1 / 73

資訊技術安全保證初探

資訊技術安全保證初探. 一、前言 二、資訊安全保證框架 三、資訊安全防護處理(代結論). 鈺松國際資訊股份有限公司 樊國楨 中華民國九十年十二月. 世界經濟合作暨發展組織相關活動. 一、1992年11月26日,世界經濟合作暨發展組織( Organization for Economic Cooperation and Development, OECD) 24 個會員國採用了1990年由資訊電腦與通訊政策 ( Information,Computer and Communication Policy,

layne
Télécharger la présentation

資訊技術安全保證初探

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 資訊技術安全保證初探 一、前言 二、資訊安全保證框架 三、資訊安全防護處理(代結論) 鈺松國際資訊股份有限公司 樊國楨 中華民國九十年十二月

  2. 世界經濟合作暨發展組織相關活動 一、1992年11月26日,世界經濟合作暨發展組織(Organization for Economic Cooperation and Development, OECD) 24個會員國採用了1990年由資訊電腦與通訊政策 (Information,Computer and Communication Policy, ICCP)組織的專家小組,經過 20 個月 ,6次會議訂定之資 訊系統安全指導方針 (Guidelines for Security of Information Systems)之評議會提案。 二、OECD之會員國均參考OECD訂定之「資訊安全指導方針」 ,塑建可信賴的資訊系統使用環境中(例:英國之BS 7799 ,ISSA之GSSP等)。

  3. GSSP中之資訊安全原則(Principles) 1. 普遍性(Pervasive)原則(遵照OECD之資訊系統安全指導方針) : 1.1 可說明性(Accountability)原則。1.2 知曉(Awareness)原則。1.3 倫理(Ethics)原則。1.4 多層面紀律(Multidisciplinary)原則。1.5 成正比(Proportionality)原則。1.6 整合(Integration)原則。1.7 適時(Timeliness)原則。1.8 重覆評鑑(Reassessment)原則。1.9 民主(Democracy)原則。 2. 廣泛功能性(Broad Functional)原則。 3. 詳細性(Detailed)原則。

  4. 通資訊安全評估作業示意說明 自訂規範(內部) 自訂規範(內部) ISO/IEC TR 15504 : 1998(E) 等 (外部) ISO/IEC 15026 : 1998(E) 等 (外部) 通資訊安全評估作業 技術 處理 作業準則 標準規範 評估基準 作業準則 標準規範 法律命令│電腦處理個人 資料保護法等 評估基準 內部 自訂標準(內部) ISO/IEC 15408 : 1999(E) 等 (外部) 自我評估(內部) 自訂標準(內部) ISO/IEC 17799 :2000(E) 等 (外部) 外部 驗證作業(外部)

  5. 資訊技術安全評估共通準則之評估過程示意 要素 安全目的 安全基準 威脅 防護策略 安全功能結構 決定相關的功能 第一階段 安全基準 與安全目的相關的功能 風險/重要性之 安全目的評比 決策矩陣且/或0-1規劃 安全功能之影響 第二階段 基於安全功能 建置評估工作 第三階段 是 與現有TOE比較? 與TOE之功能性比較 標示說明: 使用者輸入- 產出- 經處理之輸入- TOE(Task of Evaluation):評估工作

