多層式網路管理與安全系統之規劃與設計-以核能研究所為例

 

 

鄭勝璋、蔣文得、王培智

 

行政院原子能委員會核能研究所

桃園縣龍潭鄉佳安村文化路1000號

TEL:(03)4711400 EXT 3177

E_mail:sccheng@iner.aec.gov.tw,wender@iner.aec.gov.tw

 

摘 要

電腦網路近年來的興起與發展,可謂一日千里,遠超過人們的想像;全球資訊網技術的出現,使得許多人們的夢想,一步步的在實現當中,運用電腦網路來處理生活與工作等相關事務,己經逐漸在成形。電腦網路與人的關係益發密切,漸漸就如同水和人的關係。水能載舟,亦能覆舟,電腦網路為人們帶來許多的便利,但若缺乏適當的管理,也可能帶來負面的影響。在ICSA所提供的防火牆政策指引中即曾提出美國政府系統平均每年會受到超過30蠆次以上的非法存取。因著網際網路(Internet)的急速擴展,這個數字應該會繼續增加,網路安全問題已經逐漸為各連接網際網路的單位所重視,在網路商業應用方面,網路安全更是必然要處理的問題。本文即是探討有關電腦網路安全的技術與發展,並以核能研究所在推動電腦網路管理與安全的過程所遭遇的問題與解決的方案,與各界共同研討。

 

一、前言

核能研究所(以下簡稱核研所)於民國八十四年七月起開始為期三年的所區網路建構,至民國八十七年六月止,全所已完成47棟館舍有效連接,並且有許多的網路連線應用系統已在所區光纖網路上執行,例如核研所整合性管理資訊系統(含人事資料庫、選員處理、人力統計分析、預算管理、差勤管理、公文流程管理、主管查詢、電話查詢、購案流程管理、電腦化公文製作等子系統) 及環境輻射監測網路等等。而核研所亦已於八十二年九月申請連接台灣學術網路,進行與國內外網路資源共享與交換。核研所固然是個研究機構,也是個公務機關,所以在面對電腦網路的應用上,其考慮面就與一般學術機關有些不同。因著核研所諸多研發成果及計畫資訊的智慧財產權與保密的需求,配合核研所所區網路的建立,資訊安全與網路效能的互相平衡是必須加以重視的課題。因此在所區網路建構時,即開始進行網路管理與安全的研究,以期建構完成全所網路後,全所同仁皆能順利應用網路資源。

 

 

 

 

 

二、相關技術研析

網路安全牽涉範圍廣泛,與其相關的項目包括實體安全、資料安全、系統和程式安全等項目[1],實體安全管理包括對電腦機房的規劃、設計及環境設備等考量,資料安全須考慮資料處理之環境變化、資料輸入檢查、資料處理前後的檢查及資料加解密之應用等,系統和程式安全則包括變更管理及問題管理等。在面對電腦網路所具有的開放特性上,其問題核心仍回歸到管理與人因工程上。從技術層面來看,牽涉到防火牆系統、網路安全監控系統、電腦病毒防制機制與資料加解密等技術,如下所述:

 

2.1 防火牆系統

防火牆(Firewall)為目前網際網路上重要的網路安全技術之一,網際網路盛行,使得電腦網路上的主機的安全受到了威脅,除了透過一般的網路加密技術來確保資料通信收送兩端獲取資訊的私密性和安全性,以及利用路由器的存取權限機制適當阻絕不當交流資訊外,設置防火牆系統為達成電腦網路安全的入門方法。防火牆雖然仍有其弱點,但仍是一般機關最常使用的網路安全工具。

網路防火牆基本上是架設於連外電腦網路之間的必經路徑上,作為企業內部網路與網際網路之間的橋樑,可針對企業網路與網際網路之間的主機通信,實行管制措施,通常擔任防火牆系統的機器都經過特殊強化過,可過濾封包,隔絕網路間之交通,並視需要開放部份的網路服務。防火牆系統須具備下列特性:

1.防火牆本身具備不可入侵的防護功能。

2.所有由內而外與由外而內的資料封包,均需經由此防火牆系統。

3.防火牆僅傳送經網路安全存取策略所定義的封包,異常的封包會遭過濾分析或擋掉。

防火牆的運作理念如圖一所示:

