(3.238.96.184) 您好!臺灣時間:2021/05/08 21:14
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:方建鈞
研究生(外文):Jian-Jun Fung
論文名稱:防範社交工程攻擊類型之研究
論文名稱(外文):A Study for Preventing Social Engineering Attack Types
指導教授:方仁威 博士
學位類別:碩士
校院名稱:清雲科技大學
系所名稱:資訊管理所
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2012
畢業學年度:100
語文別:中文
論文頁數:62
中文關鍵詞:資訊安全管理社交工程攻擊風險評估
外文關鍵詞:Information Security Management System(ISMS)Social Engineering AttackRisk Evaluation
相關次數:
  • 被引用被引用:4
  • 點閱點閱:429
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
近年來,隨著Web 2.0概念的全面普及,促使網頁上呈現的影音與多媒體效果更加多元、互動與豐富。當前,社群網站正夯,諸如Facebook、Plurk、Twitter、無名小站、Xuite、Yam天空部落等社群網站及MSN、Yahoo!奇摩即時通、Skype、手機、Email等虛擬社群工具影響不可小噓,依據ComScore 公司截至2011年底的統計數據指出,每個月約有7.94億人造訪臉書(Facebook),每人平均花377分鐘,也就是超過6小時在使用社群網站。近來,警政署165防詐專線發現近期接續發生數起社群網站社交工程攻擊案件。有鑑於網際網路的興起,促使以往多為電子郵件類社交工程攻擊演進成現今以社群網站為主的社交工程攻擊案件正不斷翻新,若這類型的攻擊手法我們未能加以正視且強化資訊安全管理的配套作為,則類似的資安事件將不停上演,影響所及將不斷擴大,衍生的損失及傷害將難以計數。
本研究將探討有關社群網站相關的社交工程攻擊型態,將針對這類的資安事件依案例分析法做一探究與比較,並探討國際ISO/IEC 27001資訊安全管理標準中與社交工程攻擊相關之管控措施結合ISO/IEC TR 18044資訊安全事件管理標準作業流程,藉AS/NZS ISO 31000風險管理準則及指引,衡量風險發生的衝擊與機會、建置完善的評估與處理步驟等,期使相關資安事件的發生能逐漸降低,遏止相關社交工程攻擊事件一再發生。

In recent years, as Web 2.0 gains its popularity, the audio and multimedia effects on the web pages are more diverse, interactive, and abundant. Now, the social networks are hot, such as Facebook, Plurk, Twitter, Free Blog, Xuite, and Yam Blog, and MSN, Yahoo! Messenger, Skype, mobile phones, and emails have their tremendous influences which cannot be neglected. According to the statistic of ComScore company to the end of 2011, there were 794 million people visited Facebook monthly; each person spend 377 minutes, that is more than 6 hours, on social networks. Recently, 165 anti-fraud hotline of National Police Agency has found there were consecutive social network attacking cases. In view of the prosperous of the Internet, the social engineering attacking is derived from the former emails to social networks today. If we do not pay attention to and strengthen the information security management, the information security cases will repeat itself. The influences will be broadened, and the lost and damage is beyond calculation.
This research discusses the social engineering attacking related to social networks and compare these information security cases according to case analysis method. Also, we discuss the social engineering attack control measures in international ISO/IEC 27001 information security management standard and combine the standard operation procedure of ISO/IEC TR 18044 information security matters management. By the risk management regulations and guideline of AS/NZS ISO/IEC 31000, we measure the impact and chances of rick, establish complete evaluation and handling procedures, and etc. We hope that the related information security matters can be reduced and stop related social engineering attacking from happening.

