投影片 1 - PDF Free Download

TANET 竹苗區域網路中心 106 年度成效報告國立交通大學資訊技術服務中心高義智博士 (106.11.24) 1

綱要 1. 網路中心基本資料及人力運作情形 2. 網路中心運作情形 3. 資訊安全環境整備 4. 推動網路資訊應用環境之導入情形 5. 網路應用創新服務情形 6. 辦理教育訓練及推廣活動情形 7. 年度計畫所提績效指標辦理情形 8. 學校對網路中心維運配合款及經費運用情形 9. 結語與綜合建議 10. 107 年度預計推動之重點工作 2

1. 網路中心基本資料及人力運作情形單位名稱 : 竹苗區網中心國立交通大學網址 :http://www.hcrc.edu.tw 地址 :300 新竹市大學路 1001 號傳真 :03-5714031 單位主管 : 蔡錫鈞主任 E-mail:sctsai@cs.nctu.edu.tw 電話 :03-5731900 網路系統組 : 高義智組長 E- mail:ykao@mail.nctu.edu.tw 電話 :03-5712121#31905 網管負責人 : 柯怡全 E- mail:h0631@nctu.edu.tw 電話 :03-5712121#31706 資安負責人 : 汪祐弘 E- mail : youhong@nctu.edu.tw 電話 :03-5712121#31483 3

網路中心基本資料及人力運作情形本區網中心專職與兼任參與維運所投入人力 :11 人教育部補助款專職人員 :2 人交通大學資訊技術服務中心 :9 人 4

網路中心基本資料及人力運作情形組織架構圖主任蔡錫鈞研究開發陳昌盛網路及資訊安全高義智行政業務謝詠芬組員王英鼎組員柯怡全組員汪祐弘組員盧志令組員陳俐君組員陳頡組員黃秋樺 5

網路中心基本資料及人力運作情形教育部支援網管及資安人力運用類別姓名工作項目網管人員柯怡全 1. 區網網路設備維護設定 2. 建立網路監控系統 cacti 2-1 網路頻寬及時流量圖 2-2 各單位頻寬超載或過低警告通知 2-3 每日自動寄出前一日各單位流量趨勢圖至各單位網管 3. 協助各單位建立 Ipv6 網路環境 4. 竹苗區網網頁公告平台建置維護 5. 舉辦連線單位教育訓練課程 6. 協助連線單位設定網路電話 7. 協助連線單位建置單位內網管系統 8. 網路異常處理 9. 輔導所屬連線單位網路維運管理 6

網路中心基本資料及人力運作情形類別姓名工作項目資安人員陳俐君 1.ISO27001 教版 (ISMS) 稽核 2. 教育機構防洩漏個資掃描平台維護及審查 3. 應用程式弱點掃描監測平台維護及審查 4. 教育部資安通報處理 4-1 竹苗區網中心資安事件處理人員 4-2 協助連線單位處理資安事件及審核 4-3 提醒連線單位處理資安事件 4-4 協助各單位進行教育部資安演練 5. 協助進行營運持續計畫 BCP 演練 6. TANET 設備資訊機房管理 7

2. 網路中心運作情形 - 業務執掌業務負責人執掌職務代理人高義智組長 ykao@mail.nctu.edu.tw 03-5731905 柯怡全 0631@nctu.edu.tw 03-5712121#31706 汪祐弘 youhong@nctu.edu.tw 03-5712121#31483 综理 TANET 業務區網中心業務推動資安事件協調處理 1. 協助 TANet 區網中心輔導所屬連線單位網路維運管理 2. TANET 網路骨幹管理 3.TANET 路由管理 4. ISP 介接連線管理 5. 竹苗區網問題諮詢 6. 各級學校與機關連線事宜 1. TANET 管理委員會 2. TANET 教育訓練 3. 通安全宣導服務 4. 區網中心網站維護 5. 竹苗區網問題諮詢 6. TANET IPv6 推動 7. 竹苗區網網站弱點掃瞄及防洩漏個資業掃描平台業務陳昌盛組長汪祐弘柯怡全陳俐君 lichun80@nctu.edu.tw 03-5712121 #31268 謝詠芬 yongfen@mail.nctu.edu.tw 03-5731702 王英鼎 pcbug@mail.nctu.edu.tw 03-57312121#31355 1. TANET ISMS 業務維運 2. 資訊機房維運相關事項柯怡全處理竹苗區網行政業務 1. VoIP 推動 2. DNS 及 Mail 相關問題諮詢 8