現有防火牆系統可概分為下列三種技術﹕

1.封包過濾防火牆(packet filter firewall)

防火牆依據網路安全政策來執行封包過濾的動作,通常採用的封包過濾原則有兩種[3、4、5],一為寬容原則,即未經明訂禁止的封包皆可進出防火牆;另一為禁止原則,即未經明訂通行的封包皆屬禁止之列。此一技術通常運用於路由器。

2.應用系統閘通道防火牆(application level firewall)

防火牆只允許特定的應用程式可通行,通常是通信的雙方皆需安裝特別的應用程式介面,才能執行特定的應用需求。本項技術因須配合應用端的程式安裝與設定,雖然其安全性高,但是要普遍實施有其困難。

3.電路層次防火牆(circuit level firewall)

本防火牆係作為轉接站一般,從外部網路上的電腦發出與內部網路上的電腦連線,或是從內部網路上的電腦發出與外部網路上的電腦連線,皆會透過防火牆系統加以轉接,因為轉接動作係由防火牆來處理,內部電腦與外部電腦都無從了解連線的對象,可達到私密性與安全性的要求,本技術具備相當的彈性,是實施網路安全不錯的選擇。

因應連接網際網路的需求,路由器幾乎是必然的連接設備,因此最常見的防火牆技術就是封包過濾防火牆了(packet filter firewall),通常每一單位的網路和外界連線均需一路由器(router),路由器上有存取權限設定功能來決定到達的封包是否能進出網路。隨著網路技術的提昇,由路由器執行封包過濾功能的網路安全技術已無法滿足網路安全的需求了。因著應用系統閘通道防火牆製作上先天上的困難、對應新服務需求的反應時間太長以及執行上較不方便,使用電路層次防火牆來實施網路安全成為一種不錯的選擇。一般而言,一個單位為達網路安全的目的,通常需要運用一種以上的網路防火牆技術。

運用防火牆技術在網路安全上,多數單位是以採用現成的防火牆產品來建構其安全系統。美國國家電腦安全協會(ICSA的前身)提供了防火牆產品的認證功能測試服務,列出經其認證過的防火牆產品供各單位採購參考,以協助各機關組織能以合格的防火牆產品建置其網路安全環境,有效確保網路安全。其建議選擇防火牆的數個考慮要點如下[2]:

1.能支援“除了那些明白被允許的服務外其它服務一律禁止”的設計策略。

2.能支援機關的安全策略而非機關的策略遷就該產品。

3.能配合機關安全策略的改變容納新的服務與需求。

4.具備高級的鑑別機制或是具備增加安裝高級的鑑別機制的擴充能力或結合能力。

5.能配合需求運用封包過濾技術來允許或禁止對特主機系統的服務。

  1. 使用具備彈性且良好的人機介面的IP過濾語言,能過濾愈多的屬性愈好,包括啟始與目的IP位址、協定型態、啟始與目的TCP/UDP埠及進入與出去介面等。
  2. 針對FTP與TELNET服務採用代理伺服服務,以便實施高級鑑別機制並且集中於防火牆來處理。

 

在網際網路(Internet)與企業網路(Intranet)日益普及之際,常見防火牆架構方式約有下述幾種[3、4、5]﹕

(一)封包過濾防火牆(Packet filtering firewall)﹕通常是由一個路由器或主機路由器來擔任防火牆任務,其功能最主要是提供IP埠的封包過濾功能,根據管理者封包過濾規則,篩選適當資訊進出內部網路。圖二為封包過濾防火牆架構,其優點為建置成本低、建構容易及對網路的負荷增加有限;缺點則是安全度較弱、不易稽核(auditing)及缺乏使用者鑑別(Authentication)機制。

圖二、封包過濾防火牆架構

(二)過濾主機閘通道防火牆(filtering gateway firewall)﹕此類防火牆系統基本上由封包過濾防火牆配合強化主機閘通道之間的通信服務,外部網路上的電腦僅能與應用代理閘通道通信,其特點為彈性大,安全與網路負荷易於平衡,唯可能仍有使用上的安全漏洞,其架構圖如圖三。

