114年度維運成效報告

主講者：中興大學計資中心研發組 凃瀞珽組長

1

01

臺中區網基礎維運及人力運用

02

網管及資安策略具體完成事項

03

113年精進建議

04

未來(115)年度營運重點

2

目錄

CONTENTS

01

臺中區網中心

​

• 人力運用
• 網路架構
• 連線單位統計
• 經費統計與規劃

​

3

01

臺中區網中心人力數

4

01

臺中區網中心網路架構

5

ASR9010

100G

10G

6503E

31G

Other ISP BGP

Peering

下游雙網連線大學

連線

高中職

Google

Global Cache

HiNet CDN

區網伺服主機群

DBS, FTP, Web, N-Reporter, Log...

台中市網彰化縣網

教育雲資料中心

40G

10G × 2

10G × 4 (彰化縣)尖峰流量13G

10G × 8 (台中市)尖峰流量33G

10G

1G × 15校

TANet Backbone

(TC-02/TN-02)

TWAREN Backbone

1G × 6

Check Point�防火牆

FG-1200D�( IPS )

國教署

文心機房

下游連線學校

HiNet BGP

Peering

20G 尖峰流量19G

10G

1G × 9校

10G

TANet CDN

10G × 4

10G

100G 尖峰流量52G

100G

100G

01

臺中區網連線單位統計

6

01

臺中區網經費統計與規劃

7

臺中區網經費

本校配合款

教育部補助款

人事費

業務費

維護費

設備費

2,105,354元

916,000元

514,646元

150,000元

人事費/業務費

路由器維護費

資安軟體經費

1,750,000元

35,000元

160,000元

3,686,000元

2,845,000元

• 聘任專任助理

　 (網管、資安及教育雲)共3人

• 講座鐘點費、工作費、交通費、膳費、二代健保規定、臨時人員及國內出差旅費
• 維護運作費、設備維護費、印刷、電腦、通訊、周邊設備及管理軟體等
• 場地使用費及雜支(凡前項費用未列之辦公事務費用)

• 資訊軟硬體設備、網站開發建置費、虛擬主機平台更新費其他計畫設備費用

虛擬主機平台更新費

900,000元

歷年度經費使用情形

02

網管及資安之策略具體完成事項

​

​

8

• 與連線單位互動
• 網路安全通報機制
• 網路使用及流量統計分析
• 網路安全防範機制
• 資通安全實施專頁
• 教育機構資安驗證中心
• 教育雲中部資料中心

​

​

02

VMware vCloud Suite 替代方案

9

• VMware在被Broadcom(博通)收購後, 調整了產品的價格及銷售方式, 以學校先前的使用規模以及對資安的要求來看, 必需另尋適合的解決方案。

02

機房監控與管理

10

• 本中心機房目前建有環境監控系統(電力、溫溼度)以及極早期火災預警系統。另於101年10月24日新建完成自動滅火系統。以上系統持續運作監控中。
• 配合教育雲中部資料中心之建置，於104年2月底完成機房環境優化工程，建置冷熱通道及機櫃電源監控裝置，整體的PUE值達1.6以下，符合國際綠能機房標準，達到更有效率的能源利用及管理。
• 107年7月增加一組備用柴油發電機
• 112年10月24日更換一組60KVA UPS
• 113年確認所有區網設備電力接雙迴路
• 114年8月11日中華電信更換UPS電池

​

提供穩定可靠的備援電力

02

區網中心與連線單位互動(1/8)

11

113年84.3%

第72次區網會議

日期： 114.05.13

地點：中興大學計資中心地下一樓致平廳

• 召開區域網路中心管理會議 2 次，平均出席率

​

• 針對無法參與現場會議部分採用線上視訊會議。

第73次區網會議

日期： 114.10.16

地點：中興大學計資中心二樓第3電腦教室

114年92.4%

• 第70次會議79.17%，第71次會議89.36%

• 第72次會議89.13%，第73次會議95.65%

02

區網中心與連線單位互動(2/8)

12

• 舉辦第21屆臺中區網優良網管選拔

臺中市教育局

黃國順

02

區網中心與連線單位互動(3/8)

13

每年度舉辦兩次區網會議

區網中心與連線單位互動(4/8)

14

02

Slido問題方向

出席單位抽獎

提出獲得最多迴響的問題

年度出席抽獎

Q1.給教育部的建議

Q2.給臺中區網的建議

Q3.希望臺中區網辦理什麼類型研討會?

Q4.配合教育部政策，執行上面臨什麼問題?

