論述ISMS資訊安全管理系統發展網路犯罪預防策略的新方法 林宜隆1 中央警察大學資訊管理研究所教授paul@mail.cpu.edu.tw 葉家銘2 中央警察大學資訊管理研究所russell0385@yahoo.com.tw
摘要 本論文以應用的觀點出發,探討利用國際標準組織(ISO)所制定的ISMS資訊安全管理系統控制要項,結合情境預防犯罪主張,設計出一個專為網路環境預防犯罪的模型 。 初步研究結果顯示ISMS控制要項大部分符合情境犯罪的預防理論的5項主張,可作為網路犯罪的預防控制技術。
本次研討內容說明: 1. 研究背景, 動機, 範圍,目的 2. 相關的文獻介紹 3. 研究架構擬定 4. ISMS之網路環境犯罪預防模型與原情 境犯罪預防模型之比較 5. 後續研究說明
一.前言 1.1 研究背景與動機 根據國內警政署統計,截至去年12月,全台犯罪案件發生數雖比前年減少19.566%,但網路犯罪案件卻大幅成長5成,其中以詐騙、色情交易、盜版及主機遭入侵竊取商業資料等,犯罪成長最為迅速。 網路犯罪問題是否可以採取事先預防?如何預防?迄今仍是IT社會所關心之議題。
自ISMS資訊安全管理系統(BS7799)設立規範以來,許多組織皆因顧及IS的安全問題,而導入資訊安全管理系統,但觀察,每家公司選擇的導入項目均不一致,其結果就是企業的需求不同因而導入的控制要項也不同。 其後資訊安全管理系統被ISO組織認證之後於2006年12月頒布新的標準,命名為ISO27001,內容分成11個目標133個控制要項。 但是就資訊安全管理的觀點而言是否能在事前預防網路犯罪?就是本次研究所欲探討的重點。
1.2 研討範圍 本次研討範圍:根據蒐集之文獻,建構一個針對網路環境犯罪之預防矩陣模型 。
二.文獻探討 本次文獻探討部份下: 網路犯罪。 情境預防犯罪理論 ISMS資訊安全管理系統 資訊安全管理系統的應用實例
2.1 網路環境 網路環境的定義:藉由一群電腦主機與周邊硬(軟)體、系統一起工作,以致使用者能彼此分享資源與訊息,形成一個數位化的資訊網,達到一個在實體世界裡建構另一個虛擬的溝通管道(Microsoft Cyclopedia, 2003) 。 網路環境的分類: 1.以管理方式區分:私人網路(公司or家庭使用)、公眾 網路(開放式的網際網路) 。 2.以組成架構區分:乙太網路、光纖網路、非同步傳輸 模式(ATM)。 3.以實體大小區分:區域網路(LAN)都會網路(MAN)廣 域網路(WAN) 。
3.以協定區分:傳輸控制協定TCP/IP 、封包交換 IPX/SPX 。 4.以安全性區分:工作群組(workgroup)、安全網域 (domain) 。 5.以拓樸類型區分:星狀(Star)、環狀(Ring)、匯流排狀(Bus) 6.以媒體連接區分:同軸線、雙絞線 、無線。 7.使用者: 不同的使用者會形成不同的網路環境。
2.2 網路犯罪 電腦犯罪是利用電子資料處理設備作為犯罪的工具與犯罪的目標的一種犯罪行為 。Germany( Hans Juasim Shinade.,1990) 美國電腦犯罪專家Donn Paker(1976)清楚認定電腦濫用(Computer abuse)是指電腦使用的故意行為導致受害人財產遭受損失並涉及法律所禁止的行為,也就是行為人實施犯罪過程中直接使用電腦導致犯罪客體的產生。
網路犯罪的定義:網路是電腦系統與通訊的結合且具有網際網路特性的犯罪,亦即犯罪者需在犯罪過程中借助網際網路與電腦設備方能達到遂行犯罪目的,稱之為網路犯罪」(Taiwan 林宜隆,2007)。
