1、98年度北區區網年度報告,單位:國立臺灣大學計中主任:孫雅麗 教授報告人:李光偉Email:edwardntu.edu.tw電話:02-33665008日期:2009/11/12,一、中 心 簡 介,單位名稱:臺北區域網路中心網址:http:/tprc.tanet.edu.tw/單位地址:臺北市羅斯福路四段一號單位傳真:(02) 23637204 單位主管:孫雅麗E-mail:sunnyntu.edu.tw電話:(02) 33665001 網管:李光偉E-mail:edwardntu.edu.tw電話:(02) 33665008 資安業務負責人:李美雯E-mail:mlintu.edu.tw電
2、話:(02) 33665010,二、人 力 狀 況,編制內專職及約聘僱人員11名,其中區網經費及資安經費各約聘1名。負責網路規劃、建立及維護,以及北區區域網路中心之技術諮詢服務及相關伺服器(Proxy、DNS)維護管理等業務。,義工老師、工讀生、學生社團等協助處理各伺服器系統(News, Proxy, BBS, FTP, DNS)之例行維護、問題諮詢及統計監控使用狀況,FreeBSD伺服器系統維護、管理及統計使用者使用行為並翻譯編寫FreeBSD及Linux相關文件,建置發展系所及宿網網管系統,網路流量分析、監控及資料庫建立,建立與維護臺大資通安全服務中心網頁,無線網路的建置與維護等。,三、組
3、 織 運 作,成立管理委員會、技術工作團隊或類似組織。建立資訊交換平台,透過網路迅速獲得解決方案。北區區網管理委員會於98/03/20召開第一次會議,98/10/14召開第二次會議。管理委員會成員:臺灣大學、大同大學、臺北市教育網路中心、臺灣師範大學、銘傳大學、臺北市立教育大學 。,四、網路架構與線路概況,對外(含連接骨幹及各級學校)連線設備-兩台,包括區網對外主幹router一台、連接區網學校一台。區縣市教育網路中心整體網路連線架構。,連線單位數:53所學校/單位。對連線學校(單位) 提供WEB及DNS服務狀態連線偵測情形詳細紀錄。迄今尚無無法連線學校。2009/9/9新增一所連線學校:師大
4、附中,台北市市網以2Gb(速博電信 1Gb、中華電信 1Gb)與北區區網連結。提供病毒偵測系統提供即時之中毒 IP資訊及區網連線學校 IP查詢系統。參與 TWAREN骨幹網路設備維運計劃。,目前與北區區網直接介接的ISP包含了Hinet 1Gbps,和信 1Gbps,亞太 1Gbps ,以及台固1Gbps。目前這些ISP都已接在新世代骨幹路由器上,提供連線學校使用。,五、網路管理重點工作,連接骨幹及學校電路連線監測機制。線路障礙紀錄及統計。區縣市教育網路中心網路資源透明化及流量統計。每日使用者總流量與各類應用前100名使用量排序。,Ping round-trip time 監測請留意Y軸改常用
5、的流量為時間,Ping lost packet 監測(圖例為與Hinet間的ping monitor)圖中較高部份有3% ping lost於週六晚上發生以及在第44週最高有5%的ping lost 發生,網路服務窗口,24小時緊急聯絡窗口(手機0927067106)。Router連接新骨幹IP管理。不當資訊防治,提供黑名單檔案下載服務。Mail Server、Proxy Server、News Server。推廣研討會、教育行政網路、TANet使用者服務。,設置故障雙向測試系統,縮短故障排除時間,並提供ISP業者之聯絡資訊。提供各連線學校自行修改單位資料之界面推動各連線學校資源交流 (例如網
