臺灣博碩士論文加值系統

為維護國民經濟、民生的穏定，使國民生活不受威脅及損失，「資安即國安」是政府近年來重要的資安政策。為打造安全可信賴的數位國家為願景，行政院國家資通安全處以建構國家資安聯防體系、提升整體資安防護機制、強化資安自主產業發展等三個目標，積極推動「資通安全管理法」立法，本案法並已於民國107年三讀通過公告施行。
本研究主要探討政府資安政策的施行理想與現實，以了解A、B級政府機關對於資安聯防體系的執行度與完成度，採深度訪談方式蒐集資安相關顧問及管理人員對於理想面與現實面的看法，確認政府資安政策推動的績效與指標。研究結果顯示，政府政策希望能強化資安自主產業發展，培訓資安專業人才，以完成資安跨域聯防體系，而機關單位也依循資安法規積極配合執行及推動，以提升國家資安防護能力，惟仍有專業人力的養成、預算的編列方案、主管權責機關的訂定等等政策面與執行面的落差有待彌合。最後，本研究歸納一合縱連橫資安防禦架構供政策執行參考。

In order to sustain the stabilities of economy growth, and to protect our citizens from life threats and/or household loss, the Department of Cyber Security, have aimed to set to build a safe and reliable realm in this country, by legalise a National Security Protection Mechanism with enhanced level of security. The regulation of Information and Communication Security Management Act was already in effect from 11th May 2018.

This study is mainly exploring the perspectives of an ideal world and reality on the executions of this new policy. We have gathered all different ideas from the Security Consultants and related personnel at different ranks of government officials thru some in-depth talks and interviews. Although that our government is eager to promote and enhance the development on self-managements, and to complete the Cyber Security by recruit more expertise in the field. Yet, as concluded that there are still some gaps among different divisions in charge of budget planning and actual executions, awaiting to be compromised. This study has summarised the references of Cyber Security Protections and Executions.

目錄
致謝詞 iv
摘要 v
ABSTRACT vi
目錄 vii
圖目錄 xi
表目錄 xii
第一章、 緒論 1
1.1 研究背景與動機 1
1.2 研究目的與研究問題 6
1.3 研究流程 7
第二章、文獻探討 9
2.1 資安攻擊方式與目的 9
2.1.1 駭客的定義及來源 9
2.1.2 駭客攻擊手法 11
2.1.3 進階持續攻擊 11
2.1.4 分散式阻斷服務攻擊 13
2.1.5 變臉詐騙 14
2.1.6 小結 15
2.2 資安環境現況 16
2.2.1 現行政府機關網路架構 17
2.2.2 傳統的資安防禦機制 19
2.3 資安防禦趨勢 19
2.3.1 資安治理模型 20
2.3.2 我國資安政策的執行 23
2.3.3 區域聯防到縱深防禦的可行性 25
2.4 資通安全管理法沿革 27
2.5 資通安全情資分享草案 28
第三章、研究方法 30
3.1 研究架構與流程 30
3.2 質性訪談 32
3.2.1 選擇質性研究法的原因 32
3.2.2 半結構式訪談 32
3.2.3 個案研究法 34
3.3 個案選擇 35
3.3.1 個案選定說明 35
3.3.2 政府機關資安分級制定規則 35
3.3.3 分級規則具體作法 36
3.4 訪談大綱 38
3.5 個案訪談 40
3.5.1 訪談過程 41
3.5.2 資料分析方法 42
第四章、研究分析與結果 43
4.1 訪談結果 43
4.1.1 新資安法措施與因應 43
4.1.2 資安政策理想架構與現實情況的落差 45
4.1.3 現實資安網路架構的挑戰 48
4.1.4 增進資安政策配合度提升資安防禦是否有足夠的誘因 51
4.1.5 資通安全情資分享 52
4.2 結果分析 54
4.3 小結 57
第五章、結論與建議 58
5.1 研究結論 58
5.2 研究建議 59
5.3 研究貢獻 61
5.3.1 區域聯防與合縱連橫防禦機制 61
5.3.2 合縱連橫架構 62
5.3.3 新的資安防禦趨勢對未來規劃的好處 63
5.4 研究限制 64
5.5 未來研究方向 65
【參考文獻】 66
附錄一-訪談問卷 70
附錄二-美國網路安全訊息共享法案 74
附錄三-公務機關資通安全責任等級應辦事項規定 78
附錄四-情資分享草案 82
 
