「這幾年資服處工作推動的主軸就是資安,剛上任時,院長最重要的期許就是把資安做好」,中研院資訊科學所研究員,同時也是中研院資訊服務處長的陳伶志說。
對陳伶志而言,網路攻擊並不陌生,他在大學時代曾擔任過BBS站長,有一次遭遇駭客入侵,駭客砍掉站臺,還留下暱稱炫耀自己的成就。他和朋友一起研究修補漏洞,並反過來入侵駭客主機,取回備份的BBS資料。
研究領域為感知系統、物聯網及大數據分析,且參與研發空氣盒子的他深知網路安全的重要性,這幾年他大刀闊斧整頓中研院的資訊安全。
陳伶志表示,在駭客眼裡中研院是個超級大目標,不論是業餘或職業駭客都將中研院當成練兵的對象,也讓中研院經常受到各種攻擊。
設立資安專責單位,改造資安體質的第一步
在資安方面,早期各處室、所中心若有資安需要,大多採購套裝軟體安裝,資安防護較被動,後來成立資安小組,將散落在各科處的資源進行整合。2017年資訊服務處將資安組提升為資安科,負責全院的資訊安全、個資保護、資安通報等工作,目前資安科底下又分為負責SOC、弱掃、社交工程的技術組,還有專責ISMS等資安認證管理、資安法規、教育訓練的管理組。2014年中研院院本部組織調整,原本在總辦事處下的計算中心正式改名為資訊服務處,成為院本部下的一級單位,相較於一般資訊部門,名稱上多了「服務」兩字,強調服務院本部各項業務的角色,推動院本部的行政電腦化、全院網路架構、骨幹網路、資訊安全防護,並協調院內各所中心的資訊業務推展。
在組織工作確立後,為了強化資訊安全,資訊服務處接下來盤點系統,並對院本部網路架構進行大改造。
2018年上任後推動資安工作的陳伶志坦言,早期中研院是能上網就好,雖然有設防火牆,但並沒有NAT控管,許多公開IP,導致外部攻擊者很容易得知IP滲透進來,隨著網路發展一直疊加上去,一直沒有大體檢,這個老舊的架構直到兩三年前仍是如此。
此外,研究單位過去基於需要,為了和外部單位進行學術研究合作,研究人員可能開啟遠端桌面,或是早期因為某項研究計畫架設的系統,而在計畫結束後卻沒有關閉,這些都可能成為資安防護上的破口,導致駭客有機可趁,成為攻擊的跳板。
因內網很容易遭滲透,「我們轉而認定內網就是不安全,一定會被攻陷」。
因此他們在舊的「內網」外再建立一個嚴格控管的行政內網,考量到內網一旦被入侵就可能全部淪陷,再切分出多個區,每個區的電腦利用iptables,做好存取控制,建立層層控管。對每個處室使用哪個網路孔,連到哪個MAC位址,全部都進行嚴格管理,各處室利用NAT匯整IP後,再以單一IP對外,控管連接內網的設備,讓外部裝置無法連接,並且嚴格套用政府組態基準GCB,控管不能安裝哪些軟體、監控,確保行政電腦的安全性。
陳伶志表示,現在新的網路架構使用了多層的防火牆,搭配NAT控管,資訊團隊慢慢找出網路應該怎麼架構,再去分析舊有的網路架構缺點,困難點在哪,設法排除困難點,逐一調整每個單位的網路配置。
盤點老舊系統及帳號
中研院IT團隊利用稱之為掃雷機的軟體工具,按IP位址逐一盤點,找出沒有隨計畫結束而關閉的老舊機器,盤點出這批老舊的系統,再將盤點結果列管,關閉不需要使用的系統,還需要使用的則予以升級,並在每次的工作會報中統計成果。過去有不少執行研究計畫而建立的系統,但在計畫結束後沒有關閉,這些老舊系統成為資安防護的死角。陳伶志直言,雖然已控管很多系統,擋掉許多的攻擊,但不可思議的是,不少問題來自這些沒有看到的舊系統,必需設法找出這些系統,才能解決制度面的盲點。
