淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


系統識別號 U0002-3006201402470500
中文論文名稱 資訊安全健診之研究-以政府機關為例
英文論文名稱 A Study of Information Security Diagnostic:Three Cases of Government Organizations
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士在職專班
系所名稱(英) On-the-Job Graduate Program in Advanced Information Management
學年度 102
學期 2
出版年 103
研究生中文姓名 高敏書
研究生英文姓名 Min-Shu Kao
學號 701630088
學位類別 碩士
語文別 中文
口試日期 2014-06-21
論文頁數 84頁
口試委員 指導教授-黃明達
委員-趙景明
委員-楊明玉
中文關鍵字 資安健診  ISO 27001  網站安全  更新管理 
英文關鍵字 Information Security Diagnostic  ISO27001  Web Security  Patch Management 
學科別分類
中文摘要 國內關於資安相關的個案研究,大多針對單一組織管理面進行探討,而本研究係透過A公司執行三個政府機關技術面的資安健診專案所得到結果,進行交叉分析,希望透過三個個案的執行結果,進行比較,找出機關間共同存在的問題。透過問題的發現及評估可能的風險,進而提出降低風險的方式。

本研究針對三個個案結果進行比較分析後,發現針對網站安全、網路架構、內部網路防護機制、個人電腦與伺服器惡意程式防護與更新管理; 系統、資料庫與網路安全設定等五個構面存在類似的問題,如三個機關網站均存在OWASP 2013 TOP 10的問題,有兩個機關存在相同的惡意程式,使用者電腦與伺服器更新管控機制及內部網路存取管控均較弱等問題。兩個機關在資料庫重要資料加密與稽核機制均缺乏管控機制,三個機關對外服務使用之通訊協定均有未加密而產生可能洩露重要資訊的風險。行政院國家資通安全會報雖針對上述五個構面有訂定相關規範且不定期執行稽核,但由於各機關執行的範圍與落實度不盡相同,導致無法顯示真實的防護情況。例如X機關ISO27001驗證的範圍較其他機關廣泛,所以在資安健診結果上整體資安的強度較其他機關高。本研究提出幾個改善的建議,期望透過這些建議可改善政府的整體資安現況。
英文摘要 The majority of regional case studies on information security focus on the management of individual organizations, this study however cross an analysis diagnosis results from “Company A” on the information security (technology-wise) of three government agencies. Through this study, common mistakes among organizations can be identified, risks can be evaluated, and approaches to reduce such risks will be proposed.
It is found in this study that similar problems on web security, network architecture, internal network protection mechanisms, update management, databases security were identified in all three cases. Meaning that although regulations and guidelines on information security for all government divisions are set by the National Information and Communication Security Taskforce, and audits are carried out irregularly, the extent of accomplishments of each and individual divisions vary significantly, resulting their true security level not fully reflected. For instance, “Organization A” gets best mark on over all information security only because it has a wider inspection range on ISO27001. Several recommendations are proposed in this study for future improvements. It is expected that the information security level of our government will be enhanced through these suggestions.
論文目次 目次 IV
表目錄 VI
圖目錄 VIII
第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 4
第三節 論文架構 5
第四節 研究範圍與限制 6
第二章 文獻探討 8
第一節 資訊安全的定義 8
第二節 機關資訊安全責任等級 10
第三節 執行方式 13
第四節 資訊安全風險等級 17
第三章 研究架構與設計 20
第一節 研究架構 20
第二節 研究設計 21
第三節 研究流程 22
第四章 個案研究與資料分析 23
第一節 個案描述 23
第二節 基本資料分析 27
第三節 三機關個案比較分析 60
第五章 結論與建議 76
第一節 結論 76
第二節 建議與未來研究方向 79
參考文獻 81

表目錄
表1-1資安健診計畫服務項目與範圍 7
表2-1政府機關(構)資訊安全責任等級應執行工作事項 12
表2-2資安健診計畫參考文獻與項目 15
表2-3微軟資安嚴重性等級 17
表3-1研究項目與研究資料之關聯 21
表4-1機關X檢測的範圍 34
表4-2機關Y檢測的範圍 46
表4-3機關Y惡意程式列表 46
表4-4機關Y使用者更新檢測結果列表 47
表4-5機關Y伺服器主機檢視發現 47
表4-6機關Y伺服器主機更新檢測 48
表4-7機關Y之AD群組原則檢視 48
表4-8機關Z本次檢測的範圍 56
表4-9機關Z惡意程式列表 56
表4-10機關Z使用者更新檢測結果列表 57
表4-11機關Z伺服器主機更新檢測 57
表4-12機關Z之 AD伺服器群組原則設定 58
表4-13三機關個案比較分析表 67
表4-13(A)三機關個案比較分析表(續) 68
表4-13(B)三機關個案比較分析表(續) 69
表4-13(C)三機關個案比較分析表(續) 70