6、路電話)經由固定之研討會,能將技術及訊息全面性往下紮根,希望在網路頻寬提昇後能透過遠距教學方式,讓各學校老師可在自己學校上課或從網路下載上課內容的影片,提供最新課程訓練及諮詢服務。,六、資訊安全相關服務,成立資安組織,建立資安事件通報機制與緊急應變計劃。駭客入侵處理。病毒感染處理。購買及建置防火牆等軟、硬體防護措施。辦理資訊與通訊安全宣導與訓練。,處理廣告信、網路攻擊及不法網站情形北區區網中心處理流程區網連線學校處理流程提供技術協助防制措施情形配合公告相關資訊建立處理相關反應或檢舉之電子郵件信箱abusetprc.tanet.edu.twsecuritytprc.tanet.edu.tw,購買
7、軟、硬體相關防制過濾系統設備。於研討會中以網路不當資訊防制、網路安全專題研討。侵權違規檢舉信件處理,臺大區網資通安全服務中心網站,七、網路應用及創新服務,開發無線網路導覽系統,讓來賓在台大校園內,只要使用無線網路(不需認證)即可知道他上網的大致地點及相關校園景點及建築物的介紹,並且在校內透過計中佈建的無線網路取得IPv6位址。已開發宿網流量管理系統、流量監測系統、無線網路管理機制、IP 使用率監測系統、VPN技術、資通安全通報系統等網路管理系統。,提供未來區網學校與ISP介接服務 學校臺大連線議題電信業者:中華 臺固 速博聯合議價 約制力Web網站安全問題與解決方案 *Web網站源碼檢測(建構
8、安全網站的第一步)透過自動化源碼檢測,發現源碼中的安全問題,提供修補建議。,支援的開發程式語言:PHP, J2EE(JAVA,JSP), ASP, .NET檢測報表 email給申請人,初期檢測首頁站台。即日起接受email申請 hongrutsaintu.edu.tw *Web 網站安全監控與檢測現在流行的網站伺服器攻擊,竊取瀏覽網頁的使用者個人身分資料與財物相關資訊。計中提供了24*7全天候網站安全監控與檢測服務初期提供首頁站台監控服務,具開發自動化管理系統、提供技術諮詢、資源分享等創新服務經驗。臺大已於校內建置VoIP網路電話服務,利用現有的IP網路建設提供更具行動性的語音服務,更可將單
9、純的語音服務擴展為具備多媒體影音功能,進而達成電話節費的經濟效益及使用便利性。同時,也為區網中心連線學校建置SIP伺服器,供連線學校與教育部網路電話交換平台互通。,未來將繼續透過與其他學校以及教育部網路電話交換平台之間的規劃、協調、互通測試,將各單位內部建置之VoIP系統延伸到學術網路上其他縣市網路中心及區網中心等更廣泛的範圍,進而達到完全利用VoIP網路通話的目標。藉由此VoIP系統建置經驗分享與互通測試的進行,相信將可加速學術網路全面進入VoIP領域的目標。,加強區網中心網路管理與資訊安全:1.於區網中心端建置高效能之專屬頻寬使用分析設備,進行Layer 7流量分析,以統計分析連線學校之網
10、路服務類型。 2.提供區網連線學校流量分析與頻寬管理功能。可針對個別學校提供個別之特殊頻寬管理服務。,3.降低區網連線學校疑似侵害著作權之問題事件。 區網中心建置P2P管制設備,可有效協助連線學校降低侵權事件之發生,亦可大幅降低各連線學校採購相關設備之預算。4.提供網路流量即時管理。如發生大規模之網路蠕蟲或攻擊時,從區網中心採取有效的阻擋,以降低蠕蟲之感染與大規模之網路攻擊。,不當資訊過濾系統,豐富且毫無界限的網路世界已經讓莘莘學子, 國家未來的棟樑,陷入情色暴力,賭博等氾濫的網路世界中而無法自拔,透過不當資訊管理系統的上網管理解決方案,協助青少年上網行為管理,容易造成嚇阻的效果,避免使用者掉
11、入無法自拔的陷阱中,也減少了影響個人與團體的資安問題。另一方面,也可以減少不必要的情色暴力與惡意程式等.所佔頻寬。,不當資訊過濾系統(cont.),臺大啟用的websense 可以根據URL 的資料庫,藉由switch port monitor 狀態與websense fileter sniffer mode 的網路介面連接,對用戶端欲前往的網站做判斷.若是已存在URL資料庫中歸類的不當成人資訊,或其它類別,websense 會將送出TCP RST 給網站與用戶端,藉此而中斷不當資訊的網頁連結,不當資訊過濾系統(cont.),除了根據URL 的資料庫,非HTTP 的protocol,比如 P2
