淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-1206200619195200
中文論文名稱 以共同準則落實資訊確保之探討∼以S壽險公司之「旅行平安險網路投保系統」為例
英文論文名稱 Information Assurance Using Common Criteria∼A Case Study of The Information System of An Insurance Co.
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 94
學期 2
出版年 95
研究生中文姓名 楊麗貞
研究生英文姓名 Li-Chen Yang
電子信箱 young@mail.im.tku.edu.tw
學號 692520108
學位類別 碩士
語文別 中文
口試日期 2006-05-20
論文頁數 135頁
口試委員 指導教授-梁德昭
委員-黃明達
委員-楊欣哲
委員-陳宗天
中文關鍵字 共同準則  保護剖繪  安全標的  評估標的  資訊確保 
英文關鍵字 Common Criteria  Protection profile  Security Target  Target of Evaluation  Information Assurance  ISO15408 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 因應資訊安全標準的需求,財團法人電信技術中心於94年11月15日通過ISO/IEC17025認證,正式成立資通安全檢測實驗室,為一以共同準則為標準之測試實驗室。資安產品通過共同準則驗證提供安全性保證已是潮流所趨,唯較少提及系統的安全性保證。有鑑於此,本研究依共同準則之標準實作S壽險公司之「旅行平安險網路投保系統」之保護剖繪及安全標的,透過實作結果,提出下列建議:1.列出該系統之安全性規格,提供該企業主、系統開發者、網路管理者對該系統安全性衡量或改進的參考。2.資訊系統於開發生命週期中或系統上線後,也能導入共同準則,作為安全功能檢視與驗證之標準。3.所有網路交易系統導入共同準則之標準,以建置一個具有基本資訊確保的交易環境。
英文摘要 In accordance with the demands of the information security standard, on November 15th, 2005, the information security inspection laboratory passed the ISO/IEC17025 authentication, and established the Telecom Technology Center, a commonwealth organization of Taiwan R.O.C. The lab use common criteria in the standardized tests. Security products must pass the Common Criteria verification for information assurance has become the trend. But seldom do they mention the information system security guarantee.
This thesis performs a case study that establishes the protection profile and security target for a travel insurance information system using Common Criteria. Through the case study we conclude that:
1.As a case study result, a list of the security specifications and recommends for security improvement can be served as suggestions to the business owner, system developers, and network attendants.
2.It is recommend that within the system development life cycles and/or after information system being delivered, the Common Criteria shall be followed as security function of inspection and confirmation.
3.Network transaction systems can employ Common Criteria as a standard to establish the base for a network transaction environment for information assurance.
論文目次 第一章 緒論..... 1
1.1.研究背景...... 1
1.2.研究動機...... 2
1.3.研究目的...... 3
1.4.研究架構及進行步驟..... 3
第二章 共同準則概念介紹.. 8
2.1.前言...................8
2.2.共同準則的起源與背景...9
2.3.共同準則的內容簡介..... 12
2.4.共同準則的評估說明..... 15
2.5.共同準則的適用原則..... 17
第三章 「旅行平安險網路投保系統」簡介...... 21
3.1.「旅行平安險網路投保系統」特色說明....... 21
3.2.「旅行平安險網路投保系統」功能說明....... 22
3.3.「旅行平安險網路投保系統」實體架構....... 23
3.4.「旅行平安險網路投保系統」安全功能概述... 29
第四章 依據共同準則實作保護剖繪及安全標的.. 31
4.1.安全環境...... 31
4.2.安全目的...... 32
4.3.IT安全需求及保證需求... 34
4.4.相關性................. 38
4.5.理由闡述...... .........40
4.6.實作後差異說明 .........46
第五章 研究結論及建議.... 49
5.1.對S壽險公司之「旅行平安險網路投保系統」安全功能之建議....... 49
5.2.對企業主、程式維護者、網路管理者之相關建議...........51
5.3.實作過程的體驗 .......52
參考文獻.................53
附錄A 「網路投保系統」保護剖繪..... 55
A.1.PP 簡介....... 55
A.2.TOE 描述...... 56
A.3.TOE 安全環境.. 59
A.4.安全目的...... 61
A.5.TOE IT 安全需求....... 62
A.6.理由闡述...... 83
A.7.縮寫說明...... 91
附錄B S壽險公司之「旅行平安險網路投保系統」安全標的................92
B.1.ST 簡介....... 92
B.2.TOE 描述...... 93
B.3.TOE 安全環境...98
B.4.安全目的...... 101
B.5.TOE IT 安全需求....... 102
B.6.TOE彙總規格... 125
B.7.PP聲明........ 126
B.8.理由闡述...... 127
B.9.縮寫說明...... 135
圖目錄


