Transcript 2 - 桃園區網

SOC的進度及資安通
報統計
中央大學 電算中心
呂芳發
2011-04-19
1
大 綱
北區A-SOC 計畫建置SOC的進度
資安通報統計
Page 2
©2011 Computer Center, National Central University.
2
緣起
 教育部為配合行政院國家資通安全會報建立政府資通安全防護管
理中心功能，規劃建置「教育學術資安資訊分享與分析中心(AISAC) 」 平台，為教育部所屬台灣學術網路(Taiwan Academic
Network, TANet)連線之各級學校提供資安防護與資訊分享機制。
ISAC整體架構
 教育部規劃逐步建立教育體系特色之資安資訊交換及分析防護機
 透過資訊分享機制使政府與民間建立夥伴關係
制，並於四年內推動執行完成。
政府-ISAC
內政ISAC
外交ISAC
油氣ISAC

國防ISAC
自來水ISAC
金融服務ISAC
電力ISAC
教育學術ISAC
電信ISAC
交通ISAC
醫療衛生ISAC
建議建置ISAC之部會包含：內政部、外交部、國防部、教育部、經
濟部、交通部、衛生署、金管會、研考會、NCC等
Page 3
©2011 Computer Center, National Central University.
3
計畫目標
建置北區A-SOC資訊安全監控環境
強化北區A-SOC資訊安全防護機制
建立北區A-SOC資訊安全警訊通報機制
建立學術網路資安追蹤與鑑識機制(示範點)
簡化區網中心監控點資訊安全管理制度
培訓資安專業分析人員
Page 4
©2011 Computer Center, National Central University.
4
SOC中心五大主要功能
事前預防
 資安警訊管理
 資安弱點管理
事中監看
 資安設備管理
 資安事件監看
事後處理
 資安事故處理
Page 5
©2011 Computer Center, National Central University.
5
教育學術資訊事件分析與分享架構
教育學術ISAC
北區學術網路
SOC監控、
通報、分析
與事件追蹤
台北區網中心-臺大
資安訊息監看
台北區網中心-政大
資安訊息監看
桃園區網中心
資安訊息監看
新竹區網中心
資安訊息監看
竹苗區網中心
資安訊息監看
南區學術網路
SOC監控、
通報、分析
與事件追蹤
花蓮區網中心
資安訊息監看
宜蘭區網中心
資安訊息監看
Page 6
©2011 Computer Center, National Central University.
6
學術網路資訊安全監控中心
 建置於臺大計算機及資訊網路中
心
 負責北區學術網路資安訊息監控
、收集、分析、通報以及處理作
業
11406mm
7300mm
826mm
826mm
 規劃一、二、三線監控人員
c
c
c
c
c
c
1,690 cm * 755 cm = 38.6 坪
c
c
c
c
5958mm
 一線 7 ×24 監控與通報
 二、三線 5 ×8 系統維運、事
監控投影區
6291mm
件分析、事件處理
906mm
906mm
635mm
監控座席
Page 7
©2011 Computer Center, National Central University.
7
強化北區A-SOC資訊安全防護機制
部署入侵防禦設備
 可配合緊急應變機制即時阻擋惡意連線
建置設備服務狀態系統
 監控各監控點區網中心之網路設備與資安設備
建置資訊分析平台
 收集各監控點資安事件，進行初步關聯性分析
Page 8
©2011 Computer Center, National Central University.
8
資安監控點佈署規劃
北區區網中心-政大
中華電信
A-ISAC
北區學術網路SOC中心
北區學術網路資安
資訊分析與分享平台
政大內網
臺北
縣網
和信電訊
台灣固網
IPS
10Gbps
臺大內網
Cisco 6509
區網連線單位
北區區網中心-臺大
第一階段監控電路
非第一階段監控電路
IPS
1Gbps×4
TANET
10Gbps
Cisco 6509
Cisco 6509
IPS
臺北市網
區網連
線單位
基隆
市網
中央內網
桃園區網中心
資訊分析平台+
設備服務狀態監控系統
中華電信
Page 9
©2011 Computer Center, National Central University.
區網連
線單位
9
桃園區網IPS架構
 99/11數聯資安得標,99/12/31上線
©2011 Computer Center, National Central University.
10
Real Time Monitor
Page 11
©2011 Computer Center, National Central University.
11
建立北區A-SOC資訊安全警訊通報機制
 依據「國家資通安全會報通報與應變作業流程」進行資安
事件處理，進而建立北區A-SOC通報與應變作業流程
 一般資安事件(1、2級)：應於1小時內進行通報，並於
72小時內復原或完成損害管制。
 重大資安事件(3、4級)：應於1小時內進行通報，並於
36小時內復原或完成損害管制。
 緊急資安事件：包含惡意程式攻擊、非經授權的存取、
資訊作業服務遭惡意中斷、網站或資料遭竄改或刪除時及
重要資料遭竊取等應緊急處理事件。
 主動將最新資安訊息透過A-ISAC通告，同時迅速利用電話、
簡訊、電子郵或傳真等方式，提供各監控點預警與通報之
服務。
Page 12
©2011 Computer Center, National Central University.