圖三、過濾主機閘通道防火牆架構

(三)雙重位置閘通道防火牆(dual-homed Gateway Firewall):本類防火牆系統通常於設立封包過濾防火牆(Router)之外,另提供雙重位置閘通道主機,閘通道上的轉道能力取消,使得外部網路與內部網路上的電腦均須直接與閘通道主機通信,內外網路之間的任何通信須透過應用代理閘通道處理,其優點為高安全性與稽核功能強大,並可隱藏DNS的功能,且提供公共區(DMZ)的使用功能及使用者鑑別服務。此架構相對的網路負荷較重,且需具備應用廣泛的代理模組以提供應用服務,其架構如圖四。

圖四、雙重位置閘通道防火牆

(四)子網路過濾防火牆﹕本類防火牆係以一個封包過濾防火牆和一個子網路來取代圖四中的雙重位置閘通道,內外網路上的電腦無法直接互通、而須透過子網路過濾防火牆才能進行,在設計上非常有彈性,安全與負荷亦能設定平衡點,加上DNS隱藏,可以提供DMZ的使用、使用者鑑別服務與撥號控制的安全管制等,唯其成本高,且可能有使用上的安全漏洞,為其主要缺點,圖五為本架構。

圖五、子網路過濾防火牆

防火牆系統提供的監督與公共服務等功能,可以為企業內部建立基本安全防衛體系,但對於個別系統的安全,端點對端點的安全等,仍需由個別系統增加系統安全能力與提供加解密功能等才能達到有效的保護。現在一般的防火牆可提供僅用一次的通行碼機制,以強化鑑別服務的安全性。

2.2 網路安全監控系統

網路安全監控的目的在於及早發覺網路安全問題,以便網路管理人員及時採取因應措施,使得單位及個人的損失及傷害降至最低,這包括對合法入侵及非法入侵的防制,入侵警報系統的建立,網路活動的記錄及專人的監看網路活動記錄等,通常此類系統常安裝於防火牆或伺服器等系統上,在市面上可見到的典型產品如ISS公司的Real Secure及AbirNet公司的SessionWall-3等。

 

2.3 電腦病毒防制

電腦病毒的定義,可以是一小段可執行的程式碼。它可以潛伏在某些程式(稱為「宿主」)堙A伺機擴散到其他程式,在符合某個特定條件(如每月的二十六日)時,執行會造成使用者困擾或損失的動作。通常病毒具有下列各項特性:1.能夠被啟動,當使用者執行宿主程式時,病毒也一併被執行;2.能複製,以擴大感染幅度;3.選擇時機讓「病情發作」,這通常是病毒寫作者用來製造恐慌或損失,做為自我表現的手段。這三項特性的共同特徵是:病毒一定要能夠執行。只要能夠符合上述條件,採用的形式便幾乎沒有限制,無論是執行檔、開機磁區,乃至批次檔都可以成為病毒的潛藏場所。

 

面臨電腦病毒的威脅,企業網路管理最佳策略就是勤加備份資料檔案,尊重智慧財產權,不隨意抓取來路不明的檔案,不輕易安裝免費軟体的Binary檔案等等,另外則是安裝專業廠商的產品,以備不時之需。在市面上可見到的典型產品如趨勢公司的PCCillin及Norton公司的Antivirus等。

 

 

 

 

 

三、核研所電腦網路安全的策略與實施方法

配合核研所所區網路之規劃、設計與建立,其主要網路安全的考量在於如何有效選擇合適的工具,以協助進行上述議題之規範,從管理面與技術面雙管齊下,有效增進核研所與外界的資訊安全傳輸。在保障核研所機密/研發資料與資訊系統及伺服主機的安全的先決條件下,能充分運用網路資源,以增進研發績效,達到網路安全的目標。

 

3.1 訂定核研所電腦網路安全目標

核研所電腦網路安全目標在於有效促進所內外網路資源共享與電子資訊快速交流,防止所內機密資訊不當外流,並阻絕所外機器不當進入所內網路,以確保核研所電腦網路資訊安全。經多方了解其它類似單位作法,並由內部專業人員分析核研所電腦網路安全需求後,設定其目標如下:

1.防止網際網路(Internet)非法使用者入侵核研所電腦網路,取得核研所研發成果等資訊或破壞核研所資訊系統伺服機。

2.防止網際網路上的病毒,散播於核研所所內電腦網路中。

3.防止核研所內部的機密資訊或計畫資訊透過電腦網路不當外流。

  1. 訓練核研所同仁共同維護所內電腦網路秩序,扮演稱職的電腦網路公民角色。

 

