全功能網路銀行系統之安全目標－依照「共同準則」的方法

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：78

、訪客IP：18.191.150.207

姓名

李怡昌(Yi-Chang Lee) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

全功能網路銀行系統之安全目標－依照「共同準則」的方法
(Security Objectives of A Full Functional Internet Banking-According to The Common Criteria Methodology)

相關論文

★ 應用數位版權管理機制於數位影音光碟內容保護之研究	★ 以應用程式虛擬化技術達成企業軟體版權管理之研究
★ 以IAX2為基礎之網頁電話架構設計	★ 應用機器學習技術協助警察偵辦詐騙案件之研究
★ 擴充防止詐欺及保護隱私功能之帳戶式票務系統研究-以大眾運輸為例	★ 網際網路半結構化資料之蒐集與整合研究
★ 電子商務環境下網路購物幫手之研究	★ 網路安全縱深防護機制之研究
★ 國家寬頻實驗網路上資源預先保留與資源衝突之研究	★ 以樹狀關聯式架構偵測電子郵件病毒之研究
★ 考量地區差異性之隨選視訊系統影片配置研究	★ 不信任區域網路中數位證據保留之研究
★ 入侵偵測系統事件說明暨自動增加偵測規則之整合性輔助系統研發	★ 利用程序追蹤方法關聯分散式入侵偵測系統之入侵警示研究
★ 一種網頁資訊擷取程式之自動化產生技術研發	★ 應用XML/XACML於工作流程管理系統之授權管制研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

摘要
「全功能網路銀行系統」（簡稱「全網銀」）意指銀行將所有和客戶有關的服務，全面透過網路直接提供給客戶使用。但是客戶如何可以信賴「全網銀」是安全的？尤其是當威脅來自四面八方的網際網路環境時。安全在本質上是一種既抽象又難以具體衡量的表述，在資訊安全的領域中，資訊安全代表的是多重工程跨越時空的持續協同運作結果，它更難以衡量；幸好國際上已有一個評估資訊產品或系統安全的準則-「共同準則」（Common Criteria），該準則的功用即在使資訊安全變成可以共同的語言具體表達及評量。
本文依照「共同準則」的方法，建立「全網銀」之安全目標，其主要的特點有：
1.? 在極度威脅的網際網路環境中提供客戶非常暢通、安全的且不中止的服務，特別是為維持高度的可用性，對「全網銀」提供服務所必需之資源，包括通信架構與容量，伺服主機處理容量均應維持適當的彈性與多餘性，系統容量擴充與調整、備援、災難應變及持續運作之需要應於系統構建時整體考量。
2.? 建立可信賴的帳務處理機制，本文從傳統銀行的內部控制制度之分工牽制精神著眼，擬訂虛擬角色、虛擬交易憑證等相關安全目標。
3.? 支援顧客建立安全計算環境的技術或直接提供顧客安全的計算環境，此係基於考量網際網路上諸多威脅正方興未艾，決非一般客戶所能持續安全應對。
本論文最後列出全網銀之安全環境與安全目標交互參照表，此表滿足「共同準則」對每一個安全目標均能追蹤至其處理的安全環境之要求，亦具體呈現了安全環境及安全目標交互關係；本研究所建立之安全目標可供一般使用者瞭解銀行之「全網銀」是否安全之參考，若銀行擬建置一個符合「共同準則」之「全網銀」，亦可循此發展後續的安全需求文件，另主管機關亦可藉以評估銀行「全網銀」之安全考量是否周延。

摘要(英)

Abstract
The Full Functional Internet Banking System (FFIBS for short) provides all services to customer via Internet , but how could it be trusted ? Especially in the Internet environment that threats came from all direction. Security has abstract nature, and it is hard to describe with concrete measure. In the information technology (IT for short) domain, security is an effect of sustained corporate operations, and it is more difficult to measure. The Common Criteria is an international criteria for evaluating the security of an IT product or system. It was purposed to make that describing and evaluating the IT security with the common language become possible.
This thesis proposes security objectives of FFIBS according to the Common Criteria methodology. The security objectives proposed here have the following features:
1.? To provide customer with smooth, secure and non-suspend services in the internet environment, especially keeping extreme high availability. The necessary resources for FFIBS to provide service should keep flexibility and redundancy appropriately, such as data communication capacity, process capacity of the servers. The requirements of extension and adjustment of system capacity, backup, disaster and contingency planning should be considered while system is constructed.
2.? To create reliable accounting process, we propose security objectives of virtual roles and virtual transaction evidences which based on traditional duty segregation approach of internal control.
3.? To continuing educate customer, Supporting customer to set up or directly provide customer with secure operating environment.
Finally, to comply with the requirements of Common Criteria that each security objective should be able to be traced to corresponding security environments, we present a cross reference table of FFIBS security environments and security objectives. This table gives the relationships between security environment and security objective. The created security objectives could be used as reference by general customers to determinate if the bank’s FFIBS is secure. The banks could use it to develop the security requirements for constructing FFIBS which complies with the Common Criteria and the authorities also could use it to evaluate the soundness of a FFIBS.

