中文版
English
研究技師  |  林宗慶  
 
contact
education
experience
interests
software
others
 
 
 
 
 
Other Achievements
 
  • 網路及資訊安全管理
    網路管理方面,現階段以防火牆來防止外界之惡意攻擊。目前正積極規劃防火牆的過濾自動化,使過濾規則與 IP 管理系統結合,在所內人員申請後,並經過相關人員審核,即可建立過濾規則。防火牆過濾規則設有期限,在期限到期即自動移除該規則,以免伺服器之相關管理人員疏於管理,造成安全上的漏洞。 資訊安全方面,工作重點在使所內帳號密碼系統與人事系統整合。在新進人員報到或人員離職時,使系統會以人事資料作為來源,自動建立或移除電腦帳號,以避免帳號管理的混亂。現正運行中之行政及資訊服務亦與帳號系統結合,所有服務都共享同一帳號,以避免使用者
    記憶過多帳號密碼,反而造成資訊安全上的漏洞。
  • 資訊所無線網路設備(Access Point, 以下簡稱無線AP),已屆汰換年限,且該設備所提供的傳輸速度已明顯不足,資訊室於2011年採購無線AP。不同於舊有的無線AP,新設備使用 Thin Client 架構。Thin Client 利用控制器來協調各個網線AP,由於控制器可以完全掌握每個無線AP的運作狀態,因此可以減少舊有控制器相互干擾的狀況。而資訊室可以利用單一窗口來控制所有設備,對於管理上是一大助益。同時,在建置無線Ap時,和計算機中心合作,使計中的院區無線網路計畫延申至資訊所內。現在訪客前來資訊所,可以直接利用 AS-PUBLIC 的無線網路直接上網。
    鑑於所內網路位址已非常有限,而手持的無線設備日益增多,資訊室亦將無線網路所發配的IP,全數移入虛擬網段,所有的無線上網,皆透過控制器發配虛擬IP,資訊所因此多256個IP可供機房使用。
  • 資訊室為所內同仁建置 matlab 伺服器,所內同仁若有需求,無須再安裝程式到電腦,可以直接連線並使用。
  • 資創中心網路建置 資創中心於2011年初遷移至原數學所大樓,資訊室亦協助資創中心建置網路架構。因資訊所及資創中心人員大量重疊,常會在兩個大樓間移動,且資創中心亦有不少機器放置於資訊所機房,故現階段資創中心網入是併入本所網段,統一由資訊所的網路為唯一路由。因此資訊所及資創中心的網路,均屬同一內網,兩所的電腦都是由資訊室的防火牆保護。 資訊室亦整合資創中心之無線網路,中心的無線網路申請及認證亦由資訊室提供,兩所人員只要線上註冊無線設備,即可同時在兩個大樓內使用無線網路。當設備位於資訊所大樓,系統即提供資訊所的 IP;反之若設備位於資創中心大樓,則提供資創中心的 IP。
  • VMWare 虛擬伺服器建置及維護 為滅少空間使用及電力的耗費,資訊室規劃提供虛擬伺服器系統。本系統可提供約30單位同時運算中的虛擬機器,但卻只占用約8U的機櫃空間,並大量減少電力上的使用。該系統亦可簡化硬體設備錯誤所造成之停機時間,並可在服務不中斷的情況下做設備上的更新。目前資訊室部分服務,及部分實驗室的機器己移入 VMWare 。
  • 機房搬遷 資訊所機房於2011年五月啟用,資訊室所提供的資訊服務伺服器,於5/21日由新館301室搬遷至新館二樓機房。為能在搬遷時不中斷服務,資訊室利用虛擬化服務及啟用備援機制,使得資訊所及資創中心在機器搬移時,仍可使用VPN,無線網路及網頁服務。
  • 建置並維護資訊所系統主機 A. 防火牆(firewall)
    B. 電子郵件伺服器(Mail Server)
    C. 網頁伺服器(WWW Server)
    D. 資訊所行政網頁伺服器(IISWWW Server)
    E. 行政系統(OA Server)
    F. WebMail Server
    G. 網域名稱管理伺服器(DNS Server)
    H. 郵件過濾伺服器(MX Server)
    I. RADIUS Server
    J. 會議及投審稿管理伺服器(Conference Server)
    K. CCS1
    L. CCS2
    M. DHCP Server

  • 系統切割為資訊所及資創中心 於 2008 年十一月一日起,所有的行政系統切割成兩套,供資訊所及資創中心使用,所有的人事、會計、計劃等資料必須按規定儲放。現必須同時為兩單位維護各個行政系統及其所屬資料庫。

