[網路攻擊行為之處理機制][ 廣告信件處理機制]

網路攻擊行為之處理機制

一、防止攻擊之軟硬體設備及日常措施：

(一)設置 硬體式防火牆—Fortinet300A，負責阻擋網路之惡意攻擊並防護校內電腦與網路主機，並有專人負責防火牆規則之設定及調整，以確保校內電腦之安全。
如圖

(二)CORE SWITCH (MATRIX E5)均有能力自行調整ACL，可以隨時因應已知之網路攻擊進行阻擋。

(三)在使用者端架設防毒軟體，並架設防毒主機，統一更新病毒碼，以杜絕電腦病毒。

(四)教學資源中心負責對校內網路主機之系統安全修補工作，平日以自動方式執行系統更新，並於系統漏洞訊息發佈後立即進行手動更新。

(五)辦理校內資訊安全研習，於各處室訓練一名教師負責處室內個人電腦之系統安全更新工作。

二、網路攻擊通報資料來源：

1. 校內網路流量分析
2. 上層管理單位或其他使用者反映網路攻擊事件之通報

三、攻擊發生時之處理方式：

1. 中斷被攻擊主機之網路連線，或設定防火牆之ACL以限制其進出校園網路。
2. 網路主機發生攻擊事件之處理方式：
   1. 查明是否中毒，並進行後續處理
   2. 檢查系統漏洞是否已修補
   3. 清查記錄檔檢查是否遭到入侵，如有入侵發生，立即阻擋入侵之IP位址，如無法查明則暫停此主機工作，進行後續處理。
   4. 查明是否主機內帳號密碼被盜用，如有被盜用之可能，立即更換管理密碼。
3. 一般電腦發生攻擊事件之處理方式：
   1. 查明是否中毒，並進行後續處理
   2. 檢查系統漏洞是否已修補
   3. 查明是否遭到入侵，若遭入侵則行帳號及密碼更換。

四、後續處理及回報：

• 校內發生疑以入侵或攻擊行為時應立即通知教學資源中心進行處理，教學資源中心須視情節輕重通知縣網中心。
• 攻擊事件處理完成後，接回網路並解除校內限制，並可連絡市網中心網路組協助測試。
• 測試完成後，教學資源中心應將發生經過與處理情形於行政主管會議報告。
• 若遭到上一層網管人員限制進出TANet，通報該上級單位處理結果，以便解除限制。

廣告信件處理機制

一、郵件過濾及管理機制：

(一)本校電子郵件主機，以Fortinet 300A進行第一道廣告信件阻擋工作，教學資源中心隨時對RBL黑名單更新。 於fortinet增加rbl名單自動由 http://www.spamhaus.org/ 提供免費清單攔阻
如圖

也可由fortinet上看出log結果請參照

(二)本校電子郵件系統均採xxxx系統，拒絕非本校主機之郵件relay，並在設定檔中訂定廣告信件阻擋規則(header_checks及body_checks)。

(三)除教學資源中心外，校內不得架設電子郵件主機。

(四)校內除電子郵件主機外，其他網路主機關閉smtp功能

(五)教學資源中心每日應檢查校內不正常之smtp流量。

二、廣告信件及不當郵件通報資料來源：

1. 教育部電算中心廣告信處理網頁( http://140.111.1.22/tanet/spam.html)
2. 市網每日寄達本校之流量分析報告
3. 市網流量分析主機中每日疑似Mail病毒偵測統計表
4. 上級管理單位或其他使用者反映廣告信件之通報

三、廣告信件及不當郵件處理方式：

1. 不正常發信之主機先停止網路連線，並檢查是否有中毒或逼入侵現象，若是則依相關辦法進行後續移除工作。
2. 校外對校內大量發送廣告信件時，依其來源IP位址及郵件記錄向所屬ISP提出檢舉。如有固定來源之IP位址，則另於ROUTER進行阻擋。
3. 校內未經允許自行架設郵件主機，依本校校園網路使用規範予以懲處。

於fortinet增加rbl名單自動由 http://www.spamhaus.org/ 提供免費清單攔阻
結果請參照附件spam.bmp
也可由fortinet上看出log結果請參照spamlog.bmp