重新架構內網盤點老舊系統，中研院紮好基本功正面迎戰網攻

「這幾年資服處工作推動的主軸就是資安，剛上任時，院長最重要的期許就是把資安做好」，中研院資訊科學所研究員，同時也是中研院資訊服務處長的陳伶志說。

對陳伶志而言，網路攻擊並不陌生，他在大學時代曾擔任過BBS站長，有一次遭遇駭客入侵，駭客砍掉站臺，還留下暱稱炫耀自己的成就。他和朋友一起研究修補漏洞，並反過來入侵駭客主機，取回備份的BBS資料。

研究領域為感知系統、物聯網及大數據分析，且參與研發空氣盒子的他深知網路安全的重要性，這幾年他大刀闊斧整頓中研院的資訊安全。

陳伶志表示，在駭客眼裡中研院是個超級大目標，不論是業餘或職業駭客都將中研院當成練兵的對象，也讓中研院經常受到各種攻擊。

設立資安專責單位，改造資安體質的第一步

在資安方面，早期各處室、所中心若有資安需要，大多採購套裝軟體安裝，資安防護較被動，後來成立資安小組，將散落在各科處的資源進行整合。2017年資訊服務處將資安組提升為資安科，負責全院的資訊安全、個資保護、資安通報等工作，目前資安科底下又分為負責SOC、弱掃、社交工程的技術組，還有專責ISMS等資安認證管理、資安法規、教育訓練的管理組。2014年中研院院本部組織調整，原本在總辦事處下的計算中心正式改名為資訊服務處，成為院本部下的一級單位，相較於一般資訊部門，名稱上多了「服務」兩字，強調服務院本部各項業務的角色，推動院本部的行政電腦化、全院網路架構、骨幹網路、資訊安全防護，並協調院內各所中心的資訊業務推展。

在組織工作確立後，為了強化資訊安全，資訊服務處接下來盤點系統，並對院本部網路架構進行大改造。

2018年上任後推動資安工作的陳伶志坦言，早期中研院是能上網就好，雖然有設防火牆，但並沒有NAT控管，許多公開IP，導致外部攻擊者很容易得知IP滲透進來，隨著網路發展一直疊加上去，一直沒有大體檢，這個老舊的架構直到兩三年前仍是如此。

此外，研究單位過去基於需要，為了和外部單位進行學術研究合作，研究人員可能開啟遠端桌面，或是早期因為某項研究計畫架設的系統，而在計畫結束後卻沒有關閉，這些都可能成為資安防護上的破口，導致駭客有機可趁，成為攻擊的跳板。

因內網很容易遭滲透，「我們轉而認定內網就是不安全，一定會被攻陷」。

因此他們在舊的「內網」外再建立一個嚴格控管的行政內網，考量到內網一旦被入侵就可能全部淪陷，再切分出多個區，每個區的電腦利用iptables，做好存取控制，建立層層控管。對每個處室使用哪個網路孔，連到哪個MAC位址，全部都進行嚴格管理，各處室利用NAT匯整IP後，再以單一IP對外，控管連接內網的設備，讓外部裝置無法連接，並且嚴格套用政府組態基準GCB，控管不能安裝哪些軟體、監控，確保行政電腦的安全性。

陳伶志表示，現在新的網路架構使用了多層的防火牆，搭配NAT控管，資訊團隊慢慢找出網路應該怎麼架構，再去分析舊有的網路架構缺點，困難點在哪，設法排除困難點，逐一調整每個單位的網路配置。

盤點老舊系統及帳號

中研院IT團隊利用稱之為掃雷機的軟體工具，按IP位址逐一盤點，找出沒有隨計畫結束而關閉的老舊機器，盤點出這批老舊的系統，再將盤點結果列管，關閉不需要使用的系統，還需要使用的則予以升級，並在每次的工作會報中統計成果。過去有不少執行研究計畫而建立的系統，但在計畫結束後沒有關閉，這些老舊系統成為資安防護的死角。陳伶志直言，雖然已控管很多系統，擋掉許多的攻擊，但不可思議的是，不少問題來自這些沒有看到的舊系統，必需設法找出這些系統，才能解決制度面的盲點。

