1、99年度北區區網年度報告,單位:國立臺灣大學計中主任:孫雅麗 教授報告人:李光偉Email:edwardntu.edu.tw電話:02-33665008,0927067106日期:2010/12/14,一、中 心 簡 介,單位名稱:臺北區域網路中心網址:http:/tprc.tanet.edu.tw/單位地址:臺北市羅斯福路四段一號單位傳真:(02) 23637204 單位主管:孫雅麗E-mail:sunnyntu.edu.tw 電話:(02) 33665001 網管:李光偉E-mail:edwardntu.edu.tw電話:(02) 33665008手機:0927-067106 資安業務負責
2、人:李美雯E-mail:mlintu.edu.tw電話:(02) 33665010手機:0933-863460,二、人 力 狀 況,編制內專職及約聘僱人員9名,其中區網經費及資安經費各約聘1名。負責網路規劃、建立及維護,以及北區區域網路中心之技術諮詢服務及相關伺服器(Proxy、DNS)維護管理等業務。,義工老師、工讀生、學生社團等協助處理各伺服器系統(News, Proxy, BBS, FTP, DNS)之例行維護、問題諮詢及統計監控使用狀況,FreeBSD伺服器系統維護、管理及統計使用者使用行為並翻譯編寫FreeBSD及Linux相關文件,建置發展系所及宿網網管系統,網路流量分析、監控及資
3、料庫建立,建立與維護臺大資通安全服務中心網頁,無線網路的建置與維護等。,三、組 織 運 作,成立管理委員會、技術工作團隊或類似組織。建立資訊交換平台,透過網路迅速獲得解決方案。北區區網管理委員會於99/03/31召開第一次會議,99/10/28召開第二次會議。100年度管理委員會成員:臺灣大學、大同大學、臺北市教育網路中心、臺灣師範大學、銘傳大學、臺北市立教育大學,龍華科技大學。,四、網路架構與線路概況,對外(含連接骨幹及各級學校)連線設備-兩台,包括區網對外主幹router一台、連接區網學校一台。區縣市教育網路中心整體網路連線架構。,連線單位數:53所學校/單位。對連線學校(單位) 提供WE
4、B及DNS服務狀態連線偵測情形詳細紀錄。迄今尚無無法連線學校。,台北市市網原以2Gb(速博電信 1Gb、中華電信 1Gb)與北區區網連結,99年10月更改為中華電信 3Gbps 、 亞太電信500Mbps。提供病毒偵測系統提供即時之中毒 IP資訊及區網連線學校 IP查詢系統。參與 TWAREN骨幹網路設備維運計劃。,目前與北區區網直接介接的ISP包含了Hinet 1Gbps,和信 1Gbps,亞太 1Gbps ,以及台固1Gbps。目前這些ISP都已接在新世代骨幹路由器上,提供連線學校使用。,五、網路管理重點工作,連接骨幹及學校電路連線監測機制。線路障礙紀錄及統計。區縣市教育網路中心網路資源透
5、明化及流量統計。每日使用者總流量與各類應用前100名使用量排序。,網路服務窗口,24小時緊急聯絡窗口(手機0927067106)。Router連接新骨幹IP管理。不當資訊防治,提供黑名單檔案下載服務。Mail Server、Proxy Server、News Server。推廣研討會、教育行政網路、TANet使用者服務。,設置故障雙向測試系統,縮短故障排除時間,並提供ISP業者之聯絡資訊。提供各連線學校自行修改單位資料之界面推動各連線學校資源交流 (例如網路電話)經由固定之研討會,能將技術及訊息全面性往下紮根,希望在網路頻寬提昇後能透過遠距教學方式,讓各學校老師可在自己學校上課或從網路下載上課
