管理委員會第五十七次會議

時  間:一0六年九月六日〈星期二〉上午十時0分
地  點:國立中興大學資訊科學大樓 二樓第三電腦教室
主持人:國立中興大學 陳育毅主任
會議資料及記錄:楊崇誠
出席單位及人員:如附件一

​壹、主席致詞:

 

​貳、頒獎

頒發臺中區域網路中心第十三屆優良網路管理人員獎牌及獎品。得獎人員:李忠澤(臺中科技大學)、吳仁智(臺中市教育局[清水國小])、陳軒正(文華高中)。

 

参、上次會議決議執行情形

一、第十三屆TANet臺中區域網路中心優良網路管理人員選拔

  • 議決:由出席人員每單位推派一位代表進行投票,每位代表可圈選一至三人,每張選票圈選超過4(含)人視為廢票。候選人以票數最高之前三名為當選,於下次會議中頒獎表揚。。
  • 選舉結果:本次選拔,由李忠澤(臺中科技大學)、吳仁智(臺中市教育局[清水國小])、陳軒正(文華高中)等三位當選。
  • 執行情形:已於本次會議中頒獎表揚。

            臨時動議
            提案一、105年度資安通報演練成績並未公布,如何取得本次演練成績?(南開科大提案)

  • 議決:擬由區網中心向教育部統一取得資安通報演練成績,再以電子郵件分別寄送給各連線單位。
  • 執行情形:已於106年4月7日~9日寄送105年度各校演練成績。

 

、區網中心工作報告:

ㄧ、區網相關計畫推展情形及現行運作說明

  1. 網站應用程式弱點監測平台目前合法登錄的會員計156位,其所登錄的網址共計1,369個。自106年11至106年831止,連線單位共完成86次網站檢測。
  2. 教育機構防洩漏個資掃瞄平台自啟用至106年8月31日為止,正式登錄的會員計407位,合法登錄的網址計687個。自106年11至106年831日為止,使用者申請檢測次數為231 次。
  3. 配合教育部資安政策,臺中區網中心(中興大學) 繼去年收容90所中小學DNS伺服器之創新服務,今年持續針對彰化縣中小學進行第二梯次DNS server收容服務,預計收容80校。區網中心人員並且於8/18(7校)、8/22(5校)、8/28(8校)分三天到部分(偏遠)學校進行到校服務。

 

二、網路維運狀況報告

1. 106.3.25~8.31 完成Google Global Cache故障硬碟(8顆)換新。

2. 106.4.12 臺中區網與HiNet合作建置的CDN系統進行優化,調整1路光纖線路。

3. 106.4.12因中研院到日本的線路爆量,造成學術網路LINE應用程式異常。

4. 106.4.25中華電信APCN2國際海纜故障,經教育部調整路由後恢復國際頻寬。

5. 106.5.10 中國醫藥大學水湳校區網路(200Mbps)完成上線。

6. 106.5.15 教育部調查各校WannaCry網路勒索軟體受害情形。

7. 106.5.24 HiNet CDN 18顆SATA硬碟更新為SSD硬碟。

8. 106.6.7 配合教育部計畫,完成上層VoIP語音交換平台IP變更。

9. 106.6.15 利用LINE 機器人正式轉貼區網資安通報訊息於臺中區網LINE群組。

10. 106.6.21 卓蘭高中因更換路由設備,因路由協定未送至區網交換,造成線路不通。

11. 106.7.4  4:00~8:00 HiNet 台中機房設備維修,區網4路BGP介接電路暫停服務。

12. 106.7.15 臺中區網(上午)及國網中心(下午)路由設備ASR 9010韌體升級。

13. 106.7.19 教育部來信要求7/20中午前回報各校DNS版本。7/20 13:50回報教育部。

14. 106.7.19 靜宜大學電路改接,亞太à中華電信。

15. 106.7.26 弘光科技大學電路改接,亞太à中華電信。

16. 106.8.7 彰化縣網中小學DNS server收容計畫第二階段啟動。區網中心到彰化縣針對中小學資訊組長進行暑期校園資安專題演講。

17. 106.8.8 17:30~18:05中興大學對區網線路不通,重開FlowView後恢復正常。

18. 106.8.15 全台大停電,區網中心於18:51開始停電,因有發電機組,未影響服務。

19. 106.8.16草屯商工反應網際網路連不到該校網站,經查為前一日停電南投縣網DNS故障造成,於8/16上午通知南投縣網盡速維修,中午時分恢復正常連線。

20. 斷線記錄請參考:https://www.tcrc.edu.tw/news/committee/tcrc-meeting/off-line/57-offline

 

