- 壹、區網中心經費使用
- 貳、區網中心人力運作
- 參、教育部補助區網中心之網管、資安及雲端人力的服務績效
- 肆、112年度經費與人力營運規劃(預估)
- 伍、網管及資安基礎資料
- 陸、111年度網路管理維運具體辦理事項與112年度營運方針
- 柒、111年度資安服務維運具體辦理事項與112年度營運方針
- 捌、特色服務
- 玖、110年度執行成效評量改進意見項目成效精進情形
壹、區域網路中心經費使用:
- 一、教育部核定計畫金額:$1,820,000元
- 二、教育部核定補助金額:$1,820,000元
- 三、區域網路中心自籌金額:$100,000元,補助比率95%
- 四、實際累計執行數(1月至至10月):$1,708,459元,執行率94%
貳、區域網路中心人力運作
- 一、資訊處人力數:39人 (內含大學甄選入學委員會及其他計畫人員)
- 二、區網中心人力數:專任人員2人 (網管人員及資安人員各1人)
- 三、區網中心2位專任人員均擁有ISO 27001主導稽核員證照
- 四、資訊處共有4人擁有ISO 27001主導稽核員證照
- 五、資訊處共有2人擁有BS 10012主導稽核員證照
參、教育部補助區網中心之網管、資安及雲端人力的服務績效
- 雲嘉區網中心107-110及111年皆配置專任網管人員一名,專任資安人員一名(111年3月異動),雲端管理則由兩位人員兼辦,其工作職掌如下:
-
類別 工作項目 網管人員 1.雲嘉區域網路中心TANet100G骨幹整體維運管理。
2.雲嘉區域網路中心RWD網站建置及維運管理。
3.ISMS資訊安全管理制度之ISO 27001導入及認證。
4.年度營運持續計畫BCP演練。
5.校園無線網路之建置及維運管理 (含跨校漫遊)。
6.雲嘉區網流量統計監控系統維運管理。
7.舉辦區網管理會及技術研討會。
8.資安法相關規範及應辦事項執行與管理。
9.協助中正大學個人資料管理規範導入與驗證。
10.協助中正大學及大學甄選入學委員會相關業務。
11.雲端服務推廣。資安人員 1.應用程式弱點掃描監測平台推廣。
2.教育部資安通報處理。
a.區網中心資安事件處理人員。
b.協助連線單位處理資安事件及審核。
c.提醒連線單位處理資安事件。
d.協助各單位進行教育部資安演練。
3.協助進行營運持續計畫BCP演練。
4.舉辦連線單位資安教育訓練課程。
5.網路監控系統—cacti建置與維運。
6.建置Log分析管理平台,讓管理者可輕鬆將所有進紀錄有效保存與分析應用。
7.區網虛擬主機管理與維運。
8.協助中正大學及大學甄選入學委員會資安相關業務。
9.舉辦區網管理會及技術研討會。
10.雲端服務推廣。 - 本中心資安人員主要協助連線單位進行資安事件通報處理,同時改善通報及處理時效,對於超過 30 分鐘仍未通報之學校,以電話進行即時通知為主,電子郵件通知為輔,以確保被通報單位能即時進行處理。
- 此舉在本年度通報平均時數、應變平均時數、事件平均時數皆獲得些許改善,但仍有進步空間,我們將參考其他區網的作法持續努力。
- 除工作職掌外,本中心維運人員與資安人員皆定期參與教育訓練,專任維運人員參加專業能力教育訓練課程及專任資安人員參加資訊安全相關教育訓練時數合計超過60 小時。
- 1. 專任網管人員具體服務績效:
- (1) 配合資訊及科技教育司政策,每年進行區網中心ISMS資訊安全管理制度之最新制度導入及認證,並協助教育機構資安驗證中心(ISCB)對部屬學校單位外部稽核驗證之工作。
- (2) 配合資安法及資通安全責任等級分級辦法,推行C級公務機關年度應辨事項,包含安全性檢測、資通安全健診、政府組態基準、資通安全職能訓練、資安內部稽核及核心系統導入ISO 27001管理制度驗證等工作。