6、內容的影片,提供最新課程訓練及諮詢服務。,六、資訊安全相關服務,成立資安組織,建立資安事件通報機制與緊急應變計劃。駭客入侵處理。病毒感染處理。購買及建置IPS防護措施。辦理資訊與通訊安全宣導與訓練。,處理廣告信、網路攻擊及不法網站情形 https:/tprc.tanet.edu.tw/disobey北區區網中心處理流程區網連線學校處理流程提供技術協助防制措施情形配合公告相關資訊建立處理相關反應或檢舉之電子郵件信箱abusetprc.tanet.edu.twsecuritytprc.tanet.edu.tw,購買IPS相關防制過濾系統設備。於研討會中以網路不當資訊防制、網路安全專題研討。侵權違規
7、檢舉信件處理,臺大區網資通安全服務中心網站,七、網路應用及創新服務,在臺大圖書館只要用身份證登記就可換一日無線漫遊,臺大圖書資源盡在你手中。因為學術網路各校漫遊管控中心已由宜蘭大學負責但因轉換過程中必然有一些不順。,對有開發無線網路導覽系統,讓來賓在台大校園內,只要使用無線網路(不需認證)即可知道他上網的大致地點及相關校園景點及建築物的介紹,並且在校內透過計中佈建的無線網路取得IPv6位址。已開發宿網流量管理系統、流量監測系統、無線網路管理機制、IP 使用率監測系統、VPN技術、資通安全通報系統等網路管理系統。,具開發自動化管理系統、提供技術諮詢、資源分享等創新服務經驗。臺大已於校內建置VoI
8、P網路電話服務,利用現有的IP網路建設提供更具行動性的語音服務,更可將單純的語音服務擴展為具備多媒體影音功能,進而達成電話節費的經濟效益及使用便利性。同時,也為區網中心連線學校建置SIP伺服器,供連線學校與教育部網路電話交換平台互通。,未來將繼續透過與其他學校以及教育部網路電話交換平台之間的規劃、協調、互通測試,將各單位內部建置之VoIP系統延伸到學術網路上其他縣市網路中心及區網中心等更廣泛的範圍,進而達到完全利用VoIP網路通話的目標。藉由此VoIP系統建置經驗分享與互通測試的進行,相信將可加速學術網路全面進入VoIP領域的目標。,加強區網中心網路管理與資訊安全:1.於區網中心端建置高效能之
9、專屬頻寬使用分析設備,進行流量分析,以統計分析連線學校之網路服務類型。 2.提供區網連線學校流量分析與頻寬管理功能。可針對個別學校提供個別之特殊頻寬管理服務。,3.降低區網連線學校疑似侵害著作權之問題事件。 區網中心建置P2P管制設備,可有效協助連線學校降低侵權事件之發生,亦可大幅降低各連線學校採購相關設備之預算,此項服務所有區網學校都可申請。4.提供網路流量即時管理。如發生大規模之網路蠕蟲或攻擊時,從區網中心採取有效的阻擋,以降低蠕蟲之感染與大規模之網路攻擊。,不當資訊過濾系統(cont.),豐富且毫無界限的網路世界已經讓莘莘學子, 國家未來的棟樑,陷入情色暴力,賭博等氾濫的網路世界中而無法
10、自拔,透過不當資訊管理系統的上網管理解決方案,協助青少年上網行為管理,容易造成嚇阻的效果,避免使用者掉入無法自拔的陷阱中,也減少了影響個人與團體的資安問題。另一方面,也可以減少不必要的情色暴力與惡意程式等.所佔頻寬。,不當資訊過濾系統(cont.),臺大啟用的websense 可以根據URL 的資料庫,藉由switch port monitor 狀態與websense fileter sniffer mode 的網路介面連接,對用戶端欲前往的網站做判斷.若是已存在URL資料庫中歸類的不當成人資訊,或其它類別,websense 會將送出TCP RST 給網站與用戶端,藉此而中斷不當資訊的網頁連結
