博碩士論文 108453007 詳細資訊




以作者查詢圖書館館藏 以作者查詢臺灣博碩士 以作者查詢全國書目 勘誤回報 、線上人數:178 、訪客IP:3.87.133.69
姓名 喬聖英(Sheng-Ying Chiao)  查詢紙本館藏   畢業系所 資訊管理學系在職專班
論文名稱 應用威脅模型方法於產品開發設計之探討—以Z公司專案為例
(Applying Threat Modeling Method in New Product Development and Design: A Case Study of Z Company)
相關論文
★ 影響ERP導入過程及成效因素之研究 - 單一公司兩次導入SAP系統之比較分析★ 運用資料倉儲技術建置物力動員資訊系統之開發
★ 買方採用自有電子市集之個案研究─以台塑企業為例★ DEA模型評估經營效率之研究—以某綜合證券商為例
★ 尋求卓越:中小企業資訊部門的管理之個案研究★ 「證券商共同網路交易平台」之可行性分析
★ 產業競合模式策略探討-以自行車產業為例★ RFID導入航空貨運站出口作業流程應用之研究
★ 綠色供應鏈活動建構之個案研究-以筆記型電腦製造業為例★ 導入資訊科技服務管理之評估-以遠東銀行為例
★ 資訊系統導入歷程中專案團隊決策衝突之探討★ 應用資源基礎理論探討持久競爭優勢-以智慧型手機H公司為例
★ 服務導向架構為基礎的企業流程管理之探討 - 以瀚宇博德股份有限公司為例★ 沙賓法案實施與企業遵循個案研究--以K公司為例
★ 資訊服務委外之個案分析-以銀行簡訊為例★ 有線電視業者經營IPTV之競爭優勢分析—以個案公司為例
檔案 [Endnote RIS 格式]    [Bibtex 格式]    [相關文章]   [文章引用]   [完整記錄]   [館藏目錄]   至系統瀏覽論文 ( 永不開放)
摘要(中) 資訊安全的重要性近年來有飛快上升的趨勢,更有甚者喊出資安就是國安的口號,而資訊安全產業的產值規模成長率,也是同步大幅上揚。物聯網、人工智慧以及工業4.0等等的持續高度發展,更是促進了資訊產業及網路生態的多元組合,但也同時為資訊安全的威脅埋下了更多未知潛在的可能風險。

過去在資訊安全的研究方面,多是著重在軟體應用程式或網路相關領域,諸多資安防護技術也是集中在這些領域之上,仔細探究其中的幾項研究理論可以發現,在這些防護的背後,有許多加諸於外的防護技術,但針對其產品或服務本身,並未做到有效的自我強化,因而才衍伸出後來微軟主導的安全開發生命週期,強調安全的本質應該由軟體本身的開發做起,這也啟蒙了本研究是否能夠將其理論導入在硬體設計方面,安全的本質,硬體開發也應該為資訊安全領域貢獻一份心力,有更安全的硬體,亦能同時為使用者或企業帶來更安心的使用情境。

本論文結合安全開發生命週期中的威脅模型,以及專案管理中的風險管理理論,嘗試導入於產品開發的過程之中,藉由通用弱點評鑑系統的評分依據作為專案風險的參考指標,實際應用於個案公司的專案開發流程之中,也成功的識別出34項威脅,於專案開發初期就能夠將產品設計本身所可能產生的資安缺陷加以找出,供專案團隊進行後續討論其優先順序,同時參考威脅模型中的STRIDE分類原則,將各項威脅風險予以分類,並且擬定對應的解決方案及緩解計畫,應用理論與模型觀念進一步地將這些學理與實務層面進行結合。

關鍵詞:資訊安全、威脅模型、專案管理、通用弱點評鑑系統
摘要(英) The importance of information security has been rising rapidly in recent years, making information security almost equivalent to national security. The overall output value of information security industry has also grown substantially. The continuous development of Internet of Things, Artificial Intelligence, and Industry 4.0 has also promoted the diversified combinations of the information industry and network ecology, but it has also planted more unknown and potential risks for the threats to information security.
In the past, research on information security mostly focused on software applications or network-related issues. Many information protection technologies are also concentrated on these issues. A careful study of several research theories can reveal that behind these protections are largely external protections, but rare are provided by the products or services themselves. Later, extended security development life cycle led by Microsoft emphasizes that the essence of security should come from the software itself. This also enlightens this research whether such a theory could be introduced into hardware design. Security issues should not be limited to just software but also be implemented within product hardware so as to enhance the overall security level of the product when using.
This thesis combined Threat Modeling in Security Development Life Cycle and the Risk Management theory in Project Management, and introduced them into the product development process, with Common Vulnerability Scoring System (CVSS) as the reference for assessing project risk. Applying this threat modeling in the project development process successfully identified 34 threats in the early phases of project development. Identifying these threats and organizing their solutions accordingly can help project teams prioritize following up actions and evaluate their effectiveness. Utilizing STRIDE classification principle in the threat modeling to classify the threats with risk assessments and provide corresponding solutions and mitigation plans help resolve the important practical information security problem with academic theories and concepts.

