跳到主要內容

臺灣博碩士論文加值系統

(44.210.83.132) 您好!臺灣時間:2024/05/25 20:06
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:張耀元
研究生(外文):Chang, Yao Yuan
論文名稱:OCTAVE風險評估技術實現
論文名稱(外文):A study of implementation technology on OCTAVE risk assessment
指導教授:陸儀斌劉中宇劉中宇引用關係
指導教授(外文):Lu, Yi BinLiu, Chung Yu
學位類別:碩士
校院名稱:國防大學理工學院
系所名稱:資訊科學碩士班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2009
畢業學年度:97
語文別:中文
論文頁數:120
中文關鍵詞:風險評估評估系統
外文關鍵詞:Risk assessmentEvaluation system
相關次數:
  • 被引用被引用:1
  • 點閱點閱:271
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
運用風險管理的概念來做資訊安全管理,儼然已成為實現資訊安全的重要方法,但是組織推動資安風險評估的時候,須了解單位的特性與目的,適當選擇評估方法並投入配套的資源。目前一般的問題包括:高層管理階層的支持度不足、缺乏足夠適合的評估人員掌控評估流程與分析資訊、沒有重要的運作領域評估成功範例以及參與人員的教育訓練及準備的問題,都是造成風險評估推展的阻力。有鑒於此,本研究設計一套半自動化的評估系統來輔助執行風險評估,以降低評估工作的困難並減少人為的錯誤。本研究實現風險評估的方法係透過提供網頁操作、網頁結合風險訓練與學習、網頁設計成方便的操作介面及指示、系統自動評估計算、自動整合資訊等五項設計原則,完成具圖形介面的跨平台評估系統,供評估人員使用。增加風險評估實務上方便性、減少推展困難。最後,將一個風險評估的實際案例,藉操作本系統實作產生風險評估文件,以證明本系統的方便與實用。本研究所提出的評估網站,可以簡單的獲得資安風險評估雛型文件,達到節省評估人力、時間與資源,具實務上的參考價值。
Applying the concept of risk management for information security management is an essential method. To make use of the information security risk assessment, an organization must understand their characteristic and goal, and choose a suitable assessment method and invest the necessary resources. However, there are four general problems in risk assessment promotion: lack of the senior manager support, lack of the qualified or suitable person to control the risk evaluation process and to perform the data analysis, without important successful examples, and participants in evaluation workshop do not have enough training and preparations. To solve these problems, this work designs a semi-automatic evaluation system to assist the implementation of the risk assessment, to reduce the difficulties and man-made mistakes. We provide a system with five design principles including web-page operation, web-based risk e-training and e-learning, auto-display operational interface and instuction, automatic assessment calculation, and integrated information enrivonment. The system owns graphical user interface for assessment and is a cross-plateform to users. It brings the convenience for practice work in risk assessment and reduces the difficulty of implementation for risk assessment. Finally, we make an example for using our system to perform risk evaluation and auto-generate the risk evaluation document, which demonstrates a practical and easier ultility for the proposed system. The proposed system makes contributions in practical assists in terms of prototypic documents of information security risk assessment, saving assessment costs and resources.
