資訊技術(shù)安全保證初探

資訊技術(shù)安全保證初探一、前言二、資訊安全保證框架三、資訊安全防護處理（代結(jié)論）鈺松國際資訊股份有限公司樊國楨中華民國九十年十二月世界經(jīng)濟合作暨發(fā)展組織相關(guān)活動一、1992年11月26日，世界經(jīng)濟合作暨發(fā)展組織(Organization

forEconomicCooperationandDevelopment,OECD)24個會員國採用了1990年由資訊電腦與通訊政策(Information,ComputerandCommunicationPolicy,ICCP)組織的專家小組，經(jīng)過20個月，6次會議訂定之資訊系統(tǒng)安全指導方針(GuidelinesforSecurityofInformationSystems)之評議會提案。二、OECD之會員國均參考OECD訂定之「資訊安全指導方針」，塑建可信賴的資訊系統(tǒng)使用環(huán)境中(例：英國之BS7799，ISSA之GSSP等)。GSSP中之資訊安全原則(Principles)1.普遍性(Pervasive)原則(遵照OECD之資訊系統(tǒng)安全指導方針):1.1可說明性(Accountability)原則。

1.2知曉(Awareness)原則。

1.3倫理(Ethics)原則。

1.4多層面紀律(Multidisciplinary)原則。

1.5成正比(Proportionality)原則。

1.6整合(Integration)原則。

1.7適時(Timeliness)原則。

1.8重覆評鑑(Reassessment)原則。

1.9民主(Democracy)原則。2.廣泛功能性(BroadFunctional)原則。3.詳細性(Detailed)原則。通資訊安全評估作業(yè)示意說明通資訊安全評估作業(yè)技術(shù)處理作業(yè)準則內(nèi)部外部標準規(guī)範評估基準自訂標準(內(nèi)部)ISO/IEC15408:1999(E)等(外部)自訂規(guī)範(內(nèi)部)ISO/IEC15026:1998(E)等(外部)作業(yè)準則自我評估(內(nèi)部)驗證作業(yè)(外部)標準規(guī)範評估基準自訂標準(內(nèi)部)法律命令│電腦處理個人資料保護法等ISO/IEC17799：2000(E)等(外部)自訂規(guī)範(內(nèi)部)ISO/IECTR15504:1998(E)等(外部)資訊技術(shù)安全評估共通準則之評估過程示意要素威脅防護策略風險/重要性之安全目的評比安全目的決定相關(guān)的功能與安全目的相關(guān)的功能決策矩陣且/或0-1規(guī)劃基於安全功能建置評估工作與現(xiàn)有TOE比較？與TOE之功能性比較是產(chǎn)出－經(jīng)處理之輸入－安全功能結(jié)構(gòu)安全基準安全功能之影響安全基準標示說明：使用者輸入－TOE(TaskofEvaluation)：評估工作第一階段第二階段第三階段資訊安全管理認證簡史1.1990年：世界經(jīng)濟合作開發(fā)組織(OrganizationforEconomicCooperationandDevelopment，簡稱OECD)轄下之資訊、電腦與通訊政策組織開始草擬「資訊系統(tǒng)安全指導方針」。2.1992年：OECD於1992年11月26日正式通過「資訊系統(tǒng)安全指導方針。3.1993年：英國工業(yè)與貿(mào)易部頒布：「資訊安全管理實務(wù)準則」。4.1995年：英國訂定「資訊安全管理實務(wù)準則」之國家標準BS7799第一部分，並提交國

際標準組織(InternationalOrganizationforStandardization，簡稱ISO)成為

ISODIS14980。5.1996年：BS7799第一部分提交國際標準組織(ISO)審議之結(jié)果，於1996年2月24日結(jié)束6個月的審議後，參與投票之會員國未超過三分之二。6.1997年：

6.1OECD於1997年3月27日公布密碼模組指導原則。

6.2英國正式開始推動資訊安全管理認證先導計畫。7.1998年：

7.1英國公布BS7799第二部分：「資訊安全管理規(guī)範」並為資訊安全管理認證之依據(jù)。

7.2歐盟於1995年10月公布之「個人資料保護指令，自1998年10月25日起正式生效，要

求以「適當標準(AdequacyStandard)」保護個人資料。8.1999年：增修後之BS7799再度提交ISO審議。9.2000年：增修後之BS7799第一部分於2000年12月1日通過ISO審議，成為

ISO/IEC17799國際標準。10.2003年(？)：資訊安全管理認證正式成為ISO17799國際標準。註：目前英國之外，已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳洲、紐西蘭、南非同意使用