另外，過去各研究單位招聘人員都會開設員工帳號，有些人可能因為學生時代協助研究，畢業後出國進修，過幾年又回到中研院，由於復職的可能性相當高，院方通常不會移除這些帳號，而是暫時關閉帳號予以保留，待復職時再重新開啟帳號；也有些人因為不同的研究計畫調換單位，到其他單位從事研究，可能因為系統轉換或人事系統緣故，有些帳號存在20、30年，但人早已離開，這些幽靈帳號至今仍可使用，但密碼已久未更新，也成了一個潛在資安風險。

儘管中研院內部原本就有一套帳號管理辦法，並沒有明確說明怎麼管理這些帳號，很多時候靠經驗法則處理，資訊單位雖有心管理，但缺乏管理依據。為了解決這個問題，中研院後來通過新的帳號管理辦法，對不同帳號類別及屬性該如何去管理，賦予資訊單位進一步管理帳號的權利，當帳號出現狀況，就能將這些幽靈帳號暫時關閉。

導入OTP強化收信安全

由於不少攻擊來自電子郵件，特別是知名研究人員容易成為攻擊目標，這幾年攻擊次數雖然因為加強防護已有減少，相對的，隱密性的攻擊手法卻層出不窮，攻擊手法愈來愈見精密。「各種攻擊手法都讓我們開了眼界」，陳伶志笑著說，社交工程的攻擊手法愈來愈擬真，甚至發現惡意程式隱藏簽名檔裡。研究人員的電子郵件被入侵後，駭客並沒有劫持帳號，而是設定郵件轉寄，蒐集通訊內容，被害者完全沒有察覺。

為了加強電子郵件安全，資訊服務處建議重視資安的員工不要使用POP3、IMAP等收信機制，而改用Webmail收信，搭配OTP登入。現在中研院已在VPN全面使用OTP，他們改寫RADIUS身分驗證主機，收到密碼後，加上OTP一起雜湊，通過兩個驗證才能放行，「這麼做很有用」，陳伶志表示。

目前中研院僅強制主管在電子郵件上使用OTP驗證身分，並沒有強制員工跟進。中研院已決定今年到明年宣導員工使用VPN收信，明年全面施行。

陳伶志表示，剛開始資安防護都是追著駭客打，後來中研院慢慢累積攻擊偵測機制的能量，「先穩下來，城牆做得夠高，才有能力進一步分析」。

解決人才斷層，汰除老舊資料庫

除了資安，另一個陳伶志上任後要解決的是資料庫老舊的問題。成立已超過九十年的中研院，內部許多系統都是自行開發，這些系統每天都要使用，由於大改版很痛苦，因此大多都在既有的架構下修改，長久以往下來，改版遭遇不小的抗拒。這幾年在強化資安的目標下，需要重新檢視老舊系統，是否要下線或是維護成本太高。

早期可能因為不同開發人員偏好，中研院使用包括Oracle、Informix、MS SQL、My SQL，還有其他較小的資料庫，不僅導致維護成本提高，古老資料庫如Informix也面臨人才斷層、維護不易的難題，為了降低成本，提高組織運作的穩定性，整併資料庫成為當務之急。

考慮到開源人才招募不易，學校畢業的資訊人才比較熟悉微軟.NET，因此資料庫整併的目標，未來將轉為使用MS SQL，搭配My SQL作為輔助資料庫。去年他們先讓牽涉較少系統的Oracle資料庫下線，今年目標要讓Informix下線，由於相當古老的資料庫，至少5個大型系統仍使用，在牽一髮動全身下，不影響院內正常運作下完成資料庫整併是項挑戰。

他們盤點系統、進行沙盤推演，擬定先建後拆的原則，先建立新的系統，並設置開發測試、真實服務區，設下幾道保險降低出錯的可能性，新舊系統並行，降低新系統出錯可能對日常營運帶來的衝擊。

