經濟部九十年度科技專案國家資通安全技術服務計劃『區域聯防之技術支援』（南區）

1

經濟部九十年度科技專案國家資通安全技術服務計劃

『區域聯防之技術支援』（南區）賴溪松教授

國立成功大學計網中心主任中華民國資訊安全學會理事長TEL ： (06)2757575-61001

FAX ： (06)2368855E-Mail ： [email protected]

URL ： http://crypto.ee.ncku.edu.tw

mailto:[email protected]

2Cryptology & Network Security Lab.

大綱 TANet 簡介校園網路安全之考量校園網路安全現況國內資安機構安全防禦架構結論


TANet 簡介校園網路：由學校之電算中心或相關單位負責規劃、建置與維護管理，系所配合規劃校際網路：由區域網路中心、縣市網路中心與學校電算中心負責網路中心與該校連線之相關事宜；教育部與區域網路中心、縣市網路中心負責骨幹線路之正常順暢運作國際網路：由教育部負責規劃、建置與維護等事宜


TANet 簡介 (cont.) 國內主幹網路

第一層：以教育部、台大、政大、中央、交大、中興、中正、成大、中山、花師、東華與台東師院等校為區域網路中心，對外頻寬為 ATM (120Mbps) TANet1( 學術網路 -- 教育部 ): 70Mbps TANet2( 研究網路 -- 國家高速電腦中心 ): 50Mbps

第二層： 27 個縣市教育網路中心，對區域網路中心連線頻寬為 ATM (45M) ，部份縣市為 T3 ，離島：澎湖縣、金門縣、馬祖分別為 2*T1, T1, T1


TANet 簡介 (cont.) 國際電路

89 年 10 月擴充為 STM1(155 Mpbs) 專線連接美國加州 AT&T WorldNet ，與全球網際網路 Internet 互通 TANet1: 100Mbps, TANet2: 35Mbps, Sinica: 20Mbp

s 國內規模最大的資訊網路，且其在亞洲地區居領先地位，連線單位已超過 4178 個單位至少有 20 萬個電腦節點，使用人數超過 200 萬

(89.12.31)


STM-1*4

交通大學清華大學高速電腦中心台灣大學

教育部

中研院中央大學

中興大學

成功大學中山大學台東師院

東華大學

T3STM-1*2

120M

T3

120M

120M 120M

T3

政治大學

中正大學

花蓮師院

120MSTM-1

T3

T3

台灣學術網路骨幹及中華電信超高速數據交換網路

STM-4*1

STM-4*1 ATM 155M

台灣學術網路骨幹架構圖資料來源：教育部電算中

心


台灣學術網路骨幹網

路國家高速電腦中心

中興大學

中央大學

政治大學

中正大學

90年 2月

臺灣大學

教育部中研院

東華大學

花蓮師院

台東師院

台北市( 市立師院 ) 台北縣( 大觀國小 ) 基隆市( 海洋大學 )

宜蘭縣( 宜蘭國中 )

苗栗縣( 聯合技術學院)

新竹縣( 教師研習中心 )新竹市( 東門國小)

花蓮縣( 美崙國中 )

高雄市( 中正高工 )高雄縣( 五甲國小 )澎湖縣( 澎湖海專 )

台南市( 大港國小 ) 台南縣( 教育局 )

嘉義市( 蘭潭國小 )

嘉義縣( 頂六國小 )

雲林縣( 雲林科大 )

台中縣( 教育局 )

南投縣( 漳興國小 ) 彰化縣( 彰化師大 ) 台中市( 居仁國中 )

馬祖( 介壽國中小 ) 金門縣( 金城國中 ) 桃園縣( 建國國中 )

縣網 45Mbps

區網 ATM SW

台東縣( 教育局 )

屏東縣( 屏東科大 )( 和平國小 )

成功大學中山大學 2*T1

T1

T1

交通大學清華大學 OC

12

OC 3 + T3

OC 3

OC 3

OC 3

OC 3

OC 3

OC 3

OC 12

OC12 +OC3 *2

T 3

T 3

T 3

資料來源：教育部電算中心


未來 TANet 網路架構 ( 草案 ) 國際電路

STM1 *2 ( 今年底 ) STM1 *3 ( 明年底 )

