Basic Search / Detailed Display

Author: 張喬欽
Chiao-Chin Chang
Thesis Title: 基於資訊韌性之金融資安保護
Financial Cybersecurity Protection Based on Information Resilience Management
Advisor: 吳宗成
Tzong-Chen Wu
Committee: 楊傳凱
Chuan-Kai Yang
楊維寧
Wei-Ning Yang
Degree: 碩士
Master
Department: 管理學院 - 資訊管理系
Department of Information Management
Thesis Publication Year: 2021
Graduation Academic Year: 109
Language: 中文
Pages: 65
Keywords (in Chinese): 資訊韌性金融資安保護永續發展
Keywords (in other languages): Information Resilience, Financial Cybersecurity Protection, Sustainable Development
Reference times: Clicks: 311Downloads: 0
Share:
School Collection Retrieve National Library Collection Retrieve Error Report

資訊韌性是企業永續發展的重要概念,許多調查機構和組織均投入相關的研究,但在臺灣金融資安保護實務應用過程中,仍著重於被動防禦策略及技術工具,相對於主動防禦概念的資訊韌性發展仍處於初期探索階段。
因此,本研究提出使用資訊韌性工程框架及網路狙殺鏈模型(Cyber Kill Chain),透過文獻分析法規劃從“資安治理”、“識別與保護”、“偵測與響應”、“測試”,以及“態勢感知與學習和發展”等5大風險構面為基礎,設計具備資訊韌性的資安保護框架。再輔以網路防禦矩陣(Cyber Defense Matrix, CDM)模型,探討設計金融資訊韌性管理的方法及應用,發展金融資安保護之架構,以作為金融機構規劃辦理資訊韌性管理之參考。
研究結果發現本研究設計的風險管理構面完全覆蓋具有銀行資安思維的CDM模型,適用於金融機構。因此,建議金融機構可採用本研究設計之資訊韌性管理框架,從多元管理構面開展,建構組織重視資安文化,加強資安管理、強化資安監控、落實資安演練,並建立資安事件應變體系等舉措,以提升資安保護之綜效,並進一步改善金融生態系統的資安防護總體能量,使金融用戶在享受金融科技與服務創新的同時,確保個人穩私與財產資訊安全。


Information Resilience is the key concept to sustainable development of the enterprise. With numerous investigation institutes and organizations jumping into the research, we still focus on passive defense strategies and tools when it comes to financial cybersecurity protection in Taiwan while the proactive protection approach of information resilience development still stays at the exploring stage.
Hence, this study comes up with the engineering framework of Information Resilience and Cyber Kill Chain. The Study also discusses how to design an information security frame based on the 5 rick facets: “Information Security Governance,” “Identification and Protection,” “Detection and Response,” “Test” and ”Situational Awareness and Learning and Development” through Document Analysis. With the CDM (Cyber Defense Matrix) model, it also probes into the methods and content of designing financial information resilience management and developing the protection structure for financial information security as a reference for when financial institutions plan and conduct information resilience management.
The study finds financial institutions can refer to the 5 risk facets mentioned above since they cover the CDM model of banking information security completely. Therefore, financial institutions are encouraged to adopt the management framework of information resilience designed by this study, which will start from multi-management facets, raise awareness of information security culture, reinforce information security management, fortify information security surveillance, complete information security drills, and build up a contingency system for it to enhance the overall protection. It will also further improve the protection of information security in financial ecosystems, which enables users to enjoy financial technologies and service innovation with their privacy and financial information protected.