三、資通安全機制運作狀況

  1. 自106.3.25至106.8.31止,臺中區網中心連線單位發生資安事件並登錄於教育機構資安通報平台(TACERT)者合計653筆,詳如附件二。針對「告知通報」事件請各單位負責資安通報人員,務必在收到簡訊通知後1小時內上網完成通報,通報完成後也要儘快完成應變措施並記錄於資安通報平台。
  2. 自106.3.25至106.8.31止,教育機構資安通報平台對臺中區網中心連線單位發出資安預警事件(EWA)通知單合計187筆,詳如附件三
  3. 106.3.27 公告並發Email通知TACERT-ANA-2017032701035959資安訊息【漏洞預警】Cisco IOS與IOS XE軟體中的叢集管理協定存在零時差漏洞(CVE-2017-3881),導致攻擊者可遠端執行任意程式碼,進而取得設備控制權或重新啟動,請儘速確認並採取建議措施。
  4. 106.4.6 公告並發Email通知TACERT-ANA-2017040608045959資安訊息【漏洞預警】特定版本Microsoft IIS的WebDAV服務存在緩衝區溢位弱點(CVE-2017-7269),允許攻擊者遠端執行任意程式碼或造成阻斷服務。
  5. 106.4.11 公告並發Email通知TACERT-ANA-2017041101045353資安訊息【漏洞預警】微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼。
  6. 106.4.18 公告並發Email通知TACERT-ANA-2017041809043434【漏洞預警】[更新建議措施 1]微軟所有Office Word版本之物件連結與嵌入(OLE)存在零時差漏洞,允許攻擊者遠端執行任意程式碼。
  7. 106.4.28 公告並發Email通知TACERT-ANA-2017042808041313資安訊息【漏洞預警】微軟伺服器訊息區塊(SMB)協定存在數個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速進行更新。
  8. 106.5.5 公告並發Email通知TACERT-ANA-2017050509054848資安訊息【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689),允許攻擊者遠端獲取系統的控制權限。
  9. 106.5.5 公告並發Email通知TACERT-ANA-2017050508054141 資安訊息【漏洞預警】印表機設備未設定或使用預設密碼,並曝露於網際網路上恐有遭受入侵及利用之疑慮。
  10. 106.5.12 公告並發Email通知TACERT-ANA-2017051209053030資安訊息【漏洞預警】微軟惡意程式防護引擎(Microsoft Malware Protection Engine)存在允許攻擊者遠端執行程式碼之漏洞(CVE-2017-0290),進而取得系統控制權,請儘速確認防護引擎版本並進行更新。
  11. 106.5.13 公告並發Email通知TACERT-ANA-2017051307053939 資安訊息【高風險】【攻擊預警】勒索軟體 WanaCrypt0r 2.0 攻擊 Windows 系統漏洞,造成檔案加密無法使用,請儘速進行更新。
  12. 106.5.22 公告並發Email通知TACERT-ANA-2017051904050707 資安訊息【漏洞預警】Microsoft Windows作業系統及Google Chrome瀏覽器存在處理SCF檔的弱點,導致攻擊者取得使用者帳號與密碼。
  13. 106.5.26 公告並發Email通知TACERT-ANA-2017052601050101 資安訊息【漏洞預警】特定版本Samba軟體存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-7494),可取得管理者權限,請儘速確認Samba軟體版本並進行更新。
  14. 106.6.29 公告並發Email通知TACERT-ANA-2017062908060000 資安訊息【攻擊預警】近期勒索軟體Petya活動頻繁,請立即更新作業系統、Office應用程式與防毒軟體,並注意平時資料備份作業。
  15. 106.7.19 公告並發Email通知TACERT-ANA-2017071910070000 資安訊息【漏洞預警】微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網域控制權之漏洞(CVE-2017-8563),請儘速進行更新。
  16. 106.7.19 公告並發Email通知TACERT-ANA-2017071910074040 資安訊息【漏洞預警】Apache Struts 2.3.X系列版本中的Showcase應用程式存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9791),請儘速確認並進行修正。
  17. 106.8.22 公告並發Email通知TACERT-ANA-2017082209085050 資安訊息【漏洞預警】Netsarang的XSHELL多種版本遭植入惡意程式。

 

四、其他報告事項

1. 教育部於106.6.3通知:教育部已協同TANet各資安團隊建置完成「臺灣學術網路DDoS攻擊清洗系統」,以協助各單位避免遭受DDoS攻擊之威脅。本機制已於7月上線。

  • 防護範圍:

