捷運技術 第53期 民國107年10月
                   JOURNAL OF RAPID TRANSIT SYSTEMS AND TECHNOLOGY, NO.53, 2018



                   知識人力，並著重提供多層次防護與事件偵測阻擋；另一類為異常
                   事件快速排查，即在各項防護設備中設有異常事件規則，當網路連
                   線觸發異常事件規則時即會發出警示，隨後由機關資訊(安)人員或
                   契約廠商協助排查，然而此項排查卻常因人力或技術能力不足、使
                   用者不配合等因素而無法有效處理。如以本局為例，處理單件市府
                   資安警訊通知某台電腦有異常連線中繼站或短時間重覆感染電腦病
                   毒則需耗費3至5小時，不但影響使用者正在進行的業務同時也佔用
                   人力；又如在防火牆設定中繼站連線阻擋規則，即可於每月統計出
                   Top30連線中繼站電腦清單，雖已於防火牆設定阻擋並確實阻攔這些
                   電腦向中繼站報到，但這些電腦持續向中繼站連線的行為就代表著
                   異常，要求在短時間內完成異常排查就佔去了許多人力和時間，更
                   遑論作好有效的內部防護，進而影響政府機關資安整體防禦。

                        因此，本文旨在提供一個可自動化、不干擾業務及不被中斷，
                   並以效率且可行的個人電腦異常連線偵測及排查流程，用以滿足異
                   常事件快速排查的需求，這個作業流程除了將資訊人員業務經驗及
                   日常電腦連網行為納入自建偵測規則外，同時改良現行電腦防毒軟
                   體掃描排程，並參考危機診斷的洋蔥模型                           [10] ，本局建立三層式個人
                   電腦異常連線資安風險排查機制，以及時因應日趨複雜之攻擊或安
                   全威脅。

                   3.1  強化自建偵測規則


                        臺北市政府資訊局在網路骨幹建置資安監控中心，即時偵測所屬
                   機關在網路骨幹之異常連線行為，而端點偵測則由各機關視需要自行
                   辦理，因此本局將日常電腦連網行為納入自建偵測規則，包括：
                        1.  整理既有偵測規則：如定期整理行政院國家資通安全會報技
                          術服務中心發布或SOC服務廠商自行整理之中繼站清單，以
                          更新防火牆設備上之連線阻擋清單，再產生有連接中繼站清
                          單記錄之待排查電腦清單。
                        2. 建立機關自建偵測規則：即依機關業務需求及同仁業務經驗發
                          展偵測規則，如：
                        (1)  依業務人員經驗建立規則：如5分鐘連外Session數大於1,000
                            筆規則。

                        (2)  依統計結果建立規則：如機關個人電腦單日平均連線下載
                            量。如單日平均連線下載量為250MB，建立若當日下載量超
                            過2.5G(即10倍)即發出警示。

                        (3)  依警示通報之目的端反查近30日連線來源，確認除被通報IP





                                                     160