【正文】 一、前言 二、 ISO/IEC資訊安全管理模型 三、 ISO/IEC 27001:2023(E)之演進(jìn) 四、 ISO資訊安全標(biāo)準(zhǔn)與微軟營(yíng)運(yùn)架構(gòu) (Microsoft Operation Framework， 簡(jiǎn)稱(chēng) MOF)之對(duì)應(yīng) 五、瞭解共同準(zhǔn)則、選擇高安全度資安產(chǎn)品建置資訊系統(tǒng)安全 六、結(jié)論 七、 附錄 : :以 Microsoft為例 －以 Microsoft修補(bǔ)程式作業(yè)為例 中華資訊安全管理協(xié)會(huì) 長(zhǎng)城安全網(wǎng)股份公司 企業(yè)資安標(biāo)準(zhǔn)規(guī)範(fàn)與資安產(chǎn)品等級(jí)分類(lèi)(Common Criteria， CC)之發(fā)展?fàn)顩r 樊國(guó)楨 中華民國(guó)九十五年三月二十日 1 資訊社會(huì)威脅類(lèi)型 資訊時(shí)代威脅圖 國(guó)家安全威脅 資訊戰(zhàn)士 減小國(guó)家決策空間及戰(zhàn)略優(yōu)勢(shì)，製造混亂，進(jìn)行目標(biāo)破壞 情報(bào)機(jī)構(gòu) 搜集政治、軍事、經(jīng)濟(jì)資訊 共同威脅 恐怖分子 破壞公共秩序，製造混亂，發(fā)動(dòng)政變 工業(yè)間諜 掠奪競(jìng)爭(zhēng)優(yōu)勢(shì)，恐嚇 犯罪團(tuán)體 施行報(bào)復(fù)，實(shí)現(xiàn)經(jīng)濟(jì)目的，破壞制度 局部威脅 社會(huì)型駭 客 攫取金錢(qián)，恐嚇，挑戰(zhàn)，獲取聲望 娛樂(lè)型駭客 以嚇人為樂(lè)，喜歡挑戰(zhàn) 2 資訊社會(huì)攻擊類(lèi)型 攻擊類(lèi)型 描述 被動(dòng)攻擊 被動(dòng)攻擊包括流量分析、監(jiān)視未受保護(hù)通訊、破解弱金鑰加密的數(shù)據(jù)流、獲得鑑別資訊 (如通行碼 )。被動(dòng)攔截網(wǎng)路操作可以獲得對(duì)手將發(fā)動(dòng)的行為的徵兆和警報(bào)。被動(dòng)攻擊會(huì)在未經(jīng)用戶同意與理解的情況下將資訊或數(shù)據(jù)文件洩漏給系統(tǒng)攻擊者。例如，洩漏信用卡號(hào)和醫(yī)療文檔等個(gè)人資訊。 主動(dòng)攻擊 主動(dòng)攻擊包括企圖破壞或攻擊保護(hù)性能、引入惡意程式碼以及偷竊或修改資訊。其實(shí)現(xiàn)方式包括攻擊網(wǎng)路樞紐、利用傳輸中的資訊、電子滲透某個(gè)區(qū)域或攻擊某個(gè)正在設(shè)法連接到一個(gè)飛地 (Enclave)上的合法的過(guò)程用戶。主動(dòng)攻擊所造成的結(jié)果包括洩漏或傳播數(shù)據(jù)文件，阻絕服務(wù)以及更改數(shù)據(jù)。 實(shí)體臨近攻擊 實(shí)體臨近攻擊指未授權(quán)個(gè)人以更改、收集或阻絕存取資訊為目的而在物理上接近網(wǎng)路、系統(tǒng)或設(shè)備?，F(xiàn)實(shí)實(shí)體臨近攻擊的方式是偷偷進(jìn)入或開(kāi)放存取，或兩種方式同時(shí)使用。 內(nèi)部人員攻擊 內(nèi)部人員攻擊可以是惡意的非惡意的，惡意攻擊是指內(nèi)部人員有計(jì)畫(huà)地竊聽(tīng)、或損壞資訊；以欺騙方式使用資訊，或阻絕其他授權(quán)用戶的存取。非惡意攻擊則通常粗心、缺乏技術(shù)知識(shí)或?yàn)榱?“完成工作 ”等無(wú)意間繞過(guò)安全策略的行為造成。 分發(fā)攻擊 分發(fā)攻擊指的是在工廠內(nèi)或在產(chǎn)品分發(fā)過(guò)程中惡意修改硬體、韌體或軟體。這種攻擊可能給一個(gè)產(chǎn)品引入後門(mén)程式等惡意程式碼，以便日後在未獲授權(quán)的情況下存取資訊或執(zhí)行系統(tǒng)功能。 3 美國(guó)通資訊安全發(fā)展簡(jiǎn) 史 (一 ) 1. 1987年： Computer Security Act。 2. 1990年： Clark . et al.: Computer at Risk: Safe Computing in the Information Age, National Academy Press。 3. 1995年： 1. Presidential Decision Directive 39 (PDD39)： Policy on CounterTerrorism(June 21,1995)。 2. Paperwork Reduction Act (PRA)：美國(guó) OMB(Office of Management and Budget)據(jù)以頒布 Circular NoA130(Specifically Appendix III)規(guī)定聯(lián)邦機(jī)構(gòu)建立包含指定元件之安全計(jì)畫(huà)，並適時(shí)修正。 4. 