【案例研究】Masaryk 大學運用 Flowmon 實現校園環境的可靠監控與異常偵測

摘要

捷克第二大公立大學 Masaryk University (MUNI) 擁有超過 40,000 名學生與 5,000 名員工。面對遍布全市的數十個地點、數百台伺服器及高達 2x10Gbps 的連外頻寬,大學的電腦安全事件應變小組 (CSIRT-MU) 需要一套可靠的基礎,來確保網路可視化與資安防禦。透過部署 Progress Flowmon,MUNI 成功實現了自動化的威脅偵測與事件處理流程,並將該系統應用於校內的科研與教學。

面臨挑戰

MUNI 的 IT 架構極其龐雜,包含九個學院、超過 200 個部門與診所:

  1. 龐大的流量規模:核心骨幹網路運行於 10Gbps,需監控進出 Internet 的海量流量、校園骨幹、VPN 及 eduroam 無線網路。
  2. 安全威脅難以察覺:在傳統的監控下,難以識別出潛在的策略違規或隱蔽的攻擊行為。
  3. 資源分配壓力:CSIRT-MU 團隊雖然具備開發能力,但需要一個「可靠的基石」來處理日常運維,好讓團隊能專注於核心安全研究。

解決方案

CSIRT-MU 部署了完整的 Flowmon 生態系統:

  • 全面監控網點:部署了 25 個 Flowmon Probes (探針),監控大學網路中所有關鍵節點,獲取精確的流量統計。
  • 分層存儲與冗餘:利用 6 台 Flowmon Collectors (收集器) 提供總計 40TB 的容量,將開發/學生實驗用數據與正式營運數據隔離,確保系統穩定。
  • 自動化威脅偵測 (Flowmon ADS):自動分析網路流量統計,識別安全事件與策略違規。
  • 自動化事件響應:Flowmon 與 CSIRT-MU 自有的事件處理系統 (Request Tracker) 整合,實現了從偵測到通報的自動化作業。

成果

  • 卓越的網路可視化:IT 管理員能對校園網路流量進行深入的報表分析與即時監控。
  • 自動偵測安全問題:Flowmon ADS 能自動揪出違反安全策略的行為,大幅減輕人工篩選負擔。
  • 優化 CSIRT 流程:自動化工作流讓資安人員能更快速地響應突發事件,提升了校園網路的整體安全性。
  • 科研與教學價值:Flowmon 不僅是用於維運的工具,更成為大學研究項目與資安教育中的重要實驗平台。

「雖然我們熱衷於開發新的安全監控工具,但我們仍需要一個可靠的基石作為 CSIRT 日常運作的基礎。Flowmon 提供的專業支援讓我們能更專注於核心業務。」 —— Jan Vykopal, CSIRT-MU 團隊主管


關於 Masaryk University (MUNI)

Masaryk University 位於捷克布爾諾,是該國頂尖的研究型大學之一。其下屬的 CSIRT-MU 是獲得歐洲資安社群 (Trusted Introducer) 認證的資安應變小組。

資料來源: Reliable Network Monitoring and Anomaly Detection at Masaryk University – Progress Flowmon


編輯筆記 (Editor’s Notes):

  • ADS (Anomaly Detection System):異常偵測系統。這不僅是防火牆,更像是網路上的監視器,能識別出不尋常的行為(如內網橫向移動、DDoS 等)。
  • NetFlow/IPFIX (流量統計):Flowmon 的核心技術,相較於封包分析 (Packet Analysis),Flowmon 透過分析「流量特徵」來提供極高的處理效率,非常適合大學這種大流量環境。
  • CSIRT (Computer Security Incident Response Team):電腦安全事件應變小組。MUNI 的案例展示了 Flowmon 如何作為「一線哨兵」,為專業資安團隊分擔壓力。

You cannot copy content of this page