  6. 資訊安全管理認證簡史 1. 1990年:世界經濟合作開發組織(Organization for Economic Cooperation and Development,簡稱OECD)轄下之資訊、電腦與通訊政策組織開始草擬「資訊系 統安全指導方針」。 2. 1992年:OECD於1992年11月26日正式通過「資訊系統安全指導方針。 3. 1993年:英國工業與貿易部頒布:「資訊安全管理實務準則」。 4. 1995年:英國訂定「資訊安全管理實務準則」之國家標準BS 7799第一部分,並提交國 際標準組織(International Organization for Standardization,簡稱ISO)成為 ISO DIS 14980 。 5. 1996年:BS 7799第一部分提交國際標準組織(ISO)審議之結果,於1996年2月24日結束 6個月的審議後,參與投票之會員國未超過三分之二。 6. 1997年: 6.1 OECD於1997年3月27日公布密碼模組指導原則。 6.2 英國正式開始推動資訊安全管理認證先導計畫。 7. 1998年: 7.1 英國公布BS 7799第二部分:「資訊安全管理規範」並為資訊安全管理認證之依據。 7.2 歐盟於1995年10月公布之「個人資料保護指令,自1998年10月25日起正式生效,要 求以「適當標準(Adequacy Standard)」保護個人資料。 8. 1999年:增修後之BS 7799再度提交ISO審議。 9. 2000年:增修後之BS 7799第一部分於2000年12月1日通過ISO審議,成為 ISO/IEC 17799 國際標準。 10. 2003年(?):資訊安全管理認證正式成為ISO 17799國際標準。 註:目前英國之外,已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳洲、紐西蘭、南非同意使用BS 7799,日本、瑞士、盧森堡等表示對BS 7799的興趣。

  7. 制度化的安全管理 識別風險 Identify Risk 規劃 評估風險 Assess Risk 修正 執行 溝 通 建立控制措施 Develop Controls 檢討 相關標準 1. BS7799-2 1999(E) 2. ISO/IEC 9001 2000(E) 3. ISO/IEC 14001 1996(E) 4. ISO/IEC 15408 1999(E) 5. NIST FIPS 140-2 2001(E) 6. OHSAS 18001 1999(E) 運作控制措施 Implement Controls 監督與維續 Monitor & Maintain

  8. 資訊安全管理系統驗證(BS7799-2)要求事項

  9. 關鍵設施脆弱性例 1. 資料來源:1999年10月9日聯合報9版,記者劉明岩、林榮/連線報導。 2. 華僑銀行彰化分行1999年10月8日傍晚發現彰化市金馬路忠孝加油站的跨 行提款機遭異常提領,於1999年10月8日19時許向彰化分局中正路派出所 報案。 3. 台中六信人員表示,最近電腦更換程式,因操作人員不熟悉新程式,電腦 判讀錯誤,從1999年10月8日1時44分起至1999年10月8日9時止,造成系 統失靈。 4. 台中六信客戶張祈耀先生於1999年10月8日6時至8時間,在彰化市金馬路 忠孝加油站提款機領取現款時,發現不但未受跨行之領取金額限制,餘額 還有 290多億元,張先生一口氣領了131次,領走提款機內全部的262萬元 。 5. 台中六信表示,被溢領300多萬元,已追回100多萬元。 6. 教訓:ISO/IEC 17799 2000(E)系統開發與維護(Systems Development and Maintenance)控制項目中,可信賴的資訊系統存在的風險如何測試 ?如何預防?如何控管?

  10. 假交易真退錢例 1. 1999年1月27日,聯合報9版,記者陳金章/台北報導。 2. 1998年10月間,任職屈臣氏晴光店收銀員的范蕙玲小姐,因使用信用卡刷卡購物 三萬元而沒錢可繳,就使用店內刷卡機刷卡及按「退貨」鍵數次,再向發卡銀行 查詢,發現她的信用卡上沒有任何消費記錄;而且在不需要刷卡機的授權碼的狀 況下,聯合信用卡中心又將她的刷卡金額三萬元向商家扣款轉到她的帳戶中。 3. 范小姐因故離職後,仍回店趁同事不注意時,利用此聯合信用卡中心和商店退貨 漏洞連續盜刷,從1998年10月21日起到1999年1月16日止,使用慶豐及台新兩家 銀行信用卡共盜刷一百六十多萬元。 4. 1999年1月16日,聯合信用卡中心發現屈臣氏晴光店單日兩筆刷卡金額分為 四十 九萬多元及三十九萬多元,總額近九十萬元,遠超過該店平常營業總額,同時該 店已有數日未進帳,誤認該店已倒閉而遭不法集團盜刷,經電話查詢後,發現該 店仍在營業,於是雙方共同查帳比對,發現此一漏洞,而且查出盜刷者後報警處 理,於1999年1月26日查獲范小姐,范小姐坦承犯案後已被移送檢方偵辦。 5. 教訓:ISO/IEC 17799 2000(E)系統開發與維護(Systems Development and Maintenance)控制項目中,可信賴的資訊系統存在的不安全性如何評估?如何防 護?如何控管?

