区域联防之技术支援-成功大学.pptVIP

經濟部九十年度科技專案國家資通安全技術服務計劃 『區域聯防之技術支援』（南區） 賴溪松教授 國立成功大學計網中心主任 中華民國資訊安全學會理事長 TEL：(06)2757575-61001 FAX ：(06)2368855 E-Mail：laihcs@.tw URL：.tw 大綱 TANet簡介 校園網路安全之考量 校園網路安全現況 國內資安機構 安全防禦架構 結論 TANet簡介 校園網路：由學校之電算中心或相關單位負責規劃、建置與維護管理，系所配合規劃 校際網路：由區域網路中心、縣市網路中心與學校電算中心負責網路中心與該校連線之相關事宜；教育部與區域網路中心、縣市網路中心負責骨幹線路之正常順暢運作 國際網路：由教育部負責規劃、建置與維護等事宜 TANet簡介 (cont.) 國內主幹網路 第一層：以教育部、台大、政大、中央、交大、中興、中正、成大、中山、花師、東華與台東師院等校為區域網路中心，對外頻寬為ATM (120Mbps) TANet1(學術網路 -- 教育部): 70Mbps TANet2(研究網路 -- 國家高速電腦中心): 50Mbps 第二層： 27個縣市教育網路中心，對區域網路中心連線頻寬為ATM (45M)，部份縣市為T3，離島：澎湖縣、金門縣、馬祖分別為2*T1, T1, T1 TANet簡介 (cont.) 國際電路 89年10月擴充為STM1(155 Mpbs)專線連接美國加州 ATT WorldNet，與全球網際網路Internet互通 TANet1: 100Mbps, TANet2: 35Mbps, Sinica: 20Mbps 國內規模最大的資訊網路，且其在亞洲地區居領先地位，連線單位已超過4178個單位 至少有20萬個電腦節點，使用人數超過200萬 (89.12.31) 台灣學術網路骨幹架構圖 未來TANet網路架構(草案) 國際電路 STM1 *2 (今年底) STM1 *3 (明年底) 第一層 2-3 G 第二層 1 G TANet Upgrade Requirements Product/Routing Protocol Compatibility Netflow for IP/TCP Accounting WCCP for Web-Transparent Proxy Gigabit EtherChannel for Port Aggregation IPv6 for future usage Proven BGP for ISP/IDC IDS for Security Protection 校園網路安全之考量 機房與電腦主機實體之安全考量 避免大自然(如水災、雷擊等)各種自然災害 電腦機房之自動滅火系統的建置 建築安全 避免硬體設備受到無法預測因素(如停電、地震等)的傷害 異地備份（必須以距離隔離， 重要資料保持三代以上） 實體安全（ 機密性工作站專人管理） 備用電源（發電機，UPS等） 與外部連線之考量 利用密碼器、電子簽章及識別協定等資訊安全技術建立安全之通道及使用者連線之認證機制 保護自己在與外部連線通訊之隱私性及認證性 目前教育部電子公文系統正在建置中 網路服務之安全 避免遭外部駭客之入侵及病毒之散播 利用網路防火牆隔離不必要的連線 確保網路能正常服務 網路伺服器當機的緊急處理 定期安全健康檢查 駭客、病毒與網蟲的危機應變處理 監測網路連線狀況 內部人員之安全管理 員工、主管及網管人員應有不同存取權限，避免內部人員對機密資訊的危害 加強人員的資訊安全教育 關閉離職員工的存取權限 人員違反安全政策的處理 各人員下班後機密性資料的收藏 對經辦事務洩漏資訊的處理 稽核 詳細制定安全政策並確保安全政策及措施能順利進行 定期稽核資訊安全事項與追蹤 清查系統內部相關紀錄檔（例外事件、系統存取、登入登出系統紀錄等） 設定稽查小組由外部根據安全政策查核 參考標準 BS 7799、ISO 17799、「行政院及所屬各機關資訊安全管理規範」 校園網路安全現況 資訊安全政策尚未建立 內部人員管理薄弱 資訊安全管理制度尚未建立 資訊安全人員技能欠缺 資訊安全產品及工具缺乏 資安通報系統尚未建立 復原計劃尚未建立 稽核制度正建立中 校園網路主機安全現況 校園內弱點主機數 校園內弱點主機之作業系統統計 校園內弱通行碼破解統計 校園有弱點之主機數（以弱點類型區分） 校園內有弱點之主機數與所使用之作業系統 校園內某主機被破解之弱通行碼之種類統計圖 校園內sparc主機初步掃描結果 發現校園內工作站的漏洞 其中高危險的部分佔了26% 至於中危險的部分也佔了23% 系統的漏洞佔了總服務的49% 另外狀況不明尚須查明的佔51% 紅色(安全性漏洞) 該弱點主機允許入侵者在遠端執行