淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


系統識別號 U0002-0306200514384400
中文論文名稱 論資訊安全風險分析之謬誤
英文論文名稱 The Fallacies of Information Security Risk Analysis
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 93
學期 2
出版年 94
研究生中文姓名 陳冠彰
研究生英文姓名 Kuan-Chang Chen
學號 692520884
學位類別 碩士
語文別 中文
口試日期 2005-05-21
論文頁數 58頁
口試委員 指導教授-梁德昭
委員-黃明達
委員-李鴻璋
委員-呂芳懌
委員-楊欣哲
中文關鍵字 資訊安全管理  風險評鑑  風險分析 
英文關鍵字 Information Security Management  Risk Assessment  Risk Analysis 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 風險評鑑為進行資訊安全管理前的一個重要步驟。風險通常為一主觀判斷,是以常用定性風險分析作為風險評鑑之方法。然而現行風險分析方式,常有遺漏重要資產的現象發生。為此,本研究將指出風險分析定性方法的問題,特別例舉出在資產價值表達之合理性與風險排序上不一致性現象加以探討,歸結出在風險分析處理上應謹慎之處。並檢視資訊安全常用的國際標準與指引之做法,提出使用定性風險分析方法之建議,以作為執行風險評鑑之參考。
英文摘要 Risk assessment is a critical step before performing information security management. Usually, risk is a subjective judgment, hence qualitative risk analysis methods are widely use for risk assessment. However, important information assets are often being omitted while using many popular risk analysis methods. For this reason, this thesis will point out the problem in using qualitative risk analysis methods, especially in rationality of assets calculation and the rank reversal phenomenon. The cautious when using qualitative risk analysis methods are then being addressed. Furthermore, the most common referred international standards and guides are reviewed. Suggestions for using those methods are also proposed.
論文目次 第一章 緒論1
第一節 研究背景與動機1
第二節 研究目的4
第三節 論文架構5
第二章 資訊安全與風險管理6
第一節 資訊安全6
第二節 風險管理13
第三章 風險分析方法21
第一節 定性與定量風險分析21
第二節 統計尺度23
第三節 尺度特性彙總27
第四節 風險分析的爭議28
資產價值計算的合理性爭議29
風險不一致性30
第四章 各種風險分析方法34
第一節 NIST方法34
NIST之資產分類34
NIST之風險分析37
第二節 ISO/IEC TR 13335方法39
ISO/IEC TR 13335風險分析方法一41
ISO/IEC TR 13335風險分析方法二42
ISO/IEC TR 13335風險分析方法三43
ISO/IEC TR 13335風險分析方法四44
第三節 微軟安全風險管理方法45
第五章 各方法彙總整理與建議方法50
第一節 各方法彙總整理50
第二節 建議方法53
第六章 結論55
第七章 參考文獻56

圖目錄
圖1-1 資訊安全威脅1
圖2-1 資訊安全管理系統架構示意說明8
圖2-2 PDCA循環9
圖2-3 風險評估與風險管理之程序20
圖3-1 數值資料尺度分類24
圖4-1 資訊安全管理流程40