- (3) 雲嘉區網網路中心維運管理
- 本年度 7/21舉辦區網管理會連線學校約60人出席參與,並由區網中心主任黃仁竑資訊長主持,會議加強連線學校eduroam建置推廣與協助、涉及詐欺案件之非法網站、IPv6應用推動現況、青少年網路內容防護計畫相關統計資料結果分析、各單位意見交流等說明、及教育部所屬公務機關資安稽核經驗分享,預計於11月8日再辦理本年度第二次管理會議。
- 2. 專任資安人員具體服務績效
- (1) 配合資訊及科技教育司進行資安通報及相關資安演練計畫,本年度資安通報演練,雲嘉區網於9/19-9/23進行,連線單位接於指定時間完成通報及應變,資通安全通報應變平台之所屬學校及單位的聯絡相關資訊完整度:100 %。
- (2) 配合教育部資安政策貫徹教育機構資安通報機制,本(111)年度雲嘉區網全體 1、2 級資安事件平均通報時數為0.089小時;優於通報規則所訂之一小時,資安事件通報之平均審核時數則為0.493小時。
- (3) 辦理區網管理會及技術研討會本年度於7/21辦理線上區網管理會1場次及資安技術研討會2場次,連線學校約60餘人出席參與。當天邀請講師針對資訊安全相關議題(資安零信任、情資分析…等)進行精闢且深入說明,與會者收穫滿滿,預計於11月8日再辦理區網管理會1場次與技術研討會2場次。
肆、112年度經費與人力營運規劃(預估)
- 區網中心續聘網管及資安人員,112年預估經費如下:
- 人事費:1,500,000元
- 業務費:350,000元
- 設備費:200,000元
- 總經費共計2,050,000元
伍、網管及資安基礎資料
- 一、區網中心連線彙整表 二、區網中心及連線學校資安事件處理效率
- 1. 資安責任等級:C(核定日期:110/06/09)。
- 2. 1、2級資安事件處理:
(1) 通報平均時數:0.089小時
(2) 應變處理平均時數:0.00小時
(3) 事件處理平均時數:0.418小時
(4) 通報完成率:100 %
(5) 事件完成率:100 %
- 3. 3、4級資安事件處理:
(1) 通報平均時數:0小時
(2) 應變處理平均時數:0小時
(3) 事件處理平均時數:0小時
(4) 通報完成率:0 %
(5) 事件完成率:0 %
- 資安事件通報審核平均時數:0.493小時
- 1. 資安通報應變平台所屬學校及單位的聯絡相關資訊完整度:100 %
- 2. 區網網路中心依資通安全應執行事項:
(1) 是否符合防護縱深要求? 是
(2) 是否符合稽核要求? 是
(3) 符合資安專業證照人數: 4 員
(4) 維護之主要網站進行安全弱點檢測比率: 100 %
-
項目 111年辦理情形 112年目標 (1) 召開區管理會之辦理情形及成果(含連線單位出席率、會議召開次數) 。 111/07/21辦理第一次管理會
111/11/08辦理第二次管理會
共計2場
上下半年各辦理一場,出席率90%以上。 (2) 骨幹基礎環境之妥善率。 100% 100% (3) 連線學校之網路妥善率。 100% 100% (4) 辦理相關人員之專業技術推廣訓練。 辦理1場次資通安全概論線上課程與4場次資安研討會,共計5場 預計至少辧理5場次。 (5) 連線學校之IPv4/IPv6推動完成率。 90% 100% (6) 協助連線學校之網管及資安工作。
●建立區網路維運管理機制。
●協助連線學校網路的維運或障礙排除(含諮詢) 。
●建立資安防護或弱掃服務(含諮詢)。
●建立連線學校相關人員聯繫管道及聯絡名冊。(1) 已建區網維運管理機制,並已運行多年。
(2) 持續協助連線學校網路維運及障礙排除。
