https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

成功大學管理、技術並重 資安成績亮眼

2004 / 08 / 03
邱詩琁
成功大學管理、技術並重  資安成績亮眼

在病毒史上赫赫有名的Code Red,雖然讓不少使用者付出了代價,但從現在看來這一課也許還算值得,許多使用者便是從此次開始正視網路病毒的威力。同樣因為Code Red的教訓,賴溪松派專人訂出了一套病毒事件發生時的「緊急應變流程」(SOP)。首先,當然是即刻解決問題,恢復原狀,讓損失降至最小;並且留下證據,並檢討若再發生類似狀況時該如何因應;而下次再遇到緊急狀況,便運用檢討出的應變方式來處理,然後形成一個不斷的循環︰事件過後檢討、修正、再去思索下回該如何因應。並且將一次又一次的經驗傳承下來。這套SOP也在去年年初的Slammer蟲攻擊事件時派上用場,將損害降到了最低。

管理帶頭 建立電信業等級的管理規章
「我們訂有一個服務等級的要求,一年之內,非預期的停機不能超過24小時。」「非預期」也就是不包含正常的設備維護,賴老師指出這種情況一定會選在星期六上午六點,也就是全校流量最小的時段來執行,將不便的影響降至最小。而成大的骨幹網路部份確實達到了自我要求,一年內停機時間不超過24小時。「共通性的設備,只要超過2個小時未修復,便一定要報告讓我知道。」賴溪松提到,若他不在校內,設備修復超過了正常情況,便需通報他來做決定。

校內的申告記錄報表、學生的問題發問和解答等,都有紀錄留存。這些報表紀錄,賴溪松每月必看,才能對校內狀況瞭如指掌。他提到,在導入ISO時,連稽核員都表示很少看到報表如此完備的。這些報表、機制看來也許尋常無奇,但也就是具備有明確的規範約束,點點滴滴累積下來,成了習慣、「管理」,才能造就平時相安無事、緊急事情發生時又得以迅速反應,讓一切重新運作如常的能力。

「這些很無趣,但不做又不行。」曾經在中華電信擔任過MIS班長的賴溪松,在四年前接手計網中心主任時,把電信業的管理機制帶進學校,花了不少時間將管理機制建立起來。他提到,「DataCom和TeleCom的思維不一樣,電信的可用度要求比較高。」於是賴溪松將電信的機制和安全的知識結合,平時就做好管理,他認為「管理機制是廣義的安全」,舉颱風來臨時的救援汽艇為例,這些設備平時若不做好保養,需要時恐怕就狀況連連,發揮不了效用。


落實執行 執行面需讓人員能自動自發
「管理機制建立好,接下來就是執行面。」以目前負責電腦中心行政業務、設備維護的行政諮詢組為例,成大電腦中心目前有兩百多台電腦及週邊設備,從早上八點開放到晚上十點,供校內師生人員使用,平均一天有八百到一千人次使用。賴溪松提到,這裡是很容易被抱怨的地方,因為眾多的設備和眾多的使用者,總是會有地方出問題。因此管理人員每天必需針對每項設備做檢查。但時間一久,人難免會有惰性,這時賴溪松管之以理,但也訴之以情。「把電腦教室管好,就像在幫助弱勢學生。」對於有些家境清寒,無力負擔電腦數位設備的學生而言,便需依賴電腦教室,才不致產生數位落差。 因此管理人員覺得自己是在做善事,做起來也更為起勁。「管理機制是要讓每個人由衷來做,發自內心。」

當年接掌主任時,賴溪松便清楚「安全」的重要,因此指派一位人員為CSO(Chief Security Officer),專門負責資訊安全。因為如果以人員兼差、兼任,恐怕使命感、責任感不足,「讓他覺得,我們的安全就靠你了。」使命感自然油然而生。今年初,殺手病毒(Sasser)肆虐,針對一般電腦作業系統漏洞而來,目標是廣泛的電腦使用者。因此,事件過後,該名CSO主動提出了為校內使用者做教育訓練的構想,並自己準備教材,賴溪松提及此事,表示他非常感動於人員的自動自發。該場講習,吸引了師生共兩百多人,反應不錯。


技術自主 校內系統設備自行開發維護
目前計網中心下分設有行政諮詢組、教學研究組、網路作業組、校務資訊組,各司其職。教學研究組的目標是在提升校內老師、學生、行政人員的資訊技能,因此舉辦教育訓練是最主要的任務。因應網路教學的便利,設有網路教學平台,共開設有上百堂課程,資料量超過30G,一個月平均有一萬多人次上線學習。網路作業組約十名初頭的人員,則是要負責全校網路基礎建設和維護的工作,以及校內各server的維護,賴溪松形容這群技術人員的難為是,「做好沒人稱讚,做不好馬上被罵。」而其實根據過往的經驗統計,在10個抱怨中,真正屬於校內設備出問題的比率只有一個。

校務資訊組的任務則是為學校的行政、人事、會計等組織開發及維護其電腦行政系統。賴溪松指出,由於成大校園的規模不小,再加上是以技術為導向的學校,因此校內系統皆為自行開發。「我們希望技術能自給自足。這幾年來,我們主要在做校內各系統的整合,也做出了些成績。」成大因應畢業季的到來,最新開發出「畢業生離校系統」,過往畢業前需拿著離校單至校內多處蓋章確認後,拿回教學註冊組才得以領取畢業證書。新系統讓學生上網便得以確認,比如說是否還有書籍未歸還圖書館,線上確認無誤後,只需印出表單到註冊組即可完成離校手續。