2.3. 情境預防犯罪理論 日常活動理論:犯罪則是一種所謂的機會(犯罪標的物的存在)、監控(保全不在場)、有犯罪行動能力之人(出現), 三者在同一時間發生,犯罪才會發生 。 Oscar Newman G.1970年代提出防衛空間(defensible space) 的概念,以特殊的建築設計來降低犯罪發生。 (許春金,2007) 情境預防犯罪理論:倡導經由環境的設計來達到預防犯罪的目的 (Crime Prevention through Enviroment Design)(C Ray Jeffery. 1971),其主要即是透過對環境做妥善的規劃與設計與管理,強化環境的防護能力,減少犯罪機會,阻絕犯罪侵害之預防策略(楊士隆,1995)
情境預防犯罪的定義如下(李漢卿,2004): 定義一:針對高度且精確的犯罪型態、手法作因應。 定義二:藉由快速、系統性、長遠性的環境管理設計與操控執行預防。 定義三:改變環境設計即是為了影響潛在犯罪人,去思考犯罪後的成本效益。 定義四:影響犯罪人使其無法對於自身的犯罪行為找藉口,並且使致將道德列入成本考量之一。 定義五:欲達到預防所有的犯罪類型,適用於各種類的犯罪預防,特別是預謀計算、策劃型之犯罪。
Clarke延伸的情境預防犯罪五項主張如下: ( Ronald V. Clark, 1997) 1 增加犯罪阻力 2 增提昇犯罪風險 3 降低犯罪酬償 4 減少犯罪刺激 5 移除犯罪藉口 說明 是最基本的犯罪預防措施,其主要目的在於實體環境標的物之強化,讓犯罪者對目標物實施犯罪是很困難的一項任務。 此項技術側重於讓犯罪者面臨易於被逮捕的風險,使犯罪者心理因深受易被逮捕而感到害怕進而不敢對標的物實施犯罪。 此項技術側重讓犯罪者實施犯罪和所獲得的報酬(利益)不成比例 。 此項技術側重於抑制衝動行為,所產生的犯罪行為,讓刺激因素減至最低 。 係指利用各種方式來提昇道德意識,企圖使犯罪者在實施犯罪前,有罪惡感與羞恥進而放棄犯罪行為此項技術側重協助遵守。 技術 分類 a. 強化標的物 b. 管制通道 c. 過濾出口 d. 轉移嫌犯 e. 管制器械 a. 擴充環境監控 (加護聯防巡) b.增加自然監控 (系統自動監控) c.減少匿名 (學生穿上制服減低被綁架風險) e.職員助用 (監視器的架設) a. 隱藏標的物 b. 移除標的物 c. 財產識別 d. 搗亂市場 e. 否定利益 a. 舒緩壓力挫折 b. 避免爭執 c. 激發道德意識與教育 d. 避免模仿犯罪行為 a. 訂定規範 b. 敬告守則 c. 激發良心 d. 協助遵守規則 E 控制毒品酒精
2.3. 1 25項情境犯罪預防矩陣 A 增加犯罪阻力 B 增提昇犯罪風險 C 降低犯罪酬償 D 減低犯罪刺激 E 移除犯罪藉口 2.3. 1 25項情境犯罪預防矩陣 A 增加犯罪阻力 B 增提昇犯罪風險 C 降低犯罪酬償 D 減低犯罪刺激 E 移除犯罪藉口 (1)強化標的 A1.1 龍頭鎖及防盜裝置 A1.2 防盜隔幕 A1.3 防破壞包裝 (6)擴充監控- B1.1 例行提醒,結伴成行攜帶手機 B1.2 家戶聯防相助 (11)隱藏標的 C1.1 車輛不放在街道上 C1.2 性別中立化電話簿 C1.3 無標註的運鈔車 (16)減患挫折壓力 D1.1 有效率的排隊與禮貌的服務 D1.2 擴充座椅 D1.3 柔和音樂燈光 (21)訂定規範- E1.1 租任條約 E1.2 性騷擾防治規範 (2)管制通道 A2.1 入口通話裝置 A2.2 電子通行證 (7)增加自然監控- B2.1 