跳到主要內容

簡易檢索 / 詳目顯示

回結果列表
研究生: 曾立行
Li-Hsing Tseng
論文名稱: 結合FAIR與NIST資安框架分析資安風險:以金融業為例
指導教授: 蔣偉寧
口試委員:
學位類別: 碩士
Master
系所名稱: 工學院 - 土木工程學系
Department of Civil Engineering
論文出版年: 2022
畢業學年度: 110
語文別: 中文
論文頁數: 77
中文關鍵詞: 網路風險資安風險保費計算FAIRNIST
外文關鍵詞: cyber security, cyber insurance, data breach, FAIR, NIST
相關次數: 點閱:12下載:0
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 近年來,全球受新冠肺炎(COVID-19)疫情持續影響,如今早已改變人們原本生活的面貌,同時全球經濟、產業型態帶來非常大的變化,然而此迅速變化也讓許多產業尋求智慧及數位化生產,以減低疫情所帶來的影響,此結果不僅使高科技及數位化產業之發展,也導致生活型態之轉變,遠距工作比例增加,更帶來相應之資安風險,若管理不當可能會對組織的營運造成很深的影響並會帶來相當大的金錢損失。即使解決漏洞本身的問題後,將來也非常有可能造成長久且深遠的後續影響,甚至將影響組織名譽及品牌的形象。
    本研究介紹網路風險之構成及所需參數,進而透過FAIR(factor analysis of information risk)與NIST (National Institute of Standards and Technology)資安框架探討台灣之金融產業其攻擊類型、損失大小等等,最後透過python模擬其保費計算。

    In recent years, the world has been continuously affected by the new crown pneumonia (COVID-19) epidemic, which has already changed people's original life. At the same time, the global economy and industrial patterns have brought great changes. However, this impact has also caused many industries to seek intelligent and digital production, trying to reduce the impact of the epidemic, not only unexpectedly accelerate the development of high-tech industries and digital industries, but also lead to changes in lifestyles, increasing the proportion of remote work, and bring corresponding information security risks. Improper management can severely impact an organization's reputation to operate and result in considerable monetary losses. Even after solving the problem of the vulnerability itself, it may cause long-term and far-reaching follow-up effects, affecting the organization's goodwill and brand image.
    This research introduces the composition and required parameters of network risk, and then discusses the types of attacks and the size of losses in Taiwan's financial industry through FAIR (factor analysis of information risk) and NIST (National Institute of Standards and Technology) information security frameworks. Finally, assesses its premium calculation through a software developed using Python.

    摘要 i Abstract ii 目錄 iii 表目錄 vi 圖目錄 vii 第一章 緒論 1 1.1 研究動機與目的 1 1.2 研究內容 3 第二章 NIST資安框架 4 2.1 NIST 4 2.2 NIST資安框架簡介 4 2.3 與其他資安框架差異 6 2.3.1 NIST資安框架 6 2.3.2 HITRUST資安框架 10 2.3.3 MITRE ATT&CK資安框架 11 2.3.4 ACSC Essential Eight資安框架 11 2.3.5 網路安全框架比較 12 2.4 NIST框架之演進 13 2.5 NIST重點領域 13 2.5.1 聯邦機構網路安全聯盟 13 2.5.2 國際層面影響 14 2.5.3 小企業意識和資源 14 2.6 與利益者相關之重要議題 14 2.6.1 信任機制 14 2.6.2 網路攻擊生命週期 15 2.6.3 網路安全勞動力 16 2.6.4 網路供應鏈風險管理 16 2.6.5 身分和訪問管理 16 2.6.6 物連網 17 2.6.7 測量網路風險 17 2.6.8 參考技術 17 2.6.9 安全軟體開發 18 第三章 研究方法與流程 19 3.1 FAIR簡介 19 3.1.1 基本風險概念 19 3.1.2 FAIR術語 20 3.1.3 以PERT方法建立Beta分佈 21 3.1.4 FAIR本體論 24 3.1.5 FAIR分析流程 26 3.1.6 風險分析結果 28 3.2 問卷形式 30 3.2.1 假設理論 31 3.2.2 問卷編製原則與步驟 31 3.2.3 NIST問卷形式 33 3.2.4 由NIST問卷求企業自評Diff值 35 3.2.5 TEF、TCap問卷形式 37 3.3 執行分析之軟體介紹 38 第四章 研究結果 39 4.1 產業類型分類 39 4.1.1 金融業之攻擊類型 40 4.1.2 依經驗與FAIR手冊建議定義數值 41 4.1.3 金融業之損失幅度 43 4.1.4 企業防範方法 46 4.2 由問卷結果得Diff值 47 4.3 輸入運算軟體得風險值 48 4.4 由軟體輸出結果估算保費 50 第五章 結論與建議 51 5.1 結論 51 5.2 建議 52 參考文獻 53 附錄A NIST問卷題目 56 附錄B TEF問卷題目 62 附錄C TCap問卷題目 63

