觀點

臺大計中「買了就要用」 資安設備不能只是裝飾品

2012 / 06 / 07
廖珮君
臺大計中「買了就要用」  資安設備不能只是裝飾品

一長排椰子樹雙雙對立在路的兩邊,在寸土寸金的台北市裡,這可是難得一見的景色,但對臺灣大學(以下簡稱臺大)的學生來說,卻是再熟悉也不過的風景,開闊的校園環境,加上自由開放的學風,讓臺大成為許多高中畢業生選填大學志願時的第一順位。

這股自由開放的學風,也影響著臺大在IT與資安上的規劃。臺灣大學計算機及資訊網路中心(以下簡稱計資中心)主任孫雅麗指出,臺大是一個講求自由風氣的學校,在這股氛圍影響下,IT規劃也需尊重各個系所的選擇權,因此,計資中心定位在負責校級也就是全校性的資通訊(ICT)建設,包含校務行政系統、雲端服務/高效能計算中心、校園資訊及軟體中心、校園高速網路基礎建設、與資訊安全業務,至於各系所的IT及網管業務,則由各系所自行負責。

臺灣大學 小檔案

校長 李嗣涔博士
成立時間 1928
資本額 402億元
員工人數 教職員約4,000
IT人力 50人
主要業務 綜合研究型大學,目前共有11個學院、54個學系、100個研究所,另設有4個校級研究中心,連同進修推廣部,學生人數已超過33千人。

 

校級資安服務

對臺大而言,網路是最重要的IT基礎建設,學術研究經常需要與他人交換或分享資料,維持網路的暢通與可用性,是計資中心首要任務。

在2000年左右,臺大羅斯福路總校區就已經佈建全校光纖網路,當時連接臺灣學術網路(Taiwan Academic Network, TANet)的連線速率達10 Gbps,另有部份校區租用電信業者提供的Metro Ethernet網路服務,以Gigabit Ethernet與校本部連線,例如:法學院、醫學院、及水源校區。在國際連線的部份,為了解決TANet國際頻寬不足的問題,計資中心於2002年啟用臺大自有的國際頻寬連線服務,透過專線加快傳輸速度,滿足使用者大量資料交換的需求。

IPS測試期一年 確保連線品質不受影響

除了提升網路連線速度以外,穩定可用也是網路服務的必要條件,臺大計資中心在校園網路對外出口處佈建多個網路型入侵偵測防禦系統(IPS),其中,最新建置的IPS內建64顆處理器,可以在不影響連線速率(10Gbps)的情況下,執行網路封包內容檢查,分辨其中是否有攻擊性或惡意行為,確保校園的資訊安全。

舉例來說,在測試過程中曾經發生,IPS遇到看不懂的網路封包內容,在不知如何處理情況下,處理程序整個僵持在那裡,間接影響了後面準備要進來的封包檢查作業,整個連線速度也跟著變慢,造成封包遺失。又如,在臺灣網路裡中文內容的檢測比英文內容相對複雜,臺大學生在很多應用的使用又相當多元(尤其是P2P),因此很多狀況都是在其他地區沒有出現的,也讓資安防護的困難度相對提高。

諸如此類的狀況,只能透過不斷測試、調校設定值、與修護/改善/提升功能,才能確保該設備在正式上線時,能擔負起校園網路守門神的重責,「買來的資安設備一定要懂得如何使用,而不是把它當成裝飾品,或是只有用到一部份的功能」孫雅麗說。

做資安一定要到位,不能只是半吊子,買來的資安設備也一定要懂得如何使用,不是把它當成裝飾品,或是只有用到一部分的功能。

臺灣大學計算機及資訊網路中心 主任孫雅麗

校務行政網 WAF是第一道防線

網路是IT基礎建設,由此向上延伸至資訊系統層來看,最重要的莫過於臺大校務行政網及電子郵件系統。校務行政網其實就是Web-Based校務系統,內含學校人事、課務、會計、研發、學務、總務等行政相關重要資料,是日常校務運作的基礎,電子郵件則是教職員生的訊息溝通管道,確保這二項系統的正常運作,也是臺大計資中心的重要任務。

在校務運作的部份,臺大計資中心導入以網頁應用程式防火牆(WAF)做為第一道防護機制,WAF具備偵測惡意或異常網址、程式漏洞檢查、網頁表單異常輸入檢查、SQL Injection及Cross-site scripting等網頁應用防護功能,確保校務行網可以穩定且安全的運作。

至於電子郵件系統,原本採用Open-source的解決方案,功能比較陽春,已經不符合使用需求,目前正規劃升級成商用解決方案,一來可以提供更豐富的使用功能,二來則是配合系統轉換強化安全功能,包括檢查郵件內是否有惡意網址、垃圾郵件過濾、檢查郵件附件檔有沒有病毒、郵件備份稽核等,其中以郵件備份稽核最為重要,其可滿足未來個資法正式施行後的舉證需求。