改善街道照明 B2.2 防衛空間設計 (12)移除標的- C2.1 使用可拆式的汽車音響 C2.2 婦女的隱蔽所 C2.3 使用電話卡代替零錢 (17)避免爭執 D2.1 區隔群眾支持者 D2.2 減低大型集會擁擠程度 D2.3 制定計程車費率 (22)敬告守則- E2.1 張貼禁止告示 E2.2 交易認證說明 E2.3 高舉違法集會告示 (3)過濾出口 A3.1 出口管制 A3.2 出境文件 A3.3 磁化商品標籤 (8)減少匿名 B3.1 計程車司機識別 B3.2 學校制服穿著 (13)財產的識別- C3.1 財產標註 C3.2 車籍登記及機車烙印 C3.3 寵物&家畜財產做標記 (18)降低情緒波動 D3.1 抑制色情書刊影片 D3.2 提升球場內模範行為 D3.3 禁止激進誹謗 (23)激發良心- E3.1 提醒遊客不隨意製造髒亂 E3.2 提醒遊客偷竊需重罰
(4)轉移嫌犯- A4.1 道路封閉 A4.2 男女廁分隔 A4.3 酒吧分散 (9)職員監控- B4.1公車上裝CCTV B4.2 便利商店安排2位職員互相監視 B4.3 成立義勇巡邏警察隊 (14)瓦解市場 C4.1 掃蕩毒梟 C4.2 監控當舖 C4.3 控制市售商品種類 C4.4 市井攤販執照 (19)軟化同儕壓力 D4.1 勇於拒絕對方不法行為 D4.2 遠離是非之人 (24)協助遵守規則- E4.1 圖書借閱手續 E4.2 廣設垃圾筒減少髒亂 E4.3 線上交易安全規則提醒 (5)管制器械 A5.1 智慧型槍枝 A5.2 失竊後的手機系統立即將它鎖住 A5.3 嚴格管制少年購買噴漆 (10)強化正式監控 B4.1 闖紅燈照相 B4.2 24小時防盜警鈴的啟動 B4.3 24小時保全警衛的設立 (15 )刪除犯罪利益 C5.1 註記墨水標籤 C5.2 清除塗鴉 (20)防止模仿效應 D5.1 公物遭破壞立即修繕 D5.2 TV內裝置V晶片( 防拷) D5.2 避免做案手法被公佈 (25)控制毒品酒精- E5.1 加強酒店周邊酒測 E5.2 不核發酒牌給商家
2.4 資訊安全管理系統 資訊安全係經由實作一組適當的控制措施,來達成一個系統化的資訊安全結構及軟硬體功能。 ISMS也是一個作為組織在建置資訊安全管理系統(ISMS)與稽核所尊循之方法論,(CNS 17799 A.5~A.15)11大管理要項、38個執行目標、133個控制要項。 ISMS是提供組織改進資訊全管理系統的一項標準化作業程序,建立的實作、監視、審查與改進這些控制措施,確保組織達到特定安全與營運目標」。(ISO/IEC 17799︰2005,27002)
2.4.1 資訊安全管理系統11要項 1 2 3 4 5 6 管理項次 38個目標說明 A.5 安全政策 依照營運要求相關法律與法規,提供管理階層對於資訊安全的指示。 2 A.6 資訊安全的組織 於組織內與外部團體之資訊安全管理 3 A.7 資產管理 達成組織資產的保護責任、資訊的分類 4 A.8人力資源安全 規範組織聘僱之員工及承包商於聘僱之前、期間、終止之各項責任與聘僱條件,確保因人員的聘僱所造成的資訊安全風險。 5 A.9 實體與環境安全 防止組織之實體資訊環境未經授權遭存取、干擾、竊盜、損害、破解。 6 A.10 通訊與作業管理 規範作業程序與責任、第三方交付管理、系統規劃與驗收、防範惡意碼與行動碼、資訊備份、媒體的處置、資訊的交換電子商務的服務、監視未經授權的資訊活動。