  11. 遠傳電信帳務系統升級出錯事件 1. 資料來源:尚道明(2001)「兩個大學生,讓遠東集團認錯的故事」,新新聞周報, 728期,頁92~94。 2. 遠傳電信溢收費風波始末:

  12. 資訊技術安全保證(Security Assurance )框架(Framework) 1. 資料來源:ISO/IEC WD 15443:2000(E)。 2. 安全保證類別(Categories): 2.1 方法(Approach)程序(Process)(例:ISO/IEC TR 15504:1998(E))。 2.2 產品、系統與服務(例:ISO/IEC 15408:1999(E) 、ISO/IEC 17799:2000(E)、ISO TR 13569:1997(E))。 2.3 環境(Environment)(人員與組織(Personnel and Organization))。 3.安全保證階段(Phase): 3.1 設計與發展(Design and Development)。 3.2 實施(Operation)。

  13. 加拿大政府公開金鑰基礎建設交互認證憑證實務作業基準管理程序示意加拿大政府公開金鑰基礎建設交互認證憑證實務作業基準管理程序示意 Certificate Policies Examination ITS and Policy Compliance Initial Request Request Review Decision Point NegotiationofArrangement PMA Decision Cross-certificateIssuance Test Bed Trial System Survey Phase Ⅰ:Initiation Phase Ⅱ:Examination Phase Ⅲ:Arrangement Compliance Review Problem Resolution Change Management Renewal or Termination Phase Ⅳ:Maintenance ITS:Information Technology Security PMA:Policy Management Authority 資料來源:Government of Canada Public Key Infrastructure Cross-Certification Methodology and Criteria, Version : Sept.22,1999,p3

  14. FIPS 140與ISO IEC 15408 關係示意說明

  15. 安全事件分類例 1. 失事(Accident)。 2. 重大事故(Incident)。 3. 損害事件(Damage)。 4. 一般事況(Event)。 5. 發生比率: 5.1 失 事 = 1。 5.2 重大事故 = 10。 5.3 損害事件 = 30。 5.4 一般事況 = 600。

  16. IEC(International Electrotechnical Commission) 1508風險等級 風險等級 可能遭遇的風險 適用範圍例 Ⅰ Ⅱ Ⅲ Ⅳ 可能會有無法容忍的風險 可能會有不受歡迎的風險,只有在該風險所 造成的損壞衝擊不重,或改善該風險的代價 高於所能避免的損失情況下,尚可容忍此一 風險的存在 只有在改善該風險的代價高於所能避免損失 的情況下,容忍此一風險的存在 只能存在極微小的風險 一般個人 電腦系統 地方政府之 資訊系統 中央政府之 資訊系統 國家安全之 資訊系統

  17. IEC(International Electrotechnical Commission)1508風險等級示意 後果(Consequences) 災難 (Catastrophic) 危機 (Critical) 有限的風險 (Marginal) 無足輕重的風險 (Negligible) 經常發生 (Frequent) (≧10-2,≦1) 可能發生 (Probable (≧10-3,≦10-2) 偶爾發生 (Occasional) (≧10-4,≦10-3) 少有 (Remote) (≧10-5,≦10-4) 不太可能 (Improbable) (≧10-6,≦10-5) 罕見 (Incredible) (≦10-6) Ⅰ Ⅰ Ⅱ Ⅲ Ⅲ Ⅳ Ⅰ Ⅱ Ⅲ Ⅲ Ⅳ Ⅳ Ⅰ Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ Ⅱ Ⅲ Ⅲ Ⅳ Ⅳ Ⅳ