中文摘要 i
英文摘要 ii
誌  謝 iii
目  錄 iv
表 目 錄 v
圖 目 錄 vi
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機與目的 2
1.3 研究方法及步驟 4
1.4 研究流程 5
1.5 論文架構與章節規劃 7
第二章 文獻探討 8
2.1 社交工程攻擊手法 8
2.2 資訊安全管理(ISMS)介紹 16
2.3 風險評估方法論 22
2.4 資訊安全事件管理 32
第三章 社交工程攻擊手法個案研究 35
3.1 電子郵件社交工程攻擊案例 35
3.2 社群網站社交工程攻擊案例 38
3.3 電子郵件與社群網站社交工程攻擊分析 45
第四章 社交工程攻擊型態分析與因應建議 48
4.1 社交工程攻擊型態分析 48
4.2 因應建議 52
第五章 結論與建議 54
5.1 研究結果 54
5.2 後續研究建議 55
參考文獻 57
簡 歷 62


[1]方仁威、方建鈞,「社交工程電子郵件攻擊類型之研究」,2011資訊管理實務研討會論文集,桃園縣,民國一○○年五月六日。
[2]方仁威、隨得書,「資安事件管理機制之研究」,2006年空軍官校航空安全暨危機管理學術研討會論文集,高雄縣,民國九十五年十月二十日。
[3]方仁威、余俊賢,「內部網路遭駭客攻擊方式與防護之研究(A Study on Intranet Attacks and Defense)」,國防通信電子及資訊期刊,第七期,民國九十三年十一月出版。
[4]王旭正、林曾祥、林宜萱,「社交工程式網路釣魚之數位鑑識與證據保存研究」,台灣商管與資訊研討會論文集,台北大學主辦,頁49-51,民國九十五年。
[5]古紀萱,「探討落實ISO/IEC 27001之基準-以個人資料安全為例」,華梵大學,碩士論文,民國九十七年。
[6]吳喜琳,「以ISO/IEC 27001控制標準評估個人資料保護法的資訊安全管理」,台灣科技大學,碩士論文,民國一○○年。
[7]林坤正,「以詐騙集團攻擊國內購物平台業者個案,探討企業危機管理 - 以PayEasy的防詐措施為例」,台灣大學,碩士論文,民國九十八年。
[8]林麗英,「資訊安全管理系統績效評估之研究 - 以檔案管理局為例」,朝陽科技大學,碩士論文,民國九十九年。
[9]高大宇、曾俊傑、王旭正,「基植管理循環為基礎之社交工程事件鑑識分析研究」,前瞻科技與管理1卷1期,頁85-98,民國一○○年五月一日出版。
[10]高大宇、王旭正、曾俊傑 ,「PDCA管理循環-以社交工程資安演練的紀錄分析為例」,犯罪偵查學術與實務研討會論文集,民國九十九年十月十四日。
[11]高聲凱,「電腦網路犯罪之防制」,網際網路趨勢研討會論文集,民國九十七年。
[12]陳嘉玫,「網路安全的社交工程」,科學發展期刊第461期,民國一○○年五月出版。
[13]陳志誠、曾繼興,「強化身份驗證與網路釣魚攻擊之研究-以網路銀行OTP機制為例」,第十屆資訊管理暨警政資訊實務研討會論文集,頁398-404,民國九十五年。
[14]陳志誠、林淑瓊、李興漢、許派立,「資訊資產分類與風險評鑑之研究—以銀行業為例」,資訊管理學報,第十六卷,第三期,頁55-84,民國九十八年七月出版。
[15]陳昌琪,「以動態密碼防制網路釣魚詐騙」,台灣科技大學,碩士論文,民國九十七年。
[16]陳炳彰、張耀升,「運用監控工具與入侵偵測於即時通訊以防治蠕蟲之設計」,資訊科技國際研討會論文集,民國九十八年四月。
[17]陳盈成,「外商銀行業資訊安全管理之研究-以A銀行為例」,淡江大學,碩士論文,民國一○一年。
[18]楊燿州,「模糊理論應用於科技研發風險管理之研究-以飛行器發動機為例」,逢甲大學,碩士論文,民國九十二年。
[19]曾百川,「網路詐欺犯罪歷程之質化研究」,中央警察大學,碩士論文,民國九十五年。
[20]雷勝強、陸繼雄,國際工程風險管理與保險,淑馨出版社出版,民國八十八年。