12
A-SOC資安資訊分析與分享平台架構
台北區網中心-臺大 台北區網中心-政大 桃園區網中心
整合訊息系統
整合訊息系統
整合訊息系統
事件流程管理系統
資安監控分析系統
助理人員
臺大示範點
整合訊息系統
二三線人員
一線人員
TANET
資訊
分析平台
資訊
分析平台
設備服務
狀態監控系統
台北區網中心-臺大
IPS
IPS
IPS
資訊
分析平台
設備服務
狀態監控系統
台北區網中心-政大
設備服務
狀態監控系統
竹苗區網中心
新竹區網中心
宜蘭區網中心
花蓮區網中心
桃園區網中心
Alert
臺大示範點
台北區網中心-臺大
其他連線學校
台北區網中心-政大
其他連線學校
桃園區網中心
其他連線學校
Log
狀態監控
Page 13
©2011 Computer Center, National Central University.
13
建置北區A-SOC資訊安全監控環境
建置北區A-SOC資安監控中心軟硬體設施，包
含資安監控分析平台、資安事件流程管理平台
以及資安資訊分析與分享平台。
中華電信99/12得標建置
Page 14
©2011 Computer Center, National Central University.
14
專案建置時程與重要里程碑
需求
確認
1.專案啟動與需求
訪談
• 基礎設施建置
• 資安監控分析系統建置
• 資安事件流程管理系統建置
• 整合訊息監控系統建置
2.學術資訊安全維運
中心系統建置
3.資安維運點
系統建置
• 建置資訊日誌記錄收集平台
4.維運中心營運機制
建立及系統功能整合
• 建立營運標準作業流程
• 建立BotNet及惡意中繼站資料交流機制
5.追蹤與鑑識機制建立
• 建立示範點追蹤、鑑識流程與機制
6.整體系統功能測試
整體系統測試
7.試營運階段
試營運
教育訓練
8.教育訓練
1/11
2/7
2/21
3/15
©2011 Computer Center, National Central University.
4/1
4/15
15
資安維運點建置
北區區網中心-政大
A-ISAC
北區學術網路SOC中心
北區學術網路資安
資訊分析與分享平台
(1)
(2)
政大內網
資安監控分析系統
資安事件流程管理系統
IPS
整合訊息系統
FW臺大內網
IPS
(1)
IPS
(2)
Cisco 6509
Cisco 6509
TANET
臺大示範點
IPS
Cisco 6509
中央內網
(2)
IPS
北區區網中心-臺大
(1)
建議事件收集對象：
1. 資安偵測與防禦設備，例如：IPS、Firewall…等
2. 區網骨幹路由器，例如：Cisco 6509
16
©2011 Computer Center, National Central University.
(2)
桃園區網中心
16
進駐設備介紹
 資訊日誌收集器
 ArcSight Connector x1 (HP DL360 G7 / Windows 2008)
 1U, 110V雙電源, 1G電介面乙太網路
 提供Syslog、SNMP、ODBC、Log File等方式收集事件紀錄
並給予標準化
17
©2011 Computer Center, National Central University.
17
進駐設備介紹
 資訊日誌記錄收集平台
 ArcSight Logger L3200 x1
 2U, 110V雙電源, 1G電介面乙太網路
 集中收集儲存所有監控設備的日誌
 提供1TB 儲存空間保存6個月以上原始事件紀錄
Storage
Router
Switch
ISA
Firewall
IPS
AnitVirus
Security
Gateway
RSA
Databases
Snort
18
©2011 Computer Center, National Central University.
18
安裝時程
 安裝時程：2/25
 資訊安全M8000防護日誌(syslog)導入 日誌收集器
(Smart connector): 3/2
19
©2011 Computer Center, National Central University.
19
資通安全事件
 桃園區網2011-01-01~2011-04-19 共有51筆
 國立中央大學 :22
 中原大學 :5
 萬能科技大學 :5
 國立體育大學 :4
 新興高級中學 :3
 元智大學 :2
 清雲科技大學 :2
 中央警察大學 :1
 青輔會青年職訓中心 :1
 國立中壢高中:1
 國立桃園農工 :1
 銘傳大學 :1
 開南大學 :1
 成功高級工商 :1
 國立楊梅高中:1
©2011 Computer Center, National Central University.
20
資通安全事件影響等級
 資通安全事件影響等級:
 等級1:51
(1)機密性衝擊 -1級-非核心業務資料遭洩漏
(2) 完整性衝擊 -1級-非核心業務系統或資料遭竄改
(3) 可用性衝擊- 1級-非核心業務運作遭影響或短暫停頓
©2011 Computer Center, National Central University.
21
資通安全事件分類
INT-主機對外攻擊
14
其它-Spammer
12
DEF-惡意留言
6
DEF-惡意留言
4
DEF-釣魚網站
3
INT-主機被入侵
2
DEF-網頁置換
2
DEF-惡意網頁
2
INT-社交工程攻擊
2
INT-主機針對性攻擊
1
INT-其它
1
INT-C&C-IRC殭屍電腦控制程式
1
INT-主機針對性攻擊
1
©2011 Computer Center, National Central University.
22
建議事項
23
Thank You!
©2011 Computer Center, National Central University.
24