跳到主要內容

臺灣博碩士論文加值系統

(34.204.180.223) 您好!臺灣時間:2021/08/05 14:46
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:彭彥碩
研究生(外文):Charlie Yen-Sho Peng
論文名稱:企業引進工業控制系統安全管理評估模式之研究
論文名稱(外文):The Information Security Valuation Criteria for the Security Policy Evaluation of the SCADA System
指導教授:林國平林國平引用關係陳俊德陳俊德引用關係
指導教授(外文):James Quo-Ping LinChun-Te Chen
學位類別:碩士
校院名稱:華梵大學
系所名稱:資訊管理學系碩士班
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2007
畢業學年度:95
語文別:中文
論文頁數:68
中文關鍵詞:工業控制系統即時監控與資料蒐集系統層級分析法權變理論營運持續管理
外文關鍵詞:Industrial Control SystemSupervisory Control And Data AcquisitionAnalytic Hierarchy ProcessContingency TheoryBusiness Continuity Management
相關次數:
  • 被引用被引用:1
  • 點閱點閱:634
  • 評分評分:
  • 下載下載:214
  • 收藏至我的研究室書目清單書目收藏:0
電子化的製造業為了提升經營效率,降低生產成本,與提高產品品質,於是紛紛導入工業控制系統(Industrial Control System, ICS)來整合製造業即時監控與資料蒐集系統(Supervisory Control And Data Acquisition, SCADA)與組織營運,以求廠房之廠務設備及生產設備,能夠獲得更有效之集中管理與調度,更進一步節省人力與相關開銷。目前石油、石化、水利、電力等上游產業的工業控制系統係由SCADA系統掌握整個系統的運轉,再將所得到的運轉資料或有用資訊,運用資訊及通信科技的結合,再提供給企業資訊系統(Enterprise Information System, EIS)使用。SCADA系統自1960年發展至今,已隨科技發展,逐漸演變為開放系統,但SCADA系統的安全規範未能符合現實需求,目前已發生多起因組態設定、病毒感染、駭客入侵等資訊安全事件,造成系統失能,導致公共利益或國家安全的損失。
本研究以工業控制系統的核心SCADA系統為研究對象,針對SCADA系統內部與外部環境進行安全管理問題的探討,進而建立安全管理模式。先以文獻探討方式整理SCADA系統資訊安全內容,進行專家深度訪談後,以權變理論(Contingency Theory)與營運持續管理(Business Continuity Management)為基礎,分析SCADA系統安全管理的相關重要構面與因素。並運用層級分析法(AHP) 分析相關構面與準則的權重,彙整篩選出企業使用SCADA系統進行安全管理的評估指標與評估準則,再以整合決策群體評選與方案排序等方法,找出適合組織之SCADA系統安全管理層級架構。
本研究將SCADA系統安全管理的指標構面內容分為風險面、作業面與管理面,各構面有三個到五個不等的準則;研究結果中,作業面所佔權重最高,這也顯示了維持SCADA系統持續運轉的安全管理內容最為重要。準則部份,在風險面中,以防範駭客入侵的準則最為重要;作業面中,以建立隔離保護不同網路的防火牆準則最為重要;管理面中,以系統權限設定管理的準則最為重要。透過本研究的結果可讓企業內部相關人員進行SCADA系統本身的安全管理評估,透過評估結果來瞭解系統本身安全管理的不足,進而提供主管人員相關資訊制訂新的安全政策或方法來彌補安全管理的漏洞。同時企業也可重複進行本研究成果,在SCADA系統生命週期中,持續加強安全管理的目標。
To increase the yield and production quality, decrease the production cost, it is important to implement an electronic-automation system to dispatch productivity through out this manufacturing industry, thus Industrial Control System, ICS has been introduced to integrate the Supervisory Control And Data Acquisition (SCADA) system, and the organizational operation. The Supervisory Control and Data Acquisition is a large-scale, which is the distributed measurement and control system. The purpose for implementing this system is to make sure that the production equipments enable to get through the centralized management/adjustment and as well as to reduce the manpower expenses. Nowadays, the measurement, inspection and control for the petrol, chemical, water supply and electric industry, these are all went through SCADA system to monitor and control over the operations.
Since it moves toward open standards including Internet Protocol and networked communications, thus it’s easier for hackers to access a SCADA system induced security risks. The weakness of this system is that it will lead to configuration setting falsify, virus infection, hacker incursion. Damage of this system could happen at any time, thus this will threaten the industry of its security. The SCADA systems need to be protected for the interconnected systems as well as information, people, equipment, facilities and operations. That requires a comprehensive systematic evaluation of risk and careful, planned application of countermeasures to improve overall organizational security.
The criteria for this evaluation are established to this paper has proposed a model with the information security valuation criteria for the security policy evaluation of the SCADA system. As to consider the internal and external security management issues, are from the 10 key managements of BS7799, literature review, Contingency Theory, Business Continuity Management and practical observations to find out any important issues in regard to this system.
Moreover, the hierarchy of its standard and level and to figure out the weights of the field for strategies ranking will be conducted after completion of using the AHP. Through the questionnaire feedback analysis, this study constructed a theoretical model of 13 factors from dimensions of the risk aspects, the operation aspects, and the management aspects for the security policy evaluation of the SCADA system. After the investigation the outcome shows that Operation is the most important methodology among those three, which is the most important role as to maintain the SCADA system working for security management. It is important to have a back up plan to keep out the hacker incursion on the Risk aspects. On the management aspects, the regular system authority management is very important. The enterprises could repeat this process of the SCADA system and continue to strengthen our security management objective. From the proposed model, it can assist decision makers in understanding the risks of cyber intrusion, their consequences and tradeoffs in order to maximize the survivability of the system.
目 錄