另外,過去各研究單位招聘人員都會開設員工帳號,有些人可能因為學生時代協助研究,畢業後出國進修,過幾年又回到中研院,由於復職的可能性相當高,院方通常不會移除這些帳號,而是暫時關閉帳號予以保留,待復職時再重新開啟帳號;也有些人因為不同的研究計畫調換單位,到其他單位從事研究,可能因為系統轉換或人事系統緣故,有些帳號存在20、30年,但人早已離開,這些幽靈帳號至今仍可使用,但密碼已久未更新,也成了一個潛在資安風險。
儘管中研院內部原本就有一套帳號管理辦法,並沒有明確說明怎麼管理這些帳號,很多時候靠經驗法則處理,資訊單位雖有心管理,但缺乏管理依據。為了解決這個問題,中研院後來通過新的帳號管理辦法,對不同帳號類別及屬性該如何去管理,賦予資訊單位進一步管理帳號的權利,當帳號出現狀況,就能將這些幽靈帳號暫時關閉。
導入OTP強化收信安全
由於不少攻擊來自電子郵件,特別是知名研究人員容易成為攻擊目標,這幾年攻擊次數雖然因為加強防護已有減少,相對的,隱密性的攻擊手法卻層出不窮,攻擊手法愈來愈見精密。「各種攻擊手法都讓我們開了眼界」,陳伶志笑著說,社交工程的攻擊手法愈來愈擬真,甚至發現惡意程式隱藏簽名檔裡。研究人員的電子郵件被入侵後,駭客並沒有劫持帳號,而是設定郵件轉寄,蒐集通訊內容,被害者完全沒有察覺。
為了加強電子郵件安全,資訊服務處建議重視資安的員工不要使用POP3、IMAP等收信機制,而改用Webmail收信,搭配OTP登入。現在中研院已在VPN全面使用OTP,他們改寫RADIUS身分驗證主機,收到密碼後,加上OTP一起雜湊,通過兩個驗證才能放行,「這麼做很有用」,陳伶志表示。
目前中研院僅強制主管在電子郵件上使用OTP驗證身分,並沒有強制員工跟進。中研院已決定今年到明年宣導員工使用VPN收信,明年全面施行。
陳伶志表示,剛開始資安防護都是追著駭客打,後來中研院慢慢累積攻擊偵測機制的能量,「先穩下來,城牆做得夠高,才有能力進一步分析」。
解決人才斷層,汰除老舊資料庫
除了資安,另一個陳伶志上任後要解決的是資料庫老舊的問題。成立已超過九十年的中研院,內部許多系統都是自行開發,這些系統每天都要使用,由於大改版很痛苦,因此大多都在既有的架構下修改,長久以往下來,改版遭遇不小的抗拒。這幾年在強化資安的目標下,需要重新檢視老舊系統,是否要下線或是維護成本太高。
早期可能因為不同開發人員偏好,中研院使用包括Oracle、Informix、MS SQL、My SQL,還有其他較小的資料庫,不僅導致維護成本提高,古老資料庫如Informix也面臨人才斷層、維護不易的難題,為了降低成本,提高組織運作的穩定性,整併資料庫成為當務之急。
考慮到開源人才招募不易,學校畢業的資訊人才比較熟悉微軟.NET,因此資料庫整併的目標,未來將轉為使用MS SQL,搭配My SQL作為輔助資料庫。去年他們先讓牽涉較少系統的Oracle資料庫下線,今年目標要讓Informix下線,由於相當古老的資料庫,至少5個大型系統仍使用,在牽一髮動全身下,不影響院內正常運作下完成資料庫整併是項挑戰。
他們盤點系統、進行沙盤推演,擬定先建後拆的原則,先建立新的系統,並設置開發測試、真實服務區,設下幾道保險降低出錯的可能性,新舊系統並行,降低新系統出錯可能對日常營運帶來的衝擊。
打好資安基本功
中央研究院資訊服務處處長陳伶志表示,「從歷來資安事件可發現,大多是因為輕忽基本工作落實,逐一盤點與落實能改善資安體質」。 |