管理項次 38個目標說明 7 A.11 存取控制 規範資訊的存取控制、使用者之責任、網路存取控制、作業系統之存取控制、應用系統與資訊之存取控制、行動計算與遠距工作之資訊安全。 8 A.12 資訊系統獲取開發及維護 確保資訊系統的安全要求、應用系統的正確處理、密碼控制措施、系統檔案的安全、開發與支援過程的安全、技術脆弱性管理。 9 A.13 資訊安全事故管 理 要求如遇事件應立即通報資訊安全事件的弱點、資訊安全事故與改進的管理。 10 A.14 營運維持與管理 規範如遇重大事件組織能持續營運且不受重大資訊系統失效或災害的影響,確保即時再續。 11 A.15 遵循性 規範組織應遵循適法性要求、資訊政策與標準的遵循性及技術的遵循性、資訊系統的稽核過程受到最有效的控制與保護。
三.研究設計 3.1 研究架構說明 增加犯罪阻力 提升犯罪風險 組織特性 降低犯罪酬償 依變項 自變項 減低犯罪刺激 移除犯罪藉口 三.研究設計 3.1 研究架構說明 當網路受到ISMS控制或約束, 網路犯罪自然不會發生。 落實ISMS的控制要項 網路犯罪自然得以預防。 增加犯罪阻力 提升犯罪風險 網路環境犯罪預防 組織特性 自變項 降低犯罪酬償 依變項 減低犯罪刺激 移除犯罪藉口 ISO27001 資訊安全管理系統 網路情境之犯罪預防模型設計 中介變項
4.1 網路環境犯罪預防技術與 原情境犯罪預防技術之比較 四.環境犯罪預防技術建構 4.1 網路環境犯罪預防技術與 原情境犯罪預防技術之比較 一、 增加犯罪阻力部份;二、 提昇犯罪風險部份 增加 犯罪阻 力 原情境預防技術 網路環境之預防技術 提昇 犯罪風 險 (1)強化標的 1.1 龍頭鎖及防盜裝置 1.2 防盜隔幕 1.3 防破壞包裝 (1)強化標的過濾出口-A.9.1安全區域強化 A.9.1.1實體安全周界 A.9.1.2實體進入控制措施 A.9.1.3 保全辦公室、機房及設施 A.9.1.5 在安全區域內工作 A.9.1.6 公共進出、收發及裝卸區(檢查) (6)擴充監控- 6.1 例行提醒,結伴成行攜帶手機 6.2 家戶聯防相助 A.9.1.3保全辦公室、機房及設施的監視 (2)管制通道 2.1 入口通話裝置 2.2 電子通行證 (2)強化傳輸通道-A.10.8資訊交換的強化 A.10.8.2 交換協議的建立 A.10.8.3 防止輸送中實體媒體經由網路攻擊遭誤用毀損 A.10.8.4 訊息的保護 (7)增加自然監控- 7.1 改善街道照明 7.2 防衛空間設計 (7)監控紀錄- A10.10 監視 A10.10.1 稽核記錄 A10.10.3 日誌資訊的保護 A10.10.4管理者與操作者日誌記錄 A10.10.5 失誤存錄
原情境預防技術 網路環境之預防技術 (3)過濾出口 3.1 出口管制 3.2 出境文件 3.3 磁化商品標籤 (3)設備安全強化- A.9.2 設備安全 A.9.2.1 設備安置與保護 A.9.2.2 支援公用設施 A.9.2.3 電纜的安全 A.9.2.4 設備維護 A.9.2.5 場所外之設備安全 A.9.2.6 設備的淘汰或再使用 A.9.2.7 內部資產攜帶控管 (8)減少匿名 8.1 計程車司機識別 8.2 學校制服穿著 (8)通道檢查過濾-A.10.6 網路安全管理 A.10.4.1 惡意程式的偵測 A.10.4.2 網路流量的偵測與IP回朔A.10.6.1 網路通道控制與線上偵測 (4)轉移嫌犯- 4.1 道路封閉 4.2 男女廁分隔 4.3 酒吧分散 (4)通道強化-A.12.3密碼控制措施 A.12.3.1 使用密碼控制措施 A.12.3.2 金鑰的管理 (9)職員監控- 