全管理 • 員工、主管及網管人員應有不同存取權限,避免內部人員對機密資訊的危害 • 加強人員的資訊安全教育 • 關閉離職員工的存取權限 • 人員違反安全政策的處理 • 各人員下班後機密性資料的收藏 • 對經辦事務洩漏資訊的處理

  18. 稽核 內部人員 之安全管理 網路服務之安全 與外部連線之安全 機房與電腦主機實體之安全 稽核 • 詳細制定安全政策並確保安全政策及措施能順利進行 • 定期稽核資訊安全事項與追蹤 • 清查系統內部相關紀錄檔(例外事件、系統存取、登入登出系統紀錄等) • 設定稽查小組由外部根據安全政策查核 • 參考標準 BS 7799、ISO 17799、「行政院及所屬各機關資訊安全管理規範」

  19. 校園網路安全現況 • 資訊安全政策尚未建立 • 內部人員管理薄弱 • 資訊安全管理制度尚未建立 • 資訊安全人員技能欠缺 • 資訊安全產品及工具缺乏 • 資安通報系統尚未建立 • 復原計劃尚未建立 • 稽核制度正建立中

  20. 校園網路主機安全現況 • 校園內弱點主機數 • 校園內弱點主機之作業系統統計 • 校園內弱通行碼破解統計

  21. 校園有弱點之主機數(以弱點類型區分)

  22. 校園內有弱點之主機數與所使用之作業系統

  23. 校園內某主機被破解之弱通行碼之種類統計圖

  24. 校園內sparc主機初步掃描結果 • 發現校園內工作站的漏洞 • 其中高危險的部分佔了26% • 至於中危險的部分也佔了23% • 系統的漏洞佔了總服務的49% • 另外狀況不明尚須查明的佔51%

  25. 掃描結果說明: (1)紅色代表高危險 (2)黃色代表中危險 (3)棕色代表不明但需檢查

  26. 紅色(安全性漏洞) • 該弱點主機允許入侵者在遠端執行伺服器上的任何指令,甚至可以繞過程序的安全機制,無須登錄便能在伺服器上執行系統指令 • 黃色(安全性警告) • 主機上有某些設定不當,可能允許攻擊者將伺服器的硬碟灌滿 • 入侵者可瀏覽系統上的部分(或全部)文件 • 棕色(狀況不明尚待查) • 依據伺服軟體與patch程度的不同,可能存在/不存在漏洞

  27. 國內資安機構 • CERT組織 • TW-CERT (http://www.cert.org.tw/) • 服務對象為全國民眾與企業團體 • GSN-CERT (http://www.gsn-cert.nat.gov.tw/) • 服務對象為政府機關 • 政府機關 • 國家資通會報技術服務中心 (http://www.ncert.nat.gov.tw/infosec/techservice/index.asp) • 中華民國資訊安全學會 (http://www.ccisa.org.tw/)

  28. 國內資安機構 (cont.) • 密碼產品 • 軟硬體類 • 網安科技 數位簽章機、晶片讀卡機等 • 財鑫科技 條碼刷卡機、IC卡讀卡機、磁卡等 • 寬華資訊 網路安全相關軟硬體研發 • 元碩公司 IC卡(Smart卡)讀寫機研發與製造等 • 凌航科技 Smart cards、Java cards、IC設計 • 台灣通信 FAX、ISDN話機、DAML等

  29. 國內資安機構 (cont.) • 密碼產品 • 服務纇 • 中華電信 • 電信服務與研究發展 • 星友科技 • 指紋監控系統、光學文字閱讀機的研發與技術諮詢服務 • 六合安全工程 • 通訊網路系統及密碼模組系統應用之規劃與相關技術服務

  30. 國內資安機構 (cont.) • 網路安全產品 • 軟硬體 • 台華科技 網路安全、防火牆 • 趨勢科技 研發防毒程式 • 賽門鐵克 研發防毒程式 • 鈺松科技 弱點稽核軟體、入侵偵測軟體、風險管理軟體 • 立駭科技 入侵偵測,網路保全服務,系統整合等

  31. 國內資安機構 (cont.) • 八風資訊 網路安全控管及防火牆 • 台聯資訊 網路安全與電子支付系統安全廠商 • 思科 (Cisco Systems, Inc.)路由器與防火牆廠商 • 凌群電腦 代理資安產品:firewall-1、 Virusafe 等 • 精誠資訊 代理的網路安全產品 • 富揚資訊 代理eTrust Intrusion Detection、SonicWALL、GNAT Box 等 • …

  32. 國內資安機構 (cont.) • 網路安全產品 • 服務類 • 華岩科技 Intranet規劃建置、Internet諮詢服務 • 普華資安 資訊安全諮詢顧問服務 • 諮安科技 提供資訊安全解決方案、教育訓練 • 衛道科技 提供網路安全解決方案 • …

  33. 目前資安通報之缺陷 • 以CodeRed(紅色警戒)網蟲為例,各公司均推出解毒方案,包含 • 微軟公司的CodeRedCleanup.exe • 趨勢科技的FxCodeC.exe • Symantec公司的FixCRed.exe • …

