Transcript 99年度執行成效簡報檔
99年度北區區網年度報告 單位:國立臺灣大學 計中主任:孫雅麗 教授 報告人:李光偉 Email:[email protected] 電話:02-33665008 日期:2010/12/14 一、中 心 簡 介 單位名稱:臺北區域網路中心 網址:http://tprc.tanet.edu.tw/ 單位地址:臺北市羅斯福路四段一號 單位傳真:(02) 23637204 單位主管:孫雅麗 E-mail:[email protected] 電話:(02) 33665001 網管:李光偉 E-mail:[email protected] 電話:(02) 33665008 資安業務負責人:李美雯 E-mail:[email protected] 電話:(02) 33665010 二、人 力 狀 況 編制內專職及約聘僱人員9名,其中區網經費及 資安經費各約聘1名。 負責網路規劃、建立及維護,以及北區區域網路 中心之技術諮詢服務及相關伺服器 (Proxy、 DNS)維護管理等業務。 義工老師、工讀生、學生社團等協助處理各伺服器 系統(News, Proxy, BBS, FTP, DNS)之例行維護、 問題諮詢及統計監控使用狀況,FreeBSD伺服器系 統維護、管理及統計使用者使用行為並翻譯編寫 FreeBSD及Linux相關文件,建置發展系所及宿網網 管系統,網路流量分析、監控及資料庫建立,建立 與維護「臺大資通安全服務中心」網頁,無線網路 的建置與維護等。 三、組 織 運 作 成立管理委員會、技術工作團隊或類似組織。 建立資訊交換平台,透過網路迅速獲得解決方 案。 北區區網管理委員會於99/03/31召開第一次會 議,99/10/28召開第二次會議。 100年度管理委員會成員:臺灣大學、大同 大學、臺北市教育網路中心、臺灣師範大 學、銘傳大學、臺北市立教育大學,龍華 科技大學。 四、網路架構與線路概況 對外(含連接骨幹及 各級學校)連線設備兩台,包括區網對外 主幹router一台、連 接區網學校一台。 區/縣市教育網路中 心整體網路連線架構。 連線單位數:53所學校/單位。 對連線學校(單位) 提供WEB及DNS服務狀態 連線偵測情形詳細紀錄。 迄今尚無無法連線學校。 台北市市網原以2Gb(速博電信 1Gb、中華 電信 1Gb)與北區區網連結,99年10月更改 為中華電信 3Gbps 、 亞太電信500Mbps。 提供病毒偵測系統提供即時之中毒 IP資訊 及區網連線學校 IP查詢系統。 參與 TWAREN骨幹網路設備維運計劃。 目前與北區區網直接介接的ISP包含了Hinet 1Gbps,和信 1Gbps,亞太 1Gbps ,以及台 固1Gbps。目前這些ISP都已接在新世代骨 幹路由器上,提供連線學校使用。 五、網路管理重點工作 連接骨幹及學校電路 連線監測機制。 線路障礙紀錄及統計。 區/縣市教育網路中 心網路資源透明化及 流量統計。 每日使用者總流量與 各類應用前100名使 用量排序。 網路服務窗口,24小時緊急聯絡窗口(手 機0927067106)。 Router連接新骨幹IP管理。 不當資訊防治,提供黑名單檔案下載服務。 Mail Server、Proxy Server、News Server。 推廣研討會、教育行政網路、TANet使用 者服務。 設置故障雙向測試系統,縮短故障排除時間, 並提供ISP業者之聯絡資訊。 提供各連線學校自行修改單位資料之界面 推動各連線學校資源交流 (例如網路電話) 經由固定之研討會,能將技術及訊息全面性 往下紮根,希望在網路頻寬提昇後能透過遠 距教學方式,讓各學校老師可在自己學校上 課或從網路下載上課內容的影片,提供最新 課程訓練及諮詢服務。 六、資訊安全相關服務 成立資安組織,建立資安事件通報機制與緊 急應變計劃。 