跳到主要內容

簡易檢索 / 詳目顯示

回結果列表
研究生: 顏小娟
Hsiao Chuan Yen
論文名稱: 應用錯誤樹分析方法獲取組織資訊安全需求之研究
A Study of Appling Fault Tree Analysis to Acquire the Security Requirements of An Information System
指導教授: 周宣光
Shrane Koung Chou
朱惠中
Huei-Chung Chu
學位類別: 碩士
Master
系所名稱: 商學院 - 資訊管理學系
Department of Management Information System
論文出版年: 2003
畢業學年度: 91
語文別: 中文
論文頁數: 104
中文關鍵詞: 資訊安全錯誤樹分析
外文關鍵詞: Information Security, Fault Tree Analysis
相關次數: 點閱:248下載:0
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 根據研究報告調查發現,即使組織已經使用了安全機制仍無法完全阻止危害組織資訊安全事件的發生,這是因為組織的資訊安全管理是一個不斷改善的過程,並不是使用了安全防護措施之後,就可以高枕無憂,除了架構安全防護機制外,還需要去分析資訊的機密性、完整性或可得性等是否真能夠受到保護?所使用的安全機制是否真能解決組織的資訊安全問題?或是所提供的安全程度是否能接受等?

    為了解決上述等問題,本研究希望從管理的角度切入,應用錯誤樹分析方法在資訊安全管理的領域上,希望藉由此方法幫助管理者獲知組織的資訊安全需求,然後透過資訊安全管理不斷改善的過程,改善組織資訊安全的弱點,提高組織安全的可靠度。

    依據研究架構,結合BS7799此資訊安全管理標準,並應用錯誤樹分析方法,將資訊安全政策轉換為資訊安全模型,由此資訊安全模型作進一步的定性與定量分析;本研究利用錯誤樹分析方法的六個步驟,實際模擬組織資訊安全需求獲得的過程,並透過分析的結果,幫助組織從中獲取資訊安全的需求,找出資訊安全的弱點,作為組織資訊安全改進的參考與依據。

    As the investigate report dictated, the degree of security of an information system does not only depend on the security mechanism installed by the organization. It is a continuous and recursive procedure. Most researches are technique-oriented currently. In order to adjust this bias, this research propose a new approach, which is from the management perspective.

    BS7799 is used for the information security policy reference. FTA is used to build up the information security model and acquire the requirements of an information system and verify its effectiveness. The result can promote the reliability of the information system and reduce the vulnerability of the system too.

    目 錄
    第一章 緒論 1
    第一節 研究背景與動機 1
    第二節 研究目的 3
    第三節 研究流程 4
    第二章 文獻探討 5
    第一節 資訊安全問題的架構 6
    第二節 資訊安全的重要概念 11
    第三節 資訊安全政策 15
    第四節 資訊安全風險分析方法 22
    第三章 研究架構與方法介紹 30
    第一節 研究架構 30
    第二節 錯誤樹分析方法介紹 32
    第三節 定量分析的數據資料 48
    第四節 工具軟體簡介 55
    第四章 資料分析與討論 57
    第一節 定義階段,定義頂端事件 57
    第二節 資料收集及瞭解階段 61
    第三節 圖形建立階段,建立錯誤樹 77
    第四節 定性分析階段 90
    第五節 定量分析階段 96
    第六節 系統改進階段 101
    第五章 結論與建議 102
    第一節 結論 102
    第二節 研究限制與建議 103
    參考文獻 105