3.2 訂定核研所電腦網路安全策略

為達到核研所電腦網路安全目標,必須訂定電腦網路安全策略以利執行,核研所電腦網路安全策略的訂定係從兩方面著手,一是從管理的角度,即是制定相關規定,提供核研所各階層人員遵守的法則,使同仁有所依循,並規劃訓練講習與說明會等教育訓練,提升同仁電腦網路安全共識;另一則是從技術面著手,釐訂相關的網路資訊存取規則,透過網路安全系統的設立,阻止不當網路資訊的交流。

根據核研所電腦網路安全目標,在權責單位的研討後,訂定出核研所電腦網路安全策略如下:

(1)核研所機密資料及核研所研發計畫資料,各單位應依有關規定妥善保管維護,不得連上電腦網路。研發作業若需電腦連線,須經奉核可後並建立傳送登錄作業。

(2)核研所與外界網路一律透過防火牆系統的設置作一適當區隔,並維持單一的進出管道,以保障核研所電腦網路安全。

(3)核研所提供少數特定對外服務的伺服機可以與外界連線,其餘的主機或個人電腦原則上不與所外網路連線。核研所對外網路應用服務範圍包括全球資訊網(WWW)、檔案傳輸(FTP)、遠端登錄(TELNET)和電子郵遞(E_MAIL)等服務,其餘網路功能則依需求採個案開放。

(4)所內外電腦網路資料存取政策之訂定採取”若非經明白定義即表示禁止”之法則[3、4、5],明文列出允許執行之範圍,未經明訂者皆屬禁止之列。

(5)為保障核研所電腦網路安全,核研所對外電腦網路存取採分階段開放策略,先從各單位設立少數連接所外之工作站,逐步向核研所同仁推廣網路安全的觀念,並且配合電腦網路使用需求及成熟度,漸次增加連接所外之工作站的數目,以滿足核研所研發需求。

(6) 各單位連接所外之工作站,應指定專用電腦,禁止將研發資訊存放於此工作站,並由專人管理;資料傳送皆應透過工作站指定之專人操作,傳送之資料須經權責主管核准,傳送者應建立傳送登錄作業,以利資訊傳輸管理。

(7) 依照使用目的與功能區分,核研所各單位擁有的電腦資源可概分為下列五類,其中A、B、C三類電腦為可連接所外之工作站,其IP位址採全球網路位址(Global Address)與私有網路位址(Private Address)混合使用;D、E兩類電腦則為所內資料處理及資訊交流專用,不得連接所外網路,其網路位址一律以私有網路位址(Private Address)。茲分述各類電腦資源功能如下:

A類:具備存取網際網路資源全部功能(含http 、gopher、telnet、 ftp、 news、WAIS及 e_mail等),典型使用者包括專案工作需求奉淮設立者與資訊部門因應功能測試與驗證者,

B類:具備存取網際網路資源部份功能(含http 、gopher、ftp、 news、WAIS及 e_mail),典型使用者包括因計畫需求奉准設立者。

C類:具備http 、gopher、 news、WAIS等全球資訊網(World Wide Web,WWW) 查詢功能,典型使用者為包括圖書館與各單位各計畫因應蒐集外界資訊需求而設立者。

D類:擁有執行所內Intranet的功能,如ftp、telnet、e_mail及http至所內網路工作站或專屬之所內資訊系統(如管理資訊系統)主機等,核研所內部使用之電腦多屬此類,典型使用者為一般同仁。

E類:因應資料安全或業務性質而須單機使用者,典型使用者為資料處理人員。

3.3 訂定核研所電腦網路使用規定

核研所於八十三年即連上台灣學術網路,雖然當時所區網路尚未建置,但已經開發完成網路式應用的資訊系統,為了有效運用學術網路資源,乃擬訂『核能研究所圖書室查詢國內外學術網路使用規定』[8],先於核研所圖書室設立學術網路(僅限於WWW功能)查詢工作站,供所內同仁查詢學術網路資源。而在八十五年核研所第一期所區光纖網路建置後,配合核研所行政資訊大樓完工,核研所的所區網路系統已初具雛型,各式資訊系統如管理資訊系統及環境輻射監測網等網路應用已明顯彰顯網路成效;乃草擬『行政院原子能委員會核能研究所電腦網路使用規定』[9]及『核能研究所連接所外網路申請與使用說明』[10]等使用規則並公佈施行,以肆應核研所日增的網路需求。