誌謝 ii
摘要 iii
ABSTRACT iv
目錄 v
表目錄 viii
圖目錄 ix
1. 緒論 1
1.1 研究背景 1
1.2 研究動機 4
1.3 研究目的 7
1.4 研究方法與步驟 8
1.5 論文架構 9
2. 相關基礎及文獻探討 10
2.1 風險評估簡介 10
2.1.1 什麼是風險 10
2.1.2 什麼是風險評估 10
2.1.3 為何需要風險評估 11
2.2 資訊安全重要概念及相關名詞定義 11
2.3 各國風險管理理念 13
2.3.1 加拿大整合性風險管理架構(IRMF, Integrated Risk Management Framework) 13
2.3.2 英國政府風險管理理念 14
2.3.3 美國國家標準與技術局(NIST) 17
2.3.4 OCTAVE 20
2.4 與本研究相同議題之網站 24
3. 資安風險評估平台發展 27
3.1 OCTAVE®-S評估析 27
3.1.1 OCTAVE®-S Method 五項程序 33
3.1.2 OCTAVE®-S風險剖繪圖 36
3.2 風險評估平台架構設計 42
3.2.1 設計原則 42
3.2.2 開發工具 47
3.3 系統設計 47
3.3.1 系統流程 47
3.3.2 功能模組劃分 49
3.3.3 系統介面設計 50
(1)頁面設計 51
(2) 確認使用模組 52
(3) 資產輸入模組 53
(4) 關鍵資產選擇模組 55
(5) 安全實務評估模組 56
(6) 威脅評量模組 58
(7) 結果建議模組 61
3.3.4 資料庫設計 64
(1) 資料庫需求分析: 65
(2) 資料庫設計概念: 66
(3) 資料庫邏輯結構設計: 69
4. 系統平台實作 75
4.1 實驗環境 75
4.2 案例說明 75
4.3 利用平台執行風險評估 76
5. 結論與未來展望 88
參考文獻 89
附錄 91
附錄壹 安全實務區域問題選項 91
附錄貳 威脅減輕計劃表 96
自傳 120
[1] 紐奧良文化事業股份有限公司,“讓資安迎朝曦前進”,2009年資安趨勢論壇專刊,6-7頁,2008。
[2] http//www.informationsecurity.com.tw/article/article_detail.aspx? aid =4902#。
[3] http://www.isecutech.com.tw/main/index.aspx。
[4] Alberts C., Dorofee A., Stevens J., and Woody C., “OCTAVE®-S Implementation Guide, Version 1.0, Volume 1: Introduction to OCTAVE®-S,” handbook CMU/SEI -2003-HB-003, CMU, U.S.A, pp. 1–19, 2005.01.
[5] Alberts C., Dorofee A., Stevens J., and Woody C., “OCTAVE®-S Implementation Guide, Version 1.0, Volume 2: Preparation Guidance,” handbook CMU/SEI -2003-HB-003, CMU, U.S.A, pp. 1–20, 2005.01.
[6] 行政院研究發展考核委員會,風險管理及危機處理作業手冊,臺北,第83-85頁,2009。
[7] ISO 17799, “Information technology - Security techniques - Code of practice for information security management,” ISO, pp.2-20, 2000.
[8] ISO 27001, “Information Technology Security Techniques Information Security Management System Requirements,” ISO, pp.2-33, 2005.
[9] 資安人,“搶先看2008 CSI電腦犯罪與安全調查報告”,資安人,第58期,第66-68頁,2008。
[10] 古步鋼、黃宏光,“加拿大政府整合性風險管理機制”,行政院研究發展考核委員會出國考察報告,臺北,2005。
[11] 行政院研究發展考核委員會,“加拿大政府整合性風險管理實務簡介”,行政院研究發展考核委員會,臺北,2008。
[12] Treasury Board of Canada, “Integrated Risk Management Framework”, Canada , 2001.
[13] 古步鋼,”英國政府風險管理推動模式” ,行政院研究發展考核委員會雙月刊,30卷,第二期,2006。
[14] 行政院研究發展考核委員會,” 英國政府風險管理之架構與改善計畫 “,2008。
[15] Stine K., Kissel R., Barker W.C., Fahlsing J., and Gulick J., “Guide For Mapping Types of Information and Information System to Security Categories,” NIST Special Publication 800-60, NIST, U.S.A, pp. 2-8, 2008.08.
[16] Stoneburner G., Goguen A., and Feringa A., “ Risk Management Guide for Information Technology Systems” , NIST Special Publication 800-30, NIST, U.S.A, pp. 2-8, 2002.
[17] Marek P.,and Paulina J., “ The OCTAVE methodology as a risk analysis tool for business resources ,” Proceedings of the International Multiconference on Computer Science and Information Technology, Poland, pp.485-497, 2006.
[18] http://www.ipa.go.jp/index-e.html。
[19] 周忠永,“應用模糊理論建構量化風險評估模型系統研究”,碩士論文,國防大學理工學院電子工程研究所,桃園,2008。
[20] 郭瑞軍、郭磬軍,”ASP.NET 2.0網站開發實例演練”,電腦人文化,2007。
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top