表目錄
表1-1 OECD資訊系統安全指導方針原則比較2
表2-1 風險管理各名詞間關係15
表3-1 定量與定性比較23
表3-2 尺度比較28
表3-3 資產價值計算29
表3-4 AB主管評分表30
表3-5 弱點衝擊看法31
表3-6 威脅發生率31
表3-7 A主管風險值計算表31
表3-8 B主管風險值計算表31
表4-1 依安全目標之潛在資產分類35
表4-2 威脅機率37
表4-3 ISO/IEC TR 13335風險分析方法一41
表4-4 ISO/IEC TR 13335風險分析方法二42
表4-5 ISO/IEC TR 13335風險分析方法三43
表4-6 ISO/IEC TR 13335風險分析方法三44
表4-7 ISO/IEC TR 13335風險分析方法四44
表4-8 衝擊影響基準46
表4-9 衝擊影響等級46
表4-10 衝擊影響值與脆弱性等級46
表4-11 發生機率計算表47
表4-12 總風險值48
表5-1 各風險分析方法之合理性與不一致性整理52
表5-2 Maximin法53
表5-3 取最大值法54
表5-4 分層過濾法54
參考文獻 英文部分
[1]Basie von Solms, Rossouw von Solms, ”The 10 deadly sins of information security management”, Computers & Security, vol. 23, pp.371-376, 2004.
[2]Bill Brykczynski and Robert A. Small, ”Reducing Internet-Based Intrusions: Effective Security Patch Management”, IEEE SOFTWARE, Jan/Feb, pp.50-57, 2003.
[3]ISO (International Organization for Standardization), ”Information Technology - Code of practice for information security management.”, ISO/IEC 17799:2000, ISO, 2000.
[4]ISO (International Organization for Standardization), “Risk management – Vocabulary – Guidelines for use in standards”, ISO/IEC Guide 73, ISO, 2002.
[5]ISO (International Organization for Standardization), “Information Technology—Guidelines for the Management of IT Security”, Parts 1 – 5. ISO/IEC TR 13335 (All Parts), ISO, 2001.
[6]Karin Hone, J.H.P. Eloff, ”Information security policy – what do international information security say?”, Computer & Security, vol 21, No.5, pp.402-409, 2002.
[7]Kwo-Jean Farn, Shu-Kuo Lin, Andrew Ren-Wei Fung, “A study on information security management system evaluation—assets, threat and vulnerability”, Computer Standards & Interfaces, vol.26, pp.501–513, 2004.
[8]Microsoft, The Security Risk Management Guide, October 15, 2004.
[9]NIST(National Institute of Standards and Technology), “International Standard ISO/IEC 17799:2000 Code of Practice for Information Security Management Frequently Asked Questions”, NIST, November 2002.
[10]NIST(National Institute of Standards and Technology), “Special Publications”, 800 Series, NIST, February 1, 2005.
[11]NIST(National Institute of Standards and Technology), “Standards for Security Categorization of Federal Information and Information Systems” , FIPS PUB199, December, 2002.
[12]NIST(National Institute of Standards and Technology), “Guide for Mapping Types of Information and Information Systems to Security Categories”, SP800-60, June, 2004.
[13]NIST(National Institute of Standards and Technology), “Risk Management Guide for Information Technology Systems”, SP800-30, July, 2002.
[14]OECD, “Guidelines for Security of Information Systems”, OECD Council, 1992.
[15]OECD, “Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”, OECD Council, July 25, 2002.
中文部分
[16]巴甘諾,行為科學統計學 : 教育及心理社會學科之應用,雙葉書局,2000年。
[17]林惠玲、陳正倉,統計學:方法與應用二版(上),雙葉書廊,2003年。
[18]克范利,統計學,新加坡商亞洲湯姆生國際出版公司,2002年。
[19]柯勒,統計學,五南圖書出版公司,1995年。
[20]陳耀茂,統計學精析,全威圖書公司,2002年。
[21]樊國楨,資訊安全管理系統風險分析初探,鈺松國際資訊股份有限公司,2003年4月。
[22]樊國楨,資通安全專輯–資訊安全風險管理,行政院國家科學委員會科學技術資料中心,2002年12月。
[23]賴天祥,微軟資安防護面面觀,CNET企業安全防護策略研討會,2003年。
[24]CNS 17799,資訊技術–資訊安全管理系統作業要點,經濟部標準檢驗局,2002年。
[25]CNS 17800,資訊技術–資訊安全管理系統規範,經濟部標準檢驗局,2002年。
[26]資通安全管理制度–導入手冊,行政院國家資通安全會報技術服務中心,2002年。
[27]資訊安全管理制度風險評估手冊,行政院國家資通安全會報技術服務中心,2002年。
參考網站
[28]資安人,“MIC:今年資安市場規模可望達92億美元”,http://www.isecutech.com.tw/news/view.asp?nid=914
[29]資安人,“始料未及鈺松SOC 導入BS7799效益多”,
http://www.isecutech.com.tw/feature/view.asp?fid=335
[30]資安人,“淡大資訊中心取得BS7799認證讓資安教學和實務相輔相成”,http://www.isecutech.com.tw/feature/view.asp?fid=297
[31]國家資通安全會報技術服務中心,
http://www.icst.org.tw
論文使用權限
  • 不同意紙本論文無償授權給館內讀者為學術之目的重製使用。
  • 不同意授權瀏覽/列印電子全文服務。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信