  • 資訊所主幹網路交換器,已屆汰換年限,資訊室遂進行採購新交換器。新交換器提供更高速的背板頻寬,可使資訊所內部的資料傳輸,有更快的速度。交換器可以利用環狀堆疊技術,將至多五台的交換器,整合成一個虛擬交換器。資訊室在管理網路設備,可以有更完善的規劃。其環狀堆疊技術,若在其中一臺交換器故障,仍不影響其它交換器上的使用者。現在舊館所有的交換器設備,都完成汰換。新館二樓機房,亦有部分機櫃已完成安裝。
  • 資訊室建置高容量伺服器,供林仲彥、蔡懷寬及施純傑老師實驗室使用。該伺服器提供 1T 的記憶體及 6T的磁碟空間,由三個實驗室協調輪流運用,進行大量運算。
  • 伺服器虛擬化 資訊室陸續將伺服器由實體機器移進 vmare,以虛擬機器方式運行。可節省電力,並減少因硬體錯誤所造成的停機時間。目前己虛擬化之伺服器有www,radius,dns,dhcp及citiwww。未來將會陸續把其它資訊室所提供的伺服器虛擬化。
  • 原有的虛擬私人網路(VPN),在連線時須要額外的連接埠,因此使用者常因所在地點的不同,而無法正常連線,尤以出國時更常發生。鑑於此類缺點,資訊室新購VPN設備,使用者可以利用 443 連接埠連回資訊所,不會再有無法連線的狀況。該設備俱可設定多個虛擬服務的功能,並結合所內的radius服務,因此使用者可利用原有帳號及需求,連接不同的VPN服務。除一般VPN外,資訊室亦為IPKVM及VMWare提供安全的存取連線,使用者可使用網路,監看所管機器的consol,並可進一步作電源的切換,如此可減少所內管理人員進出機房的機會。
  • 行政系統昇級 為因應現有行政系統的缺點,資訊室開始行政系統的更新計畫,現在正在設計並建置財務管理系統、計畫預算暨管理系統及請購系統。財務管理系統另分為會計收件管理、院內會計、計畫會計、出納系統、零用金管理、電子支付管理及廠商銀行帳戶管理等。所有系統以模組方式設計,可以因應行政程序的異動而抽換模組。
  • 資訊所電子郵件過濾,係使用 Open Source 的 MimeDefang 並搭配 SpamAssassin 來達到內容過濾的目的。我們亦改進 MimeDefang 程式碼,使它可以讓資訊所使用者自行定義 black-list 或 white-list。然而近年來垃圾信件的多樣化,SpamAssassin 判斷的準確率也愈來愈低,有許多的垃圾信會被放行。 資訊室採購一套新的電子郵件過濾程式-CelloPoint,架設在 VMWare 裡。它不僅提供高準確準的過濾功能,也具有防禦 DoS 功擊能力。同時製造商也建立更新更近垃圾信的資料庫,以提高過濾的成功率。
  • 協助基因體中心及化學所行政系統自動化 基因體中心於2010年中起,使用資訊室所設計之人事系統及預算系統,以輔助行政業務之執行。資訊室提供程式,並協助基因體中心的資訊人員建立整個人事系統。 2013年,化學所亦採用人事系統,現已完成導入工作 2014年,協助基因體中心更新人事系統及預算系統,並導入請購系統及最新開發之財務管理系統
  • 資訊所(含資創中心)的電子郵件伺服器,經多年運作之後,空間已達 90%,短期內即會用鑿。經過評估,決定將「電子郵件伺服器」移入資訊室所建立的雲端服務。所達到的效益 1.可以節省採購備用機器的成本; 2. 有效利用現有的資源; 3. 雲端系統可以減少機器因硬體錯誤而造成服務中斷的時間。 此外,我們使用 ZFS 作為儲存空間的檔案系統,此檔案系統可以在不需停止服務的狀態下,動態增加可用容量。在使用空間不足時,只需再提供儲存空間,即可直接掛載上線使用,無需如傳統檔案係統,必須停止服務,並搬移檔案至新的儲存空間。 更新後的電子郵件伺服器,已順利且穩定運作中。
  • 資訊安全  
  • 資訊所雲端運算 IIS-Cloud 資訊室規劃提供資訊所雲端運算,以提供研究人員可以大量部署虛擬機器,減少實體機器之維護人立。此外,雲端運算能減少使用電量,亦能降低資訊所之設備費成本。IIS-Cloud 目前提供約 408 CPU Cores、7.5 TB RAM 及 480 TB Storage。目前共有 380 個虛擬機器正在運作中。 因 IIS-Cloud 現在是使用 VMWare 系統提供服務,資訊室正實驗以 OpenStack 。未來能以更多元方式提供所內研究所需。
