管理委員會第五十次會議

時  間:一0三年八月十三日〈星期三〉上午十時0分 
地  點:國立中興大學 計算機及資訊網路中心 二樓第3PC教室
主持人:中興大學 呂主任瑞麟
會議資料及記錄:楊崇誠
出席單位及人員:如附件一

壹、主席致詞:
略。

貳、頒獎:
頒發臺中區域網路中心第十屆優良網路管理人員獎牌及獎品。得獎人員:劉興憲(彰化師範大學)、梁瑞崧(逢甲大學)、蘇仕朋(建國科技大學)。

參、 上次會議決議執行情形

一、TANet新世代骨幹網路(Gigabit)連線申請(報告案)
   議決:同意彰化高級中學與臺中區網間以Gigabit電路連線(申請頻寬為100Mb)。
執行情形:
   彰化高中於103.5.6完成該校與臺中區網間連線,頻寬為100Mb。

 

二、TANet新世代骨幹網路(Gigabit)擴充連線申請(報告案)
議決:出席代表無異議通過:在不影響其他連線學校頻寬使用的前提下,同意逢甲大學以及亞洲大學各新增一條1 Gigabit線路。
執行情形:

  1. 103.5.6亞洲大學與臺中區網間第二條Gigabit電路正式啟用。
  2. 103.7.31完成逢甲大學與臺中區網2Gb Port_Channel電路測試(IPS為中華電信)並於103.8.12下午正式啟用。

 

三、第十屆TANet臺中區域網路中心優良網路管理人員選拔
議決:由於本次候選人與預計選出人員同為三人,在臺中市教育網路中心張本和老師的提議以及出席人員附議下,出席代表以鼓掌方式通過三位候選人均當選,將於下次會議中頒獎表揚。
選舉結果:本次選拔,由劉興憲(彰化師範大學)、梁瑞崧(逢甲大學)、蘇仕朋(建國科技大學)等三位當選。
執行情形:已於本次會議中頒獎表揚。

 

四、臨時動議
  提案一:(提案單位–區網中心)
    因應今(103)年底TANet與區網間backbone頻寬提升,各連線單位未來如有意願增加頻寬,請務必預先編列下年度相關預算。
決議:請務必報告 貴單位長官,若有升速意願,請預先編列下年度相關預算。
  執行情形:略。

  

  提案二:(提案單位–區網中心)
    鑒於逢甲大學與HiNet合作共享校外WiFi熱點的案例,建議請教育部和中華電信協商,研究是否能夠全面與HiNet共享某個漫遊SSID,讓校園網路WiFi帳號也可以在校園以外認證使用。
   決議:由區網中心透過適當管道向教育部資科司提出建議,並持續追蹤。
   執行情形:

  1. 針對這個構想,會議主席(中興大學呂主任)在103年5月20日舉辦的TANet第64次管理委員會議中曾以臨時動議的方式向教育部提案。
  2. 7月1日打電話詢問教育部相關業務承辦人何永欣先生有關教育部與中華電信共享SSID一案的執行進度,他表示有聽說但還要問網通科林科長的意見。
  3. 7月29日再度去電詢問教育部有關TANet與中華電信交換SSID相關議案的進度,獲知教育部無線漫遊承辦人改為王東棋先生。區網中心主動 提供中華電信南區分公司中部辦公室規劃設計處顏志誠工程師聯絡方式給教育部王先生,並請中華電信台北總公司人員主動與教育部王先生連繫。

  

  提案三:(提案單位–亞洲大學)
    學校連到國家圖書館博碩士系統會有連不上的情況,但是關閉IPv6連線設定之後就恢復正常,請協助查明原因或向國家圖書館反應此一狀況。
  決議:區網蒐集相關資料後再統一處理,並於下次會議中說明處理情形。
  執行情形:

  1. 103.5.12以電話向亞洲大學陳偉崧組長詢問該校啟用IPv6後無法連上國家圖書館博碩士論文上傳系統相關事宜。
  2. 103.6.6收到亞洲大學資訊發展處網路維運組曾郁凱先生以E-mail寄來有關國家圖書館博碩士論文上傳網站啟用IPv6連線時彈跳出的錯誤訊息截圖。
  3. 以電話詢問國家圖書館台灣博碩士論文加值系統相關業務承辦人員王先生,他答覆國家圖書館尚未啟用IPv6。所以這個問題目前暫時無解。
  4. 連線單位若有遇到相同問題,目前的解決之道就是暫時關閉IPv6。