  18. 風 險 等 級 事 件 狀 況 金鑰憑證驗證中心風險等級說明示意 災難 (Catastrophic) 驗證中心密鑰或使用者密鑰被破解 危機 (Critical) 金鑰憑證被偽造 有限的風險 (Marginal) 電子信封秘密金鑰被破解 無足輕重的風險 (Negligible) 正確金鑰憑證被拒絕接受

  19. 可信賴工作平台(Trusted Computing Platform)架構示意 應用服務(Application Services) 應用控制(Application Controls) 權責歸屬可說明性(Accountability) 與稽核(Audit) 可信賴交談 可信賴路徑 (Trusted Session) (Trusted Path) 密碼模組(Crypto. Moduld) 應用系統 (Application System) 作業系統(Operation System)與可信賴基底 (Trusted Computing Base) 木馬藏兵(Trojan Horse) 安全邊界(Security Perimeter) 後門藏毒(Trap Door) 可信賴網路服務(Trusted Network Services

  20. 可信賴電腦系統評估準則發展簡述 1. 1967年 10 月美國國防部正式開始研究如何在資源共享的電腦中 ,保護資訊安全的工作。 2. 1983年8月美國國家電腦安檢中心(The National Computer Security Center) 出版了俗稱橘皮書 (Orange Book) 的「美國 國防部可信賴電腦系統評估準則」(於 1985年 12月正式出版) , 並分別在1987年7月及1991年4月出版了俗稱紅皮書 (Red Book) 的「可信賴式網路說明」及俗稱紫皮書 (Lavender Book) 的「可 信賴式資料庫說明」等俗稱彩虹 (Rainbow) 系列共 21 本的可信 賴電腦系統技術指南,奠定了資訊安全的基石。 3. 1984 年 8 月美國國家安檢中心植基於其商品評估程序,通過了 符合 C2 安全等級的資訊安全產品,並每季公佈一次評估結果。

  21. 可信賴資訊系統安全評估準則簡史 1990 European Information Technology Security Evaluation Criteria (ITSEC) 1985 US Trusted Computer System Evaluation Criteria (TCSEC) 1996 Common Criteria for Information Technology Security Evaluation (CC) 1990 Canadian Trusted Computer Product Evaluation Criteria (CTCPEC) 1998 ISO/IEC 15408(DIS) (CC 2.0) 1999 ISO/IEC 15408 (CC 2.1) 1993 US Federal Criteria (FC) CTCPEC 3.0

  22. ISO/IEC 15408認證機制簡史 1. 1997年10月7日,美國公告了針對 ISO/IEC 15408(以下簡稱CC)通過後認 證機制所需之TTAP(Trust Technology Assessment Program)Laboratories ,接受植基於CC之測試與評估工作,做為NIAP (National Information Assurance Partnership) CCEVS(Common Criteria Evaluation and Validation Scheme)認證機制建立前之過渡期因應方案。 2. 1997年11月8日,TTAP提出植基CC之認證、驗證檢測工作建議。 3. 1999年4月,美國、加拿大、德國、英國、法國共同簽署CCMRA(Mutual Recognition Agreement),預期歐洲、亞太其他各國將陸續加入。 4. 1999年5月14日,美國公告了CC認證計畫,同時宣布密碼模組認證計畫將 併入此計畫。 5. 1999年6月8日,美國宣布CC 2.1版正式成為ISO/IEC 15408。 6. 2000年5月23~25日,在美國Baltimore International Convention Center舉 辦第1次CC國際研討會。 7. 2000年8月30日,美國公告Computer Science Corporation(CSC), CygnaCom Solutions, Science Applications International Corporation (SAIC)與 TUV:T Incoporated 4家民間實驗室已經通過NIAP的認 可CCTL(Common Criteria Testing Laboratories)。