02

區網中心與連線單位互動(3/8)

15

• 會議中利用Slido增加即時互動

臺中區網管理會議Slido Q&A： https://reurl.cc/8N7xKj

02

區網中心與連線單位互動(6/8)

16

經驗分享&專題演講

逢甲大學資安中心 林育民 副主任

中興大學 吳賢明 副主任

中興大學SIEM 系統布建

資安

資安

應用

東海大學 張廣欽 組長

校園資通安全業務管理

02

區網中心與連線單位互動(7/8)

17

• 114.10月對連線單位做滿意度調查

​

02

區網中心與連線單位互動(8/8)

18

• 回收份數：44份(回收率97.7%)

障礙(或問題)的排除(或處理)與回應速度

對區網整體服務的感覺

對區網人員的服務態度

02

建立連線單位通訊資訊有效性

19

• 連線單位網管人員連絡清冊
• 更新日期：114/8/11
• 網址： https://reurl.cc/QZOvVO

　 　 　(僅供系統管理員檢視)

• 連線單位聯絡資訊完整度100%

02

檢核連線單位「申請計畫書」所列事項之有效性

20

• 依據TANet管理會第68次會議決議辦理，最近檢核日期114年10月8日，
• 對於高寬頻(1G 以上)之連線單位每年應

至少一次檢核其執行情形。

• 檢核項目:『TANet骨幹網路介接計畫書』
• 網路及應用系統相關伺服主機之現況與

架構說明

• 訂定其網路使用規範。
• 所屬網路之整體使用流量統計。
• 所屬IP之每日使用流量排序分析。
• 建立處理網管、資安聯繫機制。
• 建立IP位址管理機制。
• 廣告信件或網路攻擊等資安事件之處理機制。

連線單位檢核網址 https://reurl.cc/85WKnM

02

臺中區網LINE群組即時通知

21

• 於104.8.17開始運行，目前有172位成員(46個連線單位)
• 提供與臺中區網中心夥伴即時聯絡

​

02

LINE群組使用統計

22

統計日期：113/12/1~114/10/31

區網協助查詢問題及故障排除，必要時連絡ISP或向上層單位反應

​

7次，Google服務異常，8.8.8.8會掉封包

6次，連線單位反應Line傳送圖片或檔案速度慢(問題持續存在)

02

即時資安通報系統-替換 (1/4)

23

• Line Notify → Discord
• 因應LINE服務異動，Line Notify 於2025年3底停止服務，臺中區網改用Discord作為新的推播工具
• Discord 為一個穩定且功能多元的即時通訊平台支援多種訊息形式（文字、圖片、檔案、嵌入式通知等）。
• 可透過 API 或 Webhook 與既有系統進行整合，以達到自動化訊息推播與狀態回報的效果。

02

即時資安通報系統-替換 (2/4)

24

02

即時資安通報系統-替換 (3/4)

25

• 靈活且多功能
• 高度客製化與整合能力
• 支援語音、視訊與文字交流
• 廣泛應用於社群、商業與教育領域
• 即時通訊平台

​

​

02

即時資安通報系統-替換 (4/4)

26

02

強化網路安全通報機制(1/2)

27

• 配合教育部資安政策，貫徹教育機構資安通報機制

連線單位自行通報

28

02

強化網路安全通報機制(2/2)

29

• 114年資安事件審核平均時數為0.12小時(7min12s)

​

​

​

​

​

02

網路監控查詢系統

30

臺中區網中心網路監測系統

02

網路使用及流量統計分析

31

• 使用N-Reporter收集連線單位的網路流量
• 提供連線單位/管理者可搜集，分析和監控網路流量
• 今年因應資安通報(CVE-2025-10589)該漏洞可能造成指令注入式攻擊，版本已更新至：6.1.187(20250730-1734)，Kernel同步更新至建議的版本號：20250811094737

02

N-Reporter歷史查詢

32

N-Reporter

• 利用NetFlow收集ASR9K設備的資料，繪製成網路流量圖。
• 提供管理者可搜集，分析和監控網路運作狀況
• 提供連線單位可查詢回溯的流量紀錄。

​

建立查詢系統

02

連線單位流量占比 (1/2)

33

02

連線單位流量占比 (2/2)

34

區網IPv4/6流量TOP 10占比https://reurl.cc/3bL4vV

02

網路氣象台

35

CACTl建置具有RWD響應式特性的網路氣象台頁面

02

Cacti 封包監測 (PPS) 建置

36

• 建置臺中區網至台中主節點、台南主節點、ISP Peering、教育雲、台中市網、彰化縣網之封包監測

​

• 將流量圖表與每秒封包數(Packet Per Second, PPS) 顯示在同一畫面，可快速判斷是否遭DDoS 攻擊 (如SYN Flood)

02

LibreNMS開源網路監控及通報系統(1/3)