網路中心運作情形 - 組織運作 106 年組織運作網址 : http://www.hcrc.edu.tw/node/46 9

網路中心運作情形 - 管委會會議記錄 106 年竹苗區網管理委員會會議紀錄 : http://www.hcrc.edu.tw/node/28 10

網路中心運作情形 - 網路拓樸圖 106 年竹苗區網網路拓墣圖網址 : http://www.hcrc.edu.tw/node/318 11

3. 資訊安全環境整備 - 竹苗區網中心通過 ISMS 竹苗區網中心 ISMS 導入範圍 1. 機房處理 TANet 業務活動之運作維護 2. 學籍系統之維護管理已於本年度 04 月 27 日完成複評資訊安全相關服務 - 竹苗區網中心已達 ISO27001 國際標準國立交通大學 ISO 27001 導入範圍 1. 機房維運相關人員所提供之資訊機房環境之執行維護與管理作業流程已於本年度 04 月 27 日完成複評 12

資訊安全環境整備 - 竹苗區網中心通過 ISMS 13

資訊安全環境整備 - 竹苗區網網頁弱點掃描連線單位可以透過線上平台進行網站的掃描及排程掃描, 並於掃描完成後將掃描結果報告以 E-mail 方式寄發相關網址 :http://ewavs.hcrc.edu.tw/ 已註冊連線人數 :52 人已掃瞄成功網站數量 :691 個網站已上線掃瞄單位 : 大專院校 : 交通大學中華大學聯合大學陽明大學亞太創意技術學院中國科技大學玄奘大學大華技術學院元培科技大學新竹教育大學明新科技大學育達商業技術學院中華科技大學仁德醫護管理專科學校國立陽明大學附設醫院研究單位機關 : 國家系統晶片設計中心, 財團法人食品發展研究所工業技術研究院國家奈米元件實驗室高中職 : 曙光高中新竹高工苗栗高中新竹高商光復高中, 新竹高中世界高中園區實驗高中忠信高中新竹女子高級中學 14

資訊安全相關服務 - 竹苗區網防洩漏個資掃描平台連線單位可以透過線上平台進行網站的掃描及排程掃描, 並於掃描完成後將掃描結果報告以 E-mail 方式寄發相關網址 :http://epdp.hcrc.edu.tw 已註冊連線人數 :60 個單位已掃瞄成功網站數量 :523 個網站已上線掃瞄單位 : 大專院校 : 玄奘大學陽明大學中華大學元培科技大學交通大學新竹教育大學明新科技大學育達商業科技大學聯合大學亞太創意技術學院國立陽明大學附設醫院大華技術學院中國科技大學國立聯合大學中華科技大學新竹分部仁德醫護管理專科學校等學校高中職 : 新竹高商新竹市世界高級中學新竹高工國立新竹高級中學國立苗栗高中曙光女中私立忠信學校國立新竹女子高級中學苗栗高商光復高級中學國立科學工業園區實驗高級中學新竹市建功國小及苗栗照南國小研究單位機關 : 食品工業發展研究所國家晶片系統設計中心國家奈米元件實驗室工業技術研究院 15