1996年： The President Executive Order 13010Critical Infrastructure Protection (July 15, 1996) 5. 1997年： March . et al： The Report of the President’ s Commission on Critical Infrastructure Protection。 6. 1998年： PDD63： Critical Infrastructure Protection (May 22,1998) 7. National Security Telemunications and Information Systems Security Instruction (NSTISSI) ： National Information Assurance Certification and Accreditation Process (NIACAP)。 4 美國(guó)通資訊安全發(fā)展簡(jiǎn)史 (二 ) 8. 2023年： USA PATRIOT Act： Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act。 9. 2023年： ： 網(wǎng)路安全研究與發(fā)展法案（註： 2023年 2月 7日，美國(guó)國(guó)會(huì)通過(guò) 美國(guó)聯(lián)邦政府未來(lái) 5年撥款 ，其中 學(xué)生之獎(jiǎng)學(xué)金，由美國(guó) NSF執(zhí)行；另外的 研究計(jì)畫(huà)獎(jiǎng)勵(lì) …… ，由美國(guó) NIST執(zhí)行之 Cyber Security Research and Development Act (CSRDA)）。 ： Federal Information Security Management Act (FISMA。 December, 2023)。 10. 2023年： The National Strategy to Secure Cyberspace(February, 2023)。 Homeland Security Presidential Directive (HSPD7): Critical Infrastructure Identication, Prioritization, and Protection (December 17,2023)。 11. 2023年：公布執(zhí)行 FISMA之聯(lián)邦資訊過(guò)程標(biāo)準(zhǔn)第 199號(hào) (FIPS 199) 。 12. 2023年 ：公布執(zhí)行 FISMA之聯(lián)邦資訊過(guò)程標(biāo)準(zhǔn)第 201號(hào) (FIPS 201) 。 5 NSTISSC安全模式 技術(shù)( T e c h n o l o g y )教育( E d u c a t i o n )政策( P o l i c y )機(jī)密性( C o n f i d e n t i a l i t y )完整性( I n t e g r i t y )可用性( A u a i l a b i l i t y )儲(chǔ)存( s t o r a g e )處理( P r o c e s s i n g )傳送( T r a n s m i s s i o n )備考： 1. NSTISSC: National Security Telemunications and Information System Security Committee。 2. NSTISSI: National Security Telemunications and Information System Security Instruction。 3. Source: NSTISSI No. 4011。 6 資訊安全的願(yuàn)景 建立「任何對(duì)通資訊系統(tǒng)關(guān)鍵功能的中斷或操縱必須是短暫的、罕見(jiàn)的、易於處理的、地理上孤立的，以及對(duì)數(shù)位社會(huì)繁榮最低限度的危害。」之能力，確保資訊安全。 Any interruption or manipulation of these critical functions must be brief, infrequent, manageable geographically isolated, and minimally detrimental to the welfare of the United States. President Clinton in PDD63. 7 全面性方法 結(jié)合關(guān)鍵的評(píng)鑑行動(dòng) 一般資訊技 術(shù) (IT)產(chǎn)品 實(shí)驗(yàn)室環(huán)境 保護(hù)剖繪 (PP) 密碼模組 已認(rèn)證測(cè)試實(shí)驗(yàn)室 NIAP CCEVS NIST CMVP 共同準(zhǔn)則 (CC)評(píng)估 FIPS 1402測(cè)試 有效的 產(chǎn)品 產(chǎn)品 剖繪 證據(jù) ?安全標(biāo)的 ?評(píng)估報(bào)告 ?