臺灣博碩士論文加值系統

根據全球經濟論壇於2019全球風險研究報告中指出，已經將網路攻擊、關鍵資訊基礎設施破壞列為國家級重大風險，其中網路攻擊與資料竊盜與詐欺及恐怖攻擊有高度風險的關聯性，都將會嚴重影響企業營運。近年來企業未能解決資訊安全的問題，是因為企業運用縱深防禦概念，都是依賴技術所構成的資訊安全基礎為核心，透過技術類型的控制措施，來防護企業重要資訊資產，雖然技術控制措施有助於緩解某些類型的風險，但是不可能彌補不足的管理或是錯誤的流程。

因此本研究藉由企業規劃資訊安全策略時，透過風險管理流程，將風險控制在可以接受的程度內，識別潛在的風險與可能會發生的相關影響，並根據企業的業務目標來確認優先順序，確保企業重要資訊資產受到剛剛好的資訊安全防護，將風險降到可接受的程度。透過全面性的資訊安全策略，覆蓋到所有流程、人員、技術，包括控制目標、實施控制、成本效益、可行性分析等，並制定內部控制措施來防禦與偵測及應付任何發生的資安事件，並能迅速恢復。

According to the World Economic Forum (WEF, 2019), the Global Risk Report highlights cyber-attacks, and critical information infrastructure breakdown as national major risks. It is important to notice that cyber-attacks, data theft and fraud, and terrorist attacks have correlation in terms of high risk, which seriously affects business operation. Until recent years, the issue of information security has not been solved. It is because most companies adopted the concept of defence in depth, which relies on the core of technology, to protect assets of important business information through technical control measures. While the measures can help alleviate certain types of risks, it is impossible to compensate for the poor management or the wrong procedure.

Therefore, the purpose of this paper is to examine a company’s strategies of information security, in which potential risks and related impacts can be identified and controlled through the procedure of risk management and to prioritize the protective strategies of the company’s information security based on its business goal. A comprehensive strategy of information security must consist of the process, personnel, techniques, objectives, implementation, cost-effectiveness, analysis of feasibility and so on. To develop strategies of internal control defends, detects, and responds to any incidents of information security and can make the security restored promptly.

目 錄
摘要 I
ABSTRACT II
誌謝 III
第一章 緒論 1
1.1 研究背景與動機 1
1.2 研究目的 4
1.3 研究流程和方法 7
1.4 研究限制 8
第二章 文獻探討 9
2.1 網路攻擊威脅 9
2.2 縱深防禦機制 15
第三章 企業縱深防禦機制 19
3.1 企業治理 19
3.2 駭客思維的防禦角度 24
3.3 資訊安全政策 25
3.4 風險管理 26
3.5 資訊安全管理控制 30
3.6 持續監控 32
第四章 研究結論與未來研究方向 37
4.1 研究結論 37
4.2 未來研究方向 41
參考文獻 42

中文文獻
哈繼昇（2005），區域網路安全防護模型之研究，國防管理學院國防資訊研究所
碩士論文。
林福中（2006），以三階區域聯防與分層攔截之觀點建立資安防護管理架構，國立臺灣科技大學資訊管理系碩士論文。
周建志（2010），由風險管理理論探討組織之資訊安全作為，國防大學戰略研究所碩士論文。
徐韻修（2018），資安監控中心為基礎之網路資訊系統縱深防禦架構之研究，國防大學資訊管理學系碩士論文。
郭崇信（2002），網路安全多層次聯防動態控管機制之研究，國防管理學院國防資訊研究所碩士論文。
張一善（2015），建構端點設備上APT攻擊防禦機制之研究，國立臺北教育大學資訊科學系碩士班碩士論文。
郭豐緖（2017），強化企業網路安全之關鍵成功因素以電信業為例，國立臺灣科技大學資訊管理系碩士論文。
曾宇瑞（2000），網路安全縱深防護機制之研究，國立中央大學資訊管理系碩士論文。
黃泓文（2010），應用於網路安全之「整合性縱深防禦架構」分析與研究，國防大學理工學院資訊科學碩士班碩士論文。
彭俊雄（2015），企業資訊安全防護實作探討以金融業為例，國立臺北科技大學管理學院資訊與財金管理EMBA專班碩士論文。
鄧樹勤（2007），資訊安全監控中心以存取控制與記錄日誌為基之多層次防護機制研究，國防管理學院國防資訊研究所碩士論文。
 
英文文獻
Shamim, A., Fayyaz, B., and Balakrishnan, V. (2014),Layered Defense in Depth Model for IT Organizations, ICCET’2014, Malaysia
Bass, T.,and Robichaux, R. (2001),Defense-in-depth revisited: qualitative risk analysis methodology for complex network-centric operations, MILCOM 2001,USA
Pudelek, J.,and Hill, K. (2019),End-User Security: A Cornerstone of Defense-in-Depth Cybersecurity Solutions, NLIT 2019,USA.
Dutta, A.,and Al-Shaer, E. (2019),Cyber defense matrix: a new model for optimal composition of cybersecurity controls to construct resilient risk mitigation, HotSoS '19,USA.
 