第一層 2-3 G 第二層 1 G


TANet Upgrade 架構 ( 草案 ) GE-ZX(70KM)/GE-LX(10KM)

GE-LX(10KM)

GE-ZX(70KM)

TANet

20Gbps

L2 Backbone

1G


C6509

C7513

c6509

縣市網

C6509

GE-ZX(70KM)

GE-LX(10KM)

GE-LX(10KM)

大專

大專

區網建議架構 ( 草案 )

SLB/IDS

Backbone Area 0

Area 140.116.0.0

TANet

Backbone

…

1G


TANet Upgrade Requirements Product/Routing Protocol Compatibility Netflow for IP/TCP Accounting WCCP for Web-Transparent Proxy Gigabit EtherChannel for Port Aggregation IPv6 for future usage Proven BGP for ISP/IDC IDS for Security Protection


校園網路安全之考量

機房與電腦主機實體之安全考量

網路服務之安全考量

內部人員之安全管理

與外部連線之安全考量

稽核5

4

3

2

1


機房與電腦主機實體之安全考量避免大自然 ( 如水災、雷擊等 ) 各種自然災害電腦機房之自動滅火系統的建置建築安全避免硬體設備受到無法預測因素 ( 如停電、地震等 ) 的傷害異地備份（必須以距離隔離，重要資料保持三代以上）實體安全（機密性工作站專人管理）備用電源（發電機， UPS 等）

機房與電腦主機實體之安全

網路服務之安全


與外部連線之安全

稽核


與外部連線之考量利用密碼器、電子簽章及識別協定等資訊安全技術建立安全之通道及使用者連線之認證機制保護自己在與外部連線通訊之隱私性及認證性目前教育部電子公文系統正在建置中





稽核


電子公文系統

• Developed a non-repudiation mechanism for electronic messing ( 1998)• More than 1,000 government units and more than 3,000 officers exchanging signed mails over GSN


網路服務之安全避免遭外部駭客之入侵及病毒之散播利用網路防火牆隔離不必要的連線確保網路能正常服務網路伺服器當機的緊急處理定期安全健康檢查駭客、病毒與網蟲的危機應變處理監測網路連線狀況





稽核


內部人員之安全管理員工、主管及網管人員應有不同存取權限，避免內部人員對機密資訊的危害加強人員的資訊安全教育關閉離職員工的存取權限人員違反安全政策的處理各人員下班後機密性資料的收藏對經辦事務洩漏資訊的處理





稽核


稽核詳細制定安全政策並確保安全政策及措施能順利進行定期稽核資訊安全事項與追蹤清查系統內部相關紀錄檔（例外事件、系統存取、登入登出系統紀錄等）設定稽查小組由外部根據安全政策查核參考標準 BS 7799 、 ISO 17799 、「行政院及所屬各機關資訊安全管理規範」





稽核


校園網路安全現況資訊安全政策尚未建立內部人員管理薄弱資訊安全管理制度尚未建立資訊安全人員技能欠缺資訊安全產品及工具缺乏資安通報系統尚未建立復原計劃尚未建立稽核制度正建立中


