跳到主要內容

臺灣博碩士論文加值系統

(44.220.181.180) 您好!臺灣時間:2024/09/10 06:05
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:楊麗貞
研究生(外文):Li-Chen Yang
論文名稱:以共同準則落實資訊確保之探討∼以S壽險公司之「旅行平安險網路投保系統」為例
論文名稱(外文):Information Assurance Using Common Criteria∼A Case Study of The Information System of An Insurance Co.
指導教授:梁德昭梁德昭引用關係
指導教授(外文):Liang, Te-Chao
學位類別:碩士
校院名稱:淡江大學
系所名稱:資訊管理學系碩士班
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2004
畢業學年度:94
語文別:中文
論文頁數:135
中文關鍵詞:共同準則保護剖繪安全標的評估標的資訊確保
外文關鍵詞:Common CriteriaProtection profileSecurity TargetTarget of EvaluationInformation AssuranceISO15408
相關次數:
  • 被引用被引用:1
  • 點閱點閱:190
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
因應資訊安全標準的需求,財團法人電信技術中心於94年11月15日通過ISO/IEC17025認證,正式成立資通安全檢測實驗室,為一以共同準則為標準之測試實驗室。資安產品通過共同準則驗證提供安全性保證已是潮流所趨,唯較少提及系統的安全性保證。有鑑於此,本研究依共同準則之標準實作S壽險公司之「旅行平安險網路投保系統」之保護剖繪及安全標的,透過實作結果,提出下列建議:1.列出該系統之安全性規格,提供該企業主、系統開發者、網路管理者對該系統安全性衡量或改進的參考。2.資訊系統於開發生命週期中或系統上線後,也能導入共同準則,作為安全功能檢視與驗證之標準。3.所有網路交易系統導入共同準則之標準,以建置一個具有基本資訊確保的交易環境。
In accordance with the demands of the information security standard, on November 15th, 2005, the information security inspection laboratory passed the ISO/IEC17025 authentication, and established the Telecom Technology Center, a commonwealth organization of Taiwan R.O.C. The lab use common criteria in the standardized tests. Security products must pass the Common Criteria verification for information assurance has become the trend. But seldom do they mention the information system security guarantee.
This thesis performs a case study that establishes the protection profile and security target for a travel insurance information system using Common Criteria. Through the case study we conclude that:
1.As a case study result, a list of the security specifications and recommends for security improvement can be served as suggestions to the business owner, system developers, and network attendants.
2.It is recommend that within the system development life cycles and/or after information system being delivered, the Common Criteria shall be followed as security function of inspection and confirmation.
3.Network transaction systems can employ Common Criteria as a standard to establish the base for a network transaction environment for information assurance.
第一章 緒論..... 1
1.1.研究背景...... 1
1.2.研究動機...... 2
1.3.研究目的...... 3
1.4.研究架構及進行步驟..... 3
第二章 共同準則概念介紹.. 8
2.1.前言...................8
2.2.共同準則的起源與背景...9
2.3.共同準則的內容簡介..... 12
2.4.共同準則的評估說明..... 15
2.5.共同準則的適用原則..... 17
第三章 「旅行平安險網路投保系統」簡介...... 21
3.1.「旅行平安險網路投保系統」特色說明....... 21
3.2.「旅行平安險網路投保系統」功能說明....... 22
3.3.「旅行平安險網路投保系統」實體架構....... 23
3.4.「旅行平安險網路投保系統」安全功能概述... 29
第四章 依據共同準則實作保護剖繪及安全標的.. 31
4.1.安全環境...... 31
4.2.安全目的...... 32
4.3.IT安全需求及保證需求... 34
4.4.相關性................. 38
4.5.理由闡述...... .........40
4.6.實作後差異說明 .........46
第五章 研究結論及建議.... 49
5.1.對S壽險公司之「旅行平安險網路投保系統」安全功能之建議....... 49
5.2.對企業主、程式維護者、網路管理者之相關建議...........51
5.3.實作過程的體驗 .......52
參考文獻.................53
附錄A 「網路投保系統」保護剖繪..... 55
A.1.PP 簡介....... 55
A.2.TOE 描述...... 56
A.3.TOE 安全環境.. 59
A.4.安全目的...... 61
A.5.TOE IT 安全需求....... 62
A.6.理由闡述...... 83
A.7.縮寫說明...... 91
附錄B S壽險公司之「旅行平安險網路投保系統」安全標的................92
B.1.ST 簡介....... 92
B.2.TOE 描述...... 93
B.3.TOE 安全環境...98
B.4.安全目的...... 101
B.5.TOE IT 安全需求....... 102
B.6.TOE彙總規格... 125
B.7.PP聲明........ 126
B.8.理由闡述...... 127
B.9.縮寫說明...... 135
圖目錄


