時 間:一0五年八月三十日〈星期二〉上午十時0分
地 點:國立彰化高中 中興樓2樓國際會議廳
主持人:國立彰化高中 吳文宗校長
會議資料及記錄:楊崇誠
出席單位及人員:如附件一
壹、主席致詞:略
貳、區網中心召集人致詞:略
参、頒獎:
頒發臺中區域網路中心第十二屆優良網路管理人員獎牌及獎品。得獎人員:張廣欽(東
海大學)、陳美鐘(修平科技大學)、邱漢卿(臺中科技大學)、梁仕炘(彰化高中)、陳文鴻
(臺中市資網中心)
肆、上次會議決議執行情形
一、第十二屆TANet臺中區域網路中心優良網路管理人員選拔
議決:由出席人員每單位推派一位代表進行投票,每位代表可圈選一至三人
每張選票圈選超過4(含)人視為廢票。候選人以票數最高之前三名為當
選,於下次會議中頒獎表揚。
選舉結果:本次選拔,由張廣欽(東海大學)、陳美鐘(修平科技大學)、邱漢卿(臺中科
技大學)、梁仕炘(彰化高中)、陳文鴻(臺中市資網中心)等五位當選。(第三
高票同為15票,依往例同時入選)。
執行情形:已於本次會議中頒獎表揚。
臨時動議
ㄧ、針對外對內的DDoS攻擊經常塞爆對外頻寬,區網可否提供相關防護?(嶺東提)
議決:因攻擊來源不固定,目前沒有較好的方法做過濾,區網中心將與維護廠商討論可否利用頻寬管理設備(SCE8000)進行適當防護。並請受攻
擊學校隨時與區網服務同仁密切聯繫。
執行情形:
1.台中區網已利用頻寬管理設備(SCE8000)針對異常流量進行頻寬限縮,並阻止了105/5/1~5/4一波攻擊。
2.另,區網中心針對NSFOCUS DDoS Protection機制進行POC測試,結果在異常流量的導流、清洗均如預期運作。由於初步測試的目標僅限於
部份連線單位,剛好時間正值暑假期間流量不大,再加上配合TANet 100G改接作業的時程,POC的時間有限,預計在線路改接穩定後,再進
行測試。
3.教育部資科司在TANet第91次技術小組會議中有說明,目前已委請國網中心在骨幹網路上針對DDoS攻擊的防護進行系統的評估及建置。
二、成大提供那套網站(Web)應用程式弱點掃描服務,有無驗證其有效性?(亞大提)
議決:將由區網中心詢問成功大學原開發單位維護情形,並於下次區網會議中說明。
執行情形:
成大資安掃瞄系統負責人員回覆內容如下:
1.個資系統與弱點掃描系統目前程式維護情形--
弱點掃瞄系統之重大更新:更新日期 2015/11/25
個資掃瞄系統之重大更新:去年並無重大更新,預計今年會增加圖片影像辨識個資部份之功能
連線單位反應透過掃瞄系統執行檢測後是沒有問題,但是否能真實地反應目前系統之狀態
2.連線單位反應透過掃瞄系統執行檢測後是沒有問題,但是否能真實地反應目前系統之狀態?