Keywords: Information Security, Threat Modeling, Project Management, CVSS
關鍵字(中) ★ 資訊安全
★ 威脅模型
★ 專案管理
★ 通用弱點評鑑系統
關鍵字(英) ★ Information Security
★ Threat Modeling
★ Project Management
★ CVSS
論文目次 摘要 i
Abstract ii
致謝 iv
目錄 v
圖目錄 viii
表目錄 ix
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 4
1.3 研究目的 5
1.4 論文架構 5
第二章 文獻探討 7
2.1 資訊安全研究探討 7
2.1.1 資訊安全介紹 7
2.1.2 安全目標的潛在影響 9
2.2 威脅模型相關文獻探討 10
2.2.1 安全開發生命週期 (Security Development Lifecycle, SDL) 10
2.2.2 威脅模型 13
2.3 通用弱點評鑑系統 CVSS (Common Vulnerability Scoring System) 18
2.3.1 CVSS 概述 18
2.3.2 CVSS 各項評分指標簡介 19
2.4 專案管理相關文獻探討 21
2.4.1 專案之意義 21
2.4.2 專案與開發生命週期 23
2.4.3 專案管理流程及知識領域 26
2.5 文獻小結 29
第三章 研究方法 30
3.1 研究基礎 30
3.2 採用方法 31
3.3 研究對象 32
3.4 資料蒐集來源與方式 32
第四章 個案分析 33
4.1 個案簡介 33
4.2 個案分析 34
4.2.1 應用威脅模型於產品專案開發 34
4.2.2 威脅模型應用於產品開發之執行步驟 36
4.2.3 應用威脅模型於專案管理所需考量之特殊情境 36
4.3 個案發現 38
4.3.1 系統硬體除錯埠 38
4.3.2 機殼入侵偵測 39
4.3.3 系統安全及資料儲存元件 39
4.3.4 系統安全相關元件及其線路防護安全性 40
4.3.5 外部連接埠與端口控制 41
4.3.6 個案威脅清單資料整理 41
4.3.7 各項威脅之解決方案 49
4.4 個案分析總結 52
第五章 結論 56
5.1 研究總結 56
5.2 研究管理意涵及建議 57
5.3 研究限制 59
5.4 未來研究方向 59
參考資料 60
壹、中文部分 60
貳、英文部分 60
叁、網路文獻 61
參考文獻 壹、中文部分
[1] 李郁苓(2018),「影響個人對於勒索病毒威脅防範與行動採取因素之研究:保護動機理論觀點」,銘傳大學企業管理學系碩士論文。
[2] 張珮辰(2014),「以專案管理鐵三角理論為基礎來建立專案變更之影響分析與協商模型」,國立中央大學資訊管理學系碩士論文。
[3] 黃淑惠(2009),「威脅模型應用於軟體發展生命週期之分析」,國防大學管理學院資訊管理學系碩士論文。

貳、英文部分
[1] Myagmar, S., Lee, A. J., & Yurcik, W. (2005). Threat Modeling as a Basis for Security Requirements. In Symposium on Requirements Engineering for Information Security (SREIS) (Vol. 2005, pp. 1-8).
[2] Project Management Institute. (2017). PMBOK® Guide – Sixth Edition.
[3] Shostack, A. (2014). Threat Modeling: Designing for Security. Hoboken: John Wiley & Sons.
[4] Wright, M. (1999). Third Generation Risk Management Practices. Computer Fraud & Security, 1999(2), 9-12.



叁、網路文獻
[1] FIRST.org (2019), Common Vulnerability Scoring System v3.1: Specification Document
https://www.first.org/cvss/v3.1/specification-document
Access Time: 2021/4/27
[2] Microsoft (2012), Security Development Lifecycle
https://www.microsoft.com/en-us/securityengineering/sdl
Access Time: 2021/4/30
[3] Microsoft (2012), Threat Modeling
https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
Access Time: 2021/4/30
[4] NIST (2004), FIPS 199, Standards for Security Categorization of Federal Information and Information Systems
https://csrc.nist.gov/publications/detail/fips/199/final
Access Time: 2021/4/27
[5] NIST (2012), SP 800-30 Rev. 1 , Guide for Conducting Risk Assessments
https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final
Access Time: 2021/4/27
[6] NIST (2017), SP800-12 Rev.1 , An Introduction to Information Security
https://csrc.nist.gov/publications/detail/sp/800-12/rev-1/final
Access Time: 2021/4/27
[7] TrendMicro (2020), The Impact of Modern Ransomware on Manufacturing Networks
https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html
Access Time: 2021/4/15

[8] Wikipedia (2021). Common Vulnerability Scoring System
https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System
Access Time: 2021/4/15
指導教授 王存國(Tswen-Gwo Wang) 審核日期 2021-7-14
推文 facebook   plurk   twitter   funp   google   live   udn   HD   myshare   reddit   netvibes   friend   youpush   delicious   baidu   
網路書籤 Google bookmarks   del.icio.us   hemidemi   myshare   

若有論文相關問題,請聯絡國立中央大學圖書館推廣服務組 TEL:(03)422-7151轉57407,或E-mail聯絡  - 隱私權政策聲明