臺灣博碩士論文加值系統

在這個新興科技蓬勃發展的年代，使用者對資訊安全意識也逐漸地抬頭，同時過去50年間塑膠貨幣信用卡在世界各地蓬勃的發展，而且亞洲行動支付於過去10年逐漸成主流，消費者採用輕觸即付的裝置藉由與接收端的掃描或接觸即完成交易，堪稱樹立起支付的一大里程碑。但在消費者與金融平台業者之間的機密性資料傳遞是如何去進行保護的措施，而駭客的攻擊技術手法不斷的演進，在世界各地竊取的目標，通常為具有價值的信用卡資訊或個人資料。若網路金融平台業者良莠不齊，只為業績成長而沒有進行確實的審核，將徒增消費者損失。
如何保護持卡人的資料安全，本文建置了一套支付環境安全架構，透過信用卡產業資料安全標準的各項規範來進行研究及討論，根據信用卡產業資料安全標準的12項要求，探討有脆弱性的漏洞、架構上的邏輯缺陷及不安全的程序項目，建立如何以有效率及具成本效益的方法，並符合信用卡產業的資料安全規定。本研究將可幫助商家、服務供應商和發卡機構免受於安全漏洞威脅，同時提升消費者及支付產業的整體信心。

Consumer awareness of information security has gradually risen in this booming emerging technologies era. In the past 50 years, plastic currencies (credit cards) have flourished all over the world. In Asia, The mobile-payment has gradually become the mainstream of our society in the past decade. Consumers use the sensory payment to complete transactions by scanning or contacting with the receiving end. It is a great milestone for payment industry, but how to avoid exposing the sensitive data between consumers and non-bank financial institution when it comes to transaction processing time. The hacker’s malicious skills are raging around the world, which aimed at the valuable payment of sensitive data and personal information from the victims.
How to protect the data security of cardholders, this study makes a plan to implement a payment infrastructure and an environment of security framework to discuss and investigate the various specifications of payment card industry data security standards on its architecture. It is concluded from the 12 primary requirements of payment card industry data security standards which discover the vulnerabilities, structural logic defects, and unsafe program procedures. The results indicate that the point to build how to meet the criteria in an effective method and solved issues. This research can aid merchants to protect itself, service providers and credit card issuers to far away from the threat of security breaches. Meanwhile, it will increase the overall trust, confidence and better payment environment for the consumers and the payment industries.

摘要 i
Abstract ii
目錄 iii
表目錄 v
圖目錄 vi
第一章 緒論 1
第一節 研究背景 1
第二節 研究動機 3
第三節 研究範圍與目的 3
第四節 研究流程 5
第二章 文獻探討 7
第一節 信用卡產業資料安全標準 7
第二節 資訊管理系統 11
第三節 開放式網路應用軟體安全性計畫 15
第四節 作業文件基準 19
第三章 研究方法 21
第一節 研究流程及規劃 21
第二節 查核資料準備 21
第三節 軟硬體元件介紹 27
第四節 網路協定元件介紹 31
第四章 論文實作 37
第一節 架構實作 37
第二節 查核前自我評估 39
第三節 脆弱性掃描 41
第四節 實作方法 43
第五章 結論與未來研究 49
第一節 研究發現 49
第二節 研究結果 51
第三節 研究結論 55
第四節 研究貢獻 57
第五節 未來研究 57
參考文獻 59
附錄 63
要求(一)：安裝和維護防火牆組態以保護持卡人資料 63
要求(二)：不使用廠商提供的預設值作為密碼和其他參數 67
要求(三)：保護存放的持卡人資料 69
要求(四)：加密通過開放公有網路傳輸的持卡人資料 73
要求(五)：保護系統不受惡意軟體的侵害並定期更新防毒軟體和程式 74
要求(六)：開發和維護安全系統與應用程式 75
要求(七)：依業務範圍限制存取持卡人資料 81
要求(八)：識別和驗證對系統元件的存取 83
要求(九)：限制對持卡人資料的實體存取 89
要求(十)：追蹤和監控對網路資源和持卡人資料的所有存取 95
要求(十一)：定期測試安全系統和程序 101
要求(十二)：維護可滿足所有人員資訊安全的政策 106

表目錄
表1-1 PCI DSS專案變更計畫 8
表1-2 PCI DSS六大領域及十二項主要的基本要求 9
表3-1系統資訊清單 22
表3-2網路資訊清單 24
表3-3內部網路區域網清單 24
表3-4文件表單 25
表3-5漏洞評鑑系統評分標準 36
表4-1自我評估問卷商戶等級 39
表4-2自我評估問卷種類 40

圖目錄
圖1-1研究流程圖 5
圖2-1 PCI DSS的生命週期標準 10
圖2-2規劃-改善-檢查-行動循環與持續改善 12
圖2-3資訊安全管理系統ISO27001條文檢視 13
圖2-4開放式網路應用軟體安全性計畫2017年版本檢視 16
圖2-5 2017年開放式網路應用軟體安全性計畫前十大風險 17
圖2-6 CIS benchmarks文件資料庫 19
圖3-1憑證流程圖 35
圖3-2虛擬私人網路流程圖 36
圖4-1網路架構基礎建設圖 37
圖4-2進行外部脆弱性掃描的掃描資訊 41
圖4-3外部脆弱性掃描的弱點統計 42
圖4-4外部脆弱性掃描的通過認證 42
圖4-5系統服務基礎建設架構圖 43
圖4-6系統三層式架構圖 45
圖4-7系統監控服務示意圖 46
圖4-8 VPN服務連線資料流程圖 47
圖4-9授權交易流程圖 48

