臺灣博碩士論文加值系統

隨著中華民國政府在101年10月份所頒布的個人資料保護法施行細則後，無論是企業、醫療、學校或是政府機關，都開始正視個人資料安全保護的施行方針，然而在各個單位中，關聯式資料庫已儼然成為儲存最主要核心資料的位置，因此為了保障這些核心資料不會被有心人士取得，資料庫稽核系統(Database Active Monitor，簡稱DAM)將成為保護資料庫資訊安全的重要方針之一。
而目前為因應各單位中資訊環境架構、應用系統的不同，在建置上會使用多種架構來達成實行方式。在本研究中會針對以下四種模式進行探討，包含:1.側錄模式;2.代理人模式;3.穿透模式;4.閘道模式。並且針對市售的DAM系統進行功能比較分析，如:IBM、IMPERVA、Warevalley等等多家廠商的DAM系統，以提供企業在採購時的參考。
最後為符合國內個人資料庫保護法的法規條文，本研究將針對條文中所規範的保護細則，提出利用資料庫稽核系統的功能，如何達成符合法規中條文的施行方式，這方式必須包含:建立稽核政策、建立法規報表、建立告警機制、建立阻斷方法。以確保資料庫稽核系統可符合並適用於國內法規之規範。

With the Enforcement Rules of the Personal Information Protection Act announced by Republic of China in October 2012, buinesses, health carefacilities, education facilities, educational facilities, or departments of government focus more on the personal information protection.
Furthermore, among those organizations, Relational Database becomes the main place to store core data and personal information. So, to prevent those database and personal information from being breached and illegally used， Database Active Monitor, DAM, is becoming one of main means to keep database information safe.
Currently, because networking and application systems of organizations are different, several sorts of structures are used to accomplish system implementation.
This study discusses the following four models: 1.Sniffing mode, 2.Agent mode, 3.Inline mode, 4.Gateway mode. Meanwhile, for businesses and organization to refer, when they are adopting DAM system, the analysis and comparison of various system are conducted here, such as IBM, IMPERVA, Warevalley.
Finally, this study reveals how to use DAM appropriately according to the requirement of Taiwanese Personal Information Protection; in this way, following steps are adopted to achieve that: policy, report, alert and block.

中文摘要 I
Abstract II
誌謝 III
表目錄 V
圖目錄 VII
第一章 緒論 1
1.1研究背景與動機 1
1.2 研究目的 3
1.3研究範圍與限制 3
1.4 論文架構 8
第二章 建構資料庫稽核架構探討 9
2.1 側錄模式(Sniffing mode) 15
2.2 閘道模式(Gateway mode) 16
2.3 穿透模式(Inline mode) 17
2.4 代理模式(Agent mode) 19
2.5 綜合比較 20
第三章 研究設計與實施 24
3.1 研究流程及架構 25
3.2 稽核系統功能探討 27
3.3 稽核產品功能比較 40
3.4 稽核系統軟體及硬體安裝 46
3.5 測試環境設定 50
3.6 稽核政策(Audit policy)設定 55
第四章 研究結果與分析 58
4.1 功能驗證與實測 65
4.2 成果說明及研究限制 87
第五章 結論與未來研究方向 90
5.1 結論 90
5.2 未來研究方向 93
參考文獻 94