9.1 公車上裝CCTV 9.2 便利商店安排2位職員互相監視 9.3 成立義勇巡邏警察隊 (9)人員監控- A.10.2.1 服務交付 A.10.2.2 第三方服務監視與審查 A.10.2.3 第三方服務變更管理 (5)管制器械 5.1 智慧型槍枝 5.2 失竊後的手機系統立即將它鎖住 5.3 嚴格管制少年購買噴漆 (5)系統強化-A.12.4 系統檔案的安全 A.12.4.1作業軟體控制 A.12.4.2系統測試的保護 A.12.4.3 程式原始碼的保護控制 (10)強化正式監控 10.1 闖紅燈照相 10.2 24小時防盜警鈴的啟動 10.3 24小時保全警衛的設立 A10.10.2 監控系統的使用
三、降低犯罪酬償部份;四、減少犯罪刺激部份 原情境預防技術 網路環境之預防技術 減少犯 罪刺激 削弱犯罪動機 (11)隱藏標的 11.1 車輛不放在街道上 11.2 性別中立化電話簿 11.3 無標註的運鈔車 (11)隱藏標的-A.10.7. 媒體的處置 A.6.1.5 機密性協議 A.15.1.4個人資料的保護與隱私 (16)減患挫折壓力 16.1 有效率的排隊與禮貌的服務 16.2 擴充座椅 16.3 柔和音樂燈光 (16)A.11.1& A.11.2存取控制與管理 A.11.1.1存取控制政策 A.11.2.1使用者註冊 A.11.2.2 特權管理 A.11.2.3使用者通行碼控管 A.11.2.4使用者存取權限審查 (12)移除標的- 12.1 使用可拆式的汽車音響 12.2 婦女的隱蔽所 12.3 使用電話卡代替零錢 (12)移除標的-A.10.7. 媒體的處置 A.10.7.1 卸除式裝置的管理 A.10.7.2 媒體的移除 A.10.7.3 資訊處置程序 (17)避免爭執 17.1 區隔群眾支持者 17.2 減低大型集會擁擠程度 17.3 制定計程車費率 (17)A.11.4. 網路存取控制 A.11.4.1 網路服務的使用政策制定 A.11.4.2外部連線的使用者識別 A.11.4.4遠端診斷與組態保護 A.11.4.5網路連線控制 A.11.4.7網路選路控制 (13)財產的識別- 13.1 財產標註 13.2 車籍登記及機車 烙印 13.3 寵物&家畜財產做標記 A.11.4.3網路設備的識別 A.12.5.4資料防止洩漏 A.15.1.2智慧財產保護 A.15.1.3組織紀錄的保護 A.7.1.1資產清冊識別 A.7.2.2資訊標示與處置(浮水印) (18)降低情緒波動 18.1 抑制色情書刊影片 18.2 提升球場內模範行為 18.3 禁止激進誹謗 (18)A.11.5作業系統存取控制 A.11.5.1 保全登入程序 A.11.5.2使用者的識別與鑑別 A.11.5.3 通行碼管理系統控制 A.11.5.4 系統公用程式的使用 A.11.5.5 會談期逾時 A.11.5.4 連線時間限制
原情境預防技術 網路環境之預防技術 (14)瓦解市場 C4.1 掃蕩毒梟 C4.2 監控當舖 C4.3 控制市售商品種類 C4.4 市井攤販執照 (14)A.10.5 備份&A.11.3淨空 A.10.5.1資訊資產的備分 A.11.3.2無人看管的設備不要儲存資訊 A.11.3.3要求使用者桌面淨空的政策制定 (19)軟化同儕壓力 D4.1 勇於拒絕對方不法行為 D4.2 遠離是非之人 (19)A.11.6應用系統存取控制 A.11.6.1 資訊存取 A.11.6.1 敏感性系統隔離 (15 )刪除犯罪利益 C5.1 註記墨水標籤 C5.2 清除塗鴉 (15)刪除犯罪利益-A.10.9 電子商務服務 A.10.9.1 電子商務保護 A.10.9.2 線上交易保護 A.10.9.3 公眾可用資訊予以保護防止未授權者修改存取 (20)防止模仿效應 D5.1 公物遭破壞立即修繕 D5.2 TV內裝置V晶片( 防拷) D5.2 避免做案手法被公佈 (20)A.15. 遵循適法性 A.15.3.1資訊系統稽核考量 A.15.5防止資訊處理設施誤用 A.15.16密碼控制措施規定