圖 1-1. 需求及規格推導 5
圖 2-1. 可信賴資訊系統安全評估準則簡史 10
圖 2-2. 保護剖繪內容 13
圖 2-3. 安全標的內容 13
圖 3-1. 網路投保流程示意圖 22
圖 A-1. TOE(網路投保系統) 示意圖 56
圖 A-2. TOE的運作環境示意圖 57
圖 B-1. TOE(新光人壽旅行平安險網路投保系統) 示意圖 94
圖 B-2. TOE的運作環境示意圖 94
圖 B-3. 投保作業示意圖 96
表目錄

表 2-1. 認證標準及參考網址 8
表 2-2. 資訊技術安全評估標準∼安全功能需求類別 14
表 2-3. 資訊技術安全評估標準∼安全保證需求類別 14
表 2-4. 共同準則運用於資訊系統生命週期之對應說明 15
表 2-5. 資訊技術安全評估標準∼安全評估等級 16
表 2-6. 各保證等級所涵蓋之保證組件 17
表 2-7. 共同準則適用人員及內容 18
表 2-8. 可信賴系統之不同安全度評鑑標準對照 19
表 2-9. TCSEC之C1等標準適用範圍 20
表 4-1. 安全需求規格 34
表 4-2. 潛在攻擊的計算 36
表 4-3. 弱點等級 37
表 4-4. 保證組件 38
表 4-5. 功能組件相依性表 39
表 4-6. TOE威脅所需之安全目的基本理由 40
表 4-7. 安全目所能阻擋威脅的基本理由 41
表 4-8. 安全需求理由 42
表 4-9. 旅行平安險網路投保系統已有之安全功能 46
表 4-10. 旅行平安險網路投保系統已有之保證功能 48
表 A-0.1. TOE安全功能需求 62
表 A-1.2. ASSURANCE REQUIREMENTS: EAL3 71
表 B-0.1. TOE安全功能需求 102
表 B-1.2. ASSURANCE REQUIREMENTS: EAL3 113
表 B-1.3. 安全需求理由 129
表 B-1.4. 功能組件相依性表 133





參考文獻 [1]朱惠中、曾綜源、甯格致,將通用準則導入軟體開發生命週期之研究,2004。
[2]林盈達、林柏青,資訊安全認證測試與評比測試,1999。
[3]行政院研究發展考核委員會,政府機關資訊處理共通規範,可信賴系統評估準則,1999。
[4]柴惠珍、姜國慶,無線網路資通安全探討,國防通資,第6期,2005。
[5]黃仁俊,可信賴電腦的簡介與發展趨勢,資通安全分析專論,2005。
[6]劉 暉,信息安全產品等級評估綜述,第三期,2005。
[7]資訊技術-安全技術-資訊技術安全評估準則-第一部:簡介及一般模型,中國國家標準CNS,2004。
[8]資訊技術-安全技術-資訊技術安全評估準則-第二部:安全功能需求,中國國家標準CNS,2004。
[9]資訊技術-安全技術-資訊技術安全評估準則-第三部:安全保證需求,中國國家標準CNS,2004。
[10]樊國楨,通資訊安全工作初始方向芻議,資訊安全通訊,第6卷第4期,2000。
[11]樊國楨、林樹國、盧公瑜,開放源碼機敏性檔案存取控制安全技術評估初探,2004。
[12]樊國楨、徐鈺宗、楊仲英、李孝詩,美國聯邦政府資訊安全管理系統稽核作業與相關標準初探,2004。
[13]賴溪松,資訊安全國家標準之應用與發展,資訊安全通訊,第4卷第4期,1998。
[14]新光人壽開辦網路電子商務計劃書,2004。
[15]Check-Point Software Technologies Ltd. Fire Wall-1,Version 1.1,1999。
[16]Common Methodology for Information Technology Security Evaluation,Version 2.2,2004。
[17]Intersector Electronic Purse and Purchase Device Protection Profile,Version 1.3,2001。
[18]ISO,Common Criteria for Information Technology Security Evaluation,ISO/IEC 15408,Version 2.2,2004。
[19]ISO,Guide for the Production of PPs and STs,ISO/IEC PDTR 15446,2000。
[20]Jim Reynobds,Role-Based Access Control Protection Profile,Version 1.0,1998。
[21]Trend Micro InterScan Virus Wall Security Target,Version 1.0,2003。
[22]http://www.iso15408.net
[23]http://www.commoncriteriaportal.org
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2006-06-15公開。
  • 同意授權瀏覽/列印電子全文服務,於2006-06-15起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信