為有效防範外部對TANet DDoS攻擊,國際線路進入TANet由南區SOC(國網中心)負責防禦;各ISP進入TANet及教育部由北區SOC(臺灣大學)負責防禦,本階段由南、北SOC負責其範圍各縣市之清洗,惟為聯合防護之所需花蓮、台東2區網由北區SOC(臺灣大學)負責偵測清洗。

  • 清洗通報:

教育體系各單位發生DDoS攻擊需進行清洗申請時,請依「教育體系DDoS攻擊清洗流程」進行應變作業,並由各二線單位(區、縣市網)至TACERT「資安通報報表系統」/「DDoS通報」進行清洗申請 (清洗流程如附件四)。通報網址:https://portal.cert.tanet.edu.tw/index.html

  • 各校配合事項:

為協助教育體系各單位進行DDoS正確清洗,請各縣、市網路中心及大專院校儘速提供單位網路拓樸圖,圖內需含要被保護核心系統之IP(v4、v6)及對外所有線路(含TANet及商用ISP);現階段各單位只要其自己的內部簡單拓樸即可,但外部ISP資料要確實無誤。各單位請將拓樸圖寄至宜蘭大學,Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它(聯絡人:湯文錡,03-9317275),進行匯整。

2. 教育部於106年6月19日臺灣學術網路(TANet)技術小組第93次會議,報告事項一「TANet 名稱解析服務(DNS)伺服器版本更新進度報告」之決定:請各區縣、市網路中心持續協助追蹤所服務連線學校之DNS 的BIND 版本升級作業辦理進度,另為簡化教育體系DNS 服務主機適當整併及管理整合之策略,請協助盤點所服務連線單位DNS 服務主機。準此,請尚未填報主要DNS版本的單位請盡速填報,填報網址:https://goo.gl/forms/r5wLpy4Xow2teDk32

3. 臺灣學術網路(TANet)技術小組第93次會議,討論事項案由二:有關TANet保留之泛用型網域名稱使用相關事宜,決議:對現有臺灣學術網路保留之泛用型域名,原則同意將開放各縣、市或學校申請使用,惟仍請各縣、市及學校審慎評估申請使用泛用型網域名稱之必要性,並考量民眾依網址屬性識別度及網路管理上可能增加之複雜度。惟對申請開放泛用型域名,請併同考量相關配套措施。詳閱附件五:「臺灣學術網路(TANet)技術小組第93次會議紀錄」。

4. 臺灣學術網路(TANet)技術小組第93次會議,討論事項案由三:為建立臺灣學術網路(TANet)各區網中心資訊完整度、流量分析系統MRTG應升級至Cacti及落實教育訓練實施等相關事宜。決議:(二) 請各區網中心評估將現有所服務區域連線單位之網路流量即時統計分析機制,建議由MRTG調整為Cacti方式,以更即時、精確、有效反應各單位網路流量使用狀態。臺中區網中心的Cacti流量統計已於106.9.1正式啟用,初期仍與MRTG同時呈現,請參閱臺中區網網站《網路即時資訊》。

5. 教育部於106年8月11日,公布「106年教育部學術與部屬機關(構)分組資安通報演練計畫」,為確保演練時每位資安聯絡人均能收到演練訊息,請各單位資安負責人員於915日前,到教育機構資安通報平台完成密碼更新與機關資安連絡人連絡資訊確認。

本區網特別要求:通報平台上每位連絡人帳號都要進行密碼更新,若第3~5聯絡人已離職或不參與資安通報,請將其帳號關閉。網址:https://info.cert.tanet.edu.tw

本年度演練計畫臺中區網屬於第二梯次,演練日期為 925日至 929

 

伍、討論事項

一、教育部106年度台灣學術網路(TANet)傑出貢獻人員選拔(臺中區網)初選

案由說明:

1.依據教育部106年7月21日,臺教資(四)字第1060098338號函辦理。該函文
說明三、本(106)年度推薦及選拔作業期程如下:

(一)831(星期四)前,高中職以上()學校(1名為限)及各縣市所屬相關學校(每類別至多1人,提報至多3)完成人員推薦,並提報至服務該校(單位)之連線區域網路中心辦理初審(每類別至多1人,提報至多3)

2.106年度本區網計有三個單位推薦3人參選(如附件六),推薦類別為管理維護類2人,技術發展類1人。

3.本次初選選出之被推薦人將依教育部規定,於9月15日前報部參加複審,複審當選者教育部將於台灣網際網路研討會(TANET2017)開幕式中頒獎表揚。

4.請推薦單位派員報告被推薦人相關事蹟。被推薦人特殊貢獻及推薦理由亦請參考附件六

討論:

請決議(1)依規定,每類別至多提報1人(全部至多3人),因此是否由管理維護類及技術發展類各提報1名至教育部參加複審?