  23. 共通準則評估等級說明示意 EAL 1:功能檢測。 EAL 2:結構檢測。 EAL 3:方法檢測及驗核。 EAL 4:方法設計、檢測、驗核及評論。 EAL 5:半正規設計及檢測。 EAL 6:半正規驗證設計及檢測。 EAL 7:正規驗證設計及檢測。 EAL:Evaluation Assurance Level。

  24. 資訊技術安全評估共通準則之範疇簡述 1. 資訊安全共通準則(Common Criteria)結合目前現有各種資訊安全評估規範(包括ITSEC, TCSEC及CTCPEC)的優點。 2. 共通準則作為描述安全性產品或系統需求之共通語言及結構。 3. 利用保護剖繪(PP)及安全目標(ST)讓系統發展者及評估者遵循一致準則。 4. 保護剖繪(Protection Profile,簡稱PP)包括許多和實作上無關的安全需求,可作為資訊技術的安全需求目錄。 5. 安全目標(Security Target,簡稱ST)則是許多安全需求及規格所形成的集合,用來作為評估系統的基礎。 6. 評估目標(Target Of Evaluation,簡稱TOE)則為要進行評估的主體對象。

  25. 資訊技術安全評估共通準則使用示意 共通準則典範(Paradigm)系統取得典範 保護剖繪(Protection Profile) 徵求建議書文件(Request for Proposals) 安全目標(Security Target) 建議書(Proposals) 評估目標(Target of Evaluation) 交付(Delivered)系統 系統評估結果系統驗收與否依據 說明:共通準則:資訊技術安全評估共通準則(Common Criteria for Information Technology Security Evaluation, 簡稱CC)。

  26. 共通準則安全功能需求類別

  27. 共通準則安全保證需求類別

  28. 資訊系統安全規範實例探討 1. 1998年5月美國聯邦航空署(Federal Aviation Administration,簡稱FAA)奉命規範電信基礎建設(Telecommunication Infrastructure,簡稱TI)資訊安全規範。 2. 2000年6月FAATI(簡稱FTI)安全規範公佈。 3. FTI針對下列3個評估目標開列EAL3~EAL4與SSECMM之安全評估規範: 3.1 電信服務(Telecommunications Services,簡稱TCS)。 3.2 整合的商務系統(Integrated Business System,簡稱IBS)。 3.3 整合的網路管理服務(Integrated Network Management Services,簡稱NMO )。

  29. FTI 功能架構示意 SDP 整合的網路管理服務 SDP 通訊 通訊 電信服務類別/特點 自動化 自動化 整合的商務系統 監督 監督 說明: SDP:Service Delivery Point。

  30. FTI 安全服務範圍 應用系統的安全等級 應用系統 應用系統 設備基礎結構: LANs、安全閘通道、 路由器 設備基礎結構: LANs、安全閘通道、 路由器 設備的安全等級 WAN等級安全 SDP SDP FTI客戶 前端設備(CPE) FTI賣方電信 WAN(s) FTI客戶 前端設備(CPE) 說明: CPE:Customer Premises Equipment。

  31. FTI之安全功能需求示意說明

  32. 保證類別 保證組件 None TCS NMO IBS FTI之EAL-3安全保證示意說明 ACM ACM_CAP.3 X X X ACM_SCP.1 X X X ADO ADO_DEL.1 X X X ADO_IGS.1 X3 ADV ADV_FSP.1 X3 ADV_HLD.2 X X X ADV_RCR.1 X3 AGD AGD_ADM.1 X X X AGD_USR.1 X X ALC ALC_DVS.1 X X X ATE ATE_COV.2 X X X ATE_DPT.1 X X X ATE-FUN.1 X X X ATE_IND.2 X X X AVA AVA_MSU.1 X X X AVA_SOF.1 X X X AVA_VLA.1 X X X