BS7799，日本、瑞士、盧森堡等表示對BS7799的興趣。制度化的安全管理相關(guān)標準1.BS7799-21999(E)2.ISO/IEC90012000(E)3.ISO/IEC140011996(E)4.ISO/IEC154081999(E)5.NISTFIPS140-22001(E)6.OHSAS180011999(E)識別風險IdentifyRisk評估風險AssessRisk建立控制措施DevelopControls運作控制措施ImplementControls監(jiān)督與維續(xù)Monitor&Maintain規(guī)劃檢討執(zhí)行修正溝通資訊安全管理系統(tǒng)驗證(BS7799-2)要求事項關(guān)鍵設(shè)施脆弱性例1.資料來源：1999年10月9日聯(lián)合報9版，記者劉明巖、林榮/連線報導。2.華僑銀行彰化分行1999年10月8日傍晚發(fā)現(xiàn)彰化市金馬路忠孝加油站的跨行提款機遭異常提領(lǐng)，於1999年10月8日19時許向彰化分局中正路派出所報案。3.臺中六信人員表示，最近電腦更換程式，因操作人員不熟悉新程式，電腦判讀錯誤，從1999年10月8日1時44分起至1999年10月8日9時止，造成系統(tǒng)失靈。4.臺中六信客戶張祈耀先生於1999年10月8日6時至8時間，在彰化市金馬路忠孝加油站提款機領(lǐng)取現(xiàn)款時，發(fā)現(xiàn)不但未受跨行之領(lǐng)取金額限制，餘額還有290多億元，張先生一口氣領(lǐng)了131次，領(lǐng)走提款機內(nèi)全部的262萬元。5.臺中六信表示，被溢領(lǐng)300多萬元，已追回100多萬元。6.教訓：ISO/IEC177992000(E)系統(tǒng)開發(fā)與維護(SystemsDevelopmentandMaintenance)控制項目中，可信賴的資訊系統(tǒng)存在的風險如何測試？如何預(yù)防？如何控管？假交易真退錢例1.1999年1月27日，聯(lián)合報9版，記者陳金章/臺北報導。2.1998年10月間，任職屈臣氏晴光店收銀員的范蕙玲小姐，因使用信用卡刷卡購物三萬元而沒錢可繳，就使用店內(nèi)刷卡機刷卡及按「退貨」鍵數(shù)次，再向發(fā)卡銀行查詢，發(fā)現(xiàn)她的信用卡上沒有任何消費記錄；而且在不需要刷卡機的授權(quán)碼的狀況下，聯(lián)合信用卡中心又將她的刷卡金額三萬元向商家扣款轉(zhuǎn)到她的帳戶中。3.范小姐因故離職後，仍回店趁同事不注意時，利用此聯(lián)合信用卡中心和商店退貨漏洞連續(xù)盜刷，從1998年10月21日起到1999年1月16日止，使用慶豐及臺新兩家銀行信用卡共盜刷一百六十多萬元。4.1999年1月16日，聯(lián)合信用卡中心發(fā)現(xiàn)屈臣氏晴光店單日兩筆刷卡金額分為四十九萬多元及三十九萬多元，總額近九十萬元，遠超過該店平常營業(yè)總額，同時該店已有數(shù)日未進帳，誤認該店已倒閉而遭不法集團盜刷，經(jīng)電話查詢後，發(fā)現(xiàn)該店仍在營業(yè)，於是雙方共同查帳比對，發(fā)現(xiàn)此一漏洞，而且查出盜刷者後報警處理，於1999年1月26日查獲范小姐，范小姐坦承犯案後已被移送檢方偵辦。5.教訓：ISO/IEC177992000(E)系統(tǒng)開發(fā)與維護(SystemsDevelopmentandMaintenance)控制項目中，可信賴的資訊系統(tǒng)存在的不安全性如何評估？如何防護？如何控管？遠傳電信帳務(wù)系統(tǒng)升級出錯事件1.資料來源：尚道明(2001)「兩個大學生，讓遠東集團認錯的故事」，新新聞周報，

728期，頁92~94。2.遠傳電信溢收費風波始末：資訊技術(shù)安全保證(SecurityAssurance)

框架(Framework)1.資料來源：ISO/IECWD15443:2000(E)。2.安全保證類別(Categories): 2.1方法(Approach)程序(Process)(例：ISO/IECTR15504:1998(E))。 2.2產(chǎn)品、系統(tǒng)與服務(wù)(例：ISO/IEC15408:1999(E)、ISO/IEC 17799:2000(E)、ISOTR13569:1997(E))。 2.3環(huán)境(Environment)(人員與組織(PersonnelandOrganization))。3.安全保證階段(Phase): 3.1設(shè)計與發(fā)展(DesignandDevelopment)。 3.2實施(Operation)。

CertificatePoliciesExaminationITSandPolicyComplianceTestBedTrialSystemSurveyInitialRequestRequestReviewDecisionPointPMADecisionCross-

certificate

IssuanceNegotiation

of

ArrangementPhaseⅠ：Initiation PhaseⅡ：Examination PhaseⅢ：ArrangementComplianceReviewProblemResolutionChangeManagementRenewalorTerminationPhaseⅣ：MaintenanceITS：InformationTechnologySecurityPMA：PolicyManagementAuthority資料來源：GovernmentofCanadaPublicKeyInfrastructureCross-CertificationMethodologyandCriteria,Version:Sept.22,1999,p3加拿大政府公開金鑰基礎(chǔ)建設(shè)交互認證

