這裡我們先參考網路架構檢視第7頁參考檢核項目,接著跳到第20頁來看這一次的重點網路架構。
透過訪談與實際檢視方式驗證網路與系統之管理控制措施、網路與系統之安全控制措施、網路與系統架構之備援機制、防火牆規則及存取控制,並確認資通系統管理與防護情形。
下圖為Mobile 01找到的xx科大網路架構圖,請依照此架構圖提出相關建議。
| 檢測發現 | 改善建議 |
|---|---|
| 未建立網路的實體備援機制 | 建議考量建立網路的實體備援機制以確保網路可用性和冗餘性,以於主要網路元件或連接發生故障時,可切換到備用元件,保持網路的穩定運作。 |
| 主要路由器只有單一連線至ISP | 建議增設一條備用的ISP連線。這可以透過多重路由協定(如BGP)實現,以保證當主要ISP連線失效時,網路依然可以通過備用ISP維持連線。 |
| 在server frame區域沒有設置Radius伺服器,研判無線網路目前採用基於WPA的認證方式,這可能不足以滿足企業級的安全需求。 | 建議轉用更安全的認證機制,如Web Portal或802.1X,來進行帳號管理。這將提供更強的使用者身份驗證和加密,同時也支援更靈活的訪客管理和策略執行。實施802.1X需要設置Radius伺服器,以處理認證請求,這將顯著提升無線網路的安全性 |
| 缺乏統一的網路監控系統。 | 建立一套統一的網路監控系統,能夠實時監控網路狀態和流量,及時發現和解決問題。這可以包括網路流量分析、設備性能監控和安全威脅偵測。 |
本章節屬於分項(四) 網路架構檢測的練習,看起來應該要透過訪談與實際檢視只是這兩點都做不到,只能利用看圖書故事的作法從網路架構圖當中找出有問題的點進行批判。
這裡最能下手的地方是網路區域間的存取、服務備援機制,9/24這個好日子下午台北區網斷線了10間學校,據稱是中華電信機房停電。但是這裡很明顯的可以看到XX大的表現,當中華電信9/24下午斷線的瞬間立刻亞太的備援就上來,CIA其中一個有受到影響就要資安通報只有他們可以逃得掉。(剛好這篇之前發生這經典的備援案例,不過即使很羨慕但多一條每個月多6萬我們還是沒有打算加入😂。)
iThome鐵人賽
看影片追技術