 

肆、區網中心工作報告:

一、區網相關計畫推展情形及現行運作說明

  1. 網站應用系統弱點監測平台,合法登錄的會員計132位,合法登錄的網址計1,144個。自103年5月1日至103年7月31日止,連線單位共完成429次網站檢測,檢測出41,249個弱點。
  2. 高中職資安防護系統
    1. 自103.5.1至103.7.31,IPS已成功攔截 181萬多次來自外部的惡意攻擊。最大攻擊來源為中國大陸,佔58.7%;其次為台灣內部,佔18.1%;第三位是來自烏克蘭的攻擊,佔8.3%;第四位是美國,佔4.9%;其次為阿根廷(2.1%)。
  3. 教育機構防洩漏個資掃瞄平台自100年11月28日開放使用。至103年731為止,該系統正式登錄的會員計388位,合法登錄的網址計458個。自103年51至103年731止,使用者申請檢測網址數為998,檢測出網站含個資數由於資料庫異常,相關數據無法讀出。
  4. 個人資料保護法於101年10月1日正式實施,為落實教育體系個人資料保護安全管理之施行,臺中區網中心(中興大學)自103年1月1日至 103年12月31日執行「公立大專校院個人資料保護安全管理施行專案計畫」。本計畫主要的目標有五:(一)、開發與改良因應個資法實務所需範本; (二)、已完成之個資盤點資訊化模組提供他校建置PIMS使用;(三)、因應個資法建立標準作業程序與教育訓練;(四)、教育體系(公立部分)各校導入個 資管理制度諮詢與經驗分享;(五)、研議教育體系個資保護管理規範及個人資料保護驗證機制。
  5. 103年3月10日臺中區網 HiNet Dr.Speed連線測速主機啟用,測速軟體下載網址:
    http://speed.hinet.net/drspeed/ 。若連線單位使用中華電信電路與臺中區網銜接,更可獲得詳細(請洽該公司業務經理)之測速報告。

二、網路維運狀況報告
  1. 103.5.6 彰化高中與臺中區網正式連線(亞太電信),頻寬為100Mb。
  2. 103.5.6 亞洲大學與臺中區網第二條1 Gigabit電路(亞太電信)正式啟用。
  3. 103.6.13 台中家商IPv6啟用。
  4. 103.6.25 嶺東科技大學與區網連接電路更換IPS為遠傳電信(原為中華電信)。
  5. 103.6.26 彰化高中IPv6啟用。
  6. 103.7.28 弘光科技大學與區網連接電路更換IPS為亞太電信(原為中華電信)。
  7. 103.7.28 中臺科技大學與區網連接電路更換IPS為中華電信(原為遠傳電信)。
  8. 103.7.29 Google Global Cache 一顆故障硬碟完成更換。
  9. 103.7.30 靜宜大學與區網連接電路更換IPS為亞太電信(原為中華電信)。
  10. 103.8.12 逢甲大學2Gb Port Channel電路啟用並更換IPS為中華電信。
  11. 自103.5.1至103.8.7止,臺中區網中心連線單位發生資安事件並登錄於教育機構資安通報平台(TACERT)者合計27筆,詳如附件二。針對「告知通報」事件請各單位負責資安通報人員,務必在收到簡訊通知後1小時內上網完成通報,通報完成後也要儘快完成應變措施。
  12. 自103.5.1至103.8.7止,教育機構資安通報平台對臺中區網中心連線單位發出資安預警事件(EWA)通知單合計135筆,詳如附件三
  13. 斷線記錄請參考:台中區網 2014.05~ 2014.07 網路斷線及維護記錄

三、其他報告事項
1. 103.5.27收到東海大學歐建暉前組長來函反映:收到多次資安預警情報,標題是PHP.CGI.Argument.Injection dropped事件,看過詳細資料,都是連別人的 80 port , 連線數也不多,使用者詢問有何處理建議,請他們做好系統更新及掃毒甚至重灌系統還是會出現同樣的狀況。使用者很困擾,他也不知該如何建議?鎖也不是不鎖也不是。
區網中心將此問題向TACERT反映,尋求解決之道。他們的答覆是:

  (1)PHP 5.3.12與5.4.2以前的版本,在處理CGI script的時候無法正確處理”=”這個參數,因此遠端攻擊者可以利用這個漏洞進行注入攻擊,詳細說明請參考CVE-2012-1823:http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1823
  (2)解決方法:【client端】安裝防毒軟體,避免被植入惡意程式;【server端】請管理員升級PHP之版本。