  33. 保證等級 保證組件 TCS NMO IBS FTI之EAL-3增加部份的安全保證示意說明 ASE ASE_TSS.1 X X X ACM ACM_AUT.1 X X X ACL ACL_FLR.2 X X X AMA AMA_AMP.1 X X X AMA_CAT.1 X AMA_EVD.1 X X X AMA_SIA.1 X X X

  34. SSE(System Security Engineering) CMM(Capability Maturity Model)相關簡史 1. 1986年:SEI(Software Engineering Institute) 開始CMM的研究 。 2. 1991年:SEI 頒佈 CMM 1.0。 3. 1993年: (1) ISO(International Organization for Standardization)開始 研究過程評估標準(Process Assessment Standard)。 (2) SEI 頒佈 CMM 1.1並開始安全工程的研究。 4. 1994年:SEI 頒佈 SE(System Engineering) CMM 。 5. 1995年:ISO頒佈植基於CMM等之 SPICE(Software Process Improvement and Capability Determination)標準草案(Draft)。 6. 1996年: (1) ISO頒佈 SPICE 2.0。 (2) SEI 頒佈 SSE CMM Model 1.0。 7. 1997年:SEI 頒佈 SSE CMM Model 1.0之評定(Appraisal) 方法 。 8. 1998年:ISO頒佈植基於SPICE的ISO/IEC TR 15504 :Information Technology ─ Software Process Assessment,ISO/IEC TR 15504(All Parts), 1998(E)。 9. 1999年: SEI 頒佈 SSE CMM Model 2.0及其評定方法 。

  35. 通資訊系統優質性評估等級(ISO/IEC TR 15504:1998(E)

  36. ISO/IEC TR 15504:1998(E)使用符號示意說明 1. 未完成(Not achieved,簡稱N):0%到15% ─ 很少或沒有證據顯示在評估的程序中定義之屬性已 經完成。 2. 部份完成(Partially achieved,簡稱P):16%到50%─有健全的系統方法證據顯示在評估的程序中定義之 屬性已經完成。有些完成之觀點可能是無法預測的。 3. 大部份完成(Largely achieved,簡稱L):51%到85%─有健全的系統方法證據顯示在評估的程序中定義之 屬性已經明顯的完成(significant achievement)。 程序之績效可能在一些領域工作單元中有變動。 4. 完全完成(Fully achieved,簡稱F):86%到100%─有完整及系統方法證據顯示在評估的程序中定義之 屬性已經完全完成(full achievement)。沒有明顯的 弱點存在於定義之組織單元中。

  37. ISO/IEC 15026:1998(E)中之資訊系統完整性(Integrity) 註:SIL:系統完整性等級(System Integrity Level)。

  38. 不同層面需求之軟體品質評估等級示意 註:CLR:能力等級評估 (Capability Level Rating)。 EAL:信保評核等級 (Evaluation Assurance Level)。 SIL: 系統完整性等級 (System Integrity Level)。

  39. 5.2發展有效率程序 Systems Security Engineering Capability Maturity Model 2.0 快速參考表 5.1發展組織的能力 4.2客觀的效能管理 4.1建立可測量的… 3.3調整練習 3.2執行定義的程序 3.1定義標準化程序 2.4追縱效能 2.3驗證效能 2.2訓練效能 2.1計畫效能 1.1執行基本練習 1安全控制管理 2影響評估 3安全風險評估 4威脅性評估 5弱點評估 6建立正確論點 7安全性調整 8監控安全情形 9提供安全策略 10說明安全需求 11驗證和確 認安全 12品質保證 13結構管理 14專案風險管理 15監控技術成果 16計畫技術成果 17定義組織的安全工程 18改善組織的安全工程 19管理產品線的發展 20管理系統工程支援環境 21不斷的提供技術與知識 22調整供應者 安全工程領域 專案組織領域