誌  謝 I
摘  要 II
Abstract III
目 錄 V
表 錄 VII
圖 錄 VIII
一、緒論 1
1.1研究背景及動機 1
1.2研究範圍 4
1.3研究目的 4
1.4研究流程 5

二、文獻探討 7
2.1 工業控制系統 7
2.2 SCADA系統簡介 10
2.3 SCADA系統安全問題 12
2.4 BS7799資訊安全管理 19
2.5 資訊安全管理理論 21
2.6 營運持續管理 24
2.7 層級分析法 28

三、研究方法 30
3.1 研究架構 30
3.2 工業控制系統安全評估架構 31
3.3 研究變數與內容 33

四、資料研究分析 38
4.1 問卷設計,回收與一致性檢定 38
4.2 資料分析 40
4.2.1 SCADA系統安全管理評估模式構面分析 40
4.2.2 風險面之準則權重分析 41
4.2.3 作業面之準則權重分析 43
4.2.4 管理面之準則權重分析 45
4.3 SCADA系統安全管理評估架構之分析 47

五、實務探討與政策建議 50
5.1 工業控制系統安全管理循環 50
5.2 實務探討 52
5.2.1 規劃與調整階段 52
5.2.2 建置與發展階段 53
5.2.3 運作與測試階段 55
5.2.4 稽核與審查階段 58
5.3 政策建議 59

六、結論與建議 61
6.1 研究結論 61
6.1.1 建立SCADA系統安全管理層級架構 61
6.1.2 各構面與準則之相對權重分析結果 62
6.1.3 工業控制系統安全管理循環 63
6.1.4 研究結果提供進行工業控制系統安全管理的重要依據 64
6.2 後續研究方向 64

參考文獻 66
中文部份:
[1] 樊國楨、林樹國、徐正民,「工業控制系統資訊安全風險管理標準實作初探」,資通安全專論。
[2] 賴猷龍,「二次變電所模擬系統之開發」,中原大學電機工程學系碩士論文,民國91年7月。
[3] 鄭石洋,變電所自動化設計手冊,台灣電力公司,民國80年10月。
[4] 洪國興、季延平、趙榮耀,「資訊安全評估準則層級結構之研究」,圖書館學與資訊科學期刊,民國92年10月。
[5] 洪國興、趙榮耀,「資訊安全管理理論之探討」,資管評論,民國92年6月。
[6] 陳坤成、袁建中、曾國雄,「企業資訊科技設備系統引進策略之模糊多評準決策」,資訊、科技與社會期刊,民國93年。
[7] 陳耀竹、盧昱俊,「無線電視台ERP專案選擇風險評估之研究:模糊理論之應用」, 2004傳播管理研討會─數位媒體的發展與再造學術研討會,民國93年。
[8] 鄧振源、曾國雄,「層級分析法(AHP)的內涵特性與應用(上)」,中國統計學報,第27 卷,第6 期,pp.5-22。
[9] 鄧振源、曾國雄,「層級分析法(AHP)的內涵特性與應用(下)」,中國統計學報,第27 卷,第7 期,pp.1-20。
英文部份:
[10] Deepak Munshi, “Pipelines Have Help Available To Safeguard Their SCADA Systems”, Pipeline & Gas Journal, March 2003.
[11] Rolf Carlson, “Sandia SCADA Program High-Security SCADA LDRD Final Report”, Sandia National Laboratories.
[12] Jim Tiller and Rick Blum, “New IT Infrastructure and Security Regulations in the Power Industry”, International Network Service.
[13] Jonathan Pollet, “SCADA Security Strategy”, PlantData Technologies, August 8, 2002.
[14] Investigative Research for Information Assurance(IRIA)Group, “Cyber Security Of The Electric Power Industry ”, 2002.
[15] Joe St Sauver, “SCADA Security”, Internet2 Joint Techs Meeting, July 21, 2004.
網站部份:
[16] SPRING Singapore, http://www.spring.gov.sg/Content/WebPage.aspx?id=3179f0f0-0a7a-4142-905d-6f24bd7ddaa4
[17] British Standard Institute, http://www.standardsdirect.org/pas56.htm
[18] 蒲樹盛,「組織風險與營運持續管理」,行政院研究考核發展委員會,風險管理知識網。http://risk.rdec.gov.tw/MainPg.asp?Mdl=A08&Pg=WchContent&WchId=24
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top