[21]劉家明,「風險評鑑方法應用於電子郵件系統之研究」,華梵大學,碩士論文,民國九十五年。
[22]劉邦威,「P2P殭屍網路之適應性防禦機制」,中原大學,碩士論文,民國九十八年。
[23]廖有祿,「電腦犯罪特性分析之研究」,資訊、科技與社會學報第1期,頁119-133,民國九十年出版。
[24]吳永彬,「網際網路惡意網站偵測機制之研究」,高雄第一科技大學,碩士論文,民國九十六年。
[25]禇麗絹,「以策略觀點探討組織資訊安全管理系統之導入與管理模式」,風險社會與安全管理學術研討會論文集,中央警察大學、政治大學共同主辦, 頁243-254,民國九十五年。
[26]潘天佑,資訊安全概論與實務,第二版,碁峰資訊股份有限公司,民國一○○年。
[27]樊國楨、方仁威、林勤經,「網路犯罪事件淺析-以駭客入侵事件為例」,資通安全概論專書之第三章「系統安全」,行政院國家科學委員會技術資料中心出版之通資安全專輯之二,頁49-51,民國九十一年。
[28]樊國楨,資通安全專輯之五-資訊安全風險管理,行政院國家科學委員會技術資料中心,民國九十二年。
[29]蘇英傑,「導入ISO/IEC 27001對資訊科技管理之影響」,元智大學,碩士論文,民國九十七年。
[30]吳詠平、黎百代、廖炳棋連線報導,「朱木炎上網疑遭色騙」,蘋果日報,民國九十四年五月十日。
[31]記者何宗龍卅台北報導,「奧運廣告商 拚社群媒體金戰場」,中央社,民國一○一年四月十九日。
[32]記者洪素卿卅台北報導,「yes123調查卅320萬上班族 平均每日掛網摸魚1.3小時」,自由時報,民國九十八年十一月二十三日。
[33]記者陳賢義卅台東報導,「臉書帳目 遇「駭」遭盜刷」,自由時報,民國一○一年四月十六日。
[34]記者林郁平卅台北報導,「網路病毒林來瘋,小心doc檔」,中國時報,民國一○一年三月十八日。
[35]記者吳佳穎卅台北報導,「用小賈斯汀名氣,駭客臉書行騙」,中央社,民國一○○年八月二日。
[36]記者陳淑芬卅台中6日電,「上臉書找綁架對象 4男起訴」,中央社,民國一○一年四月六日。
[37]記者張亞萱/台北報導,「臉書詐騙多 網友務謹慎提供資訊」,台灣醒報,民國一○○年五月十一日。
[38]記者余曉惠/綜合外電,「防洩密摸魚 德企禁臉書、推特」,經濟日報,民國九十九年十月二十五日。
[39]行政院主計處(2003)臺灣社會發展趨勢調查報告,行政院主計處,民國九十二年。
[40]行政院研考會,行政院及所屬各機關資安事件通報應變作業規範,民國九十四年。
[41]Check Point軟體技術有限公司(納斯達克:CHKP),「社交工程引發的資安風險」(The Risk of Social Engineering on Information Security) 全球調查報告,民國一○○年七月到八月。
http://www.checkpoint.com/press/downloads/social-engineering-survey.pdf
[42]InsightXplorer,網路測量研究,創市際市場研究顧問公司調查社群網站與電子郵件使用狀況,民國九十九年十二月。
[43]AS/NZS, “Risk Managemend”, AS/NZS 4630, 1999.
[44]AS/NZS ISO 31000, “Risk managemet - Principles and guidelines”, Standards , 2009.
[45]Andrew Ren-Wei Fung, Kwo-Jean Farn, and Abe C. Lin, “A Study on the Certification of the Information Security Management Systems”, Computer Standards & Interfaces. Vol. 25, pp. 447 - 461, 2003.