關鍵字(中)

★ 共同準則
★ 安全目標
★ 安全環境
★ 網路銀行
★ 帳務處理機制

關鍵字(英)

★ security objective
★ Common Criteria
★ security environments
★ accounting process
★ Internet banking

論文目次

摘要………………………………………………………I
英文摘要…………………………………………………II
致謝詞……………………………………………………IV
目錄………………………………………………………V
第一章緒論………………………………………………1
1.1.未來的銀行世界………………………………………1
1.2.研究動機、目的與結果………………………………2
1.3.研究範圍………………………………………………3
1.4.研究方法………………………………………………3
1.5.本論文結構……………………………………………4
第二章背景………………………………………………5
2.1.傳統銀行的存款、放款及匯兌系統簡介……………5
2.1.1.傳統的銀行與客戶交易模式………………………5
2.1.2.傳統銀行的存款、放款及匯兌系統………………6
2.1.3.傳統銀行的安全控管機制…………………………7
2.1.4.小結………………………………………………10
2.2.「全功能網路銀行系統」簡介……………………10
2.2.1.「全功能網路銀行系統」的定義………………10
2.2.2.「全功能網路銀行系統」與傳統銀行連線作業之比較…11
2.2.3.銀行導入「全功能網路銀行系統」之動機……12
2.3.「共同準則」（Common Criteria）簡介…………13
2.3.1.「共同準則」的發展背景………………………13
2.3.2.「共同準則」架構說明…………………………13
2.3.3.「共同準則」之評估及驗證……………………20
2.3.4. 「共同準則」目前的應用………………………21
2.3.5.小結………………………………………………22
第三章相關研究…………………………………………23
3.1.「共同準則」相關研究……………………………23
3.2.網路銀行安全相關研究……………………………26
3.3.相關法令規章………………………………………31
3.4.小結…………………………………………………34
第四章評估標的（TOE,即「全功能網路銀行系統」）說明…35
4.1.「全功能網路銀行系統」構成……………………35
4.2.「全功能網路銀行系統」一般交易模型…………36
4.3.系統參與者及其角色………………………………36
4.4.「全功能網路銀行系統」的功能…………………37
4.5.TOE 之安全環境……………………………………39
4.5.1.TOE 之實體環境…………………………………39
4.5.2.TOE 需保護的資產………………………………39
4.5.3.TOE 的用途………………………………………40
4.5.4.假設(Assumptions)……………………………42
4.5.5.威脅(Threats)……………………………………42
4.5.6.組織的安全政策(Organizational Security Policies)…45
4.6.TOE 安全環境彙總…………………………………47
第五章「全功能網路銀行系統」之安全目標…………49
5.1.安全目標之分類與命名原則………………………49
5.2.安全目標……………………………………………51
第六章討論………………………………………………62
6.1.「全功能網路銀行系統」之安全環境與安全目標交互參照…62
6.2.研究結果討論………………………………………72
第七章結論………………………………………………79
7.1.研究貢獻……………………………………………79
7.2.未來研究方向建議…………………………………79
參考文獻…………………………………………………81
附錄一「全功能網路銀行系統」功能列表……………85

