114年雲嘉區域網路中心服務報告
National Chung Cheng University Computer Center
114年度報告內容
- 壹、網路中心經費使用
- 貳、區網中心人力運作
- 參、資安及雲端人力的服務績效
- 肆、115年度經費與人力營運規劃
- 伍、網管及資安基礎資料
- 陸、114年度網路管理維運具體辦理事項與115年度營運方針
- 柒、114年度資安服務維運具體辦理事項與115年度營運方針
- 捌、特色服務
- 玖、113年度執行成效評量改進意見項目成效精進情形
一、資訊處人力數:38人 (內含大學甄選入學委員會及其他計畫人員)
二、區網中心人力數:專任人員2人 (網管人員及資安人員各1人)
三、區網中心2位專任人員均擁有ISO 27001主導稽核員證照
四、資訊處共有8人擁有ISO 27001主導稽核員證照
五、資訊處共有6人擁有ISO 27701主導稽核員證照
六、資訊處共有14人擁有CEH道德駭客認證
雲嘉區網中心111-113及114年皆配置專任網管人員一名及專任資安人員一名,雲端管理則由兩位人員兼辦,其工作職掌如下:
| 類別 | 工作項目 |
|---|---|
| 網管人員 | 1.雲嘉區域網路中心TANet100G骨幹整體維運管理。 2.雲嘉區域網路中心網站建置及維運管理。 3.ISO 27001資訊安全管理制度導入及認證。 4.年度營運持續計畫BCP演練。 5.校園無線網路之建置及維運管理 (含跨校漫遊)。 6.雲嘉區網流量統計監控系統維運管理。 7.舉辦區網管理會及技術研討會。 8.資安法相關規範及應辦事項執行與管理。 9.區網中心個人資料管理規範導入與驗證。 10.區網中心虛擬主機管理與維運。 11.高中職社群服務與資安研習。 12.區網CDN維運建置與管理。 13.協助中正大學及大學甄選入學委員會相關業務。 |
| 資安人員 | 1.應用程式弱點掃描監測平台推廣。 2.教育部資安通報處理。 a.區網中心資安事件處理人員。 b.協助連線單位處理資安事件及審核。 c.提醒連線單位處理資安事件。 d.協助各單位進行教育部資安演練。 3.年度營運持續計畫BCP演練。 4.舉辦連線單位資安教育訓練課程。 5.網路監控系統—cacti建置與維運。 6.建置Log分析管理平台,讓管理者可輕鬆將所有進紀錄有效保存與分析應用。 7.區網虛擬主機管理與維運。 8.協助中正大學及大學甄選入學委員會資安相關業務。 9.舉辦區網管理會及技術研討會。 10.雲端服務推廣。 |
(一)、區域網路中心連線資訊彙整表
(二)、區域網路中心資訊安全環境整備
(1)區域網路中心及連線學校資安事件緊急通報處理之效率及通報率。
1. 資安責任等級:C(核定日期:110/06/09)。
2. 1、2級資安事件處理:
(1) 通報平均時數:0.14小時
(2) 應變處理平均時數:0.23小時
(3) 事件處理平均時數:0.73小時
(4) 通報完成率:100 %
(5) 事件完成率:100 %
3. 3、4級資安事件處理:
(1) 通報平均時數:0小時
(2) 應變處理平均時數:0小時
(3) 事件處理平均時數:0小時
(4) 通報完成率:0 %
(5) 事件完成率:0 %
資安事件通報審核平均時數:0.42小時
(2)區域網路中心配合本部資安政策。
1. 資通安全通報應變平台之所屬學校及單位的聯絡相關資訊完整度:100 %。
2. 區網網路中心依資通安全應執行事項:
1. 資安通報應變平台所屬學校及單位的聯絡相關資訊完整度:100 %
2. 區網網路中心依資通安全應執行事項:
(1) 是否符合防護縱深要求? 是
(2) 是否符合稽核要求? 是
(3) 符合資安專業證照人數: 7 員
(4) 維護之主要網站進行安全弱點檢測比率: 100 %
(三)、區域網路中心維運事項辦理情形及目標
| 項目 | 114年辦理情形 | 115年目標 |
|---|---|---|
| (1) 召開區管理會之辦理情形及成果(含連線單位出席率、會議召開次數) 。 | 召開次數:2次 出席率:91% |
召開次數:2次 預期出席率:95% |
| (2) 骨幹基礎環境之妥善率。 | 99.99% | 99.99% |