表格 1 COMMON CRITERIA的7級安全評估等級 5
表格 2 企業針對資訊安全應用工具對應表 14
表格 3 資料庫稽核架構優缺點比較表 23
表格 4 市售DAM產品列表 27
表格 5 INFOSPHERE GARDIUM 安裝技術比較表 28
表格 6 多層式架構使用者關係 31
表格 7 MULTI-TIER架構DAM資訊取得比較表 32
表格 8 DAM 佈置方式架構圖 40
表格 9DAM 資料庫支援列表 41
表格 10 DAM系統代理程式可安裝作業系統支援列表 43
表格 11 DAM 符合法規項目列表 44
表格 12 DAM符合國際法規種類 45
表格 13 測試環境主機列表及功能說明 46
表格 14稽核主機-CHAKRA MAX 47
表格 15管理伺服器 47
表格 16資料庫主機 48
表格 17終端機 48
表格 18 DAM 告警政策制定 56
表格 19 個人資料保護法與資料庫稽核對應之法條列表 59
表格 20 個資法條文與DAM功能實現對應表 63
表格 21 測試終端機環境 66
表格 22 測試資料庫表格架構 67
表格 23客戶基本資料測試表 82
表格 24 DAM主機依個資法功能驗證符合表 87
表格 25資料庫稽核系統導入評估 92
圖表 1現行企業資訊安全產品類型 9
圖表 2 企業內部防範各種工具架構示意圖 13
圖表 3 側錄模式架構示意圖 16
圖表 4閘道模式架構示意圖 17
圖表 5穿透模式架構示意圖 18
圖表 6 代理模式架構式意圖 20
圖表 7 某企業ERP系統架構示意圖，側錄模式 21
圖表 8 使用側錄模式並安裝代理程式的混合型稽核系統 22
圖表 9 資料庫稽核系統研究流程圖 26
圖表 10 IBM INFOSPHERE GARDIUM 安裝架構圖 30
圖表 11 IMPERVA SECURESPHERE 安裝架構圖 33
圖表 12 CHALET ADS安裝架構圖 35
圖表 13 COBRASONIC DBAGIES 安裝架構圖 37
圖表 14 經由授權交易示意圖 38
圖表 15 WAREVALLEY CHAKRAMAX安裝架構圖 39
圖表 16 測試環境架構圖 49
圖表 17 管理伺服器登入畫面 51
圖表 18 新增資料庫主機資訊 51
圖表 19 新增資料庫系統資訊 52
圖表 20 DAM伺服器管理群設定 53
圖表 21 基於群組所設定使用者權限 53
圖表 22 DAM伺服器管理人身份設定 54
圖表 23 CHAKRAMAX CLIENT 登入畫面 55
圖表 24 CHAKRA符合 COMMON CRITERIA認證 58
圖表 25 使用者交易範例擷圖 68
圖表 26 DAM所顯示資訊安全中5W1H資訊 68
圖表 27 前端連線使用者SQL交易語法 69
圖表 28 交易內容資料查詢 70
圖表 29 日常排程報表產出 71
圖表 30 報表排程設定畫面 72
圖表 31使用者登入錯誤警告畫面 72
圖表 32 異常行告警內容 73
圖表 33 DAM伺服器備援架構圖 75
圖表 34 DAM 執行例行性備份排程設定 76
圖表 35 DAM 每日備份結果狀態顯示 77
圖表 36 資料庫交易統計報表 78
圖表 37設定合法網段政策 79
圖表 38 非法操作警示報表 79
圖表 39 DAM 主機記錄自身異動過程 80
圖表 40 修改使用者信用卡卡號 83
圖表 41 修改後之信用卡卡號資料 83
圖表 42 查詢UPDATE 語法交易前後資料狀態 84
圖表 43動態遮罩設定方式 86
圖表 44動態遮罩結果 87

[1]中華民國法務部頒布個人資料保護(民101年10月1日)，台北市:法務部，取自: http://www.moj.gov.tw/ct.asp?xItem=282739&ctNode=28156&mp=001
[2] 黃彥棻(民97年3月7日)，認識IT採購的安全認證Common Criteria，iThome，(民97年3月7日)，取自: http://www.commoncriteriaportal.org/files/epfiles/KECS-CISS-0355-2011%20Chakra%20Max%20Core%20v2.0%20CR(Eng).pdf
[3]Chakra Max Core v2.0 Certification Report(無日期)，首爾，取自: http://www.commoncriteriaportal.org/files/epfiles/KECS-CISS-0355-2011%20Chakra%20Max%20Core%20v2.0%20CR(Eng).pdf
[4] Verizon Business，Making Our Technology Accessible to Everyone，取自:http://about.verizon.com/
[5] IDC 國際數據資訊，M2M in CEE and MEA: Results from IDC''s Enterprise Communications Survey, 2013，取自: http://www.idc.com.tw/about/index.jsp
[6] 庫柏資訊全球資訊網，資料庫活動監控系統DAM白皮書，民102年5月，取自: http://www.cobrasonic.com/tw/resource_whitebook.php?id=28
[7]Wikipedia，Telent，民102年3月14日，取自: http://en.wikipedia.org/wiki/Telent
[8] Wikipedia，SSH，民102年3月28日，取自: http://zh.wikipedia.org/wiki/SSH
[9]iMperva，Protect Critical Web Applications and Data，http://www.imperva.com/products/wsc_web-application-firewall.html
[10] 章忠信，何謂「數位權利管理(Digital Rights Management, DRM)，民102年6月，取自:
http://www.copyrightnote.org/crnote/bbs.php?board=3&act=read&id=530
[11]Wikipedia，IBM Mainframe，民102年6月，取自: http://en.wikipedia.org/wiki/IBM_mainframe
[12]iMperva，Database Security: Audit and Protect Critical Databases，民102年6月10日，取自 : http://www.imperva.com/products/dsc_database-security-and-compliance-overview.html
[13]WareValley，Premium Database Protection with WareValley，民102年7月1日，取自: http://warevalley2.1004hp.com/tw/index.asp
[14]Wikipedia，Networking TAP，民102年4月2日，取自: http://en.wikipedia.org/wiki/Network_tap