    【1】 NIST.(2018年4月16日). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1 . 擷取自
    https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
    【2】 UPAS 內網安全,盡在掌握.(2020年12月15日).公部門一定要認識的 NIST CSF —各國都在使用的熱門資安架構. 擷取自https://medium.com/upas/%E5%B8%B6%E4%BD%A0%E8%AA%8D%E8%AD%98nist-cybersecurity-framework-303fb84e252c
    【3】 徐昊宇.(2021年6月). 結合 FAIR 與 NIST 資安框架分析資安風險:以醫療產業為例
    【4】 NIST.(2022年2月22日). NIST Seeks Input to Update Cybersecurity Framework, Supply Chain Guidance. 改編自
    https://www.nist.gov/news-events/news/2022/02/nist-seeks-input-update-cybersecurity-framework-supply-chain-guidance
    【5】 NIST.(2018年4月16日). Framework for Improving Critical Infrastructure Cybersecurity. 擷取自
    https://www.nist.gov/system/files/documents/2018/05/14/framework_v1.1_with_markup.pdf
    【6】 CIO.GOV(2018年3月30日). Release of the Federal Cybersecurity Risk Determination Report and Action Plan to the President of the United States.
    擷取自https://www.cio.gov/2018/05/30/Risk-Report/
    【7】 Lawrence A Gordon, Martin P Loeb, Lei Zhou.(2020年3月30日). Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. 擷取自
    https://academic.oup.com/cybersecurity/article/6/1/tyaa005/5813544?login=true
    【8】 RSI Security.(2020年11月10日). WHAT’S THE DIFFERENCE BETWEEN HITRUST AND NIST. 擷取自 https://blog.rsisecurity.com/whats-the-difference-between-hitrust-and-nist/
    【9】 iThome羅正漢.(2019年9月26日).【提升企業網路安全新利器】NIST網路安全框架崛起,成為企業資安共通標準. 擷取自
    https://www.ithome.com.tw/news/133169
    【10】 iThome羅正漢.(2019年6月19日). 【不只幫助攻擊入侵行為的理解,更便於企業防禦評估】資安攻防新戰略MITRE ATT&CK. 擷取自
    https://www.ithome.com.tw/news/131274
    【11】 iThome羅正漢.(2019年3月22日). 降低網路攻擊或災損從事前防範做起,澳洲政府實施八大減緩策略. 擷取自https://www.ithome.com.tw/news/129541
    【12】 First Focus. Essential Eight vs NIST CSF: Cybersecurity In Focus. 擷取自
    https://www.firstfocus.com.au/insights/article/essential-eight-vs-nist/
    【13】 Draft-NISTIR8170. (2017年5月). The Cybersecurity
    Framework :Implementation Guidance for Federal Agencies. 擷取自
    extension://ebkimaahhkeiplegpghijhgmlcdkeppf/pdf-viewer/web/viewer.html?file=https%3A%2F%2Fcsrc.nist.gov%2Fcsrc%2Fmedia%2Fpublications%2Fnistir%2F8170%2Fdraft%2Fdocuments%2Fnistir8170-draft.pdf
    【14】 維基百科.DevOps流程示意圖. 擷取自https://zh.wikipedia.org/wiki/DevOps
    【15】 Jack Freund and Jack Jones.(2014年8月22日). Measuring and Managing Information Risk: A FAIR Approach
    【16】 IBM Cloud Education.(2020年8月24日). 蒙地卡羅模擬. 擷取自https://www.ibm.com/tw-zh/cloud/learn/monte-carlo-simulation
    【17】 Corporate Finance Institute(CFI).Delphi Method. 擷取自https://corporatefinanceinstitute.com/resources/knowledge/other/delphi-method/#:~:text=What%20is%20the%20Delphi%20Method%3F%20The%20Delphi%20method%2C,group%20of%20experts%20through%20several%20rounds%20of%20questions.
    【18】 IBM Security. Cost of a Data Breach Report 2021. 擷取自
    https://www.ibm.com/security/data-breach

    QR CODE
    :::