圖目錄
圖1-1資安方案發展藍圖 3
圖1-2行政院國家資通安全會報組織架構圖 5
圖1-3核心六都區域聯防體系示意圖 6
圖1-4論文架構圖 8
圖2-1勒索軟體成長統計圖 11
圖2-2進階持續攻擊三部曲 12
圖2-3攻擊型態比較表 14
圖2-4典型網路架構示意圖 18
圖2-5資訊安全治理與資訊技術治理關係 21
圖2-6政府機關資安治理模型 22
圖2-7 政府機關資安治理架構 23
圖2-8國家資通安全推展方案-推動歷程 24
圖2-9資通安全發展方案-願景與策略目標、執行策略與行動方案 25
圖3-1研究架構圖 31
圖5-1合縱連橫機制解決方案示意圖 62



表目錄
表1-1政府機關(構)資訊安全責任等級分級 4
表2-1資安環境優劣勢SWOT分析 16
表3-1訪談型式 33
表3-2質化個案研究的特色 34
表3-3政府機關（構）資通安全責任等級 37
表3-4訪談大綱-資安顧問 39
表3-5訪談大綱-A、B級單位資管人員 39
表3-6訪談名單一（A、B級單位資管人員） 40
表3-7訪談名單二（資安顧問） 41
表3-8受訪者基本資料表 42
表4-1 A、B級機關資安證照統計表 54

