改良式個人電腦異常連線排查實務 - 以臺北市政府捷運工程局為例




                            外是否還有其他機關IP在近30日內亦連結該目的端，反查所
                            得即為與警示通報之目的端有關但未納入被通報之來源端。


                   3.2 便捷排查


                        為了改良現行電腦防毒軟體掃描作業，本局規劃一個可自動
                   化、不干擾業務及不被中斷之有效且便捷之電腦異常連線排查作業
                   流程 (如圖3-1所示)，包括日誌分析與警示通知、背景派送排查、排
                   查結果回報與彙整，其作業流程說明如下：

                        1.  自動化-日誌分析與警示通知：即使用者電腦連線透過防火牆
                          連至局外網路，每一連線均記錄在防火牆日誌，之後再透過
                          前述所提之偵測規則警示電腦異常連線，偵測結果則以電子
                          郵件通知管理。

                        2.  不干擾業務-背景排查：即配合防毒軟體運作原理，由管理
                          者直接以背景人員派送方式啟動觸發異常連線電腦之防毒軟
                          體，以不干擾使用者業務方式自動進行全機掃描。

                        3.  不被中斷-排查結果回報與彙整：前述作業完成掃描後，掃描
                          結果將自動回報至防毒軟體主控台，隨後則自動彙整相關排
                          查結果並作紀錄。






















                                  圖3-1 個人電腦異常連線排查作業流程
















                                                     161