| (3) 連線學校之網路妥善率。 | 99.99% | 99.99% |
| (4) 辦理相關人員之專業技術推廣訓練。 | 場次:共6場 人次:共60人次 |
預計場次:共6場 預計人次:共60人次 |
| (5) 連線學校之IPv4/IPv6推動完成率。 | 90%(本年度新增2所學校) | 100% |
| 協助連線學校之網管及資安工作: | ||
| 建立區網路維運管理機制。 | 主要管理機制為何(請簡述): 1. 持續應用WhatsUP Gold監控網路及系統服務。 2. 建立區網Line群組,及時交換網路情資。 |
未來管理機制(維持或新增) (請簡述): 1. 強化網路管理之即時資訊接收,開發透過如Telegram、DiscordBot等自動化通報功能。 |
| 協助連線學校網路的維運或障礙排除(含諮詢)。 | 2次 | 2次 |
| 建立資安防護或弱掃服務 (含諮詢)(達成率百分比)。 | 100%(共5所,完成5所) | 預計完成5所 |
| 建立連線學校相關人員聯繫管道及聯絡名冊。 | 共21所,達成幾所:21 | 共21所,達成幾所:21 |
| (6) 服務滿意度(百分比)。 | 98% | 99% |
一、114年度網路管理維運具體辦理事項:
(一)建立網路維運監控機制具體作法:
1.在區網首頁即時公告最新網路故障、維護及網路設備漏洞相關訊息。
2.透過 Cacti 流量監控及強大的圖形化能力,可以清楚瞭解各連線單位之間網路狀況及細部的流量分析,以協助網路狀況的排除。
3.透過 WhatsUp Gold 網路與服務監控系統,針對連線單位做流量監測與管理,並監測網路裝置連線狀態及檢查服務運作狀態,即時控管網路狀況,一旦發現異常,立即通知使用單位處理。
4.透過 TippingPoint 2500N 之網路威脅管理與防禦系統,即時瞭解資安事件動態,防範各種網路攻擊。
5.透過 WhatsUp 流量監控工具,監控區網網絡中各主機的流量狀態與排名、各主機占用的頻寬以及各時段的流量明細、區域網內各主機的路由、埠使用情況,並每天統計排名,超過流量之 ip 均立即通知所屬單位處理,以維護骨幹網路暢通。
6.利用 rancid 工具,定期每週自動備份核心路由器設定檔,備份狀態自動寄信通知負責人。
(二)強化網路維運服務具體作法:
1.透過流量監測管理系統,建置即時網路氣象圖與整體性的動態圖形看版,能加強對上下游連線單位的網路狀況全面性監控,即時判斷網路故障狀況,協助連單位快速恢復網路服務。
2.加強網路異常、故障及維修等即時公告機制,為了強化連線單位網路狀況通報反應,區網中心成立各連線單位通報群組,並在公告訊息的同時,發信至連線單位群組信箱,通知各單位網路維運人員做即時的處理。
3.辦理相關網路應用之技術研討會,藉以提升連線單位網路應用與安全技術能力。
4.透過 WhatsUp Gold 警報發送機制,即時掌控連線單位的網路服務狀況,立即進行網路故障通知及排除。
二、115年度網路管理營運方針:
1.深耕資通社群運作,增進區域學校經驗交流,協助彼此增長及問題解決。
2.提升網路與資安管理相關技術或工具分享,強化連線單位實務應用能力。
3.協助輔導高中職導入 ISMS 資訊安全管理系統及 PIMS 個資安全管理系統。
4.區網中心導入新版 ISO 27001:2022 國際標準,持續強化資安管理能力,以維持資安防護能量。
一、114年度資安服務維運具體辦理事項:
(一)建立網路安全防範機制具體作法:
1.開發資安通報LineBot,提供除簡訊、郵件外的三個資安事件即時通知之平台,協助連線單位能盡早知悉資安事件並處理。
2.轉知「教育機構 ANA 通報平台」所發出的【漏洞預警通知】或【資安訊息】等通報資訊給各連線單位,並於區網首頁公告最新資安相關訊息,提供漏洞修補方式或協助採取相應的防範措施。
3.區網中心協助中正大學及大學甄選委員會透過DDoS、IPS網路威脅管理與防禦系統,防範各種網路異常攻擊,與透過Whats Up Gold網路監控系統監控路由器狀況,確保網路流量順暢。
4.配合ASOC定期提供之物聯網設備曝險名單,通知連線學校進行修補並追蹤。
