Transcript 2 - 桃園區網
SOC的進度及資安通
報統計
中央大學 電算中心
呂芳發
2011-04-19
1
大 綱
北區A-SOC 計畫建置SOC的進度
資安通報統計
Page 2
©2011 Computer Center, National Central University.
2
緣起
教育部為配合行政院國家資通安全會報建立政府資通安全防護管
理中心功能,規劃建置「教育學術資安資訊分享與分析中心(AISAC) 」 平台,為教育部所屬台灣學術網路(Taiwan Academic
Network, TANet)連線之各級學校提供資安防護與資訊分享機制。
ISAC整體架構
教育部規劃逐步建立教育體系特色之資安資訊交換及分析防護機
透過資訊分享機制使政府與民間建立夥伴關係
制,並於四年內推動執行完成。
政府-ISAC
內政ISAC
外交ISAC
油氣ISAC
國防ISAC
自來水ISAC
金融服務ISAC
電力ISAC
教育學術ISAC
電信ISAC
交通ISAC
醫療衛生ISAC
建議建置ISAC之部會包含:內政部、外交部、國防部、教育部、經
濟部、交通部、衛生署、金管會、研考會、NCC等
Page 3
©2011 Computer Center, National Central University.
3
計畫目標
建置北區A-SOC資訊安全監控環境
強化北區A-SOC資訊安全防護機制
建立北區A-SOC資訊安全警訊通報機制
建立學術網路資安追蹤與鑑識機制(示範點)
簡化區網中心監控點資訊安全管理制度
培訓資安專業分析人員
Page 4
©2011 Computer Center, National Central University.
4
SOC中心五大主要功能
事前預防
資安警訊管理
資安弱點管理
事中監看
資安設備管理
資安事件監看
事後處理
資安事故處理
Page 5
©2011 Computer Center, National Central University.
5
教育學術資訊事件分析與分享架構
教育學術ISAC
北區學術網路
SOC監控、
通報、分析
與事件追蹤
台北區網中心-臺大
資安訊息監看
台北區網中心-政大
資安訊息監看
桃園區網中心
資安訊息監看
新竹區網中心
資安訊息監看
竹苗區網中心
資安訊息監看
南區學術網路
SOC監控、
通報、分析
與事件追蹤
花蓮區網中心
資安訊息監看
宜蘭區網中心
資安訊息監看
Page 6
©2011 Computer Center, National Central University.
6
學術網路資訊安全監控中心
建置於臺大計算機及資訊網路中
心
負責北區學術網路資安訊息監控
、收集、分析、通報以及處理作
業
11406mm
7300mm
826mm
826mm
規劃一、二、三線監控人員
c
c
c
c
c
c
1,690 cm * 755 cm = 38.6 坪
c
c
c
c
5958mm
一線 7 ×24 監控與通報
二、三線 5 ×8 系統維運、事
監控投影區
6291mm
件分析、事件處理
906mm
906mm
635mm
監控座席
Page 7
©2011 Computer Center, National Central University.
7
強化北區A-SOC資訊安全防護機制
部署入侵防禦設備
可配合緊急應變機制即時阻擋惡意連線
建置設備服務狀態系統
監控各監控點區網中心之網路設備與資安設備
建置資訊分析平台
收集各監控點資安事件,進行初步關聯性分析
Page 8
©2011 Computer Center, National Central University.
8
資安監控點佈署規劃
北區區網中心-政大
中華電信
A-ISAC
北區學術網路SOC中心
北區學術網路資安
資訊分析與分享平台
政大內網
臺北
縣網
和信電訊
台灣固網
IPS
10Gbps
臺大內網
Cisco 6509
區網連線單位
北區區網中心-臺大
第一階段監控電路
非第一階段監控電路
IPS
1Gbps×4
TANET
10Gbps
Cisco 6509
Cisco 6509
IPS
臺北市網
區網連
線單位
基隆
市網
中央內網
桃園區網中心
資訊分析平台+
設備服務狀態監控系統
中華電信
Page 9
©2011 Computer Center, National Central University.
區網連
線單位
9
桃園區網IPS架構
99/11數聯資安得標,99/12/31上線
©2011 Computer Center, National Central University.
10
Real Time Monitor
Page 11
©2011 Computer Center, National Central University.
11
建立北區A-SOC資訊安全警訊通報機制
依據「國家資通安全會報通報與應變作業流程」進行資安
事件處理,進而建立北區A-SOC通報與應變作業流程
一般資安事件(1、2級):應於1小時內進行通報,並於
72小時內復原或完成損害管制。
重大資安事件(3、4級):應於1小時內進行通報,並於
36小時內復原或完成損害管制。
緊急資安事件:包含惡意程式攻擊、非經授權的存取、
資訊作業服務遭惡意中斷、網站或資料遭竄改或刪除時及
重要資料遭竊取等應緊急處理事件。
主動將最新資安訊息透過A-ISAC通告,同時迅速利用電話、
簡訊、電子郵或傳真等方式,提供各監控點預警與通報之
服務。
Page 12
©2011 Computer Center, National Central University.