配合核研所電腦網路安全策略的具体施行,目前核研所網路管理情形如下所述:

1.各單位網路管理人員分工

核研所各一級單位皆設有網路負責人擔任該單位內電腦網路規劃與建立、電腦網路管理及簡易故障排除與電腦裝備網路位址管理(IP之申請、移轉與回收)等工作,透過與資訊單位的分工合作,將全所的網路暢運作責任共同承擔,以解決網路管理單位人力不足的窘境。

2. 核研所網路位址(IP位址)劃分

考量核研所各式計畫及各類網路應用的需求,以及網路管理與安全的需要,不同資訊系統有其特殊的傳輸需求(如核研所管理資訊系統與環境輻射監測網系統等,需應用於核研所內部而與外界作適當隔絕),除了使用核研所分配的網路位址外,引入企業內部使用的私有網路位址是為必然的選擇。因此規劃核研所網路位址(IP位址)分為兩類:全球網路位址(Global IP address)及私有網路位址(Private IP address),其劃分如下:

(1) 全球網路位址:核研所擁有6個Class C之IP空間(每個Class C的定址空間為256) ,係由台灣學術網路管理委員會核發,主要用來提供與所外連線及對外服務的網路資源。

(2) 私有網路位址:由核研所自訂,採用RFC 1597[6]及RFC 1627[7]建議之企業內部IP定址範圍,即Class A 網路:10.0.0.0 ~ 10.255.255.255,Class B 網路:172.16.0.0 ~ 172.31.255.255,Class C 網路:192.168.0.0 ~ 192.168.255.255等三個不同網路等級的定址空間,主要用來提供核研所所內網路或是單向存取網際網路的資源設備。

 

3. 各單位館舍IP位址命名及分配規劃

規劃完成核研所可應用的定址空間後,核研所各單位各館舍內之IP位址命名及分配原則,則依如下之規劃:

(1) 取用RFC 1597及RFC 1627所建議之私有網路位址空間:192.168.0.0 ~ 192.168.255.255之定址空間,做為核研所內部各館舍位址的設定和使用。

(2) 核研所各館皆可獨立擁有一個或多個Class C之定址空間。

(3) 核研所各館的IP位址分配,私有網路位址與全球網路位址兩類IP之使用係共用實体傳輸介質,唯透過網路路由器之Access List功能設定及防火牆系統之設置進行適當隔離。私有網路位址之分配由資訊單位規劃,其運用則授權各單位或各館網路負責人分配及管理;全球網路位址則由核研所資訊單位依規定的申請使用程序核發應用,由各單位或各館網路負責人協助管理。

(4) 核研所各館舍私有網路位址之取名原則:

採用192.168.0.0 Class C網路,可以定義達256個Class C網段,對核研所而言應可滿足。而核研所內部館舍多以數字編號或是數字與英文字母混編而成,所以其各館舍的私有網路位址取名原則如下:

192.168.xxx.yyy

xxx:館別代號(1-254)

yyy:1-254

針對網路佈設點多且單位較多的館別,則依需要劃分多個Class C的定址空間;另如005A,005等館別無法使用同樣xxx值,則另覓適當之xxx值代表之,全所各館別的網路位址分配表由資訊單位統一訂定。

 

3.4 實体安全

核研所除了以私有網路位址和全球網路位址來區分所內與所外網路應用系統的範疇外,考量電腦網路安全,各網路應用系統伺服機(如所內管理資訊系統伺服機,全球資訊網伺服機與防火牆系統伺服機等)皆進行安全強化與保護,如加強稽核檔案的保存及登入(login)與登出(logout)的記錄、個人使用者帳戶的密碼管理、定期更換主伺服機管理者密碼及備份數份系統及重要檔案資料分置於不同區域等[1],都是維護電腦網路安全所必須做到的,因此核研所資訊單位特別製訂電腦主機房管理規定[11],以確保電腦主伺服機實体安全。

3.5 網路安全防護系統設置與運作

核研所網路安全防護系統的核心為防火牆系統,另為配合FTP、TELNET、WWW及E_MAIL的網路應用服務,在相關的伺服機也加強若干防護功能,構成核研所的網路安全防護体系。