校園網路主機安全現況校園內弱點主機數校園內弱點主機之作業系統統計校園內弱通行碼破解統計


校園有弱點之主機數（以弱點類型區分）

0

10

20

30

40

50

60

70

80

90主機數目

弱點類型

1數列 7 3 20 29 82 68 41 8 50

無限制之rsh存取

舊版本之sendmail

X無效之伺服器存取控制

從任意主機存取遠端執行守

NFS無限制的輸出

NFS被無權限之程式存取

NFS透過portmapper輸出

TFTP透過存取任意的檔案

可寫入之FTP主目錄


校園內有弱點之主機數與所使用之作業系統

0%

20%

40%

60%

80%

100%

主機數百分比

作業系統類型

沒弱點之數 38 13 8 34 32 1 16 9 82 23 1 6 2 3133有弱點之數 2 17 0 25 1 0 6 8 48 2 0 4 0 48

4.4 BSD AI X APOLLO HP LI NUX NEXT OSF SGI SUN SYSTEM V Sequent Ul tri x VMX 其他


校園內某主機被破解之弱通行碼之種類統計圖演藝人員

2%著名運動員

3%其他人名

10%電影及動畫片名

2%電腦游戲

1%專業名詞

5%地名1%重覆之字元

4%

其他15%

羅馬拼音字5%

英文單字或片語8%

有順序字元2%

日文拼音2%

品牌名稱2%

電腦名詞1%

帳號37%

演藝人員

著名運動員

其他人名

電影及動畫片名

電腦游戲

專業名詞

地名

重覆之字元

其他

羅馬拼音字

英文單字或片語有順序字元

日文拼音

品牌名稱

電腦名詞

帳號


校園內 sparc 主機初步掃描結果發現校園內工作站的漏洞

其中高危險的部分佔了 26% 至於中危險的部分也佔了 23%

系統的漏洞佔了總服務的 49% 另外狀況不明尚須查明的佔 51%


Result of the scanning(2001.10.16)

351%

223%

126%

123

掃描結果說明:(1)

紅色代表高危險

(2)

黃色代表中危險

(3)

棕色代表不明但需檢

查


紅色 ( 安全性漏洞 ) 該弱點主機允許入侵者在遠端執行伺服器上的任何指令，甚至可以繞過程序的安全機制，無須登錄便能在伺服器上執行系統指令

黃色 ( 安全性警告 ) 主機上有某些設定不當，可能允許攻擊者將伺服器的硬碟灌滿入侵者可瀏覽系統上的部分 ( 或全部 )文件

棕色 (狀況不明尚待查 ) 依據伺服軟體與 patch程度的不同，可能存在 /不存在漏洞


國內資安機構 CERT組織

TW-CERT (http://www.cert.org.tw/) 服務對象為全國民眾與企業團體

GSN-CERT (http://www.gsn-cert.nat.gov.tw/) 服務對象為政府機關

政府機關國家資通會報技術服務中心(

http://www.ncert.nat.gov.tw/infosec/techservice/index.asp)

中華民國資訊安全學會 (http://www.ccisa.org.tw/)

http://www.cert.org.tw/

http://www.gsn-cert.nat.gov.tw/

http://www.ncert.nat.gov.tw/infosec/techservice/index.asp

http://www.ncert.nat.gov.tw/infosec/techservice/index.asp

http://www.ccisa.org.tw/


國內資安機構 (cont.) 密碼產品

軟硬體類網安科技數位簽章機、晶片讀卡機等財鑫科技條碼刷卡機、 IC卡讀卡機、磁卡等寬華資訊網路安全相關軟硬體研發元碩公司 IC卡 (Smart卡 )讀寫機研發與製造等凌航科技 Smart cards 、 Java cards 、 IC 設計台灣通信 FAX 、 ISDN話機、 DAML 等


國內資安機構 (cont.) 密碼產品

服務纇中華電信

電信服務與研究發展星友科技

指紋監控系統、光學文字閱讀機的研發與技術諮詢服務六合安全工程

通訊網路系統及密碼模組系統應用之規劃與相關技術服務


國內資安機構 (cont.) 網路安全產品

軟硬體台華科技網路安全、防火牆趨勢科技研發防毒程式賽門鐵克研發防毒程式鈺松科技弱點稽核軟體、入侵偵測軟體、風險管理軟體立駭科技入侵偵測，網路保全服務，系統整合等


國內資安機構 (cont.) 八風資訊網路安全控管及防火牆台聯資訊網路安全與電子支付系統安全廠商思科 (Cisco Systems, Inc.) 路由器與防火牆廠商凌群電腦代理資安產品： firewall-1 、 Virusafe 等精誠資訊代理的網路安全產品富揚資訊代理 eTrust Intrusion Detection 、

SonicWALL 、 GNAT Box 等 …


國內資安機構 (cont.) 網路安全產品

服務類華岩科技 Intranet 規劃建置、 Internet諮詢服務普華資安資訊安全諮詢顧問服務諮安科技提供資訊安全解決方案、教育訓練衛道科技提供網路安全解決方案 …


目前資安通報之缺陷以 CodeRed(紅色警戒 ) 網蟲為例，各公司均推出解毒方案，包含

微軟公司的 CodeRedCleanup.exe 趨勢科技的 FxCodeC.exe Symantec公司的 FixCRed.exe …


目前資安通報之缺陷 (cont.) 但各程式大都僅放置於各公司網頁伺服器上，除非特定搜尋，否則一般網管人員可能會忽略各家公司病毒處理的方式不同，使用介面與清除乾淨的程度也不盡相同，因此往往會造成民眾的無所適從對於遭受攻擊的主機管理者，若平時無注意國內 CERT 的組織，對於受害情況往往不知如何處理與通報