中文部分
王雅玄(民101)，社會科學研究方法新論，內容分析法第八章，五南圖書出版公司。
古永嘉、楊雪蘭(譯)(民103)企業研究方法(原作者：Donald R. Copper．Pamela S. Schindler)，台北：華泰文化。
江淑美、吳伊勻、翁士勛、劉育雯(民89)，教育研究法專題研究報告-個案研究法。
林金定、嚴嘉楓、陳美花(民94)。質性研究方法：訪談模式與實施步驟分析，身心障礙研究，3(2)，122-136。
行政院資全國法規資料庫(民107)。資通安全管理法。
行政院資通安全處(民107)。資通安全情資分享辦法草案。
行政院資通安全處(民107)。資通安全責任等級之公務機關應辦事項。
行政院國家資通安全會報(民106)。國家資通安全發展方案。
行政院資通安全處(民106)。前瞻基礎建設-強化政府基層機關資安防護及區域聯防計畫。
行政院國家資通安全會報(民106)。政府組態基準。
行政院科技顧問組(民100)。關鍵資訊基礎建設保護政策指引。
行政院國家資通安全會報(民93)。政府機關（構）資通安全責任等級分級作業規定。
李文政(譯)(民104)。社會科學研究法-資料蒐集與分析(原作者：Shaun Best)，台北：心理出版社。
財團法人中華民國國家資訊基本建設產業發展協進會(民106)，資訊安全治理與資訊技術治理關係。
游美惠(民92)。經濟部標準檢驗局(民103)，CNS 27001 資訊技術－安全技術－資訊安全管理系統－要求事項。中央研究院調查研究第八期。
賴偉、程淑慧、蘇芳雅編(民100)，設計研究方法第三版，全華圖書股份有限公司。
英文部分
Babbie, E. R. (2015). The practice of social research. Nelson Education.
Berelson, B. (1952). Content analysis in communication research.
Federal Bureau of Investigation. (2017). BUSINESS E-MAIL COMPROMISE E-MAIL ACCOUNT COMPROMISE THE 5 BILLION DOLLAR SCAM.Public Service Announcement (I-050417-PSA).
Guba, E. G., & Lincoln, Y. S. (1981). Effective evaluation: Improving the usefulness of evaluation results through responsive and naturalistic approaches. Jossey-Bass..
Helmstadter, G. C. (1970). Research concepts in human behavior: Education, psychology, sociology.
Hoaglin, D. C., Klema, V., & Peters, S. C. (1982). Exploratory data analysis in a study of the performance of nonlinear optimization routines. ACM Transactions on Mathematical Software (TOMS), 8(2), 145-162.
Merriam, S. B. (1988). Case study research in education: A qualitative approach. Jossey-Bass.
Stake, R. E. (1981). Setting standards for educational evaluators. Evaluation News, 2(2), 148-152.
Wilson, R. E. (1979). Eccentric orbit generalization and simultaneous solution of binary star light and velocity curves. The Astrophysical Journal, 234, 1054-1066.
網路部份
中央社 (民105年10月15日)。非接觸支付3大類盤點 優缺點比一比，取自 http://technews.tw/2016/10/15/e-payment-3/。
中時電子報 (民106年10月8日)。趨勢科技報告金融業遭駭客入侵案成長達13％，取自http://www.chinatimes.com/realtimenews/20171008001001-260412。
司法院全球資訊網(民107年3月17日)。取自https://www.judicial.gov.tw/index.asp。
全國法規資料庫。取自https://law.moj.gov.tw/Law/LawSearchResult.aspx?p=A&t=A1A2E1F1&k1=%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E6%B3%95。
行政院全球資訊網 (民107年12月28日)。資安法6大子法草案，取自https://www.ey.gov.tw/Page/9277F759E41CCD91/18f581d0-19a2-4583-b8ad-f7fc38701856。
巫宗翰 (民102年9月20日)。臺灣大學計算機及資訊網路中心電子報，0026， 2077-8813，取自http://www.cc.ntu.edu.tw/chinese/epaper/0026/20130920_2606.html。
資安人 (民107年1月28日)。注重資安教育對抗新型態駭客攻擊，取自https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8578。
趨勢科技全球技術支援與研發中心 (民106年12月10)。駭客三大手法 智慧攻防邁入新層級，取自https://blog.trendmicro.com.tw/?p=53763。
ET Today (民106年5月14日)。 WannaCry哪來的？美國安局駭客武器被偷　勒索病毒進化虐全球，取自https://www.ettoday.net/news/20170514/923931.htm。
iThome (民106年2月14日)。臺灣史上第一次券商集體遭DDoS攻擊勒索事件，取自https://www.ithome.com.tw/news/111875。
iThome (民105年10月25日)。Dyn遭大規模DDoS攻擊，Mirai殭屍網路脫不了關係，取自https://ithome.com.tw/news/109225。
iThome (民105年7月25日)。駭客入侵一銀ATM流程追追追，取自https://www.ithome.com.tw/news/107294。
McAfee (2018, Nov. 29)。2019年威脅預測，取自https://securingtomorrow.mcafee.com/mcafee-labs/mcafee-labs-2019-threats-predictions。
Scott Hilton (2016, Oct 26). Company News, 2016. Retrieved from https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/。
Tech News (民105年11月7日)。 Marai殭屍網路再度出擊，這次讓非洲一整個國家都離線，取自https://technews.tw/2016/11/07/mirai-zombie-networks-almost-a-whole-country-in-africa-line/。
The New York Time (2017, June 27). In Depth Security News and Inv. Retrieved from https://www.nytimes.com/2017/06/27/technology/ransomware-hackers.html。
Wayback Machine (2000, Feb 23). Hacker culture. Retrieved from https://web.archive.org/web/20090125193004/http://webzone.k3.mah.se/k3jolo/HackerCultures/origins.htm。
Wikipedia,(2015). Hacker緣由，取自 https://zh.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5