3.5.1 防火牆系統設置與運作

建立防火牆的方式有很多種,各有其不同的考量因素,但是它的主要目的不變,乃是為了保護企業內部網路的安全。核研所防火牆系統之設置係考量如何有效隔離核研所與外界的資訊傳輸,確實防止未經授權的資訊流通,以保障核研所重要資料、資訊系統及伺服主機的安全。核研所防火牆係採取雙重位置閘通道防火牆架構方式,其架構如圖六。

核研所經審慎評估後採用Checkpoint公司的firewall-1防火牆產品,做為核研所防火牆的主要元件,而該產品從早期的1.0as至2.0b版,以迄今所使用的3.0b版本,都因應著使用者的需求和環境的變更而進行升級,以切合實務上的需要。

 

3.5.2 核研所防火牆系統功能

核研所採用的防火牆系統可分為六大操作管理功能,簡述如下:

  1. 物件管理(object management)﹕主要用於定義電腦網路上的主要網路設備或電腦設備,物件定義可從單一網路節點(host)、部份設備的集合(設備群組)到網路段落(network segment) 。防火牆的基本運作原則是所有經過它的封包,除非事先已登記確認過,方可通過。而本功能為防火牆最基本的元件。

防火牆系統主要用於維護電腦網路上資訊的安全,而網路安全規則的編輯必需簡單明瞭,容易維護,因此,在定義網路物件時,需注意如下事項﹕

圖七為物件管理功能視窗。

圖七、物件管理功能視窗

  1. 使用者管理(user management)﹕本項管理功能在於定義特定電腦設備之間的通信連線需求,包含有使用者名稱、群組、及特性等。當防火牆進一步採用Application-level Gateway時,必需在本機上申請進出帳號,當有packet要進出此防火牆時,防火牆會要求使用者輸入本機之使用者帳號及通行密碼,本功能著重於Application-level Gateway上之應用,通常應用於使用者或應用程式的認證機制。圖八為使用者管理功能視窗。

圖八、使用者管理功能視窗

  1. 規則庫編輯(Rule Base Editor):本功能視窗為firewall-1之主要核心視窗,大部份的系統環境設定均由本視窗所負責,本視窗功能主要在於定義網路物件、網路群組和使用者群組之間的通信服務權限,訂定進出核研所電腦網路的安全規則,據以執行網路安全的工作,落實核研所網路安全策略。所有網路上通行的封包,均需經由本視窗的規則定義允許其通過方可進出,在本系統的規則制定表共有八個欄位﹕規則序號(No)、原始端(Source)、目的端(Destination)、服務(Services)、允許動作(Action)、追蹤(Track)、安裝(Install on)及備註(Comments)等八欄位。其規則預設值為所有的封包均不能通過此防火牆,此預設值為滿足防火牆之定義。圖九為規則庫編輯功能視窗。

圖九、規則庫編輯功能視窗

  1. 服務管理(service management)﹕在於定義網路tcp及udp的通信服務埠(port)之設定值及其相關的特性。圖十為服務管理功能視窗。

圖十、服務管理功能視窗

  1. 日誌瀏覽(log viewer)﹕所有經過Firewall的封包會依規則編輯器所訂定的進出安全規則,記錄其進出情形於系統的log中,本項功能即提供網路安全管理人員檢視經過防火牆系統所有封包的詳細記錄,透過Log Viewer可以掌握所有曾在電腦網路上進出的ip位址、封包型態、通信服務及進出的時間等。圖十一為日誌瀏覽功能視窗。

圖十一、日誌瀏覽功能視窗

  1. 系統瀏覽(system view)﹕顯示整個firewall-1之執行狀況,例如,本系統執行是否正常、通過的packet數量,被丟棄的封包數量等。
  2.  