憑證實務(wù)作業(yè)基準管理程序示意FIPS140與ISOIEC15408關(guān)係示意說明安全事件分類例1.失事(Accident)。2.重大事故(Incident)。3.損害事件(Damage)。4.一般事況(Event)。5.發(fā)生比率：5.1失事=1。5.2重大事故=10。5.3損害事件=30。5.4一般事況=600。IEC(InternationalElectrotechnicalCommission)1508風險等級可能會有無法容忍的風險可能會有不受歡迎的風險，只有在該風險所造成的損壞衝擊不重，或改善該風險的代價高於所能避免的損失情況下，尚可容忍此一風險的存在只有在改善該風險的代價高於所能避免損失的情況下，容忍此一風險的存在只能存在極微小的風險一般個人電腦系統(tǒng)地方政府之資訊系統(tǒng)中央政府之資訊系統(tǒng)國家安全之資訊系統(tǒng)ⅠⅡⅢⅣ風險等級 可能遭遇的風險 適用範圍例IEC(InternationalElectrotechnicalCommission)1508風險等級示意經(jīng)常發(fā)生(Frequent)(≧10-2，≦1)可能發(fā)生(Probable(≧10-3，≦10-2)偶爾發(fā)生(Occasional)(≧10-4，≦10-3)少有(Remote)(≧10-5，≦10-4)不太可能(Improbable)(≧10-6，≦10-5)罕見(Incredible)(≦10-6)後果(Consequences)災(zāi)難(Catastrophic)危機(Critical)有限的風險(Marginal)無足輕重的風險(Negligible)ⅠⅠⅠⅡⅢⅣⅠⅠⅡⅢⅢⅣⅠⅡⅢⅢⅣⅣⅡⅢⅢⅣⅣⅣ金鑰憑證驗證中心風險等級說明示意風險等級事件狀況災(zāi)難(Catastrophic)驗證中心密鑰或使用者密鑰被破解危機(Critical) 金鑰憑證被偽造有限的風險(Marginal)電子信封秘密金鑰被破解無足輕重的風險(Negligible)正確金鑰憑證被拒絕接受可信賴工作平臺(TrustedComputing

Platform)架構(gòu)示意應(yīng)用服務(wù)(ApplicationServices)應(yīng)用控制(ApplicationControls)權(quán)責歸屬可說明性(Accountability)與稽核(Audit)可信賴交談可信賴路徑(TrustedSession)(TrustedPath)密碼模組(Crypto.Moduld)應(yīng)用系統(tǒng)(ApplicationSystem)作業(yè)系統(tǒng)(OperationSystem)與可信賴基底(TrustedComputingBase)木馬藏兵(TrojanHorse)安全邊界(SecurityPerimeter)後門藏毒(TrapDoor)可信賴網(wǎng)路服務(wù)(TrustedNetworkServices可信賴電腦系統(tǒng)評估準則發(fā)展簡述1.1967年10月美國國防部正式開始研究如何在資源共享的電腦中

，保護資訊安全的工作。2.1983年8月美國國家電腦安檢中心(TheNationalComputer

SecurityCenter)出版了俗稱橘皮書(OrangeBook)的「美國國防部可信賴電腦系統(tǒng)評估準則」(於1985年12月正式出版)，並分別在1987年7月及1991年4月出版了俗稱紅皮書(RedBook)

的「可信賴式網(wǎng)路說明」及俗稱紫皮書(LavenderBook)的「可信賴式資料庫說明」等俗稱彩虹(Rainbow)系列共21本的可信賴電腦系統(tǒng)技術(shù)指南，奠定了資訊安全的基石。3.1984年8月美國國家安檢中心植基於其商品評估程序，通過了符合C2安全等級的資訊安全產(chǎn)品，並每季公佈一次評估結(jié)果?？尚刨囐Y訊系統(tǒng)安全評估準則簡史1990EuropeanInformationTechnologySecurityEvaluationCriteria(ITSEC)1990CanadianTrustedComputerProductEvaluationCriteria(CTCPEC)1993USFederalCriteria(FC)CTCPEC3.01985USTrustedComputerSystemEvaluationCriteria(TCSEC)1996CommonCriteriaforInformationTechnologySecurityEvaluation(CC)1998ISO/IEC15408(DIS)(CC2.0)1999ISO/IEC15408(CC2.1)ISO/IEC15408認證機制簡史1.1997年10月7日，美國公告了針對ISO/IEC15408(以下簡稱CC)通過後認證機制所需之TTAP(TrustTechnologyAssessmentProgram)Laboratories，接受植基於CC之測試與評估工作，做為NIAP(NationalInformationAssurancePartnership)CCEVS(CommonCriteriaEvaluationandValidationScheme)認證機制建立前之過渡期因應(yīng)方案。2.1997年11月8日，TTAP提出植基CC之認證、驗證檢測工作建議。3.1999年4月，美國、加拿大、德國、英國、法國共同簽署CCMRA(MutualRecognitionAgreement)，預(yù)期歐洲、亞太其他各國將陸續(xù)加入。4.1999年5月14日，美國公告了CC認證計畫，同時宣布密碼模組認證計畫將併入此計畫。5.1999年6月8日，美國宣布CC2.1版正式成為ISO/IEC15408。6.2000年5月23~25日，在美國BaltimoreInternationalConventionCenter舉辦第1次CC國際研討會。7.2000年8月30日，美國公告ComputerScienceCorporation(CSC)，