12、P 或是其他的L7的資料,主要是利用封包的pattern 識別技術,直接認得該封包,之後在參考Policy 的定義為阻擋或放行,如果為阻擋,即透過TCP RST 對雙向進行阻斷.,不當資訊過濾系統,不當資訊過濾系統(cont.),不當資訊過濾系統(cont.)最近話題的種菜與facebook,不當資訊過濾系統(cont.)圖例為瀏覽 遭到block畫面,NTU login page,NTU user location page,八、教育推廣,98年度舉辦17場網路應用推廣研討會,將相關技術及訊息向下紮根。提供最新課程訓練及諮詢服務,協助教師以遠距教學進修。http:/mis.cc.ntu.ed
13、u.tw/register/viewcoursemain.asp,舉辦臺北市網及直接連線學校之技術研討會。提供技術諮詢,遠距教學服務。配合連線學校的活動提供相關資源。,九、經費運用,教育部補助經費 147萬5000元/年臺大配合經費110萬元一、區網中心機房冷氣改善工程 95萬元 二、SIP流量收集及統計用,提供臺大內部、臺大區網、與TANet VoIP交換平台之間的SIP流量數據伺服器。 15萬元,區網不能輔助資本門經費應比照今年資安設備模式採購,為維護服務品質須自籌硬體設備經費。使用者對於服務品質的要求愈來愈高,而且機房的監控與管理也需要24小時運作,增加人力與物力上的負擔。,架設區網部份
14、 transparent proxy,以協助連線單位使用獨立 proxy,並進行病毒掃瞄過濾、不當資訊過濾等。大幅更新設備與連線架構,提供更穩定的設備連線品質。開放 proxy server給區網連線學校 proxy界接,改善連線品質。,建購具病毒及垃圾郵件過濾功能之郵件伺服器(mail relay server),避免病毒傳播及頻寬浪費。繼續無線網路資源,提供漫遊服務。,十、綜合建議結語,網路中心之現況 (包括優勢, 困境)目前運作良好皆能符合鈞部要求,然為求精進及發展創新服務,提高本中心之信賴度及可靠度,並營造更佳運作環境,而第七項網路應用及創新服務,盼能獲得更多更完備的資源及人力。,給上
15、游連線單位的綜合建議建議區網經費更有彈性,補助設備費或實質提供硬體設備,另外區網經費應用實質是委辦但經費核撥是補助,因教育部有關研討會場地規定及內部場地費用支付規定造成在區網中心辦研討會無法報場地費支出,建議補助經費改為委辦經費。,建議整合教育部電算中心各項服務 建議有關侵權違規各項服務由教育部電算中心整合:例如教育部電算中心轉發區網連線學校違規IP,就應該替所有學校建帳號由教育部、區網、連線學校,簡化成只有教育部及連線學校,各項統計也能在線上快速得到此應用程式。,教育部電算中心已開發完成部分功能後續希望違規信寄送可儘量自動化;因為人工漏寄或寄錯違規郵件及侵權網頁漏登錄可以目前臺大區網中心違規
16、系統說明。,給下游連線單位之綜合建議建議各校經費許可下採購國際頻寬,當學校數量到一定時可由區網統一公開議價壓低價格。透過 proxy 資料分享,連線學校得以使用臺大區網中心資源,輔導連線學線升級連線速度,防制規範不當資訊,達到頻寬升級目的。,明年度工作重點 繼續維持日常優良服務並作下列推廣 1.推動各連線學校資源交流 (例如3.5G上網租費、手機話費優惠及VoIP網路節費電話推廣)。 2.除了暑假固定之區網研討會外,像資安週為期一周的模式能將技術及訊息全面性往下紮根,在網路頻寬提昇後透過遠距教學方式,各學校老師可在自己學校上課或從網路,下載上課內容的影片,提供最新課程訓練及諮詢服務,並節省舟車勞頓。 3.設置網頁弱點掃描機制,提供比系統弱點掃描更好的機制。,簡報完畢,敬請批評指正,
