教育部為配合行政院國家資通安全會報建立政府資通安全防護管理中心功能,加強傀儡電腦之防禦能力,同時建立資安技術分析能量。爰規劃執行「系統安全及反駭客控制技術研究計畫」,為教育部所屬連線台灣學術網路(Taiwan
Academic Network,
TANet)之各級學校提供安全保護。
由於傀儡電腦及資安資訊分析平台之建置、安全清除機制、風險評鑑、評分燈號設計、工業控制系統安全、威脅與脆弱性分析等諸多議題,教育部預計四年內推動執行完成教育網路電算中心本部及下轄13個區網中心與25個縣網中心之整體防護架構。初期將根據研究團隊之測試研發結果建議進行測試與導入建置,最終將建置完整的傀儡電腦防護網路。
在計畫的第一年,本部首先在清華大學成立系統安全及反駭客控制技術研發中心,由它建置與統籌轄下四個子計畫,如下圖一所示。其中清大團隊著重於建置校園網路系統弱點掃瞄機制,台大團隊著重於
Botnet 流量的分析與偵測,成大團隊著重於建置校園web網站弱點(SQL Injection 與 XSS)
的偵測,另外還有委外的Botnet偵測(honeypot)經營團隊。期望能夠藉由四個團隊的分工合作來增強台灣學術網路的安全性。
圖一、第一年計畫組織架構圖
第二年開始,為了有效整合研究資源與成果,教育部特別於今年在清華大學成立「台灣教育學術網路資安防護計畫辦公室」,協助教育部統整相關資安計畫,清華大學電通中心主任王家祥教授於今年參與此計畫,主持「台灣教育學術網路資安防護計畫辦公室」的運作。辦公室與相關子計畫架構如圖二所示。下轄七個相關資安子計畫。
圖二、計畫組織架構圖
自Web 2.0問世以來,網路的服務範圍不斷擴張,業界、政府乃至學術單位皆投入資源開發功能齊全的網站,取代既有的業務模式,滿足使用者的需求。然而,著重功能性需求的結果,造成Web Application的資訊安全漏洞遭到駭客的利用,進而竊取、入侵單位網站,甚至危害使用者的個人隱私,近年來尤其以SQL Injection、XSS等攻擊手法最為常見,追根究底,多為開發者在設計過程中未導入資安觀念所致。
為了確保TANet連線單位的Web Application安全,本計畫針對SQL Injection與XSS漏洞,開發一套自動化的監測平台,檢查各單位網站,提出掃瞄結果與修補報告,並舉辦資安技術訓練課程,教導相關人員檢測與防護技能,最後將監測平台移轉至12處區網中心,確保該監測機制長期運作,達到提升TANet資安防護水平的目的。
另外,本計畫也將協助教育部進行基測、技職聯招、大考等三大升學考試系統之網路服務主機與成績登錄主機等進行資安服務。