    圖目錄
    圖 1 1: 研究流程圖 4
    圖2 1:層級式的分析架構 6
    圖2 2:三階段架構 7
    圖2 3:資訊安全的四階層架構 9
    圖2 4:資訊安全服務 13
    圖2 5:ISO/IEC TR13335-3定性分析整體流程 23
    圖2 6:威脅、弱點、控制的運作關係圖 24
    圖3 1:研究架構圖 32
    圖3 2:建構錯誤樹模型的步驟 39
    圖3 3:與閘的簡化 40
    圖3 4:或閘的簡化 40
    圖3 5:排斥或閘的轉換 41
    圖3 6:禁止閘的轉換 41
    圖3 7:優先與閘的轉換 42
    圖3 8:至少閘的轉換 42
    圖 3 9: 定性分析範例圖 44
    圖3 10:與閘(AND Gate) 47
    圖3 11:或閘(OR Gate) 47
    圖3 12:成本效益比與可靠度的關係 48
    圖 3 13: 故障故障的型態—浴盆曲線(The Bathtub Curve) 50
    圖3 14:錯誤機率的指數分配模型 51
    圖3 15:產生衝擊對照表 55
    圖3 16:發生機率對照表 55
    圖3 17:工具軟體 — SAPHIRE Projects 56
    圖4 1:資訊安全的組成構面 60
    圖4 2:責任性服務錯誤的範例 61
    圖4 3:資訊安全問題的三維關係模型 62
    圖4 4:責任性服務的三維關係模型 64
    圖4 5:威脅的分類圖 76
    圖4 6:因素與衡量指標模型 78
    圖4 7:建立錯誤樹模型的概念性架構 79
    圖4 8:資訊安全錯誤樹圖形 80
    圖4 9:資訊安全錯誤樹圖形 81
    圖4 10:責任性服務的錯誤樹模型 82
    圖4 11:責任性服務錯誤樹的部份模型 84
    圖4 12:可得性服務的錯誤樹模型 84
    圖4 13:可得性服務的錯誤樹模型 85
    圖4 14:機密性服務的錯誤樹模型 86
    圖4 15:機密性服務的錯誤樹模型 88
    圖4 16:責任性服務錯誤樹模型 92

    表目錄
    表2 1:資訊安全規範分析比較表 15
    表2 2:BS7799之10個控管要點及127個控管措施 17
    表2 3:分析策略適用時機比較 23
    表2 4:GAO對威脅發生機率與影響程度的分類 27
    表2 5:風險評估矩陣(Risk Assessment Matrix) 27
    表2 6:風險等級矩陣(Risk Level Matrix) 28
    表2 7:風險分析模式比較 29
    表3 1:事件符號 36
    表3 2:邏輯符號 37
    表3 3:轉移符號 38
    表 3 4: 傳統元件的故障率資料 51
    表 3 5: 傳統人為操作的錯誤率資料 52
    表4 1:資訊安全服務與資訊威脅的關係 64
    表4 2:資訊安全服務與安全機制的關係 65
    表4 3:BS7799的127個控制項目發生的機率值 66
    表4 4:錯誤樹的說明 81
    表4 5:責任性服務錯誤樹中各符號的說明 82
    表4 6:可得性服務錯誤樹中各符號的說明 85
    表4 7:機密性服務錯誤樹中各符號的說明 86
    表4 8:完整性服務錯誤樹中各符號的說明 88
    表4 9:責任性服務錯誤樹的定性分析結果 93
    表4 10:基本事件的重要性衡量(由大到小) 99
    表4 11:最小切割集的重要性衡量(由大到小) 101