11、,不當資訊過濾系統(cont.),除了根據URL 的資料庫,非HTTP 的protocol,比如 P2P 或是其他的L7的資料,主要是利用封包的pattern 識別技術,直接認得該封包,之後在參考Policy 的定義為阻擋或放行,如果為阻擋,即透過TCP RST 對雙向進行阻斷.,不當資訊過濾系統,不當資訊過濾系統(cont.),不當資訊過濾系統(cont.)最近話題的種菜與facebook,不當資訊過濾系統(cont.)圖例為瀏覽 遭到block畫面,NTU login page,NTU user location page,八、教育推廣,99年度舉辦25場網路應用推廣研討會,將相關技術及訊
12、息向下紮根http:/ccnet.ntu.edu.tw/course/course99/。提供最新課程訓練及諮詢服務,協助教師以遠距教學進修。http:/mis.cc.ntu.edu.tw/register/viewcoursemain.asp,舉辦臺北市網及直接連線學校之技術研討會。提供技術諮詢,遠距教學服務。配合連線學校的活動提供相關資源。,九、經費運用,教育部全額補助經費 238萬5000元/年為增加區網中心效率臺大經費支援一、區網中心機房冷氣工程維護二、提供臺大區網、與TANet VoIP交換平台之間的流量數據伺服器及無線一日認證伺服器及服務櫃台人力(上午九點至晚上九點),區網不能輔助
13、資本門經費應比照今年資安設備模式採購,為維護服務品質須自籌硬體設備經費。使用者對於服務品質的要求愈來愈高,而且機房的監控與管理也需要24小時運作,增加人力與物力上的負擔。,架設區網部份 transparent proxy,以協助連線單位使用獨立 proxy,並進行病毒掃瞄過濾、不當資訊過濾等。大幅更新設備與連線架構,提供更穩定的設備連線品質。開放 proxy server給區網連線學校 proxy界接,改善連線品質。,建購具病毒及垃圾郵件過濾功能之郵件伺服器(mail relay server),避免病毒傳播及頻寬浪費。繼續無線網路資源,提供漫遊服務。,十、綜合建議結語,網路中心之現況 (包括
14、優勢, 困境)目前運作良好皆能符合鈞部要求,然為求精進及發展創新服務,提高本中心之信賴度及可靠度,並營造更佳運作環境,而第七項網路應用及創新服務,盼能獲得更多更完備的資源及人力。,給上游連線單位的綜合建議因為以後寄垃圾信會罰錢,但假冒發信卻毫無防制機制只能證明自己沒發這些廣告信,希望平時建立從電子郵件伺服器及網路角度的管理機制,當有要追查時能有效率抓到後要有罰則。,建議整合教育部電算中心各項服務 有關侵權違規各項服務已經由教育部電算中心整合:教育部電算中心轉發告知區網中心連線學校違規IP的內容,因為教育部TANet疑似侵權案件通報網https:/140.111.34.143/ login_pa
15、ge.php就應該替所有區網連線學校建帳號由教育部、區網、連線學校三級,簡化成只有教育部及連線學校二級,各項統計也能在線上快速得到。,配合whois IP資料庫希望違規信寄送可自動化避免人工漏寄或寄錯違規郵件。,給下游連線單位之綜合建議建議國內ISP到區網中心的電路費用各校經費許可下採購國際頻寬,當學校數量到一定時可由區網統一公開議價壓低價格。透過 proxy 資料分享,連線學校得以使用臺大區網中心資源,輔導連線學線升級連線速度,防制規範不當資訊,達到頻寬升級目的。,明年度工作重點 繼續維持日常優良服務並作下列推廣 1.推動區網各連線學校資源交流及ISP專線優惠價格。 2. 暑假舉辦區網研討會外,像資安週為期一周的模式能將技術及訊息全面性往下紮根,在網路頻寬都大幅提昇後,透過遠距教學方式,各學校老師可在自己學校上課或從網路,下載上課內容的影片,提供最新課程訓練及諮詢服務,並節省舟車勞頓。 3.建置完成ASOC中心提供區網連線學校在資安保護上更快速安全的服務。,簡報完畢,敬請批評指正,