陳伶志認為,資安防護不外乎加強縱深防禦、落實資安措施。在縱深防禦上,搭配網路配置與主機存取權限控管等機制,讓重要系統與帳號盡可能多幾道防線,避免外界可以輕易存取,再搭配資安管控與監測措施,若真的發生異常狀況,就能立即發現並有效處置。
「從歷來資安事件可發現,大多是因為輕忽基本工作的落實,如軟體定期更新、使用強密碼並定期更新、控管機器存取權限、離職帳號等等,這些平時就該做的基本功,逐一盤點與落實能改善資安體質」,他說。
他以PDCA循環的概念為例,在每次迴圈中,以「抓大放小、求穩不求快」為原則,先從改善後效益最大的項目著手,以專案方式追蹤成效。加強內部的溝通及教育訓練降低阻力,幾個輪迴之後就能慢慢感受到成效。
資安防護並不單單只是資訊部門的工作,更重要的是要讓每個人都具有資安意識。資通安全法通過後,全院員工需要接受3小時的資安課程,「對全院幾千人、每人上三小時幾乎是不可能做到的」。中研院員工有很多是約聘人員或是學生,老師或研究員也有很高的自主性,增加了達成上課時數目標的難度。
中研院考慮利用數位學習平臺,但並沒有自行開發系統,而是和人事行政總處合作,利用其公務學習平臺「e等公務園」,將公務園帳號和中研院員工帳號綁定,如此就能取得員工在e等公務園的資安相關課程上課資料,產出報表給各所中心的資安聯絡人員,催請各單位落實,去年達成率超過9成。
今年他們準備擴大到學術倫理課程,但由於人事行政總處並沒有學術倫理課程,他們和人事行政總處協商開設該課程,陳伶志表示,這個課程不只是中研院,其他學校也有相同的需求。現在所有院內的訓練課程,除非講師不同意,中研院都會將錄製的內容上傳到公務園,目前已許多課程上傳至該平臺。除了學術倫理,接下來還有生物安全。
中研院沒有另造一個數位學習系統,透過和其他單位合作,在同一個平臺提供內容,撈取上課資料,一站式滿足所有人的需求。
中研院今年上傳一堂資安課程開放外界點閱,點閱率為第二名的2到3倍,他們準備將資安的通識、職能訓練課程也上傳e等公務園。
CIO小檔案
陳伶志 中央研究院資訊服務處處長
學歷:美國加州大學洛杉磯分校資訊科學系博士
經歷:2005年進入中研院資訊科學研究所擔任助研究員,同年成為臺灣師範大學資訊教育系助理教授,2006年為師大資工系兼任助理教授,2017年升任中研院資科所研究員,年底擔任中研院資訊服務處代理處長,2018年正式升任處長,同一年成為師大資工系兼任教授。
機關檔案
中央研究院
● 地址:臺北市南港區研究院路二段128號
● 成立時間:1927年
● 院長:廖俊智
資訊部門檔案
● 資訊部門主管職稱:資訊服務處處長
● 資訊部門主管姓名:陳伶志
● 資訊部門人數:82人
IT大事記
● 1984年:成立計算中心。
● 2006年:完成與政府服務網路(GSN)實體IPv6連線。
● 2007年:完成全球根網路域名伺服器建置,成為全球13組根網路域名系統伺服器服務機構之一。
● 2011年:完成單一簽入服務。完成天數館電腦機房異地備援系統建置,可在30分鐘內完成切換,確保全年服務中斷時間少於24小時。
● 2014年:更名為資訊服務處。
● 2016年:與教育部、國家實驗研究院合作,臺灣學術網路(TANnet)及臺灣高品質學術研究網路(TWAREN)的骨幹頻寬自20Gbps提升為100Gbps。
● 2017年:成立資安科。
● 2019年:更新全院VPN系統導入雙因子驗證。推動院本部資安管理措施。結合e等公務園,中研院數位學習專區上線。
熱門新聞
2024-11-04
2024-11-02
2024-11-04
2024-11-04
2024-11-01
2024-11-04