37

LibreNMS 應用

• 簡介

管理者面對大量的伺服器主機或網路設備時，如何取得這些設備的使用情況及好壞，需有一個良好的工具來協助達成任務。LibreNMS是一套基於PHP/MySQL的開源網路監控系統，主要優點在於其高度自動化、易於擴展、與多平台兼容，可監控網路設備的健康狀態和性能，並即時收到異常通知，除了基本功能外，另支援 Nagios Plugin 的整合，可額外提供Service的監控，如Daemon執行狀況、SSL憑證是否過期。

監控方式(以ping為例)

監控狀況(https, ssl)

02

LibreNMS開源網路監控及通報系統(2/3)

38

應用場景1

Server

• 實際監控畫面

LibreNMS支援多種協定(如SNMP、ICMP、Syslog 等)，可快速整合不同品牌的設備，並提供清晰圖表和報告，更容易讓管理者掌握整體的運行狀況。

Storage

Cisco Switch

Traffic

應用於教育雲、DNS，監控服務、流量及硬體使用情形

02

LibreNMS開源網路監控及通報系統(3/3)

39

應用場景2

• 監控連線狀況

LibreNMS支援使用ICMP協定(Ping)，可在無法啟用SNMP情況下使用，我們應用在與連線單位之間的連線檢查，如有斷線情況則透過Discord API通知管理者群組。

IPV4、6監控畫面

Discord 通報

02

TOP N 流量統計(1/5)

40

以ASR9K的Netflow Data為統計資料，並讓網頁具有響應式RWD的特性呈現

IPv4與IPv6 流量的統計分別計算

TOP N 流量：http://nftop.tcrc.edu.tw/

02

TOP N 流量統計(2/5)

41

可查詢IPv6流量統計的趨勢

02

TOP N 流量統計(3/5)

42

整合IPv6位址分配表

02

TOP N 流量統計(4/5)

43

整合IPv6已連線單位，可提供下載

100%啟用IPv6

使用Static Route 46個連線單位100%全部啟用：

大學21校、高中職22所、縣市網、國教署及臺中榮總

02

TOP N 流量統計(5/5)

44

整合IPv6相關資源連結

TWNIC IPv6入口網站

IPv6 Portal of Taiwan

IPv6網站名錄

IPv6建置教學部落格

麥毅廷老師提供

02

提供降低骨幹流量之代理伺服器服務(1/3)

45

1. 建置HiNet CDN (102年~今)
• 本服務可增進TANet連線單位對HiNet影音資料存取的速度及品質(服務範圍包含所有TANet連線單位)

02

提供降低骨幹流量之代理伺服器服務(2/3)

46

2. 建置TANet CDN
• 中山大學每月均舉辦線上工作會議，臺中區網的相關設備已於113年7月31日完成安裝設定並正式啟用
• 降低TANet骨幹網路流量、提升服務品質以及增加備援機制，規劃作為臺中市與彰化縣的CDN備援站

02

提供降低骨幹流量之代理伺服器服務(3/3)

47

3. Google Global Cache
• 大幅改善區網連線單位觀看YouTube影片的速度及品質，同時也讓臺中區網對TANet骨幹的擁擠頻寬得以紓解

02

建置資安管理專頁

48

• 配合教育部的資通安全政策，建置資訊安全管理系統(ISMS)專頁，包含資安管理、資安文件、教育訓練及系統檢測等內容，提供連線單位執行時參考。

資安管理： https://reurl.cc/Z1GqWM

02

網路安全防範機制(1/5)

49

1. 建立訊息公告鏈結(連結)。
2. 加強宣導資通安全相關檢測工具系統之使用。

• 統計時間2025/01/01~2025/10/30

113年

15/22

113年

52

114年

15/22

114年

45

114年

564

113年

528

02

網路安全防範機制(2/5)

50

協助連線高中職主機弱點掃描

• 服務對象：
• 114年度納入公私立高中職22校(15校參與)，共掃描45台主機。
• 初測、複測使用工具：

• DragonSoft

• Greenbone Vulnerability Manager(OpenVAS)

• Nessus 今年新增

02

網路安全防範機制(3/5)

51

統計後聯絡4所最多風險學校，因有委外廠商或自行規劃修補計畫取消協助計畫

×

02

網管暨資安相關研討會-白帽駭客入侵

52

114/10/16

114/3/17

114/6/18 & 7/2

邀約至台中區網簡報

02

協助連線單位排除問題

53

前往彰化精誠中學

協助排除弱掃發現FortiGate 防火牆開啟2000 port 的問題。

114/11/6

02

網管暨資安相關研討會

54

講師：中華民國網路封包分析協會理事長、大映科技總經理

劉得民 理事長

參與人數：46

打造專屬AI服務,訓練AI工作

114/7/15

114/10/20

114/7/30

AI應用

LibreNMS 基礎課程應用與實作

講師：臺中區網中心

陳羽鈿

​

參與人數：-

114/12/18

網路監測

02

網路安全防範機制(4/5)