雲端服務 使用者握有加密選擇權

雲端運算是近年來的熱門話題,在資源集中共享、節能、降低成本等效益下,許多組織試著將既有資訊系統雲端化,臺大亦是其一。自2010年元月起,臺大計資中心針對全校研究團隊提供虛擬主機及雲端儲存兩大服務,可免去過往研究計畫需各自購買及維護實體電腦的困擾,同時也可減少用電、達到節能減碳的效果。孫雅麗表示,即便使用者置身在校園以外的環境,只要下載並安裝計資中心提供的VPN軟體,同樣可以使用雲端服務。

對於雲端安全的管控,計資中心一樣秉持自由開放的原則,與使用者共同負擔安全工作。除了在雲端服務主機端架設二台防火牆,並要求管理人員簽署保密協議,不能任意瀏覽或洩露資料外,計資中心也在雲端服務網站上提供加密軟體,使用者可自由下載,自行決定是否要將資料加密存放。

針對各系所及教職員生的資安服務

前述提及,臺大因為校風自由,各系所自行負責IT業務,但計資中心並非全然放手不予理會,考量到資源、專業與人力的問題,計資中心選擇扮演「服務提供者」的角色,提供各項與資安相關的服務及教育訓練,由各系所自由選擇是否要使用。

網站安全:掛馬警報、源碼檢測

首先就是網站安全服務,目前主要的服務內容為網站掛馬警報及源碼檢測。臺大共有11個學院,上百個系所,每個學院或系所都有專屬網頁,為了做好校園網站安全管理,及保障網站使用者的上網安全,計資中心提供24小時*7日全年無休的網站掛馬警報系統,倘若發現網頁被駭客植入惡意程式,或是網頁內容含有惡意連結,就會立即通知當事者予以處理。另外,還有源碼檢測服務,透過自動化源碼檢測,可及早發現網站程式碼中的安全問題,並提供修補建議進行調整,以強化學校網站之安全。

教育訓練

再者則是資安教育,孫雅麗指出,計資中心每年於暑假期間舉辦7~10場資安研討會,對象為各系所網管人員,每學期也會與他們進行至少2次的資安會議,倘若遇到特殊事件(如:個資法通過)則是召開臨時說明會,主要目的是交流目前工作狀況,及掌握資安市場的熱門議題。

計資中心的教育訓練對象當然不只是校內網管人員,針對教職員生的部份,則架設了臺灣大學資訊安全中心網站,提供國內外相關資安訊息與新聞,並設有諮詢專線及信箱,協助全校使用者解決資安問題,另外,在2009年也舉行2場編制內職員的教育訓練,主題是「電子郵件社交工程演練」,之後又針對未通過測試的職員舉辦2場教育訓練,2010年擴大辦理了8場,透過持續不斷地訓練課程,提升全校教職員生的資安素養。

未來的資安規劃

配合教育部規劃,臺大計資中心於2010年開始建置北區學術資訊安全維運中心(A-SOC),預計2011年中就能正式上線運作,提供北區台灣學術網路的安全監控服務,孫雅麗認為,未來除了A-SOC維運管理之外,計資中心的資安規劃還有以下三點。

配合教育部A-SOC規劃,臺大計資中心也重新裝潢,預計2011年中就能正式上線運作,提供北區台灣學術網路的安全監控服務。

第一、 偵測殭屍電腦(Anti-Botnet)

台灣殭屍電腦的問題其實很嚴重,很多人不知道自己的電腦有弱點,或是已經變成受駭客操縱的殭屍,為了解決這個問題,臺大計資中心預計2011年提供偵測殭屍電腦的服務,偵測校園內有哪些已經成為殭屍電腦,但這容易有隱私權爭議,因此目前還在訂SOP,一旦正式上路後,可能先從校本部及行政單位開始試行,並對各系所進行宣導,希望能解決殭屍電腦的問題。

第二、 落實ISMS

臺大於2008年取得ISMS驗證,認證範圍為校務資料庫、資訊機房、及myntu網頁服務,孫雅麗認為ISMS不單單只是取得一張證書而已,更重要的是在IT日常作業中落實。因此,計資中心目前正在做二件事,第一件是針對自身所負責的資訊系統分類分級,也就是訂定資安事故/事件對IT運作之影響構面並設定分級準則。

第二件則是強化各資訊系統存取、操作之權限管控的嚴謹度,例如:負責A業務的員工,不能看到A業務以外的系統資料;或是資料庫管理者至少2位、且每月輪替管理職務;亦或某個研究專案結束時,立即收回相關人員的使用權限;在員工的離職程序書增加所負責資訊系統/設備的權限刪除欄位,以便確認已經收回離職員工的系統權限。此外,亦對所提供之全校性服務的資安問題通報處理訂定標準作業程序(SOP),像是資安問題類型、事件發生時該通知哪一個人、處理方式等,做出明確定義。

第三、 程式安全

2011年的第三項計劃就是加強程式安全,在系統測試階段,所有的程式碼都要通過安全檢查,等到正式上線後還要再一次進行檢驗,透過Double Check過程,確認程式裡面沒有容易被駭客攻擊的漏洞。

整體而言,校園網路具備開放與自由的特性,與資訊安全要求的滴水不漏背道而馳,資安人員要在自由與安全之間找到一個適當的平衡點,並不容易,計資中心在尊重使用單位選擇權之餘,更盡己所能地提供各式服務,讓使用單位在資源有限的情況下也能做好資安。