簡易檢索 / 詳目顯示

研究生: 高啟聖
Chi - Sheng Kao
論文名稱: 由電子郵件社交工程起始的系統入侵事件
An Intrusion Event Initialized From The Email Social Engineering Attack
指導教授: 葉瑞徽
Ruey Huei Yeh
口試委員: 許總欣
Tsung-Shu Hsu
周子銓
Tzu-Chuan Chou
學位類別: 碩士
Master
系所名稱: 管理學院 - 管理研究所
Graduate Institute of Management
論文出版年: 2014
畢業學年度: 102
語文別: 中文
論文頁數: 30
中文關鍵詞: 社交工程教育訓練資訊安全風險管理
外文關鍵詞: Social engineering, education and training, information security, risk management
相關次數: 點閱:228下載:2
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報
  • 本論文寫作利用哈佛式教學個案撰寫法,陳述個案組織在歷經導入資訊安全管理制度、每年進行電子郵件社交工程教育訓練之後,使用者仍然缺乏資安意識,駭客利用一封社交工程的郵件就輕易的侵入了機構內部,個案機構應該如何解決這個問題?在管理資訊安全制度時,組織的安全性與便利性該如何取得平衡。
    本個案論文包含個案內容與教師手冊兩部分,本論文描述使用者開啟社交工程郵件時進行了哪些操作,讓駭客侵入了機構內部;而機構在導入相關的資訊安全制度時,機構高層與基層員工不同調與制度導入範圍認知不同,導致了哪些問題?配合資安制度進行的教育訓練,為什麼無法達到當初開立教育訓練的目的?結合理論與實務,輔以案例說明,讓讀者能在日後遇到類似問題時,得以避免並採取較佳的行動。


    This study applies the writing method of Harvard case study. The study states the organization implement the security information system and execute the email social engineering test and training but users are still lack awareness of information security. Hackers use an email to invade the internal easily, the case how to solve this problem? How the case balance security and convenience when they manage security information system.
    This paper contains case content and manual for teachers. This study describe how the user execute the email in detail so the hacker intrude the organization. While the organization implement the security information system, high level managers and staff have different tune, which led to the problem? Why the education and training can’t reach the original goal? The case combine the theory and practice, so the readers can take better action when they encounter similar problems.

    壹、 緣起 1 貳、 個案本文 2 一、個案機構介紹 2 (一)機構簡介 2 (二)資訊安全管理 4 (三)電子郵件系統 9 二、駭客攻擊 12 (一)社交工程攻擊 12 (二)SOC異常通報 12 (三)主機檢查與駭客攻防 13 三、安全與便利性的抉擇 14 參、 教學指引 15 一、 個案總覽 15 (一)教學目標 15 (二)課前準備 16 二、 問題與參考答案 16 (一)社交工程 16 (二)教育訓練 18 (三)資訊安全管理 19 (四)風險管理 23 三、 板書規劃 27 四、 教學建議 28 參考文獻 29

    1. BS 7799-1:2000 Code of practice for information security Management, British Standards Institution
    2. BS 7799-2:2002 Specification for Information Security Management Systems, British Standards Institution
    3. Information Security Standards ISO 27001 is the new international standard for an Information Security Management System (ISMS), http://www.itgovernance.co.uk/iso27001.asp, Oct 2013
    4. ISO/IEC 27002:2013, Information technology — Security Techniques — Code of practice for information security controls, International Organization for Standardization
    二、 中文部分
    1. 黃素梅(2010)。政府機關電子郵件社交工程演練與防護--以行政院環境保護署為例。行政院環境保護署環境監測及資訊處技術彙刊,卷4,頁170-195。
    2. 黃素梅(2011)。整合ITSMS與ISMS之經驗分享。行政院環境保護署環境監測及資訊處技術彙刊,卷6,頁117-133。
    3. 詹燦芳(2008)。國內ISMS導入效益、成功要素與遭遇困難之研究。台灣科技大學資訊管理系碩士論文。
    4. 洪國興、趙榮耀(2003)。資訊安全管理理論之探討。資管評論,12期,頁17-47。
    5. 環保署(2013)。資訊安全管理規範。
    6. 陳志傑(2012)。內網安全與技術補強方案。
    7. 行政院國家資通安全會報(2013)。國家資通訊安全發展方向(102年至105年)。
    8. 高振山、楊曼君(2006)。風險管理推動實務。研考雙月刊,30卷,2期,頁25-36。
    9. 徐子文(2007),企業安全暨風險管理策略之研究—台北101大樓個案分析。國立政治大學經營管理學承碩士論文。
    10. 周瑛琪(2010),人力資源管理,新路書局。
    11. 洪榮昭(2009),人力資源發展:企業教育訓練完全手冊。五南出版社。
    12. 盧宣良(2011),電子郵件社交工程演練之自動化教育訓練系統。台灣科技大學資訊管理系碩士論文。
    13. 章友萱2010),組織落實資訊安全之行為模式研究—以T公司電子郵件社交工程演練為例。台灣科技大學資訊管理系碩士論文。

    無法下載圖示 全文公開日期 2019/07/21 (校內網路)
    全文公開日期 本全文未授權公開 (校外網路)
    全文公開日期 本全文未授權公開 (國家圖書館:臺灣博碩士論文系統)
    QR CODE