摘要 ABSTRACT 第1章 緒論 1.1 研究背景與動機 1.2 研究目的 1.3 研究方法與架構 1.4 研究限制 第2章 文獻探討 2.1 資安威脅模型 2.2 資訊安全模型 2.3 資訊韌性工程框架 第3章 金融資訊韌性管理之規劃與設計 3.1 資安治理 3.2 識別與保護 3.3 偵測與響應 3.4 測試 3.5 態勢感知與學習和發展 第4章 資訊韌性管理案例探討 4.1 強化資安監理 4.2 深化資安治理 4.3 精實金融韌性 4.4 發揮資安聯防 第5章 結論及未來研究建議 5.1 研究結論 5.2 未來研究建議 參考文獻

中文文獻
江家裕(2019)。基於資安風險管理之金融機構縱深防禦[未出版之碩士論文]。國立臺灣科技大學資訊管理系碩士論文。
行政院(2021)。109年國家資通安全情勢報告。https://nicst.ey.gov.tw/File/41C10DF5CB54975D?A=C
行政院國家資通安全會報(2021)。國家資通安全發展方案(110年至113年)。https://nicst.ey.gov.tw/File/D55C6E61DC0BE23?A=C
林承忠(2020)。網路攻防演練框架之規劃與設計[未出版之碩士論文]。國立臺灣科技大學資訊管理系碩士論文。
金融資安資訊分享與分析中心(2020)。2020 F-ISAC資安情資月報(第2期)。
金融資安資訊分享與分析中心(2021)。2021 F-ISAC資安情資月報(第1期)。
金融監督管理委員會(2020)。金融資安行動方案。https://www.fsc.gov.tw/websitedowndoc?file=chfsc/202107080925290.pdf&filedisplay=%E6%AA%94%E6%A1%881_%E9%87%91%E8%9E%8D%E8%B3%87%E5%AE%89%E8%A1%8C%E5%8B%95%E6%96%B9%E6%A1%88.pdf
潘穆嫈、林貝珊、林元祥(2020)。韌性研究之回顧與展望。防災科學,1,53-78。
賴宥芯(2020)。不同資通安全標準對資訊安全治理的影響[未出版之碩士論文]。國立雲林科技大學會計系碩士論文。
蘇柏鳴(2020年12月)。MITRE ATT&CK 框架概述。金融聯合徵信雜誌,37,27-32。
蘇柏鳴(2020年6月)。淺介Cyber-Defense Matrix(CDM)。金融聯合徵信雜誌,36,109-110。
英文文獻
Bank for International Settlements (BIS). (2016, June). Guidance on Cyber Resilience for Financial Market Infrastructures. Committee on Payments and Market Infrastructures and International Organization of Securities Commissions.
https://www.bis.org/cpmi/publ/d146.pdf
Bartock, M., Cichonski, J., Souppaya, M., Smith M., Witte, G., & Scarfone, K. (2016). Guide for Cybersecurity Event Recovery. NIST Special Publication. https://doi.org/10.6028/NIST.SP.800-184
Bassett, G., Hylender, D., Langlois, P., Pinto, A & Suzanne, W. (2020, May). 2020 Verizon Data Breach Investigations Report. Verizon Communications. https://doi.org/10.13140/RG.2.2.21300.48008
Bodeau, D. J., & Graubart, R. (2011). Cyber Resiliency Engineering Framework. MITRE Corporation. Bedford, MA.
https://www.mitre.org/sites/default/files/pdf/11_4436.pdf
Cichonski, P., Millar, T., Grance, T., & Scarfone, K. (2012). Computer Security Incident Handling Guide. NIST Special Publication. http://dx.doi.org/10.6028/NIST.SP.800-61r2
Groš, S. (2021, June 30-July 2). A Critical View on CIS Controls [Paper presentation]. In 2021 16th International Conference on Telecommunications (ConTEL). IEEE. Zagreb, Croatia. https://doi.org/10.23919/ConTEL52528.2021.9495982
Kwon, R., Ashley, T., Castleberry, J., Mckenzie, P., & Gourisetti, S. N. G. (2020, Oct 19-23). Cyber Threat Dictionary Using MITRE ATT&CK Matrix and NIST Cybersecurity Framework Mapping [Paper presentation]. In 2020 Resilience Week (RWS). IEEE. Salt Lake City, UT, USA. https://doi.org/10.1109/RWS50334.2020.9241271
Murphy, G. (2015). SSCP (ISC)2 Systems Security Certified Practitioner Official Study Guide. John Wiley & Sons Corporation.