資訊安全相關服務 - 智慧財產權保護校園智慧財產權保護 - 宣導活動推廣資訊安全與網路智財權知識每學期初針對系所暨行政單位網管人員舉辦資通安全及連絡人講習會校園網路智慧財產權法令宣導建置專屬網頁, 網址 :http://isipr.nctu.edu.tw/, 以將此網頁連結放置在竹苗區網網頁中每學期至少舉辦乙次宣導會, 推廣尊重智慧財產權觀念協同其他單位舉辦相關智財權宣導工作坊與演講與課務 ( 選課 ) 系統結合, 進行智慧財產權宣導舉辦校園網路智慧財產權有獎徵答活動活動目的在透過有獎徵答方式, 吸引同學注意並對智財權有更多更完整之瞭解 16

4. 推動網路資訊應用環境之導入情形 Tanet 學術網路頻寬分流竹苗區網網路分析系統建置透過 CACTI 監控系統監控網路流量協助連線單位導入 IPv6 網路資訊安全設備 17

推動網路資訊應用環境之導入情形 Tanet 學術網路頻寬分流使用 PacketX 分流器設備建置骨幹出口流量 1:1 NetFlow 產生機制建置 in-line 旁路設備確保在 IPS 出狀況時, 網路依然暢通建置智慧分流器減輕 IPS 處理量又不犧牲資安防護等級 18

推動網路資訊應用環境之導入情形 Tanet 學術網路頻寬分流案佈署架構圖 BYPASS SWITCH 頻寬分流器流量監控設備 ASOC INLINE 資訊安全設備 Netflow 1:1 分析設備 19

推動網路資訊應用環境之導入情形 Tanet 學術網路頻寬分流案建置效益 : 針對所有流量產出 1:1 NetFlow, 可利於 NetFlow 分析軟體正確完整且快速地反映資安事件建置智慧型旁路設備 (Bypass switch), 可避免 IPS 當機拖垮整體網路因為流量成長且網路攻擊頻傳, 將低風險流量設定不進入資安設備, 設定可豁免資安設備檢查的流量包含 YouTube Google Facebook 等, 以此降低資安設備之流量壓力 20

推動網路資訊應用環境之導入情形 Tanet 學術網路頻寬分流案建置效益 1. V4 V5 V6 V7 兩對 in-line 穿過頻寬分流器 (ASR-9000);V0,V1 連接 IPS 2. ASR-9000 到學術網路骨幹之間的流量約為 8 Gbps 3. 進入 IPS 的流量約為 3.3 Gbps (3.3/8= 約 43%) 減量 4.7 GBps 21

推動網路資訊應用環境之導入情形 CACTI 監控系統 ( 範例 : 竹苗區域網路中心即時流量圖 ) http://cacti.hcrc.edu.tw/cacti/plugins/weathermap/weathermap-cacti-plugin.php 截圖日期 :2017/11/9 22

截圖日期 :2017/11/9 23

推動網路資訊應用環境之導入情形 IPV6 位址分配表大專院校單位名稱 IPv6 位址狀態交通大學 2001:288:4001::/48 已設定聯合大學 2001:288:4002::/48 已設定新竹教育大學 2001:288:4003::/48 已設定中華大學 2001:288:4004::/48 已設定明新科技大學 2001:288:4005::/48 已設定玄奘大學 2001:288:4006::/48 已設定大華技術學院 2001:288:4007::/48 已設定教育網路中心單位名稱 IPv6 位址狀態新竹市網連線單位 2001:288:4200::/39 已設定新竹市網 2001:288:4200::/48 新竹縣網連線單位 2001:288:4400::/39 已設定新竹縣網 2001:288:4400::/48 苗栗縣網連線單位 2001:288:4600::/39 已設定苗栗縣網 2001:288:4600::/48 元培科技大學 2001:288:4008::/48 已設定育達商業技術學院 2001:288:4009::/48 已設定亞太創意技術學院 2001:288:400A::/48 已設定中國科技大學 2001:288:400B::/48 已設定 24