12
A-SOC資安資訊分析與分享平台架構
台北區網中心-臺大 台北區網中心-政大 桃園區網中心
整合訊息系統
整合訊息系統
整合訊息系統
事件流程管理系統
資安監控分析系統
助理人員
臺大示範點
整合訊息系統
二三線人員
一線人員
TANET
資訊
分析平台
資訊
分析平台
設備服務
狀態監控系統
台北區網中心-臺大
IPS
IPS
IPS
資訊
分析平台
設備服務
狀態監控系統
台北區網中心-政大
設備服務
狀態監控系統
竹苗區網中心
新竹區網中心
宜蘭區網中心
花蓮區網中心
桃園區網中心
Alert
臺大示範點
台北區網中心-臺大
其他連線學校
台北區網中心-政大
其他連線學校
桃園區網中心
其他連線學校
Log
狀態監控
Page 13
©2011 Computer Center, National Central University.
13
建置北區A-SOC資訊安全監控環境
建置北區A-SOC資安監控中心軟硬體設施,包
含資安監控分析平台、資安事件流程管理平台
以及資安資訊分析與分享平台。
中華電信99/12得標建置
Page 14
©2011 Computer Center, National Central University.
14
專案建置時程與重要里程碑
需求
確認
1.專案啟動與需求
訪談
• 基礎設施建置
• 資安監控分析系統建置
• 資安事件流程管理系統建置
• 整合訊息監控系統建置
2.學術資訊安全維運
中心系統建置
3.資安維運點
系統建置
• 建置資訊日誌記錄收集平台
4.維運中心營運機制
建立及系統功能整合
• 建立營運標準作業流程
• 建立BotNet及惡意中繼站資料交流機制
5.追蹤與鑑識機制建立
• 建立示範點追蹤、鑑識流程與機制
6.整體系統功能測試
整體系統測試
7.試營運階段
試營運
教育訓練
8.教育訓練
1/11
2/7
2/21
3/15
©2011 Computer Center, National Central University.
4/1
4/15
15
資安維運點建置
北區區網中心-政大
A-ISAC
北區學術網路SOC中心
北區學術網路資安
資訊分析與分享平台
(1)
(2)
政大內網
資安監控分析系統
資安事件流程管理系統
IPS
整合訊息系統
FW臺大內網
IPS
(1)
IPS
(2)
Cisco 6509
Cisco 6509
TANET
臺大示範點
IPS
Cisco 6509
中央內網
(2)
IPS
北區區網中心-臺大
(1)
建議事件收集對象:
1. 資安偵測與防禦設備,例如:IPS、Firewall…等
2. 區網骨幹路由器,例如:Cisco 6509
16
©2011 Computer Center, National Central University.
(2)
桃園區網中心
16
進駐設備介紹
資訊日誌收集器
ArcSight Connector x1 (HP DL360 G7 / Windows 2008)
1U, 110V雙電源, 1G電介面乙太網路
提供Syslog、SNMP、ODBC、Log File等方式收集事件紀錄
並給予標準化
17
©2011 Computer Center, National Central University.
17
進駐設備介紹
資訊日誌記錄收集平台
ArcSight Logger L3200 x1
2U, 110V雙電源, 1G電介面乙太網路
集中收集儲存所有監控設備的日誌
提供1TB 儲存空間保存6個月以上原始事件紀錄
Storage
Router
Switch
ISA
Firewall
IPS
AnitVirus
Security
Gateway
RSA
Databases
Snort
18
©2011 Computer Center, National Central University.
18
安裝時程
安裝時程:2/25
資訊安全M8000防護日誌(syslog)導入 日誌收集器
(Smart connector): 3/2
19
©2011 Computer Center, National Central University.
19
資通安全事件
桃園區網2011-01-01~2011-04-19 共有51筆
國立中央大學 :22
中原大學 :5
萬能科技大學 :5
國立體育大學 :4
新興高級中學 :3
元智大學 :2
清雲科技大學 :2
中央警察大學 :1
青輔會青年職訓中心 :1
國立中壢高中:1
國立桃園農工 :1
銘傳大學 :1
開南大學 :1
成功高級工商 :1
國立楊梅高中:1
©2011 Computer Center, National Central University.
20
資通安全事件影響等級
資通安全事件影響等級:
等級1:51
(1)機密性衝擊 -1級-非核心業務資料遭洩漏
(2) 完整性衝擊 -1級-非核心業務系統或資料遭竄改
(3) 可用性衝擊- 1級-非核心業務運作遭影響或短暫停頓
©2011 Computer Center, National Central University.
21
資通安全事件分類
INT-主機對外攻擊
14
其它-Spammer
12
DEF-惡意留言
6
DEF-惡意留言
4
DEF-釣魚網站
3
INT-主機被入侵
2
DEF-網頁置換
2
DEF-惡意網頁
2
INT-社交工程攻擊
2
INT-主機針對性攻擊
1
INT-其它
1
INT-C&C-IRC殭屍電腦控制程式
1
INT-主機針對性攻擊
1
©2011 Computer Center, National Central University.
22
建議事項
23
Thank You!
©2011 Computer Center, National Central University.
24