簡易檢索 / 詳目顯示

回結果列表
研究生: 王茂林
Mao-Lin Wang
論文名稱: 以區塊鏈實作符合共同準則安全稽核要求的紀錄儲存系統
On the Design and Implementation a Logging Management System that Satisfying Common Criteria Security Auditing Requirements with the Blockchain Technology
指導教授: 查士朝
Shi-Cho Cha
洪政煌
Cheng-Huang Hung
口試委員: 葉國暉
Kuo-Hui Yeh
鄭欣明
Shin-Ming Cheng
學位類別: 碩士
Master
系所名稱: 管理學院 - 資訊管理系
Department of Information Management
論文出版年: 2018
畢業學年度: 106
語文別: 中文
論文頁數: 41
中文關鍵詞: 共同準則安全稽核區塊鏈智能合約Hyperledger
外文關鍵詞: Common Criteria, Security Auditing, Blockchain, Smart Contract, Hyperledger
相關次數: 點閱:247下載:25
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 在目前如 ISO/IEC 27001:2013 的資訊安全管理規範中,多半要求要留存紀錄,以便能夠進行檢視以發現資安事件。
    而這些保存起來的紀錄,如果要成為證據或是訴訟的依據,則需要確保紀錄的完整性。就這部分來看,可以將紀錄存放於區塊鏈,利用區塊鏈的特性,以便確保資料不會被竄改。

    然而,倘若區塊鏈技術應用於企業上,不論是在儲存及搜尋速度上緩慢,或是資料存取權限上,都具有相當大的空間去考量其應用方法。
    有鑑於此,本研究提出一個紀錄儲存系統符合共同準則安全稽核要求建制於區塊鏈網路上,實作了雛型系統來驗證本研究所提出之架構。
    首先,系統日誌會先到暫存服務中的訊息佇列,避免區塊鏈區塊儲存時網路壅塞,而於搜尋上也會建立一個索引服務來提供區塊鏈的搜尋,在本系統中也提供了代理服務作為使用者與區塊鏈網路的中間人,提供系統管理員一個網頁管理平台界面進行搜尋與智能合約互動。
    因此,本研究的成果可以提供系統管理員之稽核效率,並確保其日誌資料完整性。

    According to several standards of information security management system such as ISO/IEC 27001:2013, we need to keep these raw logs in order to review and discover information security events.

    If these preserved records are used to be the evidences or the basis of litigation, we must ensure the integrity of the logs. Therefore, we can store data in the blockchain by utilizing the characteristics of blockchain, which can prevent the data from being tampered.
    However, if we want to implement blockchain technology on the applications of enterprises, there are still some issues that we need to consider when implementing the blockchain technology, such as the low speed on the storage and the search or rights to access data.

    In light of this, the study proposes a logging management system that satisfies the Common Criteria security auditing requirements based on the blockchain network. Moreover, we have implemented the working prototype to verify the proposed system. To prevent the blockchain transactions from congesting the network, the syslog messages will be stored in a message queue of a cache service. The proposed system also provides a index service for searching the logs on the blockchain network. Besides, we utilize a proxy service as a middleware between the users and the blockchain network, which provides the system administrators an interface to communicate with smart contract and show data on the dashboard therein. Therefore, this study can contribute to improving the efficiency of auditing and the integrity of syslog messages.

    中文摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I 英文摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II 誌謝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III 目錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV 表目錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI 圖目錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII 1 緒論 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1 研究背景與動機 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 研究目的與貢獻 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.3 章節介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 背景知識與文獻探討 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.1 資訊安全管理制度相關機制之控制措施要求 . . . . . . . . . . . . . . . 3 2.2 區塊鏈技術與完整性保護 . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3 區塊鏈平台介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.4 ISO/IEC 15408-2:2013 之功能要求 . . . . . . . . . . . . . . . . . . . . 6 3 問題定義及需求定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.1 問題定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.2 需求定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4 系統概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 4.1 系統架構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 IV4.2 資料格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 4.3 元件介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.3.1 區塊鏈管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.3.2 代理服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.3.3 暫存服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.3.4 身份管理服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.4 系統流程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 4.4.1 資料儲存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 4.4.2 資料讀取 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 4.4.3 自動回應 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 5 系統實作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5.1 區塊鏈服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 5.2 代理服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 5.3 暫存服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 5.4 身份管理服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 6 系統實驗與驗證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 6.1 實驗環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 6.2 系統展示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 6.3 系統實驗 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 7 結論與未來發展 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 參考文獻 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

    [1] ISO, “Information technology - security techniques - information security management
    systems - requirements,” Tech. Rep., 2013, iSO/IEC 27001:2013. [Online]. Available:
    https://www.iso.org/standard/54534.html
    [2] S. Nakamoto, “Bitcoin: A peer-to-peer electronic cash system,” 2009. [Online]. Available:
    http://www.bitcoin.org/bitcoin.pdf
    [3] E. Foundation. (2018) Ethereum’s white paper. Last visited on 2018-05-21. [Online].
    Available: https://github.com/ethereum/wiki/wiki/White-Paper
    [4] J. P. Morgan. (2016) Quorum whitepaper, version 0.1. Last visited on 2018-06-
    03. [Online]. Available: https://github.com/jpmorganchase/quorum-docs/blob/master/
    Quorum%20Whitepaper%20v0.1.pdf
    [5] ISO, “Information technology ‒ security techniques ‒ evaluation criteria for it security ‒
    part 2: Security functional components,” Tech. Rep., 2008, iSO/IEC 15408-2:2008. [Online].
    Available: https://www.iso.org/standard/46414.html
    [6] R. Gerhards, “The Syslog Protocol,” RFC 5424, Mar. 2009. [Online]. Available: https:
    //rfc-editor.org/rfc/rfc5424.txt
    [7] R.
    Research,
    “Survey
    of
    confidentiality
    and
    privacy
    preserving
    for blockchains,” Tech. Rep., 2016. [Online]. Available:
    technologies
    https://z.cash/static/R3_
    Confidentiality_and_Privacy_Report.pdf
    [8] M. Bartoletti, S. Lande, L. Pompianu, and A. Bracciali, “A general framework for blockchain
    analytics,” in Proceedings of the 1st Workshop on Scalable and Resilient Infrastructures
    for Distributed Ledgers, ser. SERIAL ’17.
    New York, NY, USA: ACM, 2017, pp. 7:1‒7:6.
    [Online]. Available: http://doi.acm.org/10.1145/3152824.3152831
    [9] GoDoc. (2017) shim - godoc. Last visited on 2018-06-03. [Online]. Available: https:
    //godoc.org/github.com/hyperledger/fabric/core/chaincode/shim
    [10] N. Foundation. (2018) Node.js. Last visited on 2018-05-06. [Online]. Available: https:
    //nodejs.org/en/
    [11] H. Foundation. (2018) Getting started —hyperledger-fabricdocs master documentation.
    Last visited on 2018-05-08. [Online]. Available: http://hyperledger-fabric.readthedocs.io/
    en/release-1.1/getting_started.html#install-binaries-and-docker-images

    QR CODE