[1]Payment Card Industry Security Standards Council, PCI SSC OVERVIEW, Retrieved March 3, 2017, from https://www.pcisecuritystandards.org/pci_security.
[2]Payment Card Industry Data Security Standard, PCI DSS Quick Reference Guide, Retrieved February 2, 2018, from https://www.pcisecuritystandards.org/documents/PCI%20SSC%20Quick%20Reference%20Guide.pdf.
[3]Payment Card Industry Data Security Standard , Requirements and Security Assessment Procedures, Retrieved February 2, 2018, from https://www.pcisecuritystandards.org/document_library.
[4]International Organization for Standardization, ISO27001:2013 PDCA Diagram, Retrieved June 6, 2017, from http://www.conceptdraw.com/diagram/diagram-pdca.
[5]SGS Academy，ISO27001:2013 資訊安全管理系統 主導稽核員訓練課程標準，民國106年8月。
[6]OWASP community, OWASP top 10 vulnerabilities, developer Works, Retrieved 28 November 2017, from https://www.owasp.org.
[7]Center for Internet Security community, Global Security Benchmarks for Computers Connected to the Internet, Retrieved 28 March 2018 from https://www.cisecurity.org.
[8]Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman, Building Internet Firewalls, June 2000, pp. 9-27.
[9]Fortinet, Advanced, High-Performance Network Security, Retrieved 28 March 2017, from https://www.fortinet.com.tw/solutions/next_generation_firewall.html.
[10]Craig Hunt, TCP/IP Network Administration, 3rd Edition, March 2010.
[11]Cisco, Introduction to Cisco Routers, Retrieved 20 March 2018 from http://www.freeccnastudyguide.com/study-guides/ccna/ch3/3-1-introduction-to-cisco-routers-switches-ios-the-boot-process.
[12]Grant Orchard，VMware vSphere 6企業級專家手冊，民國106年7月。
[13]顧武雄，實戰VMware vSphere 6.x企業私有雲建置：異地備援x軟體定義儲存x高可用性，民國106年7月。
[14]顧武雄，Windows Server 2016實戰寶典：系統升級x容器技術x虛擬化x異質平台整合，民國106年7月。
[15]酆士昌，Microsoft® SQL Server® 2016管理實戰，民國105年12月。
[16]鳥哥，鳥哥的Linux私房菜：伺服器架設篇，民國100年9月。
[17]臥龍小三，Postfix郵件系統建置手冊，民國103年12月。
[18]Mrs. Tamara Saad Mohamed, Security of Multifactor Authentication Model to Improve Authentication Systems, Retrieved 20 February 2018 from http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.832.7576&rep=rep1&type=pdf.
[19]Fall, Kevin R./ Stevens, W. Richard, TCP/IP Illustrated: The Protocols, November 2011.
[20]詹德彥，CACTI監控實務應用，民國105年5月。
[21]陶利軍，王者歸來零當機時代使用Nagios管理伺服器網路，民國102年10月。
[22]William Stallings，網路安全精要(第三版) ，民國98年7月。
[23]Fortigate, SSL VPN cookbook Web/Tunnel, Retrieved 28 March 2017, from ookbook.fortinet.com/ssl-vpn-using-web-tunnel-mode-56.
[24]National Vulnerability Database, Vulnerability Metrics, Retrieved 10 January 2017, from https://nvd.nist.gov/vuln-metrics/cvss.
[25]OSSEC, Open Source HIDS Security, Retrieved February 2, 2018 from http://www.ossec.net.
[26]Google Authenticator, Two-Factor Authentication, Retrieved June 9, 2017 from https://link.springer.com/chapter/10.1007/978-1-4302-5783-7_14.
[27]Payment Card Industry Data Security Standard, PCI DSS Quick Reference Guide, Retrieved February 2, 2018, from https://www.pcisecuritystandards.org/pci_security/completing_self_assessment.
[28]Brett King，Bank 3.0 銀行轉型未來式，民國106年2月。
[29]何大勇、張越、劉月，實踐FINTECH，民國106年5月。
[30]Matt Walker, Certified Ethical Hacker Bundle, January 2017.
[31]張欣洋，使用PCI DSS評估程序檢視信用卡收單系統資料安全之研究¬-以某銀行為例，碩士論文，淡江大學，民國100年。
[32]吳穩男，信用卡產業資料安全標準之研究-以pcidss與iso27001為基礎，碩士論文，華梵大學，民國98年。
[33]林志昇，PCI DSS 2.0版及版本生命週期更新，電腦稽核期刊，第25期，民國101年1月，頁120-131。
[34]劉其昌，第三方電子支付安全機制與運作之效益，電腦稽核期刊，第33期，民國105年1月，頁144-152。
[35]李煒光，信用卡產業「資料安全標準」(PCI DSS) 第3.0 版之解析與因應，財經資訊期刊，第82期，民國104年4月，頁39-45。
[36]Verizon Payment Security Report - Verizon Enterprise Solutions, Retrieved February 23, 2018 from www.verizon.com.