CygnaComSolutions,ScienceApplicationsInternationalCorporation(SAIC)與TUV:TIncoporated4家民間實驗室已經(jīng)通過NIAP的認可CCTL(CommonCriteriaTestingLaboratories)。共通準則評估等級說明示意EAL1：功能檢測。EAL2：結(jié)構(gòu)檢測。EAL3：方法檢測及驗核。EAL4：方法設(shè)計、檢測、驗核及評論。EAL5：半正規(guī)設(shè)計及檢測。EAL6：半正規(guī)驗證設(shè)計及檢測。EAL7：正規(guī)驗證設(shè)計及檢測。EAL：EvaluationAssuranceLevel。資訊技術(shù)安全評估共通準則之範疇簡述1.資訊安全共通準則(CommonCriteria)結(jié)合目前現(xiàn)有各種資訊安全

評估規(guī)範(包括ITSEC,TCSEC及CTCPEC)的優(yōu)點。2.共通準則作為描述安全性產(chǎn)品或系統(tǒng)需求之共通語言及結(jié)構(gòu)。3.利用保護剖繪(PP)及安全目標(ST)讓系統(tǒng)發(fā)展者及評估者遵循一

致準則。4.保護剖繪(ProtectionProfile，簡稱PP)包括許多和實作上無關(guān)的安

全需求，可作為資訊技術(shù)的安全需求目錄。5.安全目標(SecurityTarget，簡稱ST)則是許多安全需求及規(guī)格所形

成的集合，用來作為評估系統(tǒng)的基礎(chǔ)。6.評估目標(TargetOfEvaluation，簡稱TOE)則為要進行評估的主體

對象。資訊技術(shù)安全評估共通準則使用示意共通準則典範(Paradigm)

系統(tǒng)取得典範保護剖繪(ProtectionProfile) 徵求建議書文件(RequestforProposals)安全目標(SecurityTarget) 建議書(Proposals)評估目標(TargetofEvaluation) 交付(Delivered)系統(tǒng)系統(tǒng)評估結(jié)果

系統(tǒng)驗收與否依據(jù)說明：共通準則：資訊技術(shù)安全評估共通準則(CommonCriteriaforInformationTechnologySecurityEvaluation,簡稱CC)。共通準則安全功能需求類別共通準則安全保證需求類別資訊系統(tǒng)安全規(guī)範實例探討1.1998年5月美國聯(lián)邦航空署(FederalAviationAdministration,簡稱FAA)奉命規(guī)範電信基礎(chǔ)建設(shè)(TelecommunicationInfrastructure,簡稱TI)資訊安全規(guī)範。2.2000年6月FAATI(簡稱FTI)安全規(guī)範公佈。3.FTI針對下列3個評估目標開列EAL3~EAL4與SSECMM之安全評估規(guī)範： 3.1電信服務(wù)(TelecommunicationsServices,簡稱TCS)。 3.2整合的商務(wù)系統(tǒng)(IntegratedBusinessSystem,簡稱IBS)。 3.3整合的網(wǎng)路管理服務(wù)(IntegratedNetworkManagement Services,簡稱NMO)。FTI功能架構(gòu)示意SDP整合的網(wǎng)路管理服務(wù)整合的商務(wù)系統(tǒng)SDP通訊通訊自動化電信服務(wù)類別/特點自動化監(jiān)督監(jiān)督說明：SDP：ServiceDeliveryPoint。

FTI安全服務(wù)範圍應(yīng)用系統(tǒng)設(shè)備基礎(chǔ)結(jié)構(gòu)：LANs、安全閘通道、路由器FTI客戶前端設(shè)備(CPE)SDPFTI賣方電信WAN(s)應(yīng)用系統(tǒng)設(shè)備基礎(chǔ)結(jié)構(gòu)：LANs、安全閘通道、路由器FTI客戶前端設(shè)備(CPE)SDP應(yīng)用系統(tǒng)的安全等級設(shè)備的安全等級WAN等級安全說明：CPE：CustomerPremisesEquipment。