[46]Bruce Schneier,“Secrets & Lies: Digital Security in a Networked World”, Wiley Computer Publishing, 2000.
[47]Christopher M. King, “SEM : Navigating the Seas of Security Event Data”, Network Magazine, 2004. http://www.networkmagazine.com.
[48]Carl Timm, Richard Perez, “Phishing Attacks”, Seven Deadliest Social Network Attacks, Pages 43-61, Syngress, Boston, 2010.
[49]Dedijer S, “Social Engineering of Intelligence for Development”, Document No.6 at the Meeting on the Knowledge Industry and the Process of Development. OECD Development Center, Paris, pp.1-59, 1980.
[50]Duff, “Social Engineering in the Information Age”, The Information Society, 21(1),67 - 71, 2005.
[51]Deming, W.E, Quality, “Productivity and Competitive Position”, Cambridge. Mass:MIT-CAEA, 1982.
[52]Eloff JHP, Labuschagne L, Badenhorst KP, “A comparative framework for risk analysis methods”, Computers & Security, vol 12, no 6, pp 597–603,1993.
[53]Hadnagy C, “Social Engineering: The Art of Human Hacking, Indianapolis”, US:Wiley , 2010.
[54]ISO, “Information technology - Security techniques-Information security management systems”, ISO/IEC 27001, ISO, 2005.
[55]ISO, “Information technology - Security techniques-Information security incident management”, ISO/IEC TR 18044, ISO, 2004.
[56]Jie Lu, Lakhmi C.Jain, Guangquan Zhang, “Handbook on Decision Making : Vol 2: Risk Management in Decision Making”, Springer-Verlag Berlin and Heidelberg.,2012.
[57]John Leyden. , “Rogue apps ''worst Facebook feed malware baddies”, The Register. ,2010.
http://www.theregister.co.uk/2010/11/24/facebook_malware_survey/
[58]Kak A., “Mounting Targeted Attacks with Trojans and Social Engineering - Cyber Espionage”, Lecture Notes on Computer and Network Security, April 9, 2010. http://cobweb.ecn.purdue.edu/~kak/compsec/NewLectures/Lecture29.pdf
[59]Kevin Mitnick D, Simon, William L, “The Art of Deception : Controlling the Human Element of Security” , 1ST ED , John Wiley & Sons Inc,2002.
[60]Lena Laribee, “Development of methodical social engineering taxonomy project,” Naval postgraduate school, Master''s Thesis,2006.
[61]Ligh M, Adair S, Hartstein B and Richard M, “Malware Analyst’s Cookbook and DVD: Tools and Techniques for Fighting Malicious Code”, Indianapolis, IN, US:Wiley , 2010.
[62]NW3C,“IC3 Internet Fraud - Crime Report”, pp. 1-30, 2004.
[63]Niklas Luhmann ,“Risk: A Sociological Theory,” Walter de Gruyter Publishing, 1993.
[64]O''Hanlon, C. “The Criminal Mind”, ACM Queue,9(4),7. , 2006.
[65]Pfleeger, C. P., “Security in Computing ”,2nd ed., Prentice Hall, New Jersey, 1996.
[66]Raman, K.“Ask and you will receive”, McAfee Security Journal Fall, pp. 9-12, 2008.
[67]Tamara Dinev. “Why Spoofing Is Serious Internet Fraud”, Communications of ACM, Pages 76-82, Volume 49, Issue 10, 2006.
[68]The Committee of Sponsoring Organizations of the Treadway Commission, “Internal Control-Integrated Framework” ,COSO, New York:AICPS, 1992.
[69]The Committee of Sponsoring Organizations of the Treadway Commission, “Enterprise risk management – integrated framework”, COSO Publications, 2004.
[70]Whitman ME, Mattord HJ , “Management of Information Security”, 2nd edn.Course Technology., 2007.


QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
系統版面圖檔 系統版面圖檔