摘要
由於網路之普及與系統程式功能的日益強大,帶給使用者許多效益,但是伴隨而來之網路攻擊的情境亦更形嚴竣,各種攻擊手法充斥著資訊社會,這些攻擊不僅會導致資安事件或毀損資訊系統,甚至癱瘓整個網路。一般而言,大部分之網路攻擊均是利用資訊系統或應用程式的不良組態及未修補之弱點遂行其攻擊。能有效防護惡意程式碼之終端安全護理是一個富於創造性的研究與發展領域,歷經從國家脆弱性資料庫(National Vulnerability Database,簡稱NVD)之產品(Product)到安全內容自動協定(Security Content Automation Protocol,簡稱SCAP)並實作,已證實其有效性。本文闡述SCAP之源池、現況及發展以及技術面向的脆弱性評分系統,並提出我國宜進行研究及發展方向之建言作為我國正進行中之資訊系統基線管理規範的參考。
參考文獻
樊國楨(2012)。雲端運算之標準化與管理驗證規範要求初探:根基於美國的聯邦風險與授權管理計畫。電腦稽核。26,10-31。
The White House(2000).National Plan for Information Systems Protection Version 1.0..
The White House (2000) Cyber Security Research and Development Act [H.R.3394], January 23, 2002.
The White House (2002) E-Government Act of 2002, Title 3 – Information Security [H.R.2458], November 14, 2002.
http://nvd.nist.gov/ (2012-10-11).
延伸閱讀
- 樊國楨、黃健誠、林樹國(2010)。資訊安全管理系統標準化之實然應然問題探微:根基於「推動資訊與資訊系統分類分級」行動方案。資訊安全通訊,16(4),1-31。https://doi.org/10.29614/DRMM.201010.0001
- 樊國楨、季祥、韓宜蓁(2015)。資訊安全管理系統稽核初論:根基於資安健診與標準化。資訊安全通訊,21(1),33-63。https://www.airitilibrary.com/Article/Detail?DocID=a0000270-201501-201503120019-201503120019-33-63
- 楊宸賓、孫嘉明、周芳銘(2016)。資訊安全防護基準與安全組態管理之結合應用。電腦稽核,(34),66-77。https://www.airitilibrary.com/Article/Detail?DocID=2073090X-201608-201608240072-201608240072-66-77
- 樊國楨、方仁威、林明華(2000)。防禦性的資訊安全系統機制初探。網際網路技術學刊,1(1),29-38。https://doi.org/10.6138/JIT.2000.1.1.04
- 樊國楨、林樹國、黃健誠(2008)。資訊安全管理系統驗證標準化之二:資訊安全管理系統政策集初探。資訊安全通訊,14(2),1-21。https://doi.org/10.29614/DRMM.200804.0001