  • 安全的​無線網路服務 資訊室將無線網路設備昇級後,能減少訊號死角的地點,同時也能減少資訊所同仁私自架設無線基地台的需求,因此更能減少訊號之干擾。資訊所同時將無線網路認證,由 MAC 認證改為 IEEE 802.11X 。使用者只要輸入個人帳號密碼即可無線上網,無需再註冊裝置的 MAC 位址。且 IEEE 802.11X 可以提供加密功能,使得在所內上網更俱安全性。 因手持裝置愈來愈多,應用亦趨多元化,無線上網需求愈來愈廣泛。資訊室將增加基地台的承載能力,並將網段移至 10.0.0.0 之虛擬段,使所內同仁可以同時使多個裝置上網。
  • 資訊室所開發新各項行政系統,能輔助研究人員掌握計畫經費執行,並輔助行政人員業務作業,基因體中心有意願導入並使用我們的系統。經長時間訪談、確定需求及測試,已經「整合型的計畫管理系統」及「人事薪資管理系統」成功導入,並正式上線。「差勤系統」也正由基因體中心測試中。未來仍有其他單位如化學所及原分所,準備導入我們所開發的行政系統。
  • 虛擬私人網路(VPN) 為提供研究人員在院外存取所內資源,資訊室提供三種虛擬私人網路系統。 SSLVPN:透過 HTTPS 方式建立 VPN ,因為大部分的網路環境,都不會阻擋 HTTPS ,因此 SSLVPN 是最方便的 VPN 連線方式。但缺點是使用者必須在自己的電腦安裝客戶端程式,若因作業系統昇級時,亦同時須昇級客戶端程式。目前資訊室於 2016 年 7 月提供 Pulse Secure SSLVPN 系統,以取代原有 Array SSLVPN 、以提供更穩定的 VPN 服務。 Fortigate VPN:為取代老舊 Cisco VPN,於 2017 年採購並上線。目前該 VPN 提供 IPSec 及 L2TP Over IPSec 功能,完全相容原有 Cisco VPN 的功能。Cisco VPN 也因太過於老舊且原廠不再提供維修服務,已正式下線。 SoftEther:SoftEther 是 OpenSource 專案,是一套軟體路由器程式,同時提供不同個 VPN 網路系統。它支援各種作業系統的原生 VPN 連線,包含 SSTP、L2TP Over IPSec、OpenVPN 及 SoftEther 自行設計的 VPN 協定。大部分的作業系統都無需安裝客戶端程式即可建立連線,如 Microsoft Windows、Mac OSX 及 Linux 等。 原有的虛擬私人網路(VPN),在連線時須要額外的連接埠,因此使用者常因所在地點的不同,而無法正常連線,尤以出國時更常發生。鑑於此類缺點,資訊室新購VPN設備,使用者可以利用 443 連接埠連回資訊所,不會再有無法連線的狀況。該設備俱可設定多個虛擬服務的功能,並結合所內的radius服務,因此使用者可利用原有帳號及需求,連接不同的VPN服務。除一般VPN外,資訊室亦為IPKVM及VMWare提供安全的存取連線,使用者可使用網路,監看所管機器的consol,並可進一步作電源的切換,如此可減少所內管理人員進出機房的機會。
  • 內部系統網頁伺服器更新 因各大瀏覽器的更新改版,要求網頁伺服器的加密通道(SSL)必須支援 TLS 1.2 以上版本。內部系統網頁伺服器因版本老舊,僅支援到 TLS 1.1 ,全面更新伺服器。在更新同時,PHP 系統也不再支援,必須同時更新。為避免 PHP 更新後內部行政系統無法執行,資訊室全面檢查所有 PHP 程式碼。
  • 行政無紙化服務-新進人員契約線上簽核 在新進人員報到時,各項契約書及同意書可以在線上簽名,無需列印。可節省紙張的使用,並簡化人事業管人員保存契約書的業務。
  • 資訊安全管理制度(ISMS)導入 為因應我國資安法的施行,同時本院的資安責任機關等級由 C 昇至 B 及,因此展開資訊安全管理制度(ISMS)的導入工作。包括下列事項,
    1. 本所資安政策的擬定。
    2. 資安政策的推動。
    3. 資訊及資通系統盤點及風險評估。
    4. 資通安全維護計畫的擬定及實施。
    5. 資通安全防護及控制措施的執行。
    6. 資通系統發展及安全維護。
    7. 資通安全事件應變及情資評估。
    並針對 ISMS 的導入,開發「資訊及資通系統盤點及風險評估系統」及「主機弱點掃描系統」,未來將協助實驗室針對所屬設備進行盤點及風險評估,同時可透通弱點掃描系統來掌握設備上的資安風險,並加以管控。
    •  
    		 
    bg