推動網路資訊應用環境之導入情形 IPV6 位址分配表高中職單位名稱 IPv6 位址狀態新竹高中 2001:288:4010::/48 已設定新竹高商 2001:288:4016::/48 已設定曙光女中 2001:288:400F::/48 已設定實驗高中 2001:288:4015::/48 已設定新竹高工 2001:288:400D::/48 已設定其他單位單位名稱 IPv6 位址狀態食品工業發展研究所 2001:288:4018::/48 已設定 25

推動網路資訊應用環境之導入情形 DNS 支援 IPv6 竹苗區域網路中心新竹市教育網路中心新竹縣教育網路中心苗栗縣教育網路中心交通大學新竹高中新竹高商曙光女中中華科技大學新竹分校元培科技大學單位網頁支援 IPv6 竹苗區域網路中心新竹市教育網路中心新竹縣教育網路中心苗栗縣教育網路中心交通大學新竹高中新竹高商曙光女中中華科技大學新竹分校元培科技大學 26

推動網路資訊應用環境之導入情形網路資訊安全設備北區資訊安全聯防機制今年 6 月透過北區 A-SOC 計畫建立資訊安全聯防機制統一監控惡意網路活動, 近端阻擋惡意程式, 避免造成學術網路流量異常 27

5. 網路應用創新服務情形一般區網網路服務網域名稱 (DNS ) 相關服務網頁 (WWW/HTTP /Proxy) 相關服務特殊服務 CACTI 監控系統 : a. 提供系統範本 (vsphere 版本 ) 下載 b. 協助外掛套件 Weathermap 漏洞修復校園資訊服務節能計畫提供連線單位 1:1 流量紀錄分析及查詢到校服務 28

網路應用與創新服務 - 監控系統 CACTI 監控系統協助竹苗區域網路中心連線單位建置 CACTI VM 下載連結網址 : http://www.hcrc.edu.tw/node/227 聯合大學育達科技大學本年度已協助建置完成單位亞太創意技術學院新竹實驗高中新竹高商曙光女中新竹縣網路中心新竹高工 29

網路應用與創新服務 - 監控系統 CACTI 監控系統頻寬滿載提醒設定警戒值依照各連線單位所申請之頻寬, 超過上限 90% 時系統自動寄出通知信件給單位網管, 以達到即時提醒頻寬即將滿載之訊息 30

網路應用與創新服務 - 監控系統 CACTI 監控系統頻寬滿載提醒範例 : 本個案預設頻寬警戒值設定為 990Mbits, 目前流量為 1021.881Mbits, 系通將會自動發送下列訊息至單位網管人員 31

網路應用與創新服務 - 監控系統 CACTI 監控系統每日流量使用提醒範例 : 各單位獨立設定網路流量圖, 於每日上午 08:30 自動寄信通知單位網管老師前一日網路使用情形 32

網路應用與創新服務 - 監控系統 CACTI 監控系統協助 NOC 中心 weathermap 漏洞修復 Weathermap 廣泛被應用在各網管軟體中, 在版本 0.98 以前, 就已被接露, 使用者可以在系統登入前,weathermap 軟體開發團體, 雖然公布在 0.98 版本已修復相關漏洞, 但實際測試輸入相關編輯網址, 依舊可直接進入 Weathermap 進行最高權限操作設定本中心發現 TANET NOC 中心之 Cacti 尚未修補此漏洞, 隨即通知網管人員, 並協助修復 weathermap 漏洞 33

網路應用與創新服務 - 校園資訊服務節能計畫成果效益 : 透過智慧型空調變頻模組之變頻技術應用於交大資訊機房空調系統, 有效降低空調用電量至少 15% 夏季整體 PUE 可從 1.9 降至 1.7 預計年約省下 16.8 萬元電費 34

網路應用與創新服務節能效益 - 校園資訊服務節能計畫 05 水冷式箱型空調平均節能成效可達約 27% 氣冷式箱型空調平均節能成效可達約 15% 採用變頻模組之水冷式箱型空調效益較氣冷式空調佳 PUE 以去年同期比較, 從 1.9 降至 1.7 單位 :KWH 空調設備每日平均電力比較圖 300.0 250.0 200.0 150.0 100.0 50.0 0.0 217.5 116.1 178.5 144.0 272.1 228.8 200.3 181.8 167.5 155.4 2 1.8 1.6 1.9 PUE 1.7 1.4 PUE 改善前改善後改善前改善後 35

