改良式個人電腦異常連線排查實務 - 以臺北市政府捷運工程局為例



                   安警訊為例，該警訊指出本局電腦IP (10.7x.xxx.xxx)於106年8月15
                   日連線中繼站 (114.215.104.182、115.236.23.119、14.204.144.143、
                   220.194.87.190)，經實際資訊安全排查後，發現106年7月至8月15
                   日間除警訊指出之電腦IP外，本局尚有其他10餘個電腦IP亦連線前
                   述中繼站(如圖1-2所示)而未被通報，如單就警訊所指電腦IP進行排
                   查，於個人電腦資安防護作為上恐有疏漏。由於網路骨幹監測機
                   制實不宜鉅細彌遺，如機關亦無有效之端點防護或排查機制，前述
                   案例中有實際連線中繼站但未觸發警示門檻之電腦實有潛在資安風
                   險，因此機關電腦對外連線防護僅採用由上而下之網路骨幹監測，
                   未納入由下而上之端點防護監測，致整體防護監測策略或有不足。


















                                 圖1-2 電腦IP連結中繼站排查結果示意圖



                        受限於機關資訊人力及經費不足，常見之機關電腦對外連線防
                   護架構多僅設置電腦防毒軟體及防火牆，當收到警訊通知後，方由
                   機關管理人員個別檢視防火牆日誌有無異常，並以防毒軟體全機掃
                   描(即完整掃描)發生異常連線之電腦設備，惟排查作業時間約須花費
                   3至5小時且佔用電腦資源約40%，直接或間接影響使用者手邊進行
                   的業務(如暫停操作電腦)，除影響業務、佔用人力外，亦常有未確實
                   掃描現象。另外，當收到或自行發現大量警示通報或異常連線時，
                   現行作法上尚無有效且便捷之電腦異常連線排查機制，極易衍生機
                   關進一步資安事件。由於機關自檢能力不足且若無有效之內部控制
                   作為，致使機關內部安全部署薄弱，進而影響政府機關資安整體防
                   禦，因此本文擬提供一個具效率且可行的個人電腦異常連線偵測及
                   排查流程，俾能及時因應日趨複雜之攻擊或安全威脅。














                                                     153