駭客入侵處理。 病毒感染處理。 購買及建置IPS防護措施。 辦理資訊與通訊安全宣導與訓練。 處理廣告信、網路攻擊及不法網站情形 https://tprc.tanet.edu.tw/disobey 北區區網中心處理流程 區網連線學校處理流程 提供技術協助防制措施情形 配合公告相關資訊 建立處理相關反應或檢舉之電子郵件信箱 [email protected] [email protected] 購買IPS相關防制過濾系統設備。 於研討會中以「網路不當資訊防制」、 「網路安全」專題研討。 侵權違規檢舉信件處理 臺大區網資通安全服務中心網站 七、網路應用及創新服務 在臺大圖書館只要用身份證登記就可換一日 無線漫遊,臺大圖書資源盡在你手中。 因為學術網路各校漫遊管控中心已由宜蘭大 學負責但因轉換過程中必然有一些不順。 對有開發無線網路導覽系統,讓來賓在台大校園內 ,只要使用無線網路(不需認證)即可知道他上網的 大致地點及相關校園景點及建築物的介紹,並且在 校內透過計中佈建的無線網路取得IPv6位址。 已開發宿網流量管理系統、流量監測系統、無線網 路管理機制、IP 使用率監測系統、VPN技術、資通 安全通報系統等網路管理系統。 具開發自動化管理系統、提供技術諮詢、資源分享 等創新服務經驗。 臺大已於校內建置VoIP網路電話服務,利用現有的 IP網路建設提供更具行動性的語音服務,更可將單 純的語音服務擴展為具備多媒體影音功能,進而達 成電話節費的經濟效益及使用便利性。同時,也為 區網中心連線學校建置SIP伺服器,供連線學校與教 育部網路電話交換平台互通。 未來將繼續透過與其他學校以及教育部網路電話交 換平台之間的規劃、協調、互通測試,將各單位內 部建置之VoIP系統延伸到學術網路上其他縣市網路 中心及區網中心等更廣泛的範圍,進而達到完全利 用VoIP網路通話的目標。藉由此VoIP系統建置經驗 分享與互通測試的進行,相信將可加速學術網路全 面進入VoIP領域的目標。 加強區網中心網路管理與資訊安全: 1.於區網中心端建置高效能之專屬頻寬使用分析設 備,進行流量分析,以統計分析連線學校之網路服 務類型。 2.提供區網連線學校流量分析與頻寬管理功能。可 針對個別學校提供個別之特殊頻寬管理服務。 3.降低區網連線學校疑似侵害著作權之問題事件。 區網中心建置P2P管制設備,可有效協助連線學校降 低侵權事件之發生,亦可大幅降低各連線學校採購 相關設備之預算,此項服務所有區網學校都可申請。 4.提供網路流量即時管理。如發生大規模之網路蠕蟲 或攻擊時,從區網中心採取有效的阻擋,以降低蠕 蟲之感染與大規模之網路攻擊。 不當資訊過濾系統(cont.) 豐富且毫無界限的網路世界已經讓莘莘學子, 國家未來的棟樑,陷入情色暴力,賭博等氾濫 的網路世界中而無法自拔,透過不當資訊管 理系統的上網管理解決方案,協助青少年上 網行為管理,容易造成嚇阻的效果,避免使 用者掉入無法自拔的陷阱中,也減少了影響 個人與團體的資安問題。另一方面,也可以 減少不必要的情色暴力與惡意程式等...所佔 頻寬。 不當資訊過濾系統(cont.) 臺 大啟用的websense 可以根據URL 的 資 料 庫 ,藉由switch port monitor 狀態與 websense fileter sniffer mode 的網 路介面連接,對用戶端欲前往的網站做判 斷..若是已存在URL資料庫中歸類的不當 成人資訊,或其它類別,websense 會將送 出TCP RST 給網站與用戶端,藉此而中斷 不當資訊的網頁連結 不當資訊過濾系統(cont.) 除了根據URL 的資料庫,非HTTP 的 protocol,比如 P2P 或是其他的L7的資 料,主要是利用封包的pattern 識別技術, 直接認得該封包,之後在參考Policy 的 定義為阻擋或放行,如果為阻擋,即透過 TCP RST 對雙向進行阻斷. 