(3) 持續推廣EVS網站弱點檢測服務,本年度共11個連線單位執行,共完成弱掃73個網站,總檢測次數為125次。
(4) 區網中心每半年更新相關連絡資訊名冊。(1) 再精進已建區網維運管理機制,預定於112年辧理優秀維運人員選拔。
(2) 持續協助連線學校網路維運及障礙排除,並再加強網路連線安全諮詢。
(3) 持續推廣本區域連線大專院校及高中職使用EVS網站弱點檢測服務,加強所屬連線單皆能使用此服務,以增加網站安全。
(4) 區網中心持續每半年更新相關連絡資訊名冊。(7) 服務滿意度。 90% 95%
三、區網中心配合教育部政策
四、區域網路中心維運事項辦理情形及目標
陸、網路管理維運具體辦理事項與明年度營運方針
-
一、111年度網路管理維運具體辦理事項
-
(一)建立網路維運監控機制
- (1) 在區網首頁即時公告最新網路故障、維護及網路設備漏洞相關訊息。
- (2) 透過LibreNMS網路與服務監控系統,針對下游單位做流量監測與管理,並監測網路裝置連線狀態及檢查服務運作狀態,即時控管網路狀況,一旦發現異常,立即通知使用單位處理。
- (3) 透過TippingPoint 2500N之網路威脅管理與防禦系統,即時瞭解資安事件動態,防範各種網路攻擊。
- (4) 透過Ntop流量監控軟體,監控區網網絡中各主機的流量狀態與排名、各主機占用的帶寬以及各時段的流量明細、區域網內各主機的路由、埠使用情況,並每天統計排名,超過流量之ip均立即通知所屬單位處理,以維護骨幹網路暢通。
- (5) 透過Cacti及MRTG流量監控及強大的圖形化能力,可以清楚瞭解各連線單位之間網路狀況及細部的流量分析,以協助網路狀況的排除。
具體作法:
-
(二)強化網路維運服務
- (1) 透過流量監測管理系統,建置即時網路氣象圖與整體性的動態圖形看版,能加強對上下游連線單位的網路狀況全面性監控,即時判斷網路故障狀況,協助連單位快速恢復網路服務。
- (2) 加強網路異常、故障及維修等即時公告機制,為了強化連線單位網路狀況通報反應,區網中心成立各連線單位通報群組,並在公告訊息的同時,發信至連線單位群組信箱,通知各單位網路維運人員做即時的處理。
- (3) 辦理相關網路應用之技術研討會,藉以提升連線單位網路應用與安全技術能力。
- (4) 透過LibreNMS多樣化的警報發送機制,即時掌控連線單位的網路服務狀況,立即進行網路故障通知及排除。
具體作法:
-
二、112年度網路服務目標(實施措施)
- (1) 因應資訊安全國際管理制度新版發佈,教育體系資通安全暨個人資料管理規範也已進行2019年版更新,區網中心將持續強化資安管理能力,111年度除了最新教版規範的導入外,並同時進行ISO27001國際標準制度的導入及驗證準備,以維持資安防護的能量。
- (2) 持續推動連線單位IPv6的應用,並採實地訪視單位之方式,協助技術能力較不佳的單位解決所遇到之困難點,110年目標連線單位完全都能啟用服務。
- (3) 建置網路及系統設定檔自動備份伺服器,強化服務設備故障復原機制,並透過營運持續演練(BCP)之測試,達到災難復原機制可靠性。
- (4) 辦理資安職能教育訓練專班協商,協助連線單位取得證書,降低因資安法要求事項而產生的人力、財力之負擔。
- (5) 推動連線單位建罝國際教育及科研機構間無線網路漫遊認證機制(Eduroam)之交換服務。
- (6) 配合教育部政策,導入中山大學不當資訊防護系統(TANWP)之防護技術,建置縣市教育網路中心所屬連線單位(國小、國中、高中職等)之不當資訊阻擋防禦,降低兒童及少年身心健康受侵害。
柒、資安服務維運具體辦理事項與明年度營運方針
-