(2)推選方式?(投票或舉手表決,二選一)

決議:由本次出席人員每單位推派一位代表進行投票,每位代表每類別可圈選一人,每類別圈選超過2(含)人則該類別視為廢票。被推薦人依得票數高低排列順位,於9月15日前報部複審。

票選結果:本次初選結果,技術發展類將推薦吳欣蒨(中興大學);管理維護類推薦第一順位陳偉嵩(亞洲大學),第二順位陳軒正(文華高中)。

 

二、有關TANet校園行政與教學研究網路分流規劃構想,提請討論。

案由說明:

教育部於106年6月19日臺灣學術網路技術小組第93次會議,討論事項案由一「有關TANet校園行政與教學研究網路分流規劃構想」之決議(參閱附件五P14)。

區網說明:

  1. TANet現提供學校的主要服務為行政及教學網路等,各服務資訊的重要性、機敏性不同,其網路傳輸、資訊安全管理機制也應有所區別。目前學校網路管理或資安機制可能已因應前述分類而有區別,惟僅校內具備流量管理機制無法保證骨幹網路也能給予同樣的優先度,且現今網路攻擊不再是單一學校能獨自處理,惟有在骨幹網路建立多層次的防禦機制,始能完善應對資安事件。故在骨幹網路建立分類的網路管理及資安管理機制有其必要性。
  2. 前述骨幹網路管理機制難以落實的原因在於各校的分類並無一致標準,故無法在骨幹網路上執行對應的管理政策。且因各校狀況不一,難以用統一標準一致認定,惟仍須各學校(機關)自行區分內部使用者(IP)所屬類別為何,骨幹網路方能依據各學校(機關)之類別建立對應的網路管理及資安管理政策。

請討論:

  1. 因為難以界定究竟行政網路抑或教學研究網路比較重要,區網在此建議各校區分出自認為具有重要性、機敏性的「優先網路」,再將此類別網段集中管理。為利於骨幹網路辨認使用者分類,請各學校向區網中心提交此優先類別的IPv4及IPv6網段資料,而後由區網中心依此網段資料於骨幹路由器及資安設備定義規則,執行網路傳輸管理及資訊安全管理政策。
  2. 請各學校綜整所用的行政業務及教學網路(或優先網路)等類別網段資料,倘有網段零散問題,可向教育部另行申請IPv4網段,將該類別網段集中管理。
  3. 區域網路中心檢討網路管理及資訊安全政策後,將依各類別網段給予不同層級之優先度及資安規範,並於彙整後提報教育部。

決議:

  1. 目前台中區網連線學校之網路服務大多有依不同屬性自行作分群分類,唯各校分類的標準並未一致。
  2. 在進行不同網段網路傳輸之優先順序及資安管理之前,區網需決定一初步的分類標準。本次會議決議將網路服務類別區分為:1.行政、2.教學(電腦教室、教室電腦)、3.研究(實驗室電腦)、4.宿網、5.資訊設備(a.無人看管設備[ex.影音串流、跑馬燈];b.一般設備;c.重要服務設備)等,報部備查。
  3. 俟教育部確定分類後再通知各連線學校填寫各類別的網段資料。

 

陸、專題報告:

運用手機通訊軟體自動即時通報資安事件            中興大學陳仕豪

(講義請至本區網網站http://www.tcrc.edu.tw/files/57/Line-Bot_20170905.pdf下載)

 

 

柒、臨時動議

提案一:(提案單位–區網中心)

請決定下次臺中區域網路管理會開會地點。

決議:下次會議地點授權區網中心決定,會議時間及相關資訊於下次開會前通知。

 

提案二:(提案單位–區網中心)

建請「教育機構網站應用程式弱點監測平台」宜做強化。

決議:

  1. 現況是:教育部「網站應用程式弱點監測平台」掃瞄的結果是《沒有弱點》,但同一網站卻經常發生《網頁置換》之類的資安通報事件,若使用廠商提供的弱點掃瞄軟體卻能呈現出存在的弱點。因此這個監測平臺的pattern或所使用的檢測技術之有效性令人存疑。或許當初開發此平臺時之監測內容(或規則)比較簡單,而現今駭客技術日新月異,有些技術必須與時俱進。
  2. 「網站應用程式弱點監測平台」並不等於《網站弱點掃瞄平台》,它主要的功能在於監測網站上應用程式的弱點,而不是網站主機的弱點,因此它無法取代一般的主機弱點掃瞄。
  3. 本提案做成會議記錄,敦請教育部協助尋求解決之道。

 

捌、散會

DMC Firewall is developed by Dean Marshall Consultancy Ltd