  40. CMM評鑑時間需求 1. 規劃(Planning):7~9週。 2. 文件審查(Off-Site Review):4~5週。 3. 現場訪視(On-Site Interviews):2~3週。 4. 草案準備(Prepare Draft):3週。 5. 結案報告準備(Prepare Final Report):2週。

  41. CMM主導評審員(Lead Assessor)資格 1. 申請前2年內至少擔任2次CBA IPI評審小組成員。 2. 最少10年以上之軟體工程實作經驗。 3. 最少2年以上之軟體開發管理經驗。 4. 具有適當領域碩士以上學歷或相等之經歷。 5. 完成SEI CMM簡介(Introduction to the CMM)課程。 6. 參加SEI CBA(CMM-Based Appraisal)主導評審員訓練課程並通過考 試。

  42. CMM評鑑小組需求概要 1. 評審小組必須由授權之SEI主導評審員主持。 2. 評審小組必須包含最少4個,最多10個組員,至少有1個組員必須來自 受評審之組織。 3. 所有組員均必須接受CMM之3天介紹課程與3天CBA IPI (CMM- Based Appraisal for Internal Process Improvement)訓練課程,並符 合SEI之選擇指引。 4. 評審小組最少必須共有25年以上,每一成員最少必須有3年以上,同 時最少必須有平均6年以上之軟體工程實作經驗。 5. 評審小組最少必須共有10年以上,同時至少有一成員必須有6年以上 之管理經驗。

  43. COBIT(Control Objectives for Information and related Technology) 1. 1992年:ISACF(Information Systems Audit and Control Foundation) 發起,參閱全球不同國家、政府、標準組織訂定之 26份文件後, 植基於其中之18份文件,分於歐洲(Free University of Amsterdam)、美國(California Polytechnic University)與澳洲 (University of New South Wales)研擬COBIT,同時籌組 COBIT 指導委員會(Steering Committee)。 2. 1996年:COBIT 指導委員會公佈COBIT第1版。 3. 1998年:COBIT 指導委員會公佈COBIT第2版,將第1版之32個高階控管 目的(High Level Control Objectives)擴充成34個。 4. 2000年:COBIT指導委員會公佈COBIT第3版,採用CMM (Capability Maturity Model)之5級(Level)分類, 命名「IT (Information Technology) Governance Maturity Model」。 5. COBIT架構之原則(The Framework’s Principles): 整合商業控制模型(例:COSO(Committee of Sponsoring Organizations of Treadway Commission) Report:Internal Control─ Integrated Framework)與IT控制模型(例:ISO/IEC 17799)。

  44. 資訊技術控管架構示意 資 訊 品 質 準 則 安 全 性 可 信 賴 性 優 質 性 資 料 設 施 技 術 階段 (Domains) 應 用 系 統 資 訊 技 術 作 業 人 員 作業程序 (Processes) 資 訊 技 術 資 源 細步工作 (Activities/Tasks)

  45. 資訊技術控管作業程序示意 營運活動 COBIT 資 訊 M1 作業流程之監控 M2 評鑑內部控制的 允當性 M3 是否有獨立的品 質保證 M4 稽核獨立 1.效能 5.可用 2.效率 6.遵行 3.機密 7.可靠 4.完整 資訊技術資源 規劃及組織 1.資料 2.應用系統 3.技術 4.設施 5.人員 監控 PO1 擬定策略規劃 PO2 擬定資訊結構 PO3 決定技術導向 PO4 釐訂組織及其關係 PO5 專案之投資管理 PO6 溝通管理的目標與方向 PO7 人力資源管理 PO8 確保符合外部需求 PO9 風險評估 PO10 專案管理 PO11 品質管理 交付及支援 DS1 定義服務層次 DS2 外包服務管理 DS3 績效及容量管理 DS4 確保持續服務 DS5 確保系統安全 DS6 成本分析及歸屬 DS7 使用人員的教育及訓練 DS8 客戶支援及諮詢 DS9 裝備管理 DS10 問題及意外管理 DS11 資料管理 DS12 設施管理 DS13 操作管理 獲得及建置 A11 確認解決方案 A12 應用軟體的獲得與維護 A13 技術架構的獲得與維護 A14 開發及維護程序 A15 安裝及認證系統 A16 變更管理