2. 103.6.25 TACERT公布TACERT-ANA-2014062508061111 資安訊息,疑似國外IPDDoS攻擊國內傳媒網站。此次攻擊方式為使用「DNS放大流量攻擊(DNS amplification attack)」及部份殭屍電腦利用LOIC攻擊工具,造成DNS服務無法負荷而癱瘓。
http://cert.ntu.edu.tw/Document/announce/announce_140625.htm
影響平台:DNS服務。

建議措施:
針對LOIC工具網頁攻擊,防護建議如下:
  (1)暫時關閉不必要的動態網頁功能。
  (2)進行 patch更新、修補網站漏洞。
  (3)在網頁伺服器前端架設入侵防禦系統(IPS)或網頁應用程式防火牆(WAF),並作下列防護設定:
    (a)開啟阻擋 LOIC 工具攻擊之防護規則。
    (b)當受到大量攻擊時,可進一步設定限制單一來源 IP 存取頻率,緩解攻擊造成的影響。

3. 103.8.12 TACERT公布TACERT-ANA-2014081208080808資安訊息,請各機關確認所屬系統平台(含個人電腦、工作站主機及伺服器)是否支援Intel主動管理技術(Active Management Technology, AMT),並設定停用或條件式開放該項功能。

影響平台:配載Intel vPro晶片之系統平台(個人電腦、工作站主機與伺服器)。
建議措施:
  (1)檢視主機板是否支援vPro功能或貼紙含有vPro或XEON (Xeon 3400系列)字樣。
  (2)將AMT功能列為管制項目,定期檢查AMT功能有無啟用,並以原則關閉例外開放之方式進行管理,即預設停用AMT功能,如有使用需求,應由管理員管理密碼,除定期修改預設密碼外,密碼並應具備複雜度強度。
  (3)進入BIOS,停用AMT功能。
  (4)為避免機敏資訊經由網路傳輸,處理機敏公務之設備,應採實體隔離作業。
  (5)防火牆應針對AMT所使用的通訊埠進行監控管制,若非申請使用之需求,應停用通訊埠為16992、16993、16994及16995之流量;申請使用之需求也應在防火牆設定點對點存取,避免未經授權的來源進行存取。

 

伍、 經驗分享與討論事項
一、經驗分享
由亞洲大學陳偉嵩組長進行校園骨幹網路建置經驗分享。(簡報內容:略)

二、教育部103年度台灣學術網路(TANet)傑出貢獻人員選拔(臺中區網)初選
說明:
  1.依據教育部103年6月12日,臺教資(四)字第1030074758號函辦理。該函文
說明三、(103)年度推薦及選拔作業期程如下:
      ()718 (星期五)前,高中職以上()學校(1 名為限)及各縣、市所屬相關學校(每類別至多1人,提報至多3)完成人員推薦,並提報至服務該校(單位)之連線區域網路中心辦理初審(每類別至多1人,提報至多3)

  2.臺灣學術網路(TANet)傑出貢獻人員選拔實施要點附件四。 103年度本區網計有五個單位推薦6人參選。其中管理維護類2人,應用推廣類3人,技術發展類1人。

  3.本次初選出之被推薦人將依教育部規定,於8月15日前報部參加複審,複審當選者將於台灣網際網路研討會(TANET2014)開幕式中頒獎表揚,

  4.請各推薦單位派員報告被推薦人相關事蹟。被推薦人特殊貢獻及推薦理由請參考附件五

討論:
請決議(1)票選方式?(投票或舉手表決,二選一)
   (2)擬由三個類別各選出一人,提報教育部參加複審。
決議:
本次初選以投票方式由三個類別中各選出一人,參加教育部複審。

選舉結果:
本次初選,管理維護類由廖述益(修平科技大學)、應用推廣類由沈俊達(臺中市教育網路中心)、技術發展類由蕭聖哲(臺中市教育網路中心)等三位勝出。

 

陸、臨時動議

提案一:(提案單位–區網中心)
請決定下次臺中區域網路管理委員會開會地點。
決議:下次會議預定在臺中教育大學舉行,會議時間、相關交通圖於下次開會前通知。

 

柒、散會

DMC Firewall is developed by Dean Marshall Consultancy Ltd