五、移除犯罪藉口部份 移除犯罪 藉口 原情境預防技術 網路環境之預防技術 (接續左) (21)訂定規範- 21.1 租任條約 21.2 性騷擾防治規範 (21)訂定規範-A.5.1 資訊安全政策 A.5.1.1 資訊安全政策文件訂定 A.5.1.2 資訊安全政策審查 (24)協助遵守規則- 24.1 圖書借閱手續 24.2 廣設垃圾筒減少髒亂 24.3 線上交易安全規則提醒 (24)人力資源的安全-A.8.1 聘雇之前的遵守規則 A.8.1.1 角色與責任 A.8.1.2 人員的篩選 調查紀錄 A.8.1.3 聘僱條款與條件 規則訂定 (22)敬告守則- 22.1 張貼禁止告示 22.2 交易認證說明 22.3 高舉違法集會告示 (22)敬告守則-A.6.1 內部組織(責任 A.6.1.1 管理階層對資訊 安全的承諾 A.6.1.1 資訊安全協工作分配協調 A.6.1.2 資訊安全責任明確界定 A.6.1.3資訊處裡設施授權過程定義 (25)控制毒品酒精- 25.1 加強酒店周邊酒測 25.2 不核發酒牌給商家 (25)使用者責任管制-A.11.3 防止未經授權使用者存取 A.11.3.1使用者通行碼的不可否認性 A.12.2.3要求使用者保持訊息的完整性 A.12.2.4 確認使用者資料於網路之間的來往之正確性 (23)激發良心- 23.1 提醒遊客不隨意製造髒亂 23.2 提醒遊客偷竊需重罰 (23)外部團體的責任識別與宣告-A.6.2 A.6.2.1 與外部團體相關風險事前控制 A.6.2.2 處理客戶事務安全說明 A.6.2.3 第3方協議中之安全說明
4.2 個案探討 1. 發生時間 民國89年12月28日起至93年9月30日止 2. 案情摘要: 1. 發生時間 民國89年12月28日起至93年9月30日止 2. 案情摘要: 甲○○自民國89年12月28日起至93年9月30日止,受僱於亮泰企業股份有限公司,擔任業務副總經理職務,該公司為監控員工之電子郵件,對於所有傳送至公司員工電子信箱內之郵件,即自動備份至負責人丙○○辦公室內的獨立備用電腦,負責人B得藉由備份電腦讀取員工之電子郵件。另業務部門之員工電子郵件,亦設有自動備份至SALESBACK-UP信箱內,由擔任業務部門之副總經理丁○○負責監看。
九十三年間,甲○○以不詳方法,閱覽到該公司負責網路系統管理人員乙○○所保管之登載亮泰公司全體員工電子信箱帳號及密碼之筆記本,並私自抄下工程部(帳號kevin@ltw-tech.com)、工部副總經理(帳號calvin @ltw-tec h.com)、總經理助理(帳號mandy@ltw-tech. com)、業務副理(帳號joanne@ltw-tech.com),及負責人丙○○(帳號peter及peter1@ltw-tech. com)之電子信箱帳號及密碼資料。旋即基於無故輸入他人帳號密碼入侵他人之電子郵件伺服器。 甲○○93年9月6日、7日再次於住處以IP218.166. 74. 17 透過網際網路連接入侵亮泰公司之電子郵件伺服器(網域名稱為:ltw-tech.com),進入上開人員之電子郵件信箱讀取文件, 隨後立即刪除。