弱點掃瞄程式原始初衷是為了快速掃瞄出系統網站是否有常見的弱點,因此目前弱點掃瞄程式只有基本的檢測字串,並不會像大多商用軟體等可以再去檢測CVE(通用弱點披露)之類的弱點。所以只能說經過弱點掃瞄平台掃瞄之後,是可以避免一般書籍上出現的弱點攻擊。
三、請區網協助彰化縣網DNS備援問題。(彰化高中提)
議決:將由區網中心主動聯絡彰化縣網透過區網提供的虛擬主機來做備援服務。若彰化高中有意願協助維護,區網也非常歡迎,但須取得彰化縣
網的同意。
執行情形:目前區網中心的虛擬主機已提供彰化縣網的DNS備援,主機名稱:chcns.tcrc.edu.tw (IP:163.28.80.43)。
伍、區網中心工作報告:
ㄧ、區網相關計畫推展情形及現行運作說明
- 教育機構網站應用系統弱點監測平台啟用迄今,正式登錄的會員計149位,合法登錄的網址計1,312個。自105年1月1日至105年8月24日為止,使用者申請檢測次數為453次。
- 教育機構防洩漏個資掃描平台啟用迄今,正式登錄的會員計405位,合法登錄的網址計686個。自105年1月1日至105年8月24日為止,使用者申請檢測次數為1,365次。
- 區網中心已經採購Fortigate 1200D,於8月中旬正式上線,針對共用(經中華電信)電路之高中職進行IPS防護。
- 「教育學術研究骨幹網路頻寬效能提升計畫-100G骨幹設備採購案」骨幹網路第一階段(區網中心與骨幹主節點)移轉作業,臺中區網中心已於105/5/31上午7:00順利完成,自此區網對TANet骨幹頻寬已經有100Gbps。
- 「教育學術研究骨幹網路頻寬效能提升計畫-100G骨幹設備採購案」骨幹網路第二階段(區網中心與下游連線單位)移轉作業,臺中區網中心已於105/8/18~23移轉完畢,8/24下午也順利解決亞洲大學遠傳電路不通的問題。
二、網路維運狀況報告
- 105.4.7 教育學術研究骨幹網路頻寬效能提升計畫-100G骨幹設備案,第二組電池完成安裝並上線運作。(僅台中區網有第二組電池)。
- 105.5.1~5.4 利用區網頻寬管理設備(SCE8000)處理東海、靜宜...等校遭受DDoS攻擊造成網路中斷的問題。
- 105.5.10 區網中心提供給彰化縣網之 DNS 備援虛擬主機(VM)重新啟用。
- 105.5.31 7:00完成TANet 100G新骨幹網路電路第一階段移轉作業。
- 105.7.26 宜寧中學電路改用台灣佳光電訊電路。
- 105.8.3 新增一座 TANet 100G新骨幹專用ODF光纖配線機櫃以收容各連線單位及服務主機進線。
- 105.4.7~105.8.26 完成Google Global Cache故障硬碟(共10顆)換新。
- 105.8.23完成Google Global Cache系統重建(txg105 slot 0)。
- 105.8.18~23完成台中區網連線單位及相關服務伺服主機群移轉(Cisco 6509--> ASR9010)作業。
- 斷線記錄請參考:台中區網 2016.04 ~ 2016.08 網路斷線及維護記錄 。
三、資通安全機制運作狀況
- 自105.3.25至105.8.24止,臺中區網中心連線單位發生資安事件並登錄於教育機構資安通報平台(TACERT)者合計670筆,詳如附件二。針對「告知通報」事件請各單位負責資安通報人員,務必在收到簡訊通知後1小時內上網完成通報,通報完成後也要儘快完成應變措施。
- 自105.3.25至105.8.24止,教育機構資安通報平台對臺中區網中心連線單位發出資安預警事件(EWA)通知單合計215筆,詳如附件三。
- 105.4.11 公告並發Email通知TACERT-ANA-2016041101045757資安訊息【攻擊預警】近期勒索軟體 Locky 活動頻繁,請提高警覺。
- 105.4.29 公告並發Email通知TACERT-ANA-2016042909042424資安訊息【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼。
- 105.6.22 公告並發Email通知TACERT-ANA-2016062210064646資安訊息【攻擊預警】Adobe Flash Player漏洞(CVE-2016-4117)允許攻擊者遠端執行任意程式碼。
- 105.6.23 公告並發Email通知TACERT-ANA-2016062309063434 【情資通報】請貴單位協助將「全國法規資料庫活動網站」加入設備白名單。
- 105.6.27 公告並發Email通知TACERT-ANA-2016062711061919資安訊息【攻擊預警】資訊設備遭xDedic地下黑市入侵通知。
- 105.6.23 公告並發Email通知TACERT-ANA-2016062309063434 資安訊息【情資通報】請貴單位協助將「全國法規資料庫活動網站」加入設備白名單)。
- 105.7.6 公告並發Email通知TACERT-ANA-2016070610073030 資安訊息【漏洞預警】Symantec旗下產品存在多個安全漏洞,部分漏洞允許攻擊者執行任意程式碼或造成阻斷服務,請儘速確認並更新版本。