區域聯防組織架構 ( 草案 ) 參考目前 TANet組織架構，在不影響目前學術網路架構的前提下，建立一分層負責的組織架構

由上對下發布資安通報與系統維護支援由下對上提出資安損害統計與支援請求


高高屏區網中心

台南市各中小學



台南市網

台南縣各中小學



台南縣網台南各大專院校台南高中職

台南區網中心

雲嘉區網中心

南區區域聯防中心

東區區域聯防中心

中區區域聯防中心

北區區域聯防中心

TANet聯防中心

國家資訊通訊安全會報(NICST)

區域聯防架構圖 ( 草案 )

CERT(TW-CERT/GSN-CERT)


區域聯防架構圖 (草案 )資安指導委員會

資訊安全長

網路安檢師網路安檢技術員

網路安檢小組

資安處理中心NICST/TANet 聯防中心

各區區域聯防中心各縣市網、區網中心/大專院校各縣市中小學 / 高中職


區域聯防架構 ( 草案 ) 各縣市中小學及高中職設立網路安檢技術員 1-2 人，負責伺服器的管理、維護、資安事件通報，可由現任網管人員兼任各縣市網、區網中心與大專院校設立網路安檢小組，含網路安檢師 5-6 人，負責各區網資料統合彙整、資安事件通報、支援網路安檢技術員處理資安問題


區域聯防架構 ( 草案 ) (cont.) 各區域聯防中心成立資安處理中心，由資訊安全長 10 人組成，專職處理各區資安通報、統計各區受災狀況、提供網路安檢師技術服務與諮詢、特有事件的教育訓練 TANet 聯防中心與 NICST 設立資安指導委員會，由各聯防中心召集人擔任委員，以聯絡各區資安處理狀況


網路安檢技術員基本網路管理與設定

DNS 、 Web Server 、 Mail Server 、 Proxy Server 安裝與設定

基礎 Unix指令 vi/pico/joe編輯器的使用

網路安全基本課程基礎密碼學網路基礎課程 (Ethernet 、 TCP/IP 架構 )


網路安檢技術員 (cont.) 網路管理與網路檢測工具

了解目前校園網路的規劃狀況發生入侵事件的發現方法熟悉網路流量統計軟體熟悉一種網路檢測工具並能判讀掃描結果擅長 C 語言程式設計


網路安檢技術員 (cont.) 平時任務

伺服器的管理、維護執行資安事件通報，檢查所管理伺服器是否遭受侵害每 2 個月定期與網路安檢小組召開會議以確定各所轄主機伺服器狀況


網路安檢技術員 (cont.) 緊急事件處理

查明資安事件發生原因執行資安通報之解決建議若遭遇無法處理之不明資安狀況，立即通報網路安檢小組請求協助支援


網路安檢師網路安檢技術員之基本技能熟悉兩種以上網路弱點掃描工具，以進行交叉比對了解各漏洞發生原因，並能對各作業平台進行漏洞修補具判讀最新資安威脅狀況的能力，並能修補該弱點具備初步網路安全規劃能力


網路安檢師 (cont.) 平時任務

各區網資料統合彙整接收與發佈資安事件通報支援網路安檢技術員處理資安問題每 3 個月定期召開會議，向資安處理中心報告各區資安狀況


網路安檢師 (cont.) 緊急事件處理

查明資安事件發生原因執行資安通報之解決建議確定各區影響範圍並評估受害狀況若遭遇無法處理之不明資安狀況，立即通報資安處理中心請求協助支援


資訊安全長網路安檢師所需具備之技能熟悉並能判讀多種弱點掃描工具，並能對最危險狀況提出修補建議了解目前最新漏洞狀況，並發佈通報了解最新資安威脅產生原因與其所使用之漏洞原理，以支援所屬各單位資安狀況具備網路安全規劃能力