一、111年度資安服務維運具體辦理事項
-
(一)建立網路安全防範機制
- (1) 110年建置之「教育部青少年內容防護計畫-不當資訊防護系統」,防護各縣市教育網路中心及區域網路中心所屬高中職連線單位,使用者欲前往不當網站時,系統將進行網站的阻擋。
- (2) 轉知「教育機構 ANA 通報平台」所發出的【漏洞預警通知】或【資安訊息】等通報資訊給各連線單位,並於區網首頁公告最新資安相關訊息,提供漏洞修補方式或協助採取相應的防範措施。
- (3) 協助區網中心所在學校中正大學透過 NGFW、IPS網路威脅管理與防禦系統,防範各種網路異常攻擊,與透過Whats Up Gold網路監控系統監控路由器狀況,確保網路流量順暢。
- (4) 在區網管理會議中加強宣導資通安全相關檢測工具系統(如:網站弱點掃瞄)之使用。
- (5) 由連線學校向區網中心申請,協助定期提供技服中心與TANet威脅名單給連線學校指定資安聯絡窗口,強化連線學校之外部威脅防堵。
具體作法:
-
(二)強化網路安全機制
- (1) 配合資訊及科技教育司,進行資安通報及相關資安演練計畫。
- (2) 完成本(111)年度台灣學術網路防範惡意電子郵件社交工程演練。
- (3) 於區網管理會議中請各連線單位確實配合執行「111年教育體系資安通報練畫」各單位資安負責人員均於 9月08日前,到教育機構資安通報平台完成密碼更新與機關資安連絡人連絡資訊確認。9月19日至9月23日進行實際演練,本年度轄下連線單位均能於規定時間內完成通報與應變。
- (4) 在每次的區網管理會議中宣導資安通報與應變措施,並請各單位資安通報負責人,務必在收到簡訊通知後一小時內上網完成通報與應變措施。
- (5) 配合教育部資安政策,貫徹教育機構資安通報機制。資安事件通報之審核平均為109年為0.11小時、110年為0.12小時、111年為0.493小時。
- (6) 提供連線學校相關資通安全技術與事件處理之支援協助,連線單位發生資安事並提出協助需求者盡力協助。
具體作法:
-
二、112年度資安服務目標(實施措施)
- (1) 持續推動網站應用程式弱點檢測平台,降低連線單位網頁被入侵風險。
- (2) 配合網頁弱點掃描,推動輔導連線單位進行主機系統弱點掃描,以達到核心系統全面檢測。
- (3) 執行網路安全防範機制,強化連線單位資安環境及防護能量,降低連線單位資安事件。
- (4) 每年進行營運持續計畫(BCP)及資安通報演練,藉以驗證此次資安環境可靠性。
- (5) 持續辦理資安研討會,藉此提升連線單位資訊安全技術能力,基於近年入侵攻擊有增加的趨勢,研討會考量以網頁或主機弱點為探討或技術主軸。
捌、特色服務
-
一、111年度服務特色辦理成效
- (1) 區網中心導入虛擬化技術建置雲端環境,提供DNS、Web服務,以加強網路服務的可用性同時降低這些實體主機成為DDoS 攻擊殭屍主機的風險。
- (2) 區網中心網站導入Cacti流量監控系統,以期能更精確呈現完整區網連線單位網路流量。
- (3) 執行111年度資安通報演練,在審核及時率、通報完成率、密碼更新率等各項處理時間與110年度相同,均為100%。
- (4) 本年度區網協助大學甄選入學委員會,導入智慧網路管理系統,將進出之網路流量進行檢查、清洗,並加快網路與資安設備故障排除速度。當資安設備或路交換器本身當機,可自動切換bypass,不會因Inline設備維護、當機或斷電等異常因素導致網路中斷,大幅提高網路服務可用性並降低資安事件發生率。
- (5) 本校自建置完成綠色機房以來,以冷熱通道的設計概念達到節能省碳的效果,同時在佈線上搭配不同顏色進行色彩管理,連線單位及所在相關單位相繼到校參訪。
-