致使上開信箱帳號之使用人無法收取上開期日客戶寄進來之郵件,丙○○即通知乙○○進行調查,始查知上情。 案經亮泰公司訴由法務部調查局臺北市調查處移送臺灣臺北地方法院檢察署檢察官偵查起訴。 3. 觸犯罪名 刑法第三百五十八條: 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系 統之漏洞,而入侵他人之電腦或其相關設備者,處3年以下有期 徒刑、拘役或科或併科10萬元以下罰金。 4. 判決論處 處有期刑6個月,易科罰金,以參佰元折算壹日。 資料來源:法學資料檢索系統 http://jirs.judicial.gov.tw/Index.htm
4.3 犯罪流程 於自己的主機內設定同事的 帳號密碼入侵郵件伺服器 讀取信件 刪除他人信件 使致受害的使用者 無法閱讀下載私人信件 4.3 犯罪流程 閱覽到該公司負責網路系統 管理人員所記載之員工的 管理帳號、密碼紀錄 於自己的主機內設定同事的 帳號密碼入侵郵件伺服器 讀取信件 刪除他人信件 使致受害的使用者 無法閱讀下載私人信件
4.4 案例分析 試從上述個案,舉例3個主張做分析 增加犯罪的阻力:系統網路管理者應將員工的帳號密碼所有效的技術性控管 (例如: A10.8.4 訊息的保護 ; A12.3.1使用密碼的控制措施 ; A12.3.2 金鑰的管理; A11.4.6 網路連線的限制 ; A12.4.1 作業軟體的控制(Out-look控制)。 提昇犯罪風險:系統網路管理者應針對Out-look的弱點以監控紀錄的方式監視, (例如:落實A10.1.1~ A10.1.5監控的紀錄控制措施; A10.6.1 網路通道的控制與線上偵測 ) 一旦有未授權或是網域範圍以外的ip位址登錄後之各項動作,均先予以紀錄。 降低犯罪酬償:從個案中得知系統網路統管理人並無有效遵循ISMS資訊安全管理系統的管理(例如:A7.1.1 資產清冊的管理需有適切的保護機制;A12.5.4 防止資料洩漏; ) ,如果在使用者之帳號密碼的資料上做機密的保護或清冊保管,將不致被犯罪者瀏覽到。
五、後續研究 後續研究如下: 1.根據研究架構做出研究假設。 2.依組織需求角度來考慮5大策略的哪一項?是組織優先考量選擇先導入的模型,將收集組織的特性需求文獻,將5大預防策略依據組織的需求導入做排名,作為組織排定導入優先的參考(林宜隆,2008)。 3. 依據現階段初步導出的架構,再議請網路專家學者共同討論修正模型設計問卷題目,並以層級分析法(AHP)測量各主張的權重,推論出本研究之預防矩陣模型在哪一項是為抑制網路犯罪最顯著的技術。
作者1. 姓名:林宜隆 最高學歷:國立台灣科技大學電子工程研究所博士 現職:中央警察大學資訊管理學系(所)教授 電話:03-3282321轉4744 e-mail信箱:paul@mail.cpu.edu.tw 證照:itSMF ISO20000 ;ISO27001 LA 資訊安全主導稽核;CISSP 專長領域:資通安全鑑識與數位證據、 高科技犯罪偵查與鑑識、 網路犯罪模式與偵查模式、知識工程與管理策略 作者2. 姓名:葉家銘 最高學歷:中央警察大學資訊管理研究所 現職:中央警察大學資訊管理學系(所)研究生 電話:0933245999 證照:ISO27001 LA 資訊安全主導稽核 e-mail信箱:russell0385@yahoo.com.tw
簡報完畢 END