55

• 導入臺中區網中心防火牆與伺服器
• 提供技術文件，使用者可依需求導入MFA，有助於推廣應用到更多主機
• 利用 Linux 的 PAM 驗證模組，建立 Radius 失效轉本機驗證機制，避免驗證主機異常導致無法登入

02

網路安全防範機制(5/5)

56

Google Authenticator MFA

• 製作操作手冊，設置專頁，供連線單位參考使用。
• OTP, 每60秒更新
• 支援多帳戶
• 可離線使用
• 可使用QR Code新增帳戶
• 支援帳戶轉, 可在新裝置上使用原帳戶
• 跨平台支援Android及iOS
• 應用於臺中區網網站

​

​

02

pfSense 中央管理系統(1/3)

57

02

pfSense 中央管理系統(2/3)

58

02

pfSense 中央管理系統(3/3)

59

• 實作分享：投稿至 2025 TANET 研討會

02

AI整合式網路威脅監控系統 “TriSent”(1/4)

60

資料集：CIC-IDS2017

攻擊類型：DDoS

標籤：BENIGN （正常） 、DDoS（異常）

02

AI整合式網路威脅監控系統 “TriSent”(2/4)

61

預測值

真實值

正常

異常

正常

異常

02

AI整合式網路威脅監控系統 “TriSent”(3/4)

62

• 實際應用，模擬攻擊事件

02

AI整合式網路威脅監控系統 “TriSent”(4/4)

63

集中管理式防火牆

API Call

02

教育雲中部資料中心(1/2)

64

現況

• 現有6台Hosts，已上線12個應用服務、共97台虛擬主機。

114年重點工作

• 因應Sophos XG750防火牆EOS，114年8月已替換為CheckPoint 9200 ( RR2-CP-RS20-1 )

02

教育雲中部資料中心(2/2)

65

整體資源使用現況

資料統計時間: 114/10/22 14:00-16:00

*: max

03

​

113年精進建議

66

03

113年精進建議 (薛委員)

67

03

113年精進建議 (薛委員)

68

03

113年精進建議 (黃委員)

69

03

113年精進建議 (莊委員)

70

03

113年精進建議 (莊委員)

71

03

113年精進建議 (莊委員)

72

03

114年KPI (1/2)

73

03

114年KPI (2/2)

74

04

未來(115)年度

營運重點

75

04

115年度預計推動之重點工作

76

資通安全管理面

網路管理面

服務、政策推動管理面

01

02

03

04

115年度預計推動之重點工作

資通安全管理面

77

配合高教深耕資安專章

​

• 資安專章已擴大至公私立學校
• 將資安實地檢核導入推廣至各連線單位

​

資安教育訓練簡報專區： https://reurl.cc/dq29WD

04

115年度預計推動之重點工作

資通安全管理面

78

TANet Backbone

(TC-02/TN-02)

連線單位

BCP模擬演練

BCP實際演練

• 完成400G線路移轉作業，落實BCP演練

04

115年度預計推動之重點工作

網路管理面(1/2)

79

• AI整合式網路威脅監控系統 “TriSent”

API Call

Discord自動告警機制

• Trisent攻擊類型
• 預防措施建議
• LibreNMS
• 連線異常
• Cacti
• pps異常
• 流量異常

04

115年度預計推動之重點工作

網路管理面(2/2)

80

完善Cacti 封包監控(pps)

04

115年度預計推動之重點工作

服務、政策推動管理面

81

VM中的rsyslog

rsyslog 備份機制

備份

Synology NAS 集中管理

• ELK 建立視覺化圖表
• 導入SIEM 系統
• 異常行為分析 (長時間不登出、登入時間點異常、頻繁異常登入)
• 資安告警機制

異地備份

與其他區網合作建置備份機制

連線單位

04

115年度預計推動之重點工作

服務、政策推動管理面

82

針對需協助連線單位

到該校進行現場技術支援

pfSense

開源防火牆

Let’s Encrypt SSL/TLS

免費憑證

LibreNMS

監測通報系統

教育訓練

提供線上

影音/教材

Google Authenticator

MFA

於學習平台上傳影音課程及教材，提供連線單位除實體教育訓練外的多元學習管道，並給予學習時數。

白帽駭客入侵

05

連線下游給教育部建議

83

• 臺中區網管理會議中，以Slido詢問連線單位，給教育部的建議及面臨的問題

感謝委員聆聽！

THANK YOU!

請指正

84