5.持續於區網管理會議中加強宣導物聯網設備外網曝險情形,分享相關情資搜尋引擎之介紹使用(如:shodan)。
6.持續推廣成大EVS平台及交大教育體系網站弱掃平台,鼓勵連線單位多加利用友善資源。
7.由連線學校向區網中心提出申請,並定期提供資安院與TANet之C2威脅黑名單給連線學校之指定資安聯絡窗口,強化連線學校對外部惡意主機之防護。
8.高中職以下連線單位較無資安檢測工具相關資源,協助連線高中職到點進行設備資安檢測,以強化連線學校設備之資安防護。
(二)強化網路安全機制具體作法:
1.配合資訊及科技教育司,進行資安通報及相關資安演練計畫。
2.完成本(114)年度台灣學術網路防範惡意電子郵件社交工程演練。
3.於區網管理會議中請各連線單位確實配合執行「114年教育體系資安通報練計畫」各單位資安負責人員均於 8月31日前,到教育機構資安通報平台完成密碼更新與機關資安連絡人連絡資訊確認。9月8日至9月12日進行實際演練,本年度轄下連線單位均能於規定時間內完成通報與應變。
4.在每次的區網管理會議中宣導資安通報與應變措施,並請各單位資安通報負責人,務必在收到簡訊通知後一小時內上網完成通報與應變措施。
5.配合教育部資安政策,貫徹教育機構資安通報機制。資安事件通報之審核平均112年為0.47小時、113年為1.14小時、114年為0.42小時。
6.提供連線學校相關資通安全技術與事件處理之支援協助,連線單位發生資安事並提出協助需求者盡力協助。
二、115年度資安服務目標(實施措施)
1.推動輔導高中職連線單位進行網頁弱點掃描,核心系統安全性檢測,預計完成6所。
2.每年進行營運持續計畫(BCP)及資安通報演練,藉以驗證此次資安環境可靠性。
3.執行網路安全防範機制,強化連線單位資安環境及防護能量,降低連線單位資安事件。
4.持續協助高中職以下連線單位進行全面性主機系統弱點掃描,強化資安防護,預計協助完成5所學校。
5.持續辦理資安研討會,提升連線單位資訊安全技術能力,預計辦理6場。
一、114年度服務特色辦理成效
1.開發LineBot資安事件即時通報系統,以除簡訊及信箱外第三個即時通報平台。
2.區網中心協助連線單位高中職學校進行主機設備資安檢測,提升設備安全性,強化單位資安防護能力。
3.本校自建置完成綠色機房以來,以冷熱通道的設計概念達到節能省碳的效果,同時在佈線上搭配不同顏色進行色彩管理,連線單位及所在相關單位相繼到校參訪。
4.區網中心網站導入 Cacti 流量監控系統,以更完整精確呈現區網連線單位網路流量。
5.執行 114 年度資安通報演練,在審核及時率、通報完成率、密碼更新率等各項處理時間與 113年度相同,均為 100%。
二、115年未來創新服務目標與營運計畫
1.開發自動化網路異常事件通報系統,提供連線單位當網路服務疑似異常發生時可即時知曉並採取因應措施。
2.輔導高中職連線單位導入資安(ISMS)及個資(PIMS)管理制度,並強化資安管理能力,維持資安防護能量。
3.持續協助高中職以下連線單位進行主機設備資安檢測,降低攻擊與入侵風險,強化單位資安防護能力。
三、創新特色議題
1.深耕資通安全社群,增進區域學校經驗交流,協助彼此增長及問題解決。
2.運用AI運算模型,分析監控資料並判斷網路正常及異常狀態。
| 項次 | 項目 | 說明 |
|---|---|---|
| 1 | 區網管理於今年假日時遭受DDoS攻擊,但至次日才發現並進行DDoS流量清洗,建議未來可強化自動偵測及通報機制,及時阻止網路攻擊,以維持網路服務持續可用性。 | 1.本案最早發現的時間約為周日凌晨00:05(監控設備發出訊息),由於該時段業務相關人員均為休息狀態不便立即處理且疑似攻擊行為持續約10分鐘即結束,本案業務主管體諒部屬同意上午處理。 2.當日約07:25業務相關人員接獲訊息後立即進行確認,並請區網中心協助申請DDoS清洗,於12:00左右流量經清洗後逐漸下降,單位亦重新審視及調整DDoS防護設備設定 3.依現行DDoS清洗申請流程由連線單位提出申請後需經區網中心審核確認為DDoS事件後續才向DDoS清洗申請平台提出申請。因DDoS清洗會影響網路路由,為避免因路由變更導致連線單位系統服務無法正常提供,區網中心花費時間判斷事件是否屬實。 4.依現況全台僅北區SOC具備DDoS清洗設備,而DDoS防護設備對區網中心而言價格不斐,目前若需有效阻止DDoS攻擊流量仍仰賴北區SOC之清洗設備,仍需一段作業時間無法及時阻止。 |