FTI之安全功能需求示意說明FTI之EAL-3安全保證示意說明保證類別保證組件NoneTCSNMOIBS

ACMACM_CAP.3

XXX

ACM_SCP.1

XXXADOADO_DEL.1

XXX

ADO_IGS.1X3

ADVADV_FSP.1X3

ADV_HLD.2

XXX

ADV_RCR.1X3

AGDAGD_ADM.1

XXX

AGD_USR.1

XXALCALC_DVS.1

XXXATEATE_COV.2

XXX

ATE_DPT.1

XXX

ATE-FUN.1

XXX

ATE_IND.2

XXXAVAAVA_MSU.1

XXX

AVA_SOF.1

XXX

AVA_VLA.1

XXXFTI之EAL-3增加部份的安全保證示意說明保證等級保證組件TCSNMOIBSASEASE_TSS.1XXXACMACM_AUT.1XXXACLACL_FLR.2XXXAMAAMA_AMP.1XXX

AMA_CAT.1X

AMA_EVD.1XXX

AMA_SIA.1XXXSSE(SystemSecurityEngineering)CMM(CapabilityMaturityModel)相關(guān)簡史1.1986年：SEI(SoftwareEngineeringInstitute)開始CMM的研究。2.1991年：SEI頒佈CMM1.0。3.1993年：(1)ISO(InternationalOrganizationforStandardization)開始研究過程評估標準(ProcessAssessmentStandard)。(2)SEI頒佈CMM1.1並開始安全工程的研究。4.1994年：SEI頒佈SE(SystemEngineering)CMM。5.1995年：ISO頒佈植基於CMM等之SPICE(SoftwareProcessImprovementandCapabilityDetermination)標準草案(Draft)。6.1996年：(1)ISO頒佈SPICE2.0。(2)SEI頒佈SSECMMModel1.0。7.1997年：SEI頒佈SSECMMModel1.0之評定(Appraisal)方法。8.1998年：ISO頒佈植基於SPICE的ISO/IECTR15504：InformationTechnology─SoftwareProcessAssessment,

ISO/IECTR15504(AllParts),1998(E)。9.1999年：SEI頒佈SSECMMModel2.0及其評定方法。通資訊系統(tǒng)優(yōu)質(zhì)性評估等級

(ISO/IECTR15504：1998(E)ISO/IECTR15504：1998(E)

使用符號示意說明1.未完成(Notachieved，簡稱N)：

0%到15%─很少或沒有證據(jù)顯示在評估的程序中定義之屬性已

經(jīng)完成。2.部份完成(Partiallyachieved，簡稱P)：

16%到50%─有健全的系統(tǒng)方法證據(jù)顯示在評估的程序中定義之

屬性已經(jīng)完成。有些完成之觀點可能是無法預(yù)測的。3.大部份完成(Largelyachieved，簡稱L)：

51%到85%─有健全的系統(tǒng)方法證據(jù)顯示在評估的程序中定義之

屬性已經(jīng)明顯的完成(significantachievement)。

程序之績效可能在一些領(lǐng)域工作單元中有變動。4.完全完成(Fullyachieved，簡稱F)：

86%到100%─有完整及系統(tǒng)方法證據(jù)顯示在評估的程序中定義之

屬性已經(jīng)完全完成(fullachievement)。沒有明顯的

弱點存在於定義之組織單元中。ISO/IEC15026：1998(E)中

之資訊系統(tǒng)完整性(Integrity)註：SIL：系統(tǒng)完整性等級(SystemIntegrityLevel)。不同層面需求之軟體品質(zhì)評估等級示意註：CLR：能力等級評估(CapabilityLevelRating)。EAL：信保評核等級(EvaluationAssuranceLevel)。SIL：系統(tǒng)完整性等級(SystemIntegrityLevel)。SystemsSecurityEngineeringCapabilityMaturityModel2.0快速參考表

5.2發(fā)展有效率程序

5.1發(fā)展組織的能力

4.2客觀的效能管理

4.1建立可測量的…

3.3調(diào)整練習

3.2執(zhí)行定義的程序

3.1定義標準化程序

2.4追縱效能

2.3驗證效能

2.2訓練效能

2.1計畫效能

1.1執(zhí)行基本練習

1安全控制管理2影響評估3安全風險評估4威脅性評估5弱點評估6建立正確論點7安全性調(diào)整8監(jiān)控安全情形9提供安全策略10說明安全需求11驗證和確認安全12品質(zhì)保證13結(jié)構(gòu)管理14專案風險管理15監(jiān)控技術(shù)成果16計畫技術(shù)成果17定義組織的安全工程18改善組織的安全工程19管理產(chǎn)品線的發(fā)展20管理系統(tǒng)工程支援環(huán)境21不斷的提供技術(shù)與知識22調(diào)整供應(yīng)者