  46. COBIT資訊技術控管作業程序項目

  47. 階 段 設計與發展 實 施 資訊技術安全保證框架相關標準示意說明 資 訊 技 術 安 全 保 證 類 別 程 序 ISO/IEC TR 15504:1998(E) SEE-CMM COBIT ISO/IEC 15026:1998(E) SEE-CMM COBIT 產品、 系統與 服務 ISO/IEC 15408:1999(E) (Protection Profile,簡稱pp) SEE-CMM COBIT ISO/IEC 15408:1999(E) (Security Target:簡稱ST) SEE-CMM COBIT 人員 與 組織 ISO/IEC TR13335 ISO TR 13569:1998(E) ISO/IEC 17799:2000(E) SEE-CMM COBIT ISO/IEC TR13335 ISO TR13569:1998(E) ISO/IEC 17799:2000(E) SEE-CMM COBIT

  48. 標準 目的 方法 範疇 資訊安全相關標準比較 COBIT 定義資訊系統與服務之安全保證內控要素 提供稽核人員進行內控相關的工具與程序 內控(稽核)組織 ISO/IEC TR13335 改善資訊技術安全管理的規範 用來達到與維護資訊與服務適當安全等級之方法的指引 安全工程組織 ISO/IEC 15026 軟體整合性的規範 用來達到與維護軟體整合性等級之方法的指引 整合性軟體組織 ISO/IEC 15408 資訊技術安全評估的規範 資訊產品與系統的安全典範與評鑑方法 資訊產品與系統生產使用與驗證組織 ISO/IEC TR15504 軟體程序的改善與評鑑 軟體程序的改善模式與評鑑方法 軟體工程組織 ISO/IEC 17799 改善資訊安全管理系統品質的規範 資訊安全管理品質規範的特定要求 資訊安全管理事務性組織 SE-CMM 改善資訊系統或產品工程程序 系統程序規範的連續性成熟度模式與評定方法 系統工程組織 SSE-CMM 定義、改善和評定安全工程的能力 連續性的安全工程成熟度模式與評定方法 安全系統工程組織

  49. 中美駭客大戰簡述 1. 資料來源: 1.1 http://www.cnhonker.com/hack.html 1.2 王大中(2001)中美駭客大戰實錄,電腦與應用,第6期,頁40~50。 2. 源起:2001年4月1日美國情報偵察機誤闖中國領空與其所導致的殲 八撞機失事、飛行員王偉先生失蹤事件。 3. 雙方主力: 3.1 中方:酷獅(Lion)主持之中國紅客聯盟(Honker Union of China,簡稱HUC)、中國黑客聯盟與中國鷹派駭客組織。 3.2 美方:prOphet與poizonB0x駭客組織。 4. 戰爭起迄時間:2001年4月30日晚上20時~2001年5月8日。 5. 雙方戰果(署名小B之中國駭客的說法): 5.1 美方被攻破網站:約1,600個。 5.2 中方被攻破網站:約1,100個。

  50. 中美駭客大戰及五二0前網站入侵示意說明 入侵方式說明: 1. 以 Solaris主機上 buffer overflow 漏洞,在 Solaris 主機上安裝後門程式(包括 Solaris 7)。 2. 發動 Solaris 主機上安裝後門程式,利用port 80 及 IIS unicode 漏洞,自動掃瞄攻擊Windows NT IIS 主機(安裝IIS Worm後門程式,並修改網頁 )。 3. Solaris 主機入侵 2,000 台 IIS 主機後,修改 Solaris 主機的 index.html 網頁。

More Related