不當資訊過濾系統 不當資訊過濾系統(cont.) 不當資訊過濾系統(cont.) 最近話題的種菜與facebook 不當資訊過濾系統(cont.) 圖例為瀏覽www.playboy.com 遭到block畫面 NTU login page NTU user location page 八、教育推廣 99年度舉辦25場網路 應用推廣研討會,將 相關技術及訊息向下 紮根 http://ccnet.ntu.edu.tw/course/cours 。 提供最新課程訓練及 諮詢服務,協助教師 以遠距教學進修。 e99/ http://mis.cc.ntu.edu.tw/register/ viewcoursemain.asp 舉辦臺北市網及直接連線學校之技術研討會。 提供技術諮詢,遠距教學服務。 配合連線學校的活動提供相關資源。 九、經費運用 教育部全額補助經費 238萬5000元/年 為增加區網中心效率臺大經費支援 一、區網中心機房冷氣工程維護 二、提供臺大區網、與TANet VoIP交換平台 之間的流量數據伺服器及無線一日認證伺服 器及服務櫃台人力(上午九點至晚上九點) 區網不能輔助資本門經費應比照今年資安設 備模式採購,為維護服務品質須自籌硬體設 備經費。 使用者對於服務品質的要求愈來愈高,而且 機房的監控與管理也需要24小時運作,增加 人力與物力上的負擔。 架設區網部份 transparent proxy,以協助連線 單位使用獨立 proxy,並進行病毒掃瞄過濾、 不當資訊過濾等。 大幅更新設備與連線架構,提供更穩定的設 備連線品質。 開放 proxy server給區網連線學校 proxy界接, 改善連線品質。 建購具病毒及垃圾郵件過濾功能之郵件伺服 器(mail relay server),避免病毒傳播及頻 寬浪費。 繼續無線網路資源,提供漫遊服務。 十、綜合建議結語 網路中心之現況 (包括優勢, 困境) 目前運作良好皆能符合鈞部要求,然為求精 進及發展創新服務,提高本中心之信賴度及 可靠度,並營造更佳運作環境,而第七項網 路應用及創新服務,盼能獲得更多更完備的 資源及人力。 給上游連線單位的綜合建議 因為以後寄垃圾信會罰錢,但假冒發信卻毫 無防制機制只能證明自己沒發這些廣告信, 希望平時建立從電子郵件伺服器及網路角度 的管理機制,當有要追查時能有效率抓到後 要有罰則。。 建議整合教育部電算中心各項服務 有關侵權違規各項服務已經由教育部電算中 心整合:教育部電算中心轉發告知區網中心 連線學校違規IP的內容,因為教育部TANet疑 似侵權案件通報網https://140.111.34.143/ login_page.php就應該替所有區網連線學校 建帳號由教育部、區網、連線學校三級,簡 化成只有教育部及連線學校二級,各項統計 也能在線上快速得到。 配合whois IP資料庫希望違規信寄送可自動 化避免人工漏寄或寄錯違規郵件。 給下游連線單位之綜合建議 建議國內ISP到區網中心的電路費用各校經 費許可下採購國際頻寬,當學校數量到一定 時可由區網統一公開議價壓低價格。透過 proxy 資料分享,連線學校得以使用臺大區 網中心資源,輔導連線學線升級連線速度, 防制規範不當資訊,達到頻寬升級目的。 明年度工作重點 繼續維持日常優良服務並作下列推廣 1.推動區網各連線學校資源交流及ISP專線優 惠價格。 2. 暑假舉辦區網研討會外,像資安週為期一 周的模式能將技術及訊息全面性往下紮根, 在網路頻寬都大幅提昇後,透過遠距教學方 式,各學校老師可在自己學校上課或從網路 下載上課內容的影片,提供最新課程訓練及 諮詢服務,並節省舟車勞頓。 3.建置完成ASOC中心提供區網連線學校在資 安保護上更快速安全的服務。 簡報完畢,敬請批評指正