资讯安全概论与实务.ppt

5.4 入侵偵測與入侵測試(續) 滲透測試(Penetration test, PT) 目的：在協助組織瞭解自身的安全漏洞，並演練遭到入侵後之標準作業流程。 滲透測試有外部測試與內部測試：外部測試時，測試人員扮演一位從外部入侵的駭客；內部測試時，測試人員扮演一位內部人員。 滲透測試大致可分以下幾種: Zero-knowledge (black box) test :是指進行測試時，專業測試人員完全沒有受測組織的資訊，這種測試在模擬外部駭客的攻擊行為。 Partial-knowledge test :是指測試人員有部分受測組織的資訊，可以縮短滲透測試花費之時間，並集中在較脆弱的部分測試，也是一種外部測試。 Full-knowledge (white box) test :是指測試人員清楚地瞭解受測組織，這種測試在模擬組織內部惡意工作人員的攻擊行為。 6.1 國際標準管理系統(續) 全面品質管理─TQM TQM (Total Quality Management) 是美國教授戴明(Edward Deming)在日本提出的品質改進循環，從1980 年代開始就極受歡迎。 國際標準組織之 ISO 9001 與許多其它管理標準的基礎。 定義為「TQM 是以品質為中心的管理方法，以全員參與長期成功為基礎，由於客戶滿意，使得組織與社會共蒙其利。一個主要的目標是每個程序都能降低變化的程度，因此工作結果能有更大的一致性。」簡單地說，TQM 的觀念是「 品質可以被管理」與「管理應該程序化」。 比較新的版本為2008 年之「 ISO 9001:2008 Quality Management Systems – Requirements」 雖然ISO 9001 開始是為製造業所訂定，但現今已被建置在各種不同行業組織中。在ISO 詞彙中，一個需要品質要求的「產品」可以是一個實體物品、軟體、或服務。 6.1 國際標準管理系統(續) 全面品質管理─TQM TQM 的核心是「戴明循環」由「規畫(Plan) 」、「執行(Do) 」、「檢查(Check) 」 、及「行動(Act) 」四個程序構成一連串追求改善的行動。 6.1 國際標準管理系統(續) 資訊安全管理系統一ISMS 訂定為國際標準ISO 27001。 ISMS (Information Security Management System) 它整理了資訊安全最佳實務(best practice)並予以條文化。 ISMS 的建置依據以下六個步驟： 定義一個資訊安全政策：由組織高層指定方向、展現決心。 定義一個實施 ISMS 的範圍：例如以電腦機房或是以資訊中心為範圍。 實施資訊安全風險評鑑：找出範圍內的安全弱點與可能遭遇的威脅。 管理風險：將風險分類後，有的風險需要處置、有的風險可以忽略。 找出適合的控制項目來應用：ISMS 提供許多控制項目(即安全防禦的做法) ，應依據範圍內所需要降低的風險，選擇適當的項目來實施。 將這些項目寫成「適用性聲明( statelnent of applicability, SoA)」。 6.1 國際標準管理系統(續) 資訊安全管理系統一ISMS 11 個領域，再衍生為39個管理目標，和133 個控制項目 課本第十四章 6.1 國際標準管理系統(續) 資訊技術服務管理一ITSM 訂為國際標準ISO 20000。 ITSM (Information Technology Service Management) 是廣受支持的資訊服務最佳做法。它的主要特色如下： 將組織內、外各單位視為資訊部門的「客戶」。與客戶訂定服務約定，並量化各項服務的價值，藉此評估資訊部門的貢獻度與投資報酬率。 技術固然是資訊服務不可或缺的成分，但資訊服務更要從組織、流程、與人員等方面做管理，藉以降低人事與系統更動所帶來的衝擊。 強調完整服務( end-to-end service )的觀念。 使用者只應感受到資訊服務的可用性，卻不需要看到複雜的基礎架構與技術。資訊部門有一套內部流程可以處理從簡單到複雜的問題，並且累積經驗。 資訊安全也是 ITSM 的一環， ISMS 與其相融，如果一個組織已經通過 ISO 27001 的驗證，當它在做 ISO 20000 驗證時就可以跳過資訊安全這個項目。 6.1 國際標準管理系統(續) 能力成熟度模型整合一CMMI CMMI (Capability Maturity Model Integration) 是由美國國防部支持，卡耐基美隆大學軟體工程學院(SEI) 發展出來。 目的是為軟體產業建立一套工程制度，使個人及組織在軟體發展上能有持續改善的依據。CMMI 已成為許多大型軟體業者於改善組織內部軟體工程所依據之評估標準，也被陸續應用於系統工程、整合的產品與流程發展、及委