二、未來創新服務目標與營運計畫
- (1) 核心系統導入ISO 27001驗證及符合資安法、個資法相關規範要求,持續強化資安管理能力,以維持資安防護能量。
- (2) 區網連線學校青少年網路內容防護系統建置及統計分析。
- (3) 強化連線單位網頁/系統弱點檢測量能。
- (4) 成立資通安全社群,增進區域學校經驗交流,協助彼此增長及問題解決。
- (5) 加強連線單位開源軟體(OSS)實務應用。
- (6) 基於資安法要求,所有網站系統皆須符合資通安全防護基準,本校為解決部分單位無法符合要求之系統,導入網站共構機制,將校內網站系統、DNS逐步向上集中,同時符合今年高教深耕計畫之資安專章主機系統向上集中資訊單位之要求。本校此的實施經驗得以提供給連線單位做為資安政策執行措施的參考。
玖、110年度執行成效評量改進意見項目成效精進情形
項次 | 項目 | 說明 |
1 | 透過 PRTG 網路監控及 IPS + NGFW 之網路威脅管理與防禦系統,所採出之成果數據較為不足。 | 導入LibreNMS與WhatsUp Gold進行網路即時監控與異常即時通知,能在網路發生異常狀況後立即發現並盡速了解問題 |
2 | 加強連線單位互動、資安服務案例可加強。 | (一)今年度已召開2場管理委員會與4場研討會。 (二)定期提供Tanet與技服中心連線威脅名單給有需要的連線學校,加強單位資通防護。 |
3 | 在成果報告中,對網路維運狀況應可提供更詳細的說明,以呈現維運常態。 | 本次報告區網中心將調整報告呈現方式,讓執行目標更明確,質化和量化敘述更清楚。 |
4 | 應每年針對網路維運研議新興技術,以充分呈現持續自我精進之動力。 | 區網人員持續相關技術的學習及精進,本年度引進WhatsUp Gold技術進行網路即時監控及異常即時提醒,並加強對資料的分析及各項數據的呈現,迅速判斷問題,增加網路營運的穩定性。 |
5 | 建議思考尋求符合學校或區域特性的特色服務,將更能呈現區網的特色亮點。 | 同項次1說明,降低發現問題的時間,藉此以提升區網整體網路品質。 |
6 | 教育訓練課程宜具體規劃網路及資安相關議題,並持續尋求數位化保存。 | 本年度已辦理研討會(含教育訓練)共4場次,相關教材皆放置於區網中心網站,提供連線單位下載。 |
7 | 年度目標應呈現區網中心服務品質之自我要求,例如;網路妥善率、eduroam,宜用更清楚的質化和量化敘述來呈現。 | 本次報告區網中心將調整報告呈現方式,讓執行目標更明確,質化和量化敘述更清楚。 |
8 | 建議可思考如何協助轄下各級機關學校符合資通安全管理法相關要求,若有相關問題可考慮那些問題區網可協助解決,那些要反映給教育部處理。 | 區網中心角色對轄下單位為服務性質,透過宣導方式請連線單位多加注意與遵守資通安全法規。 目前藉由管理委員會加強宣導資通安全管理法規重要性並分享本校近期相關措施的實施經驗提供連線單位參考,研討會與線上課程則多以資安相關議題或技術為主,提升連線學校資安意識與防護能力。區網方面可協助對於資通安全法的實務經驗分享與技術諮詢。 |
9 | 連線單位使用 IPv6 達成率已達 90.5%,建議明年度可完成 100%。 | 還未啟用的學校為長庚科技大學(嘉義校區)及中國醫藥大學(北港校區)。長庚科大校本部學網連接中研院 因素,目前校本部也未有升級,中醫大北港校區長期在台中區網開會,也已請台中區網溝通多次,都未有下文。 |
10 | 連線單位啟用 EDUROAM 服務達成率為 75%,建議明年度可完成 100%。 | 今年進度已完成90%,2所未提供服務之私校,因設備較舊未能支援加密機制,再加上無使用之需求,沒有意願升級提供服務。 |