而目前著手進行的則是為校內教職員集體申請自然人憑證,和自行開發的校內認證伺服器結合,往後老師可在線上打成績,但需先透過自然人憑證做身份的確認,且傳輸的資料會經過加密保護。可省卻教師用紙本打成績再送至學務處,再將成績放至網站的繁瑣流程和時間。未來憑證應用會逐步擴展至各校務系統。


成果傲人 多項研究成果造福資安領域
走訪成功大學之前,對於成大的資安研發成果已略有所悉。因為興趣,一群成大師生投入心力於資安研究,藉由實驗室的黑手實作,讓理論和實用得以結合,成果除了回饋校園,更重要的是為資安領域、業界灌注了更豐沛的能量。

・領先國外 建立測試平台
2002年通過電信國家型科技計劃(NTP)補助所建立的網路安全測試平台(Network Security Testbed),在今年3月又獲得了台灣微軟的資金和技術的挹注。目前Testbed已經有了初步成果,包括藉由Honeynet(誘補式)環境建置,運用IP Trackback技術追蹤近來眾多的DDoS攻擊來源;並且已重建SQL Slammer、Blaster、Sobig等重大攻擊事件實況;另外,產出的教育訓練及技術報告已累計有19份。賴溪松比較美國學術界正進行的Mini-Internet Testbed計劃,該計劃從2003年9月啟動,旗下兩個計劃各擁有1億8仟萬及1億7仟萬的經費,但截至今年初仍在測試平台的建置階段,尚未有成果產出。成大Testbed的規劃時程便已較其早了半年。

今年7月成大將針對大專院校學子做種子團隊的培訓。賴溪松表示,Testbed扮演如同「舞台」的角色,上面提供有各種道具,供人使用排演,而以往國內便是缺乏這樣的舞台。未來這舞台將開放給大專院校的學生使用,同時也得以讓設備發揮最大效用。較特別的是,為了避免學生不當使用反成駭客,報名的學生需要有老師推薦,以確保學生品德。

・領軍校園 防範不當資訊
除了病毒對於廣大的校園網絡危害極大外,不當資訊包括暴力、色情、犯罪等內容防制,亦是校園資訊安全的重點之一。而成大在整個校園不當資訊的防範計劃中扮演了重要角色。由教育部推動的台灣學術網路不當資訊防範計畫,以成立「不當資訊防治委員會」規劃及辦理不當資訊審議、防制和教育宣導為推動方式。成大在此專案中負責嘉義以南九縣市校園網絡不當資訊的規範和推動。賴溪松表示,預計今年底會提供不當資訊過濾軟體,供各學生、家長下載至家庭電腦中。他也提到,做不當資訊研究已有4年多,投入了許多心力於此。

・實作累積 技轉研究成果
而投入資訊安全十多年來,其研究成果不僅止於此,以實驗室黑手自稱的賴老師和其研究生們,從密碼學研究、PKI領域,到近年的網路安全實驗平台計畫,強調的是理論和實務的結合,因此一項項研發成果,除了提供校園網路應用外,多項技術成果已移轉至業界。

「安全蠻好玩的 ,要考慮的角度非常多,比較有趣。」提到安全,賴溪松如此描繪。因此在興趣支撐下,一個個發明得以產出。當初應TWNIC(財團法人網路資源中心)的需求,開發出一套網站認證系統,可防止優良網站的認證標章被拷貝濫用。該套系統將技轉給中華民國條碼策進會,且策進會執行長林輝有意將此項發明向國際推薦,若獲得採納,將成為全球通行的網站認證防偽系統之一。亦是對台灣自行研發能力的一大肯定。

而一直以來,專注研究的密碼學、PKI領域,也提出了不同以往的發明成果。賴溪松指出,一般所見的憑證是由一堆文字數字號碼所組成,不易辨識,他從實體印鑑的具體圖樣產生靈感,賴溪松和學生將憑證具像化,影像憑證猶如電子印鑑,將抽像的電子憑證轉化為影像圖樣以便於辨識,目前該技術亦已授權給廠商。最新的研究成果,則是開發出一套認證Server,讓學校、企業內的憑證可結合至自然人憑證,省卻自行建置CA的麻煩。該成果將會先應用在成大校園,另外,目前正和中華電信談合作事宜。

成功大學同時接受國家資通安全會報技服中心委任,為南部資通安全區域聯防總中心,提供國內政府單位資安服務與教育訓練,與政府共同協力處理政府組織之資安事件。成大同時為教育部委託負責TANet台南區域網路中心之維運,主要任務為提供台南縣、市各級學校及公立研究單位連接TANet骨幹之服務,並配合教育部執行各項網路推廣工作,其中包括「校園網路不當資訊防制計畫」。

因著《成功案例》單元先後拜訪了國內幾所大學學府,病毒威脅、不當資訊、非法下載等是學校單位同樣面臨的主要挑戰,各校除了積極尋找自家方法因應外,大學校園同時肩負著協防當地區網中小學校,甚至政府單位的資安責任,另外大學校園亦是培養相關人才的主要場所,成大在資安的豐富研究成果,令人更深刻感受到學術校園不僅是分享自身的經驗,其研究成果、資安能量適足以照亮、影響其他單位,扮演資安的推手角色,這其實是更成功的成功故事。