確認(rèn)報(bào)告 作業(yè)環(huán)境 認(rèn)證機(jī)構(gòu) 真實(shí)世界的威脅與脆弱性 系統(tǒng)等級(jí) PPs 特定的 IT系統(tǒng) 產(chǎn)品 一般系統(tǒng) 技術(shù)性 的安全 ?風(fēng)險(xiǎn)管理 ?人員安全 ?安全政策 ?程序安全 ?系統(tǒng)安全計(jì)畫(huà) ?實(shí)體安全 ?標(biāo)準(zhǔn) ?驗(yàn)證 ?指導(dǎo)方針 ?認(rèn)證 資料來(lái)源： Katzke, S.(2023) Protecting Federal Information Systems and Networks, In Presentation of the 4 th International Common Criteria Conference, Sept. 7~9, 2023, Stockholm, Sweden. 8 美國(guó)資訊保證認(rèn)驗(yàn)證過(guò)程之出版品 認(rèn)證範(fàn)疇聯(lián)邦資訊與資訊系統(tǒng)風(fēng)險(xiǎn)評(píng)鑑S P 80 0 30安全規(guī)劃S P 80 0 18組態(tài)管理與控制S P 80 0 37資訊與資訊系統(tǒng)類(lèi)別S P 80 0 60F IPS 19 9系統(tǒng)授權(quán)認(rèn)證S P 80 0 37安全控制評(píng)鑑(驗(yàn) 證)S P 80 0 53 AS P 80 0 37安全控制選擇與實(shí)作S P 80 0 53F IPS 20 0說(shuō)明：1. FIPS : F d ee ra l Informat ion Pro ce ss ing Stand ar d s?！　　?. SP : Sp ei ca l P u b li ca ti o n 。9 美國(guó)聯(lián)邦政府資訊安全管理法案 —資訊安 全管理系統(tǒng)之安全標(biāo)準(zhǔn)暨指導(dǎo)綱要的關(guān)連 PDCA 過(guò)程模式 NIST ISO/IEC JTC 1/SC 27 計(jì)畫(huà) (Plan) FIPS 199 SP 80018 SP 80030 SP 80060 ISO/IEC 133351:2023(E) ISO/IEC TR 133353:1998(E) ISO/IEC TR 133354:2023(E) 執(zhí)行 (Do) FIPS 200 SP 80053 ISO/IEC TR 133354:2023(E) ISO/IEC 17799:2023(E) 檢查 (Check) SP 80037 SP 80053A ISO/IEC 18045:2023(E) 行動(dòng) (Action) SP 80037 ISO/IEC 18045:2023(E) 10 ( World Summit on the Information Society，簡(jiǎn)稱(chēng) WSIS ) :提出原則性聲明(Declaration for Principles)與行動(dòng)計(jì)畫(huà) (Plan of Action)。 : ?「建立通資訊技術(shù)的信賴與安全」 ?「建立各層面足以發(fā)展的環(huán)境」 10月 15日出版之「資訊安全管理系統(tǒng)需求 (ISO/IEC 27001:2023(E))」成為 ISO/IEC 27000系列標(biāo)準(zhǔn)之第一分標(biāo)準(zhǔn) 。 ISO資訊安全管理模型與 WSIS 11 ISO/IEC JTC1/SC27安全管理模型觀點(diǎn)之 CNS標(biāo)準(zhǔn)對(duì)照 分類(lèi) 標(biāo)準(zhǔn)與原則 對(duì)照之 CNS標(biāo)準(zhǔn) 名詞暨使用 指導(dǎo)綱要 風(fēng)險(xiǎn)管理詞彙暨標(biāo)準(zhǔn)使用指導(dǎo)綱要： ISO/IEC Guide 73:2023(E/F) 。 CNS 14889 (2023年 2月 10日公布 ) 。 一般性指引 。 (請(qǐng)參見(jiàn)備考 )。 備考：宜遵循 OECD於 2023年 7月 25日公布之「資訊系統(tǒng)安全指導(dǎo)綱要」的「資訊系統(tǒng)與網(wǎng)路安全指導(dǎo)綱要 朝向安全之文化」。 原則 資訊安全管理框架： ISO/IEC 133351:2023(E) 2023年 2月已委外起草中 標(biāo)準(zhǔn)組件 ： ISO/IEC 27001。 ： ISO/IEC 17799:2023(E)。 ： ISO/IEC 133352。 (Metrics)與測(cè)量： ISO/IEC 24742。 1. CNS 27001 於 2023年 11月已公開(kāi)徵求意見(jiàn)中。 2. CNS 17799 於 2023年 10月已公開(kāi)徵求意見(jiàn)中。 。 。 應(yīng)用指引 與增補(bǔ) ： ISO 19011:2023(E)。 、電信與醫(yī)療之資訊安全管理系統(tǒng)指引。 14809(2023年 4月 20日公布 )。 2023年 5月 16日參照 ISO TR 1