安全工程領(lǐng)域?qū)０附M織領(lǐng)域CMM評鑑時間需求1.規(guī)劃(Planning)：7~9週。2.文件審查(Off-SiteReview)：4~5週。3.現(xiàn)場訪視(On-SiteInterviews)：2~3週。4.草案準備(PrepareDraft)：3週。5.結(jié)案報告準備(PrepareFinalReport)：2週。CMM主導評審員(LeadAssessor)資格1.申請前2年內(nèi)至少擔任2次CBAIPI評審小組成員。2.最少10年以上之軟體工程實作經(jīng)驗。3.最少2年以上之軟體開發(fā)管理經(jīng)驗。4.具有適當領(lǐng)域碩士以上學歷或相等之經(jīng)歷。5.完成SEICMM簡介(IntroductiontotheCMM)課程。6.

參加SEICBA(CMM-BasedAppraisal)主導評審員訓練課程並通過考試。CMM評鑑小組需求概要1.評審小組必須由授權(quán)之SEI主導評審員主持。2.評審小組必須包含最少4個，最多10個組員，至少有1個組員必須來自受評審之組織。3.所有組員均必須接受CMM之3天介紹課程與3天CBAIPI(CMM-BasedAppraisalforInternalProcessImprovement)訓練課程，並符合SEI之選擇指引。4.評審小組最少必須共有25年以上，每一成員最少必須有3年以上，同時最少必須有平均6年以上之軟體工程實作經(jīng)驗。5.評審小組最少必須共有10年以上，同時至少有一成員必須有6年以上之管理經(jīng)驗。COBIT(ControlObjectivesforInformationandrelatedTechnology)1.1992年：ISACF(InformationSystemsAuditandControlFoundation)

發(fā)起，參閱全球不同國家、政府、標準組織訂定之26份文件後，植基於其中之18份文件，分於歐洲(FreeUniversityofAmsterdam)、美國(CaliforniaPolytechnicUniversity)與澳洲

(UniversityofNewSouthWales)研擬COBIT，同時籌組

COBIT指導委員會(SteeringCommittee)。2.1996年：COBIT指導委員會公佈COBIT第1版。3.1998年：COBIT指導委員會公佈COBIT第2版，將第1版之32個高階控管目的(HighLevelControlObjectives)擴充成34個。4.2000年：COBIT指導委員會公佈COBIT第3版，採用CMM(CapabilityMaturityModel)之5級(Level)分類，命名「IT(InformationTechnology)GovernanceMaturityModel」。5.COBIT架構(gòu)之原則(TheFramework’sPrinciples)：整合商業(yè)控制模型(例：COSO(CommitteeofSponsoringOrganizationsofTreadwayCommission)Report：InternalControl─IntegratedFramework)與IT控制模型(例：ISO/IEC17799)。資訊技術(shù)控管架構(gòu)示意階段(Domains)作業(yè)程序(Processes)細步工作(Activities/Tasks)資訊技術(shù)作業(yè)人員應(yīng)用系統(tǒng)技術(shù)設(shè)施資料資訊技術(shù)資源安全性可信賴性優(yōu)質(zhì)性資訊品質(zhì)準則資訊技術(shù)控管作業(yè)程序示意營運活動COBIT1.效能5.可用2.效率6.遵行3.機密7.可靠4.完整資訊PO1擬定策略規(guī)劃PO2擬定資訊結(jié)構(gòu)PO3決定技術(shù)導向PO4釐訂組織及其關(guān)係PO5專案之投資管理PO6溝通管理的目標與方向PO7人力資源管理PO8確保符合外部需求PO9風險評估PO10專案管理PO11品質(zhì)管理規(guī)劃及組織1.資料2.應(yīng)用系統(tǒng)3.技術(shù)4.設(shè)施5.人員資訊技術(shù)資源A11確認解決方案A12應(yīng)用軟體的獲得與維護A13技術(shù)架構(gòu)的獲得與維護A14開發(fā)及維護程序A15安裝及認證系統(tǒng)A16變更管理獲得及建置DS1定義服務(wù)層次DS2外包服務(wù)管理DS3績效及容量管理DS4確保持續(xù)服務(wù)DS5確保系統(tǒng)安全DS6成本分析及歸屬DS7使用人員的教育及訓練DS8客戶支援及諮詢DS9裝備管理DS10問題及意外管理DS11資料管理DS12設(shè)施管理DS13操作管理交付及支援M1作業(yè)流程之監(jiān)控M2評鑑內(nèi)部控制的允當性M3是否有獨立的品質(zhì)保證M4稽核獨立監(jiān)控COBIT資訊技術(shù)控管作業(yè)程序項目資訊技術(shù)安全保證框架相關(guān)標準示意說明