    3.5.3 安全防護系統運作

    1.防火牆系統運作

    1.1.網路物件的命名原則

    為便於防火牆系統的日誌及警告記錄便於閱讀,增進查閱與追蹤作業效率,必須在網路物件的命名原則有明確的定義,以避免後續追蹤及解析上的困擾。核研所定義各單位開放型工作站之網路物件命名原則如下:

    開放型工作站網路物件名稱::=[first capital of middle name] [first capital of last name] [surname] [host no.] [_] [building no.] [_] [單位代碼|專案計畫代碼]

    註:1. first capital of middle name、first capital of last name、及surname皆採用開放型工作站之管理人員英文名字命名

    2. Host no. 代表某管理人員所管理的工作站編號

                  1. 3. 單位代碼及專案計畫代碼視各館有不同的定義

 

1.2 系統功能運作

本系統啟動的功能主要是為所有進出核研所網路的資訊把關,配合核研所網路安全策略的訂定,於規則編輯庫加以設定,最主要作為是設定對系統主機的保護(無法遠端登錄且對ping無回應),讓網路上感覺不到它的存在,另外則是定義可以連通所外的電腦資源及提供的服務,以及因特殊需要奉核定的資訊服務等。本系統係針對通盤性的資訊服務提供安全防護功能,特定的應用系統服務則分別由特定伺服機提供細部安全防護功能。

 

1.3 日誌檔(log file)之運作及備存

日誌檔會根據現有的網路安全進出規則記載所有進出防火牆系統的網路封包狀態,包括進出的時間、封包的起始和終端節點、封包的的port值和服務類型以及Firewall的對應動作等。原則上每天下午下班前執行日誌之存檔動作,目前本系統所執行的備存動作係配合每月二至三次的備存作業進行,以確保系統及日誌檔的安全。

 

2. E_MAIL之功能運作

核研所的E_MAIL運作設計為符合核研所應用於公務上的需求,在運作架構設計上與一般的機關有些許差異,其作法是分別設置一套對外的E_MAIL伺服主機及一套對內的E_MAIL伺服主機,對外E_MAIL的收發除依規定須由專人執行外,原則上所內同仁以Client端的E_MAIL工具(如Netscape Navigator或Microsoft Explore的mail功能或Eudora)於個人電腦上進行。為避免偽冒發信的情形,造成不必要的困擾,特別在伺服機上安裝特殊軟体工具,以電腦位址來分辨有權使用本伺服機的清單,並進行E_MAIL的收發記錄。除此之外,伺服機上並針對進出的E_MAIL作記錄存檔,以備不時之需。

 

3. FTP之功能運作

核研所針對資料傳輸也訂有相關傳輸規定,原則上資料可以傳輸進來,資料傳出則須格外謹慎。為符合本項需求,核研所特別透過Proxy Server設定單向FTP(GET或Download)的功能,而雙向FTP功能則須透過FTP主伺服機方能執行。而FTP主伺服機亦透過安全防護軟体設定機器清單,僅有特定電腦具有遠端登錄(TELNET)至本伺服機的權限。如此的設計雖然會造成些許不便,但因可滿足大部份使用者下載檔案的需求,僅是少數傳出檔案的程序較為不便,因此可以滿足核研所研發需求並達到網路安全的目標。

 

4. TELNET之功能運作

核研所網路資訊傳輸,原則上傳輸進來易,資料傳出檢查嚴格。為符合本項需求,TELNET的運作須透過主伺服機方能執行。本主伺服機亦透過安全防護軟体設定機器清單,僅有特定電腦具有遠端登錄(TELNET)至本伺服機的權限,再由本伺服機執行對外遠端登錄功能。

 

5. WWW之功能運作

WWW的使用是現在學術網路應用的主流,核研所為了有效運用本項功能,特別設立Proxy server,以加速網路資訊的獲取,並且開放檔案下載的功能,以利資料的傳取。在伺服機上並啟動存取功能及記錄功能,以利本伺服機提供最佳的服務效能。

 

6. 代理伺服器之功能運作

因著全球資訊網盛行,相對應的全球資訊網代理伺服器很快的出現在市場上,因應本項技術的普遍化,以及其功能的齊備,目前核研所利用所內統一建立代理伺服器並串接所外的代理伺服器,提供全所的服務,亦減輕了防火牆的負荷,目前核研所的代理伺服器定期進行記錄、備存與統計分析工作,並且定期提供報告送各單位主管參考與上網供同仁查詢。

 

7. 電腦病毒防制功能運作

面臨電腦病毒的防制,核研所除了積極鼓勵同仁於個人電腦上設置防毒軟体,並且在所內網路網站上亦提供最新病毒碼方便同仁取用與更新;在伺服器方面,考量防毒軟体安裝於防火牆系統可能造成防火牆系統的負荷過重,而影響網路傳輸效能,乃分別於最主要的E_mail、WWW及FTP伺服器安裝了防毒軟体,以減少病毒對本所可能造成的危害。