網路部分
Allianz (2019)，Allianz Risk Barometer 2019，2019/5/20取自https://www.agcs.allianz.com/news-and-insights/news/allianzriskbarometer2019.html
AWS網站 (2019)，什麼是 DDOS 攻擊，2019/5/20取自https://aws.amazon.com/tw/shield/ddosattackprotection
CRC Press (2009)，Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement，Krag Brotby，2019/5/20取自https://www.crcpress.com/InformationSecurityManagementMetricsADefinitiveGuidetoEffective/BrotbyCISM/p/book/9781420052855
EYGM Limited，EY Global Information Security Survey 2015，2019/5/20取自
https://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2015/$FILE/ey-global-information-security-survey-2015.pdf
Gartner (2017)，Five Styles of Advanced Threat Defense，2019/5/20取自https://www.gartner.com/International Organization for Standardization （ISO），2018，ISO 31000:2018 Risk management Guidelines，https://www.iso.org/standard/65694.html
Information Systems Audit and Control Association （ISACA）(2012)，COBIT 5，2019/5/20取自http://www.isaca.org/COBIT/Pages/COBIT5.aspx
Information Systems Audit and Control Association （ISACA）(2009)，Business Model for Information Security （BMIS），2019/5/20取自http://www.isaca.org/KnowledgeCenter/Research/Documents/IntroductiontotheBusinessModelforInformationSecurity_res_Eng_0109.pdf
Information Systems Audit and Control Association（ISACA）(2016)，Certified Information Security Manager（CISM），2019/5/20取自http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx
iThome網站 (2016)，勒索軟體危害範圍擴大，臺灣今年首季超過250家企業遇害，2019/5/20取自https://www.ithome.com.tw/news/107144
iThome網站 (2019)，2019企業資安大調查，2019/5/20取自https://www.ithome.com.tw/article/129719
iThome網站 (2016)，2.5萬監視器成DDoS殭屍網路大軍，2019/5/20取自https://www.ithome.com.tw/news/106745
krebsonsecurity (2012)，The Scrap Value of a Hacked PC，2019/5/20取自https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Lockheed Martin (2017)，The Cyber Kill Chain，2019/5/20取自https://www.lockheedmartin.com/enus/capabilities/cyber/cyberkillchain.html
Management Review (1981)，There's a S.M.A.R.T. way to write managements's goals and objectives，2019/5/20取自https://community.mis.temple.edu/mis0855002fall2015/files/2015/10/S.M.A.R.TWayManagementReview.pdf
National Institute of Standards and Technology（NIST）(2018)，Cybersecurity Framework，2019/5/20取自https://www.nist.gov/cyberframework/framework
National Institute of Standards and Technology（NIST）(2012)，Managing Information Security Risk （NIST SP 800-39），2019/5/20取自https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication80039.pdf
National Institute of Standards and Technology （NIST）(2012)，Guide for Conducting Risk Assessments （NIST SP 800-30），2019/5/20取自https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication80030r1.pdf
National Institute of Standards and Technology （NIST）(2013)，Recommended Security Controls for Federal Information Systems （NIST SP 800-53），2019/5/20取自https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication80053r4.pdf
OWASP (2017)，OWASP Top 10 2017，2019/5/20取自https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
World Economic Forum (2019)，WEF Global Risks Perception Survey 2018–2019，2019/5/20取自http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
科技報橘網站 (2018)，Frost & Sullivan 2018/5 研究報告《了解亞太地區網路安全威脅樣貌：在數位世界打造更安全的現代化企業》，2019/5/20取自https://buzzorange.com/techorange/2018/07/03/microsoft3653/
行政院國家資通安全會報 (2017)，資安管理法，2019/5/20取自https://nicst.ey.gov.tw/Page/EB237763A1535D65
中華民國銀行公會 (2018)，金融業金融機構辦理電子銀行業務安全控管作業基準，2019/5/20取自https://www.ba.org.tw/PublicInformation/Detail/2745
趨勢科技網站 (2019)，駭客攻擊金融機構的手法和技巧（含歷年重大攻擊事件表），2019/5/20取自https://blog.trendmicro.com.tw/?p=59601
趨勢科技網站 (2019)，2019年資安年度預測報告，2019/06/05取自https://blog.trendmicro.com.tw/?p=58307
趨勢科技網站 (2016)，什麼是分散式阻斷服務（DDoS）攻擊，2019/5/20取自https://blog.trendmicro.com.tw/?p=16497
趨勢科技網站 (2018)，企業常遇到的四種網頁注入（Web Injection）攻擊，2019/5/20取自https://blog.trendmicro.com.tw/?p=57572
國立台灣大學計算機及資訊網路中心電子報 (2015)，淺談社交工程與APT攻擊，2019/5/20取自http://www.cc.ntu.edu.tw/chinese/epaper/0035/20151220_3504.html
財團法人國家實驗研究院科技政策研究與資訊中心 (2019)，2019年全球風險報告：第14版，2019/6/05取自https://outlook.stpi.narl.org.tw/index/detail?id=99044
行政院國家資通安全會報技術服務中心 (2016)，攻擊趨勢與常見攻擊手法，2019/5/20取自http://download.nccst.nat.gov.tw/attachfilenew/議題1_攻擊趨勢與常見攻擊手法.pdf
行政院國家資通安全會報技術服務中心 (2014)，網際攻擊狙殺鍊，2019/5/20取自http://download.icst.org.tw/attachfilearticles/網際攻擊狙殺鍊.pdf
行政院國家資通安全會報技術服務中心 (2017)，資通安全技術報告，2019/5/20取自https://download.nccst.nat.gov.tw/attachfilenew/107年第4季資通安全技術報告.pdf
微軟與Frost & Sullivan (2018)，了解亞太地區網路安全威脅樣貌：在數位世界打造更安全的現代化企業，2019/5/20取自https://news.microsoft.com/zh-tw/frost-sullivan/