圖目錄
圖2-1資訊系統分類分級與鑑別機制處理程序圖 18
圖3-1研究流程圖 22
圖4-1機關X之網路架構邏輯示意圖 23
圖4-2機關Y之網路架構邏輯示意圖 25
圖4-3中心P網路架構示意圖 25
圖4-4機關Z之網路架構邏輯示意圖 26
圖4-5機關X網站弱掃結果 28
圖4-6機關Y網站弱掃結果 37
圖4-7機關Z網站弱掃結果 50
參考文獻 一、中文文獻
1.行政院國家資通安全會報,《政府機關(構)資訊安全責任等級分作業施行計畫》,臺北:行政院,2009。
2.行政院國家資通安全會報,《國家資通訊安全發展方案(98年至 101年)》,臺北:行政院,2009。
3.行政院國家資通安全會報,《資訊系統分類分級與鑑別機制》,臺北:行政院,2009。
4.行政院國家資通安全會報,<政府機關是否辦理資安稽核業務?>,網址:http://www.nicst.ey.gov.tw/News_Content.aspx?n=283E5E09B7E62655&sms=BC5E204B65C9D817&s=B93FF8D386E9B7EC,上網日期:2014年4月11日
5.李振昌譯,Fischer and Green著,《企業安全管理完全手冊》,臺北:紐奧良文化,2002。
6.吳思菁,《資通安全治理之研究-以政府部門為例》,碩士論文,淡江大學資訊管理學系,2008。
7.林傳敏,電腦稽核— 網路世代不能沒有電腦稽核觀念(上),企銀報導,18卷6期,頁44-55,6月,2000。
8.林傳敏,電腦稽核— 網路世代不能沒有電腦稽核觀念(下),企銀報導,18卷7期,頁25-33,7月,2000。
9.柯炫旭,《政府機關資安治理之研究-以臺北市政府為例》,碩士論文,淡江大學資訊管理學系,2010。
10.陳瑞祥,<資訊安全治理:董事會與高層應全面主導>,網址: http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6158#ixzz2u22P31NK,上網日期:2013年12月1日。
11.陳耀崑,電腦稽核與安全控管,89年農漁會信用部稽核人員班講義,2000。
12.張士龍,《政府部門導入ISO27001 關鍵成功因素之研究》,碩士論文,世新大學,資訊管理學系,2007。
13.張景皓,<韓國爆發史上最大駭客攻擊:下午2點硬碟自動銷燬>,網址:http://www.ithome.com.tw/node/79400#.Uwg_i_mSw4Y,上網日期:2013年11月13日。
14.黃亮宇著,《資訊安全規劃與管理》,台北:松崗電腦圖書公司,1992。
15.黃彥棻,<政府電子公文系統被駭,主管單位竟企圖遮掩>,網址:http://www.ithome.com.tw/node/80703#.UwhB_PmSw4Y,上網日期:2013年11月18日。
16.廖珮君,<強化政府資安防禦能力 從稽核與健診開始>,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7338,上網日期:2014年5月19日。
17.蕭秀琴,<資通安全大攻防>,網址:http://news.ey.gov.tw/News_Content2.aspx?n=DDD0705B2394AD88&s=B38799813171EEFF,上網日期:2013年12月19日。


二、英文文獻
18.Cisco, “CISCO Network Security Baseline,” Cisco Corporation, 2008.
19.CSI, “2010/2011 Computer Crime And Security Survey,” Computer Security Institute, 2010.
20.ICSA, “Information Security Health Check,” Information and Computer Security Architecture, 2002.
21.ISO/IEC 27001:2005, Information Technology—Security Techniques—Information Security Management Systems—Requirements.
22.ISO/IEC 27002:2005, Information Technolog—Security Techniques—Code of Practice for Information Security.
23.ISO/IEC 27005:2008, Information Technology—Security Techniques—Information Security Risk Management.
24.Microsoft, “Security Health Check (SECHC),” Microsoft Corporation, 2007.
25.NIST, “Special Publication (SP) 800-44 Version 2,” National Institute of Standards and Technology, 2007.
26.OWASP, “OWASP Top 10 Application Security Risks 2013,”The Open Web Application Security Project, 2013.
27.Rusell, D. & Gangemi, G. T. , “Computer Security Basics”, California: O’Reilly & Associates Inc, 1992.
28.Robert K. Yin, Case Study Research: Design And Methods, California: Sage Publishing, 1994.
29.Weber, Ron., Information Systems Control and Audit , Prentice Hall Press, Inc., Oct. 1998.
30.SANS, “SANS Institute Linux Security Checklist,”SANS Institute, 2012.
31.Schneider, E.C. and Therkalsen, G.W., “How Secure Are Your System?” Avenues to Automation, 1990, pp.68-72.
32.Symantec,“2013 Norton Report, ”Symantec Corporation, 2013
33.US Department of Commerce, 1979, Guidelines for automatic data processing risk analysis. FIPS Publications 65.
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2019-07-02公開。
  • 同意授權瀏覽/列印電子全文服務,於2019-07-02起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信