階段設(shè)計與發(fā)展實施資訊技術(shù)安全保證類別程序ISO/IECTR15504:1998(E)SEE-CMMCOBITISO/IEC15026:1998(E)SEE-CMMCOBIT產(chǎn)品、系統(tǒng)與服務(wù)ISO/IEC15408:1999(E)(ProtectionProfile,簡稱pp)SEE-CMMCOBITISO/IEC15408:1999(E)(SecurityTarget:簡稱ST)SEE-CMMCOBIT人員與組織ISO/IECTR13335ISOTR13569:1998(E)ISO/IEC17799:2000(E)SEE-CMMCOBITISO/IECTR13335ISOTR13569:1998(E)ISO/IEC17799:2000(E)SEE-CMMCOBIT

資訊安全相關(guān)標準比較

標準目的方法範疇COBIT定義資訊系統(tǒng)與服務(wù)之安全保證內(nèi)控要素提供稽核人員進行內(nèi)控相關(guān)的工具與程序內(nèi)控(稽核)組織ISO/IECTR13335改善資訊技術(shù)安全管理的規(guī)範用來達到與維護資訊與服務(wù)適當安全等級之方法的指引安全工程組織ISO/IEC15026軟體整合性的規(guī)範用來達到與維護軟體整合性等級之方法的指引整合性軟體組織ISO/IEC15408資訊技術(shù)安全評估的規(guī)範資訊產(chǎn)品與系統(tǒng)的安全典範與評鑑方法資訊產(chǎn)品與系統(tǒng)生產(chǎn)使用與驗證組織ISO/IECTR15504軟體程序的改善與評鑑軟體程序的改善模式與評鑑方法軟體工程組織ISO/IEC17799改善資訊安全管理系統(tǒng)品質(zhì)的規(guī)範資訊安全管理品質(zhì)規(guī)範的特定要求資訊安全管理事務(wù)性組織SE-CMM改善資訊系統(tǒng)或產(chǎn)品工程程序系統(tǒng)程序規(guī)範的連續(xù)性成熟度模式與評定方法系統(tǒng)工程組織SSE-CMM定義、改善和評定安全工程的能力連續(xù)性的安全工程成熟度模式與評定方法安全系統(tǒng)工程組織中美駭客大戰(zhàn)簡述1.資料來源：1.1/hack.html1.2王大中(2001)中美駭客大戰(zhàn)實錄，電腦與應(yīng)用，第6期，頁40~50。2.源起：2001年4月1日美國情報偵察機誤闖中國領(lǐng)空與其所導致的殲八撞機失事、飛行員王偉先生失蹤事件。3.雙方主力：3.1中方：酷獅(Lion)主持之中國紅客聯(lián)盟(HonkerUnionofChina，

簡稱HUC)、中國黑客聯(lián)盟與中國鷹派駭客組織。3.2美方：prOphet與poizonB0x駭客組織。4.戰(zhàn)爭起迄時間：2001年4月30日晚上20時~2001年5月8日。5.雙方戰(zhàn)果(署名小B之中國駭客的說法)：5.1美方被攻破網(wǎng)站：約1,600個。5.2中方被攻破網(wǎng)站：約1,100個。中美駭客大戰(zhàn)及五二０前網(wǎng)站入侵示意說明

入侵方式說明：1.以Solaris主機上bufferoverflow漏洞，在Solaris主機上安裝後門程式（包括Solaris7）。2.發(fā)動Solaris主機上安裝後門程式，利用port80及IISunicode

漏洞，自動掃瞄攻擊WindowsNTIIS

主機（安裝IISWorm後門程式，並修改網(wǎng)頁）。3.Solaris主機入侵2,000臺IIS主機後，修改Solaris主機的index.html網(wǎng)頁。中美駭客大戰(zhàn)及五二０前網(wǎng)站入侵檢測方式說明1.Solaris主機：n

檢查是否存在以下目錄：/dev/cub-containslogsofcompromisedmachines/dev/cuc-containstoolsthatthewormusestooperateandpropagate

n

檢查是否有下列後門程式在執(zhí)行：/bin/sh/dev/cuc/sadmin.sh/dev/cuc/grabbb-t3-a.yyy.yyy-b.xxx.xxx111/dev/cuc/grabbb-t3-a.yyy.yyy-b.xxx.xxx80/bin/sh/dev/cuc/uniattack.sh/bin/sh/dev/cuc/time.sh/usr/sbin/inetd-s/tmp/.f/bin/sleep300

2.NTIIS主機：n

IISServerLogFile(Winnt/System32/Logfiles)：

2001-05-0612:20:190-080GET/scripts/../../winnt/system32/cmd.exe/c+dir200–2001-05-0612:20:190-080GET/scripts/../../winnt/system32/cmd.exe/c+dir+..\200–2001-05-0612:20:190-080\GET/scripts/../../winnt/system32/cmd.exe/c+copy+\winnt\system32\cmd.exe+root.exe502-22001-05-0612:20:190-080\GET/scripts/root.exe/c+echo+<HTMLcodeinsertedhere>.././index.asp502-

33.