  34. 目前資安通報之缺陷 (cont.) • 但各程式大都僅放置於各公司網頁伺服器上,除非特定搜尋,否則一般網管人員可能會忽略 • 各家公司病毒處理的方式不同,使用介面與清除乾淨的程度也不盡相同,因此往往會造成民眾的無所適從 • 對於遭受攻擊的主機管理者,若平時無注意國內CERT的組織,對於受害情況往往不知如何處理與通報

  35. 區域聯防組織架構(草案) • 參考目前TANet組織架構,在不影響目前學術網路架構的前提下,建立一分層負責的組織架構 • 由上對下發布資安通報與系統維護支援 • 由下對上提出資安損害統計與支援請求

  36. 區域聯防架構圖(草案) CERT (TW-CERT/GSN-CERT)

  37. 區域聯防架構圖(草案) 資安指導委員會 NICST/TANet聯防中心 資訊安全長 資安處理中心 各區區域聯防中心 網路安檢師 網路安檢小組 各縣市網、區網中心 /大專院校 網路安檢技術員 各縣市中小學/高中職

  38. 區域聯防架構(草案) • 各縣市中小學及高中職設立網路安檢技術員1-2人,負責伺服器的管理、維護、資安事件通報,可由現任網管人員兼任 • 各縣市網、區網中心與大專院校設立網路安檢小組,含網路安檢師5-6人,負責各區網資料統合彙整、資安事件通報、支援網路安檢技術員處理資安問題

  39. 區域聯防架構(草案) (cont.) • 各區域聯防中心成立資安處理中心,由資訊安全長10人組成,專職處理各區資安通報、統計各區受災狀況、提供網路安檢師技術服務與諮詢、特有事件的教育訓練 • TANet聯防中心與NICST設立資安指導委員會,由各聯防中心召集人擔任委員,以聯絡各區資安處理狀況

  40. 網路安檢技術員 • 基本網路管理與設定 • DNS、Web Server、Mail Server、Proxy Server安裝與設定 • 基礎Unix指令 • vi/pico/joe編輯器的使用 • 網路安全基本課程 • 基礎密碼學 • 網路基礎課程(Ethernet 、TCP/IP架構)

  41. 網路安檢技術員 (cont.) • 網路管理與網路檢測工具 • 了解目前校園網路的規劃狀況 • 發生入侵事件的發現方法 • 熟悉網路流量統計軟體 • 熟悉一種網路檢測工具並能判讀掃描結果 • 擅長 C 語言程式設計

  42. 網路安檢技術員 (cont.) • 平時任務 • 伺服器的管理、維護 • 執行資安事件通報,檢查所管理伺服器是否遭受侵害 • 每2個月定期與網路安檢小組召開會議以確定各所轄主機伺服器狀況

  43. 網路安檢技術員 (cont.) • 緊急事件處理 • 查明資安事件發生原因 • 執行資安通報之解決建議 • 若遭遇無法處理之不明資安狀況,立即通報網路安檢小組請求協助支援

  44. 網路安檢師 • 網路安檢技術員之基本技能 • 熟悉兩種以上網路弱點掃描工具,以進行交叉比對 • 了解各漏洞發生原因,並能對各作業平台進行漏洞修補 • 具判讀最新資安威脅狀況的能力,並能修補該弱點 • 具備初步網路安全規劃能力

  45. 網路安檢師 (cont.) • 平時任務 • 各區網資料統合彙整 • 接收與發佈資安事件通報 • 支援網路安檢技術員處理資安問題 • 每3個月定期召開會議,向資安處理中心報告各區資安狀況

  46. 網路安檢師 (cont.) • 緊急事件處理 • 查明資安事件發生原因 • 執行資安通報之解決建議 • 確定各區影響範圍並評估受害狀況 • 若遭遇無法處理之不明資安狀況,立即通報資安處理中心請求協助支援

  47. 資訊安全長 • 網路安檢師所需具備之技能 • 熟悉並能判讀多種弱點掃描工具,並能對最危險狀況提出修補建議 • 了解目前最新漏洞狀況,並發佈通報 • 了解最新資安威脅產生原因與其所使用之漏洞原理,以支援所屬各單位資安狀況 • 具備網路安全規劃能力

  48. 資訊安全長 (cont.) • 平時任務 • 處理各區資安通報 • 統計各區受災狀況 • 提供網路安檢師技術服務與諮詢 • 特有事件的教育訓練 • 每半年定期召開工作會報,提供資安指導委員會資料建檔

  49. 資訊安全長 (cont.) • 緊急事件處理 • 確定影響範圍並評估解決方案 • 接受網路安檢小組之請求,提供立即的技術支援 • 統計災後受災情況

  50. 資安指導委員會 • 平時任務 • 制定及管理所有的資訊安全防護計劃 • 規劃危機處理程序 • 蒐集資訊安全最新資訊並通報下屬單位 • 每年召開會議,檢討各區危機處理狀況 • 執行緊急應變措施

More Related