    參考文獻
    英文部份:
    [1] GAO, Information Security Risk Assessment Practices of Leading Organizations, GAO/AIMD-00-33, 1999
    [2] ITSEC, Information Technology Security Evaluation Creiteria), Version 1.2, The European Commission, 1991
    [3] Maiwald E., Network Security: A Buginner’s Guide, The McGraw-Hill Companies, Inc., 2001
    [4] NIST, Risk Management Guide for Information Technology Systems, Special Publication 800-300, 2001
    [5] OECD, OECD Guidelines for the Security of Information System and Networks: Toward a Culture of Security, 2002
    [6] Peliter R. T., Information Security Risk Analysis, AUERBACH, 2001
    [7] Rada R., HIPAA @ IT Reference: Health Information Transactions, Privacy, and Security, Hypermedia Solutions Limited, 2003
    [8] Vesely W. E. and Goldberg F. F. and Roberts N. H., Fault Tree Handbook, University of Washington, 1981
    [9] Bertino E., “Data Security,” Data & Knowledge Engineering 25, 1998
    [10] BSI BS 7799-2, “Information Security Management-Part 2: Specification for Information Security Management Systems,” 2002
    [11] Clements P. L., “Fault Tree Analysis,” JACOBS SVERDRUP, 4th Edition, 2002
    [12] CSI/FBI, “Computer Crime and Security Survey,” 2002
    [13] Faber Prof. M. F., “Logical Tree in Risk Analysis an Introduction,” 2001
    [14] Fussel J.B. and Vesely W. E., “A New Methodology for Obtaining Cut Sets for Fault Trees,” American Nuclear Society Transactions, 1972
    [15] Helmer G. et al., “A Software Fault Tree Approach to Requirements Analysis of an Intrusion Detection System,” 2000
    [16] Irvine C. and Levin T., “Toward a Taxonomy and Costing Method for Security Services,” 1999
    [17] ISO/IEC TR13335-3, “Information Technology – Guidelines for the management of IT Security – Part3: Techniques for management of IT Security,” 1998
    [18] Knorr K. and Rohrig S., “Security Requirements of E-Business Process,” 2001
    [19] Moberg F., “Security Analysis of an Information System Using an Attack Tree-based Methodology”, 2000
    [20] Olovsson T., “A Structured Approach to Computer Security,” 1992
    [21] Opplgier R. and Hogrefe D., “Security Concepts for Corporate Networks,” 2002
    [22] Wang C. and Wulf W., “Towards a Framework for Security Measurement,” 1995
    [23] “Introduction to Security Risk Analysis and Security Risk Assessment,” http://www.security-risk-analysis.com/

    中文部份:
    [1] 中國國家標準,「CNS17799資訊技術-資訊安全管理之作業要點」,經濟部標準檢驗局印行,2002年12月
    [2] 中國國家標準,「CNS17800資訊技術-資訊安全管理系統規範」,經濟部標準檢驗局印行,2002年12月
    [3] 李乾銘,「可靠度技術的執行與策略」,財團法人中衛發展中心,2002年8月
    [4] 張盛益、許美玲譯,「電腦安全的威脅與對策」,資訊工業策進會,1995年1月
    [5] 鈴木順二郎、牧野鐵治、石坂茂樹著,先鋒可靠度研究小組譯,「FMEA、FTA實施法」,先鋒企業管理發展中心,2000年6月
    [6] 鄧永基,「BS7799 part1 and part2-2002」,台北:BSiPacific台灣分公司,2002年
    [7] 謝財源、張忠孝、鐘清章、邱柏松、王英一等譯,「可靠度管理手冊」,中華民國品質管制學會,1990年四月
    [8] 古政元、蔡逢裕,「軟體開發之風險評估系統」,第三屆產業資訊管理暨新興科技學術研討會,2002年
    [9] 林勤經、樊國楨、方仁威、徐士坦,「網際網路發展與應用環境之安全標準芻議」,國防通信電子及資訊季刊第2期,2002
    [10] 葉明哲、廖耕億,「資訊系統風險分析方法之現況與展望」,第三屆產業資訊管理暨新興科技學術研討會,2002年
    [11] 林雅惠,「FEMA與FTA技術於可靠度應用之研究」,國立台灣科技大學管理技術研究所工業管理學程碩士論文,1999年6月
    [12] 曾淑惠,「以BS7799為基礎評估銀行業的資訊安全環境」,私立淡江大學資訊管理系碩士論文,2002年6月
    [13] 劉永禮,「以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究」,元智大學工業工程與管理研究所碩士論文,2002年6月

    無法下載圖示 此全文未授權公開
    QR CODE
    :::