- 105.7.25 區網分配給台中榮總、台中二中、中興高中、新民高中的WAN port IP被TACERT開立資安事件單。
- 105.8.1 公告並發Email通知TACERT-ANA-2016080102083636資安訊息【漏洞預警】Apache 2.4.23(含)前的版本存在漏洞(CVE-2016-5387),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正。
- 105.8.1 公告並發Email通知TACERT-ANA-2016080102080303 資安訊息【漏洞預警】Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正。
四、其他報告事項
- 教育部於104年10月21日臺灣學術網路(TANet)技術小組第90次會議,報告事項三「校園DNS版本掃描統計報告」。決定:(一)關於DNS版本建議,BIND DNS 9.8 版本以下已停止維護,請更新為9.9 以上的版本;Windows DNS 2003 版本104年7 月已中止服務,請升級為2008 以上的版本,請各位伙伴轉知所屬單位,進行版本的升級。(二)請各區網中心及各縣市網協助所服務之連線學校DNS 版本更新,未升級前協助提供相關安全性設定。
- 教育部在102年5月2日的臺灣學術網路管理會第62次會議中即決議將現有「TANet 新世代骨幹網路連接規範」(重點內容詳附件四)及「臺灣學術網路之連線原則」整合修正為「臺灣學術網路(TANet)骨幹網路介接暨互連作業要點」(草案重點內容詳附件五)。目前「臺灣學術網路(TANet)骨幹網路介接暨互連作業要點」尚在草案階段,但綜觀現有連接規範以及新的互連作業要點草案,都在要求:連線學校或機關(構)應確保所提之「TANet連線申請計畫書」所列事項正常運作,區網中心或縣、市網中心對高寬頻(lG 以上)之連線單位每年應至少一次檢核其執行情形。因此請本區網連線單位預做準備,請於10月31日前重建檢核網站(原網站連結如附件六)並將網址通知臺中區網中心,區網中心將在11月初進行檢核。
- 教育部於105年8月16日,公布「105年教育體系資安通報演練計畫」,為確保演練時每位資安聯絡人均能收到演練訊息,請各單位資安負責人員於9月14日前,到教育機構資安通報平台完成密碼更新與機關資安連絡人連絡資訊確認。本區網特別要求:通報平台上每位連絡人帳號都要進行密碼更新,若第3~5聯絡人已離職或不參與資安通報,請將其帳號關閉。網址:https://info.cert.tanet.edu.tw。本年度演練計畫臺中區網屬於第二梯次,演練日期為 9月26日至 9月30日。
- 對於上次管理會議中提及,興大計中研發組(區網中心)於今年執行科技部的能源國家型科技計畫,區網中心預計提供各連線伙伴一台虛擬主機,主機的規格是 2Core + 4GB RAM + 100GB HD(Thin Provision)。經調查之後有11個學校提出需求,惟區網中心仍決定為每校建置一台,各校如有需要可隨時提出申請,虛擬主機IP及帳號將提供給有申請的學校。
肆、討論事項
ㄧ、教育部105年度台灣學術網路(TANet)傑出貢獻人員選拔(臺中區網)初選
說明:
1.依據教育部105年7月26日,臺教資(四)字第1050098823號函辦理。該函文說明三、本(105)年度推薦及選拔作業期程如下:
(一)8月26日(星期五)前,高級中等以上(含)學校(以1名為限)及各縣市所屬相關學校(每類別至多1人,提報至多3人)完成人員推薦,並提報至服務該校(單位)之連線區域網路中心辦理初審(每類別至多1人,提報至多3人)。
2. 105年度本區網計有一個單位推薦1人參選,推薦類別為應用推廣類。
3.本次初選出之被推薦人將依教育部規定,於9月10日前報部參加複審,複審當選者將於台灣網際網路研討會(TANET2016)開幕式中
頒獎表揚,
4.請推薦單位派員報告被推薦人相關事蹟。被推薦人特殊貢獻及推薦理由請參考附件七。
討論:
請決議(1)推選方式?(舉手表決或鼓掌通過)
(2)擬將唯一一位被推薦人提報教育部參加複審。
決議:
由推薦單位(東海大學)進行被推薦人特殊貢獻及推薦理由說明後,全體出席代表鼓掌通過將被推薦人陳昆良先生提請教育部參加複審。
二、TANet新世代骨幹網路(Gigabit)擴充連線申請(報告案)
請靜宜大學報告線路擴充需求之現況及相關資安措施(簡報內容下載)
討論:
在不影響其他連線學校頻寬使用的前提下,是否同意靜宜大學可以新增一條1 Gb線路?
決議:
出席代表鼓掌通過。
柒、經驗分享
彰化高中資訊志工服務計畫—振翅芬飛 彰化高中梁仕炘組長
(講義請至本區網網站http://www.tcrc.edu.tw/files/55/chsh_20160830.pdf 下載)
捌、臨時動議
提案一:(提案單位–區網中心)
請決定下次臺中區域網路管理會開會地點。
決議:下次會議地點授權區網中心決定,會議時間及相關資訊於下次開會前通知。
玖、散會
本次會議承蒙國立彰化高級中學 吳文宗校長親臨主持,梁仕炘組長率圖書館資訊媒體