網路應用與創新服務 -1:1 流量紀錄分析及查詢本系統現於交大進行試用除系統內建總管理者領域 Global 領域外, 開啟 27 個領域及所屬帳號領域名稱領域帳號 37

網路應用與創新服務 -1:1 流量紀錄分析及查詢已於系統內建立了 TopN 報表 43 支分時監控報表 35 支 TopN 報表分時監控報表 38

網路應用與創新服務 -1:1 流量紀錄分析及查詢系統網段流量異常告警, 可以即時掌握 DDoS Host Scan Port Scan 及異常流量等網路行為 39

網路應用與創新服務 -1:1 流量紀錄分析及查詢竹苗區網總管理者可以即時透過 Global 查詢區網所有流量資訊, 各領域管理者也能透過領域權限查詢到所屬領域相關流經區網中心的流量紀錄, 中心管理者透過模擬領域功能即時協助各領域檢視相關資訊 40

網路應用與創新服務 -1:1 流量紀錄分析及查詢除了收集區網中心 NetFlow 外, 也可以透過 Syslog 及 SNMP 協定將中心端重要主機設備的 Syslog SNMP 一併收攏, 一套系統即可達到 Flow Syslog SNMP 的資料收集及保存, 省去額外建置 Log Server 網管軟體的高額建置費用 41

網路應用與創新服務 ( 資安防護機制 ) 協助各單位升級 DNS SERVER 1. 106 年 08 月 03 日舉辦 DNS 實務管理及檢測課程課程網址 : http://www.hcrc.edu.tw/node/309 2. 於當日課程直接提供免費網路空間, 讓各連線單位建立該單位之 DNS SERVER 3. 各單位可使用之系統規格 : Ubuntu16.04 LTS CPU *2 Memory 2G bind 9.10 42

竹苗區網到校服務本年度協助單位 : 1. 建置 IPv6 網路環境 : 校網頁及 DNS 支援 IPv6 : 元培科技大學及中華科技大學新竹分部 2. 本年度至連線單位協助確認網路環境無法支援之單位 : 明新科技大學忠信高中亞太創意技術學院新竹實驗高中及聯合大學 3. DNS 版本升級 9.10 : 機本年度 08 月 03 日, 舉辦 DNS 實務管理與檢測, 提供 DNS BIND9.10 之虛擬主連線單位於當日建立單位內之 DNS, 並協助申請註冊, 後續將持續輔導連線單位使用 4. ISMS BCP 演練 : 本年度 ISMS BCP 依鈞部訂定之連線單位遭受 DDos 之應變處理, 本次演練與連線單位曙光女中明新科技大學及聯合大學共同演練, 並製作相關演練流程, 提供未參與本次演練之單位了解相關應變措施 43

轄下連線單位建置 IPv6 意願調查於 7 月底至 8 月初期間以問卷形式調查尚未導入 IPv6 之單位導入意願 IPv6 意願調查有意願無意願網頁及 DNS 導入 IPv6 單位內導入 IPv6 使用者端導入 IPv6 11 0 8 3 4 7 44

轄下連線單位建置 DNS 版本調查及升級於 10 月中以 Mail 及電話調查各單位 DNS 伺服器所使用之版本為安全性考量, 提醒使用 Bind 之單位更新至 Bind9.9 以上, 使用 Windows 之單位更新至 Windows 2012 以上之版本提醒各單位本中心提供有 Bind9.10 版本之虛擬機供各連線單位使用 DNS 版本 Bind9.9 或 Windows2012 以上之版本 Bind9.9 或 Windows2012 以下之版本其它連線單位數 8 7 9 45