O'Reilly, P., Rigopoulos, K., Feldman, L., & Witte, G. (2020). 2019 NIST/ITL Cybersecurity Program Annual Report. NIST Special Publication. https://doi.org/10.6028/NIST.SP.800-211
Regenscheid, A. (2017). Platform Firmware Resiliency Guidelines. NIST Special Publication. https://doi.org/10.6028/NIST.SP.800-193
Ross, R., Pillitteri, V., Graubart, R., Bodeau, D., & McQuaid, R. (2019). Developing Cyber Resilient Systems: A Systems Security Engineering Approach. NIST Special Publication. https://doi.org/10.6028/NIST.SP.800-160v2
Xiong, W., Legrand, E., Åberg, O., & Lagerström, R. (2021). Cyber Security Threat Modeling Based on The MITRE Enterprise ATT&CK Matrix. Software and Systems Modeling. https://doi.org/10.1007/s10270-021-00898-7
Burt, T. (2021, March 2). New Nation-State Cyberattacks. Microsoft Corporation. https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
Jan B., Karl M.(2021年11月30日)。銀行能否化今日之顛覆危機為明日之轉型契機?。安永聯合會計師事務所。https://www.ey.com/zh_tw/banking-capital-markets/can-banks-turn-today-disruption-into-tomorrow-transformation
MITRE Corporation. (2021). Enterprise Matrix. MITRE ATT&CK®. https://attack.mitre.org/matrices/enterprise/
Reeves, M., & Whitaker, K. (2020, August 28). A Guide to Building a More Resilient Business. Harvard Business Review. https://www.hbrtaiwan.com/article_content_AR0009906.html
SANS Institute. (2021, April 21). CIS Controls v8. SANS Institute. https://www.sans.org/blog/cis-controls-v8/
方偉倫、劉彥伯、謝昀澤、賴偉晏(2020年5月)。COVID-19:亞太區金融機構韌性指南。安侯建業聯合會計師事務所。https://home.kpmg/tw/zh/home/insights/2020/04/covid-19-embedding-enterprise-resilience-aspac.html
台灣電腦網路危機處理暨協調中心(TWCERT/CC)(2020年7月23日)。以色列供水系統,遭到兩次駭侵攻擊。TWCERT/CC。https://www.twcert.org.tw/tw/cp-104-3804-005e0-1.html
吳晟熙、花俊傑(2017年4月18日)。以資訊韌性協助金融服務面對挑戰。BSI英國標準協會。https://www.bsigroup.com/LocalFiles/zh-tw/e-news/No158/information-resilience-for-financial-industry.pdf
周峻佑(2021年3月17日)。Palo Alto揭露新的Mirai殭屍網路變種病毒,鎖定金融機構網路資安設備發動攻擊。iThome。https://www.ithome.com.tw/news/143288
林妍溱(2021年5月24日)。Exchange漏洞公布5分鐘就被駭客掃描。iThome。https://www.ithome.com.tw/news/144605
陳曉莉(2020年8月3日)。IBM《資料外洩成本報告》:外洩憑證與雲端配置錯誤為最大的攻擊媒介。iThome。https://www.ithome.com.tw/news/139185
陳曉莉(2020年8月17日)。加拿大政府網站遭駭客攻擊,上萬用戶憑證被竊。iThome。https://www.ithome.com.tw/news/139438
翁芊儒(2020年8月12日)。【臺灣資安大會直擊】調查局完整揭露中油、台塑遭勒索軟體攻擊事件調查結果,駭客集團入侵途徑大公開。iThome。https://www.ithome.com.tw/news/139331
戴爾科技集團(2020年5月21日)。戴爾科技集團成為首家避風港計畫解決方案供應商。iThome。https://www.ithome.com.tw/pr/137725

無法下載圖示 Full text public date 2024/10/19 (Intranet public)
Full text public date This full text is not authorized to be published. (Internet public)
Full text public date This full text is not authorized to be published. (National library)
QR CODE