參考文獻

[樊國楨,2002]樊國楨主編.”資通安全專輯之六－資訊安全能力評鑑”.行政院國家科學委員會科學技術資料中心,2002年12月
[樊徐楊李,2004]樊國楨,徐鈺宗,楊仲英,李孝詩.“美國聯邦政府資訊安全管理系統稽核作業相關標準初探”.http://www.im.cpu.edu.tw/cyber06/cyber06-a4.pdf,2004年10月
[沈誼中,2002]沈誼中.“電子公文系統安全評估方法之研究與設計”.國立成功大學資訊工程學系碩士論文,2002年06月
[簡智聰,2003]簡智聰.“銀行業電子金融商品之安全評估-以金融電子轉帳系統（金融EDI）為例”.東海大學資訊工程與科學系碩士論文,2003年07月
[楊嘉欣,2002]楊嘉欣.“智慧卡作業系統之驗證”.國立成功大學工程科學學系碩士論文,2002年07月
[朱天元,2004]朱天元.“新電子付款機制及其安全性之研究”.長庚大學企業管理研究所碩士論文,2004年01月
[林鈴玉,2001]林鈴玉.“國內網路銀行現況發展與交易安全之研究”.國立交通大學管理學院資訊管理學程碩士論文,2001年06月
[許妙靜,2004]許妙靜.”舞弊防制之計畫與控制要點”.會計研究月刊第221期,2004年04月
[萬戴,2005]萬幼筠、戴憶婷.“沙氏法案對我國金融業之影響”.財金資訊雙月刊第40期,2005年06月
[銀0297,2005]中華民國銀行商業同業公會全國聯合會.“電子銀行風險管理原則” . 2005年02月24日中華民國銀行商業同業公會全國聯合會全電字0297號函
[銀2189,2005]中華民國銀行商業同業公會全國聯合會.“金融機構辦理電子銀行業務安全控管作業基準”.2005年08月12日中華民國銀行商業同業公會全國聯合會全電字2189號函
[BCP,2003]Electronic Banking Group of the Basel Committee on Banking Supervision. “Risk Management Principles for Electronic Banking”. Basel Committee Publications No. 98, July 2003
[CL,1998]Theodore H. Clark and Ho Geun Lee. “Security First Network Bank: A Case Study of an Internet –pioneer”. Thirty-First Annual Hawaii International Conference on System Sciences-Vol 4 p.73 1998
[CCPS,2005A]Common Criteria Project Sponsoring Organisations.”Common Criteria Part 1: Introduction and general model V2.3”. http://www.commoncriteriaportal.org/ public/files/ccpart1v2.3.pdf ,Aug 2005
[CCPS,2005B]Common Criteria Project Sponsoring Organisations.”Common Criteria Part 2: Security functional requirements V2.3”. http://www.commoncriteriaportal.org/ public/files/ccpart2v2.3.pdf , Aug 2005
[CCPS,2005C]Common Criteria Project Sponsoring Organisations.”Common Criteria Part 3: Security Assurance Requirements V2.3”. http://www.commoncriteriaportal.org/ public/files/ccpart3v2.3.pdf , Aug 2005
[ECB,2003]European Central Bank. “Electronic money system security objectives – According to The Common Criteria Methodology ”. http://www.ecb.int/pub/pdf/other/ emoneysecurity200305en.pdf ,May 2003
[FRS,2005]Federal Reserve System USA. “A summary of the roundtable discussion on the risk and security involving retail payments over the Internet”. http://www.federalreserve.gov/paymentsystems/internetpayments/internetpayments.pdf,Jun 2005
[FFIE,2005]Federal Financial Institutions Examination Council USA. “Authentication in an Internet Banking Environment.”. http://www.ffiec.gov/pdf/authentication_ guidance.pdf, Oct 2005.
[FN,2004]Karen Furst and Daniel E. Nolle. “Technological Innovation in Retail Payments:Key Developments and Implications for Banks” . Office of the Comptroller of the Currency USA. http://www.occ.treas.gov/netbank/OCCFurstNolleJFT.pdf, Oct 2004
[HEAR,2004]Jim Hearn. “Does the Common Criteria Paradigm Have a Future?”. IEEE Security & Privacy, Vol. 2, No. 1, 2004, pp.64–65.
[HKW,2006]Alain Hiltgen, Thorsten Kramp & Thomas Weigold. “Secure Internet Banking Authentication” . Mar 2005, http://www.ubs.com/1/e/ubs_ch/authentication.html.
[HMT,2006]Kjell j. Hole, Vebjorn Moen, Thomas Tjostheim. “Case study -Online Banking Security”.IEEE Security and Privacy Vol 4 ,(Mar 2006) pp 14 – 20.
[KR,2000]Konstantin Knorr & Susanne R¨ohrig. “Security of Electronic Business Applications: Structure and Quantification”. http://www.occ.treas.gov/netbank/ OCCFurstNolleJFT.pdf Oct. 2004
[KS,2006]Feisal Keblawi & Dick Sullivan “Applying the Common Criteria in Systems Engineering”,. IEEE Security and Privacy Vol 4 , Issue 2 (Mar 2006) pp 50 - 55.
[LLOY,2006]Wes J. Lloyd. “A Common Criteria Based Approach for COTS Component Selection”. Journal of Object Technology, Vol. 4, No. 3 2005
[MT,2000]Stéphanie Motré & Corinne Téri. “Using B Method to Formalize the Java Card Runtime Security Policy for a Common Criteria Evaluation”. http://csrc.nist.gov/ nissc /2000/proceedings/papers/026.pdf , 2000
[NM,2005]Nie Jin & MA Fei-Cheng. “Network security risks in online banking”. Wireless Communications, Networking and Mobile Computing, 2005. Proceedings. 2005 International Conference on, Vol 2 Date: 23-26 Sep. 2005 ,pp 1229-1234.
[PM,2004]Bruce Potter & Gary Mcgraw. ”Software Security testing”. Security & Privacy Magazine, IEEE Sept.-Oct. 2004 Vol 2, pp 81- 85
[RF,2002]Philip O’Reilly & Pat Finnegan . ”Internet banking systems : An exploration of contemporary issues”. Journal of Systems & Information Technology 7(1) 2002 pp 93-110
[SYMA,2005]Symantec. “Internet Security Threat Report” . Sep 2005
[THIE,2004]Chad Thiele,”Internet Banking Transaction Volume and Costs”,Research Review Issue # 18,Credit Union National Association,2002/2003 Technolog & E-Commerce Survey Report.
[VWW,2002]Monika Vetterling, Guido Wimmel, Alexander Wisspeintner. “Secure Systems Development Based on the Common Criteria: The PalME Project”. Proceedings of SIGSOFT 2002/FSE-10. Nov. 18-22, 2002. .pp 129-138.

指導教授

陳奕明(Yi-Ming Chen)

審核日期

2006-7-16

推文