圖 1-1. 需求及規格推導 5
圖 2-1. 可信賴資訊系統安全評估準則簡史 10
圖 2-2. 保護剖繪內容 13
圖 2-3. 安全標的內容 13
圖 3-1. 網路投保流程示意圖 22
圖 A-1. TOE(網路投保系統) 示意圖 56
圖 A-2. TOE的運作環境示意圖 57
圖 B-1. TOE(新光人壽旅行平安險網路投保系統) 示意圖 94
圖 B-2. TOE的運作環境示意圖 94
圖 B-3. 投保作業示意圖 96
表目錄

表 2-1. 認證標準及參考網址 8
表 2-2. 資訊技術安全評估標準∼安全功能需求類別 14
表 2-3. 資訊技術安全評估標準∼安全保證需求類別 14
表 2-4. 共同準則運用於資訊系統生命週期之對應說明 15
表 2-5. 資訊技術安全評估標準∼安全評估等級 16
表 2-6. 各保證等級所涵蓋之保證組件 17
表 2-7. 共同準則適用人員及內容 18
表 2-8. 可信賴系統之不同安全度評鑑標準對照 19
表 2-9. TCSEC之C1等標準適用範圍 20
表 4-1. 安全需求規格 34
表 4-2. 潛在攻擊的計算 36
表 4-3. 弱點等級 37
表 4-4. 保證組件 38
表 4-5. 功能組件相依性表 39
表 4-6. TOE威脅所需之安全目的基本理由 40
表 4-7. 安全目所能阻擋威脅的基本理由 41
表 4-8. 安全需求理由 42
表 4-9. 旅行平安險網路投保系統已有之安全功能 46
表 4-10. 旅行平安險網路投保系統已有之保證功能 48
表 A-0.1. TOE安全功能需求 62
表 A-1.2. ASSURANCE REQUIREMENTS: EAL3 71
表 B-0.1. TOE安全功能需求 102
表 B-1.2. ASSURANCE REQUIREMENTS: EAL3 113
表 B-1.3. 安全需求理由 129
表 B-1.4. 功能組件相依性表 133
[1]朱惠中、曾綜源、甯格致,將通用準則導入軟體開發生命週期之研究,2004。
[2]林盈達、林柏青,資訊安全認證測試與評比測試,1999。
[3]行政院研究發展考核委員會,政府機關資訊處理共通規範,可信賴系統評估準則,1999。
[4]柴惠珍、姜國慶,無線網路資通安全探討,國防通資,第6期,2005。
[5]黃仁俊,可信賴電腦的簡介與發展趨勢,資通安全分析專論,2005。
[6]劉 暉,信息安全產品等級評估綜述,第三期,2005。
[7]資訊技術-安全技術-資訊技術安全評估準則-第一部:簡介及一般模型,中國國家標準CNS,2004。
[8]資訊技術-安全技術-資訊技術安全評估準則-第二部:安全功能需求,中國國家標準CNS,2004。
[9]資訊技術-安全技術-資訊技術安全評估準則-第三部:安全保證需求,中國國家標準CNS,2004。
[10]樊國楨,通資訊安全工作初始方向芻議,資訊安全通訊,第6卷第4期,2000。
[11]樊國楨、林樹國、盧公瑜,開放源碼機敏性檔案存取控制安全技術評估初探,2004。
[12]樊國楨、徐鈺宗、楊仲英、李孝詩,美國聯邦政府資訊安全管理系統稽核作業與相關標準初探,2004。
[13]賴溪松,資訊安全國家標準之應用與發展,資訊安全通訊,第4卷第4期,1998。
[14]新光人壽開辦網路電子商務計劃書,2004。
[15]Check-Point Software Technologies Ltd. Fire Wall-1,Version 1.1,1999。
[16]Common Methodology for Information Technology Security Evaluation,Version 2.2,2004。
[17]Intersector Electronic Purse and Purchase Device Protection Profile,Version 1.3,2001。
[18]ISO,Common Criteria for Information Technology Security Evaluation,ISO/IEC 15408,Version 2.2,2004。
[19]ISO,Guide for the Production of PPs and STs,ISO/IEC PDTR 15446,2000。
[20]Jim Reynobds,Role-Based Access Control Protection Profile,Version 1.0,1998。
[21]Trend Micro InterScan Virus Wall Security Target,Version 1.0,2003。
[22]http://www.iso15408.net
[23]http://www.commoncriteriaportal.org
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top