6. 辦理教育訓練及推廣活動情形日期活動名稱 106 年 08 月 03 日 DNS 實務管理及檢測 106 年 08 月 10 日 IPv6 建置與管理 106 年 08 月 16 日 ISMS 實物教學與應用 ( 上 ) 106 年 08 月 17 日 ISMS 實物教學與應用 ( 下 ) 106 年 11 月 03 日 ( 上 ) 校園數據中心與區域網路的安全佈署 106 年 11 月 03 日 ( 下 ) 保護校園資訊抵禦外部攻擊的網路安全架構簡述 106 年 11 月 17 日 Cacti 網路監控軟體應用與實作 46

6. 辦理教育訓練及推廣活動情形日期會議議題 106 年 08 月 03 日竹苗區網第一次管委會 106 年 11 月 17 日竹苗區網第二次管委會 1. 連線單位 IPv6 建置意願調查 2. 網路流量分析系統介紹 3. 106 年 BCP 演練說明 1. 教學研究網路分流規劃討論 2. 保留之泛用型網域名稱使用事宜 3. Cacti 導入及落實教育訓練實施 47

7. 年度計畫所提績效指標辦理情形項目竹苗區域網路中心於 2017 年 7 月前重新驗證 ISMS 協助至少兩所連線學校導入自由軟體 CACTI 監控系統協助連線學校教職員參與資安或網路技術教育訓練至少 200 人次協助至少一所連線學校進行網站弱點掃描健檢等資安服務協助至少兩所連線單位導入 IPv6 功能進度本年度 4 月 28 日完成年度正評登錄新竹縣網中心新竹高工已超過 200 人次已有 29 所連線學校進行網站弱點掃描元培科技大學中華科技大學明新科技大學 ( 目前設備不支援 ) 新竹實驗高中 ( 目前設備不支援 ) 亞太創意技術員院 ( 目前設備不支援 ) 忠信高中 ( 目前設備不支援 ) 48

8. 經費運用情形教育部補助經費 : 1,340,000 元資安維運人力 80% 竹苗區網維運 9.5% 竹苗區網教育訓練 10% 雜支 0.5% 自籌經費 : 1,200,000 元擴建網管系統 100% 49

9. 結語與綜合建議 1. 透過智慧型空調變頻模組之變頻技術有效達到機房節能, 並將相關之建置經驗與各單位分享 2. IPv6 推動過程中有部分單位之網路設備不支援之情形, 須協助各單位之設備更新以利 IPv6 之推動 3. 100G 骨幹升級計劃受限於模組介面數問題尚無法將所有連線單位轉移至 100G 骨幹路由器上, 已向教育部提出骨幹設備連線模組升級建置計劃書 50

結語與綜合建議 4. 部分連線單位反應連接至區網中心之線路租金過於高昂且網路速度也不盡理想, 相較於與縣市網連接之性價比較差 5. 持續提供連線單位 VOIP 服務 6. 本年度針對區網連線單位網管人員已舉辦 10 場次 (3H/ 場 ), 類型包含資訊安全網路資訊及系統服務課程, 參與人數約 240 位網管人員,107 年度將持續舉辦以提升各單位網管人員相關資訊能力 51

10.107 年度預計推動之重點工作升級連線單位連接至竹苗區域網路中心之模組, 精進臺灣學術網路 (TANet) 網路連線服務提供流量分析系統, 幫助連線單位查詢其網路使用情況校園資訊服務節能計畫, 提供連線單位免費使用網路空間建置伺服器, 以達到節省硬體相關支出持續推動各單位升級 DNS SERVER, 防止 DNS 放大攻擊持續協助連線單位建置網管監控系統, 網管系統將提供虛擬化之模組, 減免使用單位建置系統之過程持續宣導網路智慧財產權並舉辦智慧財產權保護活動持續推動區網資訊安全管理 (ISMS) 業務視需求將安排資安網路相關認證課程 52

報告完畢敬請指教 Thanks! 53