(3.215.77.193) 您好!臺灣時間:2021/04/17 01:47
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:張添展
研究生(外文):Chang,Tien-Chan
論文名稱:安全檢測的漏洞評估系統-以M公司為案例
論文名稱(外文):The Vulnerability Assessment System of Security Detection – A case study of M corporation
指導教授:蔡銘箴蔡銘箴引用關係
指導教授(外文):Tsai, Min-Jen
口試委員:林俊宏莊清華
口試委員(外文):LIN, CHUN-HUNGCHUANG, CHING-HU
口試日期:2018-07-31
學位類別:碩士
校院名稱:國立交通大學
系所名稱:管理學院資訊管理學程
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2018
畢業學年度:106
語文別:中文
論文頁數:37
中文關鍵詞:主動探測資訊安全漏洞評估
外文關鍵詞:Active detectionInformation securityVulnerability Assessment
相關次數:
  • 被引用被引用:0
  • 點閱點閱:103
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
網際網路的普及,加速了資訊技術在各應用面的發展。近年來的資料顯示,資安事件發生的次數較以往明顯增加了不少。代表著在享受著網路帶來的便利同時,許多未知的系統弱點被發現及被用來傳染與擴散。例如:WanaCry勒索軟體利用微軟SMB協議遠端執行程式碼、Bad Rabbit勒索軟體利用FLASH漏洞可遠端執行惡意代碼。近年來資安事件發生的攻擊類型以APT(進階持續性攻擊)為主,而通常企業內部的主機會因為各種原因(系統穩定了不想異動、主機上面運行的程式老舊…等等)而不做安全性更新,造成若遭到APT攻擊時,最後等到發現時通常已損失慘重。研究資料指出,這些未知的系統風險和弱點產生原因主要來自於:系統的不良設計、操作流程導致的漏洞或是人為的疏忽所致。在有心人士的眼中,這些系統弱點潛藏著極大的利益。

資安事件發生後通常為時已晚,損失也難以追回。而且事後要追查源由通常難以還原其原貌。因此主動發現系統的弱點並加以預防是一門重要的課題。本研究以晶圓代工產業M公司為例,在未導入弱點掃瞄系統前管理人員僅能倚賴傳統的WSUS及防毒軟體保護,對主機內有哪些弱點漏洞全然不知;經驗證、測試弱掃軟體可幫助管理人員快速發現漏洞資訊及提供修補建議,對於提升企業內的資訊安全有明顯的幫助。
The popularity of the Internet has accelerated the development for various applications of information technology. According to the recent research, the numbers of information security incidents are increased significantly. While we are benefited by the conveniences of the Internet, many unknown system weaknesses were discovered, moreover used to transmit and spread. For example: The WannaCry ransomware uses Microsoft SMB protocol to remotely execute program codes. The Bad Rabbit ransomware exploits flash vulnerability to remotely execute malicious codes. In recent years, the attacked types of information security incidents are based on APT (Advanced Continuous Attack). In general, the internal host computers of the enterprises will not be updated for various reasons (the system is stable、the program running on the host is out of date, etc.). So that if enterprises are attacked by APT, the impact is disastrous for business. According to the research, these unexplainable system risks and weaknesses are mainly caused by the faulty system design, the vulnerability caused by operational processes or human negligence. Apparently, the hidden system vulnerabilities creates great benefits for attackers.

It generally causes great loss when the information security incident is discovered. Moreover, it is often difficult to trace the source and restore the original status afterwards. Therefore, it is an important lesson to actively discover the weaknesses of the system and take the preventions. This research makes a study of the M company of foundry industry. Before implementing the Vulnerability Assessment System, the administrators can only depend on the traditional WSUS and anti-virus software for warning but unaware of the weaknesses of hosts. With validations and tests, the vulnerability assessment system can support the administrators to quickly find out vulnerabilities and provide the suggestions for patches, it is
obviously helpful for improving the information security in the enterprise.
目錄
摘要 i
Abstract ii
目錄 v
表目錄 vi
圖目錄 viii
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機…………………………………………………………………………...2
1.3 研究目的 2
1.4 研究流程 4
1.5 章節說明 4
第二章 文獻探討 6
2.1 弱點的定義 6
2.2 發生弱點的原因 6
2.3 弱點生命週期 8
2.4 弱點掃瞄 9
2.4.1弱點掃瞄工具功能……………………………………………………………………………………...9
2.4.2常見的弱點掃瞄工具………………………………………………………………………….........10
2.5 資通安全資料庫 12
2.6 安全內容自動化協定 14
2.7 通用漏洞評分系統(CVSS) 16
2.8 弱掃工具:OpenVAS 20
第三章 研究方法 22
3.1 個案公司資安現況介紹 22
3.2 檢測平台導入評估 22
3.3 研究進行方法 24
第四章實驗結果與分析 26
4.1 系統建置 26
4.2 各模組功能說明 27
4.3 實作驗證 28
4.4 系統導入前後效益比較表 34
第五章結論與建議 35
5.1 研究結果探討 35
5.2 未來研究建議 35
參考文獻 37
[1] http://itcproject1.npust.edu.tw/ISMS/Lecture/資安技術/網路弱點認知(弱點生命週期).pdf, 網路弱點認知
[2]http://www.cc.ntu.edu.tw/chinese/epaper/0035/20151220_3506.html
台灣大學計算機及資訊網路中心電子報
[3] 陳志玄.自動化漏洞掃描程式產生器.逢甲大學資訊工程所碩士論文.2006
[4]https://zh.wikipedia.org/wiki/通用漏洞披露,通用漏洞披露
[5]http://www.what21.com/a/it_3_1470365835242.html,通用配置評估(CCE)
[6]https://www.digitimes.com.tw/tw/dt/n/shwnws.asp?cnlid=10&cat=55&id=100727,通用漏洞評分系統(CVSS)
[7]https://en.wikipedia.org/wiki/Extensible_Configuration_Checklist_Description_Format 可擴展配置清單描述格式
[8]http://www.dianyue.me/archives/624/nfel7tp45a1xy6ob/zh-Hant/ 開放漏洞評估語言(OVAL)
[9]https://ixyzero.com/blog/archives/3368.html,CVSS的度量指標
[10]https://ixyzero.com/blog/archives/3368.html,通用漏洞評分系統
[11]http://www.netadmin.com.tw/article_print.aspx?sn=1603090001
用開源工具檢查主機漏洞,自建OpenVAS弱點掃描
連結至畢業學校之論文網頁點我開啟連結
註: 此連結為研究生畢業學校所提供,不一定有電子全文可供下載,若連結有誤,請點選上方之〝勘誤回報〞功能,我們會盡快修正,謝謝!
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
無相關期刊
 
無相關點閱論文
 
系統版面圖檔 系統版面圖檔