打好資安基本功

中央研究院資訊服務處處長陳伶志表示，「從歷來資安事件可發現，大多是因為輕忽基本工作落實，逐一盤點與落實能改善資安體質」。

陳伶志認為，資安防護不外乎加強縱深防禦、落實資安措施。在縱深防禦上，搭配網路配置與主機存取權限控管等機制，讓重要系統與帳號盡可能多幾道防線，避免外界可以輕易存取，再搭配資安管控與監測措施，若真的發生異常狀況，就能立即發現並有效處置。

「從歷來資安事件可發現，大多是因為輕忽基本工作的落實，如軟體定期更新、使用強密碼並定期更新、控管機器存取權限、離職帳號等等，這些平時就該做的基本功，逐一盤點與落實能改善資安體質」，他說。

他以PDCA循環的概念為例，在每次迴圈中，以「抓大放小、求穩不求快」為原則，先從改善後效益最大的項目著手，以專案方式追蹤成效。加強內部的溝通及教育訓練降低阻力，幾個輪迴之後就能慢慢感受到成效。

資安防護並不單單只是資訊部門的工作，更重要的是要讓每個人都具有資安意識。資通安全法通過後，全院員工需要接受3小時的資安課程，「對全院幾千人、每人上三小時幾乎是不可能做到的」。中研院員工有很多是約聘人員或是學生，老師或研究員也有很高的自主性，增加了達成上課時數目標的難度。

中研院考慮利用數位學習平臺，但並沒有自行開發系統，而是和人事行政總處合作，利用其公務學習平臺「e等公務園」，將公務園帳號和中研院員工帳號綁定，如此就能取得員工在e等公務園的資安相關課程上課資料，產出報表給各所中心的資安聯絡人員，催請各單位落實，去年達成率超過9成。

今年他們準備擴大到學術倫理課程，但由於人事行政總處並沒有學術倫理課程，他們和人事行政總處協商開設該課程，陳伶志表示，這個課程不只是中研院，其他學校也有相同的需求。現在所有院內的訓練課程，除非講師不同意，中研院都會將錄製的內容上傳到公務園，目前已許多課程上傳至該平臺。除了學術倫理，接下來還有生物安全。

中研院沒有另造一個數位學習系統，透過和其他單位合作，在同一個平臺提供內容，撈取上課資料，一站式滿足所有人的需求。

中研院今年上傳一堂資安課程開放外界點閱，點閱率為第二名的2到3倍，他們準備將資安的通識、職能訓練課程也上傳e等公務園。

 CIO小檔案 

陳伶志　中央研究院資訊服務處處長

學歷：美國加州大學洛杉磯分校資訊科學系博士

經歷：2005年進入中研院資訊科學研究所擔任助研究員，同年成為臺灣師範大學資訊教育系助理教授，2006年為師大資工系兼任助理教授，2017年升任中研院資科所研究員，年底擔任中研院資訊服務處代理處長，2018年正式升任處長，同一年成為師大資工系兼任教授。

 機關檔案 

中央研究院

● 地址：臺北市南港區研究院路二段128號

● 成立時間：1927年

● 院長：廖俊智

 資訊部門檔案 

● 資訊部門主管職稱：資訊服務處處長

● 資訊部門主管姓名：陳伶志

● 資訊部門人數：82人

 IT大事記 

● 1984年：成立計算中心。

● 2006年：完成與政府服務網路（GSN）實體IPv6連線。

● 2007年：完成全球根網路域名伺服器建置，成為全球13組根網路域名系統伺服器服務機構之一。

● 2011年：完成單一簽入服務。完成天數館電腦機房異地備援系統建置，可在30分鐘內完成切換，確保全年服務中斷時間少於24小時。

● 2014年：更名為資訊服務處。

● 2016年：與教育部、國家實驗研究院合作，臺灣學術網路（TANnet）及臺灣高品質學術研究網路（TWAREN）的骨幹頻寬自20Gbps提升為100Gbps。

● 2017年：成立資安科。

● 2019年：更新全院VPN系統導入雙因子驗證。推動院本部資安管理措施。結合e等公務園，中研院數位學習專區上線。