資訊安全長 (cont.) 平時任務

處理各區資安通報統計各區受災狀況提供網路安檢師技術服務與諮詢特有事件的教育訓練每半年定期召開工作會報，提供資安指導委員會資料建檔


資訊安全長 (cont.) 緊急事件處理

確定影響範圍並評估解決方案接受網路安檢小組之請求，提供立即的技術支援統計災後受災情況


資安指導委員會平時任務

制定及管理所有的資訊安全防護計劃規劃危機處理程序蒐集資訊安全最新資訊並通報下屬單位每年召開會議，檢討各區危機處理狀況執行緊急應變措施


資安指導委員會 (cont.) 緊急事件處理

訂定資安危機等級並通報應變程序隨時掌控各資訊安全長回報之狀況提供資訊安全長危機處理解決方案建議辦理資安事件結案通報，建檔備查，並解除緊急應變狀況

52

國家資訊通訊安全會報(NICST 簡介 )


緣起由於駭客事件日益頻繁及預防「五二

O」大陸駭客犯台，行政院在民國九十年一月十七日成立常態性任務編組「國家資訊通訊安全會報」，針對超過一百五十個有關民生、政府運作的重要網站進行二十四小時電腦監控，為可能來臨的資訊戰作準備。


組織架構行政院長兼任召集人副院長兼任副召集人執行長由行政院資訊通訊發展推動小組 ( NICI)總召集人兼任副執行長二位

一位由總統府國家安全會議派員兼任一位由行政院主計處電子處理資料中心主任兼任

委員十四人


組織架構 (cont.) 資通安全會報下設

危機通報工作組（辦理單位：主計處主責、內政部、國防部、交通部、經濟部、財政部、研考會配合協辦）

技術服務中心（ NII小組主責、主計處、國防部、交通部、經濟部、財政部、教育部、中科院、資策會、工研院配合協辦）

網路犯罪工作組（法務部主責、調查局、內政部、國防部、交通部配合協辦）


組織架構 (cont.) 資訊蒐集工作組

（國科會主責、中科院、工研院、資策會、相關公協會及民間業者配合協辦）稽核服務工作組

（辦理單位：主計處主責、國防部、交通部、經濟部、財政部配合協辦）標準規範工作組

（經濟部主責、研考會、國防部、交通部、財政部配合協辦）由資訊工業策進會作技術支援


組織架構 ( 現況 ) 目前由院長張俊雄擔任召集人行政院政務委員蔡清彥擔任執行長副執行長二名

國家安全會議指派之代表行政院主計處電子處理資料中心萬主任鎮歐擔任


通資訊安全保護課題安全管理政策。物理實體安全。人員管理安全。安全規章法律。硬體設備安全。軟體系統安全。網路通訊安全。


正常運作之重點資訊安全體系政府的正常運作。軍事力量的維持。救援體系的正常運作。人民日常生活必需品（電信、水、電、油、瓦斯、食物）的正常供給。金融體系的正常運作。商業的繼續進行。


NICST組織目標積極防衛通資設施，維護國家運行體制。建立通資安全優勢，提升國家競爭力量。堅實通資安全建設，健全網路社群發展。主動偵測安全威脅，降低實質危害因素。建構安全通報體系，強化事前預警機制。保障民眾隱私權益，促進網路多元發展。增強執法專業能力，有效遏止網路犯罪。


NICST組織任務編組專職人員統合推動通資訊安全工作及協調組織。律定通資訊安全組織職掌及分工。建立通資訊安全危機事件通報及預警機制。彙整及發布通報相關資訊，供各機關參考運用及早作好預防措施。執行國家重要通資訊基礎設施之安全防護，建立主動偵防能力。


NICST組織任務 (cont.) 策訂重要通資訊設施安全規範及回復重建措施。檢討及增修訂通資訊安全相關法令、訂定通資訊安全技術標準及規範，建立產品檢驗及保證機制。推動通資訊安全學術研究及關鍵技術研發。加強通資訊安全人力培訓及觀念宣導。提升執法機關之偵防能力及人力，建立跨國及區域性合作機制。


總結『世界上沒有永遠安全的系統。』資安威脅日新月異，唯有建立出國內各地區網路安全區域聯防的初步雛形，才可運用有效各網路資源，加強對受害地區的支援，以確實達到『因地制宜』的危機處理能力。

Documents

經濟部九十年度科技專案 國家資通安全技術服務計劃 『 區域聯防之技術支援 』 （南區）

經濟部九十年度科技專案國家資通安全技術服務計劃『區域聯防之技術支援』（南區）