被入侵的網(wǎng)頁文字如下：fuckUSAGovernmentfuckPoizonBOxcontact:sysadmcn@紅色警戒網(wǎng)蟲事件

1.資料來源：1.1Rhodes,K.A.(2001)CodeRed,CodeRedIIandSirCamAttacksHighlightNeedforProactiveMeasures,GAO(UnitedStatesGeneralAccountingOffice),GAO-01-1073T,August29,2001,GAO。1.2Wen,Yean-Fu(2001)紅色警戒病毒兵團,Windows2000Magazine,2001年9月號,頁45~50。1.3/analysis/security/code-red/。2.2001年2月，紅色警戒網(wǎng)蟲開始出擊，美國GAO相信其源出中國廣東省(佛山大學)。3.2001年7月19日，美國FBI(FederalBureauofInvestigation)的NIPC(NationalInfrastructureProtectionCenter)報告，在9小時內(nèi)，紅色警戒網(wǎng)蟲已入侵美國250,000部電腦；並於其後出現(xiàn)效能提昇之2種新版本，估計造成U.S.$2,500,000,000.-的損失。4.2001年8月4日，第二代紅色警戒網(wǎng)蟲現(xiàn)身，增加暗藏後門等功能。5.臺灣地區(qū)於2001年7月19日之紅色警戒網(wǎng)蟲攻勢中，估計有超過15,000部電腦被入侵。6.紅色警戒網(wǎng)蟲結(jié)合：病毒、木馬、自我複製等技術(shù)，成功的證明駭客攻擊方法，已正式邁向工業(yè)時代的自動化工程了。7.ISO/IEC177992000(E)從事故中吸取教訓(LearningfromIncidents)之控管項目，是值得深思的資訊安全課題。穿透測試例之一1.80年代後期，美國國家安全局國家電腦安全中心(NationalComputerSecurityCenter)開始推廣穿透測試。2.1995年，美國國會正式使用IBMACF/2(B1等級)，為證明安全，由GeorgeKurtz先生主持穿透測試。3.3天後，GeorgeKurtz先生領(lǐng)導的穿透測試小組證實他們已能簽入IBMACF/2主機並取得遍覽甚至修改檔案的權(quán)利，並出示美國國會的機密文件。4.教訓：穿透測試能協(xié)助擬定資訊系統(tǒng)安全計畫。穿透測試例之二1.1996年冬季，WheelGroupCorp組成5人小組，參加FORTUNE安排之穿透測試。2.財星雜誌徵得排名全球500大之內(nèi)的XYZ跨國企業(yè)再由著名的五大會計師事務(wù)所協(xié)防下參加測試。3.WheelGroupCorp5人小組於D日凌晨1:10時開始作業(yè)。4.D日晚上21時13分，WheelGroupCorp5人小組攻進XYZ公司內(nèi)部網(wǎng)路，獲得突破性進展。5.D+1日凌晨0時1分，WheelGroupCorp5人小組攻佔XYZ公司稅務(wù)(TAX)部門電腦。6.D+1日凌晨2時2分，WheelGroupCorp5人小組佔領(lǐng)XYZ公司技術(shù)(Technology)部門電腦。

穿透測試例之二(續(xù))7.WheelGroupCorp5人小組使用偽造的XYZ公司員工帳號發(fā)出一封致批準此次實驗計畫的主管，請求核準獎勵參加此次「財星試驗(FORTUNE’sexperiment)計畫」的員工，U.S.$5,000之耶誕節(jié)獎金。8.XYZ公司批準此次實驗計畫的主管裁示：「Okey,fine」，穿透測試結(jié)束。9.FORTUNE’s出資進行財星試驗計畫，取得報導權(quán)利。10.資料來源：Behar,R.(1997)Who’sreadingyoure-mail?FORTUNE,Feb.1997,pp36~46。穿透測試例之三1.1997年夏季，美國參謀首長聯(lián)席會議下令舉行之EligibleReceiver穿透測試演習開始。2.EligibleReceiver演習證實恐佈分子有能力發(fā)動電子珍珠港事件。3.1999年，美國國防部舉行第2次全國性之穿透測試演習。資訊隱藏學(Steganography)1.資料來源：2001年10月11日，中國時報11版，蕭羨一/綜合報導。2.「華盛頓時報」引述美國聯(lián)邦官員的話報導說，據(jù)信，涉嫌911案的恐怖分子使用隱藏在網(wǎng)際網(wǎng)路上的訊息，用以計畫、偽裝並互相協(xié)調(diào)他們的攻擊活動。3.法國警方發(fā)現(xiàn)一本屬於涉嫌911案的一名恐怖分子的筆記本，其中記載的密碼或可解讀奧薩瑪?賓拉登網(wǎng)絡(luò)內(nèi)的訊息。這本筆記本已經(jīng)送交美國當局處理。4.許多美國及海外的網(wǎng)路業(yè)者，包括美國線上、