 

8. 電腦網路安全監控功能運作

在電腦網路安全監控方面,設置相關系統的費用不貲,核研所在評估了市面上的產品後,初步採用SessionWall-3,並且將該系統置於連外的網路通道上,以檢查本所對外的進出通道上是否有異常狀況,適時的排解並補充防火牆系統功能的不足。

 

四、檢討與未來展望

核研所以少數人力,採用混合式的網路安全技術在短期內建置完成核研所網路安全防護系統,在核研所各單位人員的協助與合作下,其運作已具成效,在網路技術日新月異的進步下,如何調整現有系統的運作以符合單位需求,並且能繼續增進網路安全防護效能,確保核研所網路資訊的安全交換與傳遞,仍是很大的挑戰。核研所未來在網路安全上的努力方向,將採以下方面進行﹕

其中各式應用系統 proxy server建立將可增加在未來網路提供多樣化服務時的彈性,使得所內之任何private ip均能透過proxy server設定,取得所外的網路資訊,以解決private ip連線的問題。

另一解決所內private ip和所外連線之問題為抽出部份合法ip提供ip mapping之功能,當private ip欲傳送資料出去時,先到fw-1取得合法的ip address,改用此合法ip後將資料送出,也可達到網路安全的目的。

資料加解密等通信安全功能的建立(如S-key及encryption之功能運用)將有助於保護核研所計畫資訊或研發資料等的安全,並提供所內外網路資訊傳輸安全的管道,充分發揮網路的功能。

防火牆Log file的統計分析則是可以考慮將每日儲存的log file透過簡易資料庫轉換與應用程式的開發,進行資料分析及統計,以提供管理者適切的資訊,作為系統擴充或效能調整的參考。

網路安全是個無止境的工作,特別是網路技術日新月異的今日,網路上日益增加的資訊流通量,以及電子商業的盛行,在在顯示網路安全的重要性。核研所核能資訊、管理資訊和圖書管理等均應用於全所電腦網路系統,且連通網際網路;為保障核研所研發與行政資訊的安全,核研所訂定了相關的電腦網路使用規定,也針對實体安全及核研所網路安全策略建立具体的作法,期能透過適當的網路管理,一方面加強網路安全技術的提升,一方面協助核研所同仁有效應用系統,使電腦網路的正面效益能夠發揮,增進工作品質與成效。

 

五、參考文獻

[1]黃亮宇,“資訊安全規劃與管理”,松崗電腦圖書,民國81年6月

[2]Stephen Cobb,”NCSA Firewall Policy Guide V1.01” ,NCSA,1996 ,http://www.ncsa.com/

[3]Wack,J. P. & L,J. Carnahan,“Keeping Your Site Comfortably Secure : An Introduction to Internet Firewalls”,NIST Special Publication 800-10,1995

[4]Karanjit Siyan,Chris Hare,“Internet Firewalls and Network Security”,New Riders Publishing,1995

[5]William Stallings,“Network and Internetwork Security : principles and practice”,Prentice-Hall,1995

[6]Y. Rekhter,B. Moskowitz,D. Karrenberg and G. de Groot,“Address Allocation for Private Internets”,T.J. Watson Research Center,IBM Corp.,Chrysler Corp.,RIPE NCC,RFC-1597,March 1994

[7]E. Lear,E. Fair,D. Crocker and T. Kessler,“Network 10 Considered Harmful”,Silicon Graphics Inc.,Apple Computer Inc.,Sun Microsystem,Inc.,RFC-1627,July 1994

[8]鄭勝璋、蔡順慈,"核能研究所圖書室查詢國內外學術網路使用規定",核研所內部文件,民國84年5月

[9]鄭勝璋、蔡順慈,"行政院原子能委員會核能研究所電腦網路使用規定",核研所內部文件,民國85年4月

[10]鄭勝璋、蔡順慈,"核能研究所連接所外網路申請與使用說明",核研所內部文件,民國86年6月

[11]蔣文得、蔡順慈,"核能研究所電腦主機房管理規定",核研所內部文件,民國85年2月