| 2 | 網路監控使用第三方軟體,建議仍須注意相關資安問題,如版本更新、是否為陸製產品等,如有自行開發軟體,則建議注意弱點問題及辦理源碼檢測。 | 1. 由廠商維護之第三方軟體及服務會每週開會並確認維運狀況。 2.以開源軟體建置之監控服務每月確認更新,如遇重大漏洞情資會立即處理(例如113年cacti的重大漏洞CVE-2024-29895及CVE-2024-25641等) |
| 3 | 本區網已經維運多年,特色服務為何?明年有無創新的精進措施或規劃? | 1. 本年度參考其他區網經驗,嘗試開發自動化資安通報系統,提供連線單位更即時的訊息接收。 2.明年度將依系統運作狀況做為經驗,規劃開發網管警報自動化即時通知系統。 |
| 4 | 目前經費是否足夠?未來如經費減少或暫時凍結時,建議學校預為適度規畫,且若有人員異動時,建議可規劃完善交接,並針對人員空窗期適度因應。 | 1.可依學校行政借支程序,先辦理計畫經費預支。 2.依委員建議,建立人員交接制度,目前維運人員穩定。 |
| 5 | 應有適當控制措施來處理當發生如DDOS的處理流程。 | 依臺灣學術網路分散式阻斷服務(DDoS)通報應變作業指引作業辦理,由區網協助連線單位申請清洗。 |
| 6 | 113年資安事件通報審核為1.14小時,宜找出原因,並制定相關控制措施以減少平均時數。 | 1.經查本案為連線單位113年資安攻防演練計畫因網站存在漏洞所提之自行通報,當日前後共通報7件資安事件且鄰近下班時間,承辦人員疏漏3件於隔日上班才審核。 2. 針對自行通報之流程與連線單位協調,以避免相同情況再度發生。 3. 本年度已大幅縮短至0.42小時。 |
| 7 | 宜訂定114年度資安服務目標/營運重點工作項目的KPI,以利追蹤查核。 | 依委員建議明列工作KPI指標,請參考本年度年終成果基礎資料彙整表。 |
| 8 | 對年終成果報告相關文件的及時性及齊備性,建議應改善。 | 依委員建議辦理。 |
| 9 | 對教育部補助貴區網中心之網管、資安及雲端人力的服務績效,目前所呈現係以任務為主,建議能有相關服務具體績效的呈現說明 | 依委員建議辦理,請參考本年度年終成果基礎資料彙整表。 |
| 10 | 對本區連線學校之網路使用情形分析,建議可再增加各級學校實際流量佔比相關資訊的揭露 | 依委員建議,採用LibreNMS開源系統進行分析統計。 |
| 11 | 對所列特色有高中職社群服務與資安研習,建議可以連線學校網路維運相關工作為主軸 | 依委員建議,增加網路維運相關工作分享,請參考簡報說明。 |
| 12 | 依教育部推動智慧網管的政策,建議除現行whats UP、cacti、weathermap外,亦能有發展及時性的網管維運障礙排除的資訊偵測機制 | 在原有資源基礎上,建立戰情監控機制,即時掌控網路運作狀況並排除障礙。 |
| 13 | 對區網中心所轄連線單位屬全國性的服務者,如大學甄選入學委員會,建議列示區網中心與該服務的資安等級? | 1.教育部尚未核定大學甄選委員會資安等級,現行單位依資安等級B級辦理。 2.區網中心依教育部核定為C級,但有觸及甄委會業務部分,則採用B級資安防護規定辦理。 |
| 14 | 對連線學校配合TANet的網路維運推動政策的指標,如eduroam等,若因學校自身因素有未能完成者,建議列明原因後建議持續追踪即可。 | 連線學校為私立學校,因少子化招生不如預期,將持續溝通追蹤。 |
| 15 | 對未來營運計畫所列之網路維運上較缺乏,建議補充。 | 強化網路維運管理,建立網路異常偵測及自動化通報機制,協助連線單位取得最快最即時的網路訊息。 |
| 16 | 對所轄高中職及大專校院之連線學校使用IPv6的動機相較縣市網路中心低,建議分析討探是否有技術性的成因,若為認知的差異造成誤解時可於區會議或訓練時給予適時的解惑。 | 連線學校認為IPv6的使用,在網路維運及資安管理的問題處理上成本會大量增加,而且無法快速的排除問題。 |