Chulalongkorn University Theses and Dissertations (Chula ETD)

เครื่องมือสนับสนุนการจัดเก็บและค้นคืนส่วนของเอกสารมาตรฐาน ความมั่นคงสารสนเทศโดยใช้แบบรูปความมั่นคง

Other Title (Parallel Title in Other Language of ETD)

A Supporting Tool for Information Security Standards Storage and Retrieval using Security Patterns

Year (A.D.)

2013

Document Type

Thesis

First Advisor

นครทิพย์ พร้อมพูล

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมซอฟต์แวร์

DOI

10.58837/CHULA.THE.2013.1081

Abstract

การกำหนดนโยบายความมั่นคงสารสนเทศขององค์กรต่าง ๆ นั้นมีวัตถุประสงค์หลักเพื่อให้การดำเนินการทางอิเล็กทรอนิกส์ในองค์กรมีความมั่นคงและเชื่อถือได้ ปัญหาโดยทั่วไปที่มักประสบคือ การกำหนดนโยบายความมั่นคงสารสนเทศมักขึ้นอยู่กับประสบการณ์และความเชี่ยวชาญของผู้ที่เกี่ยวข้อง การประยุกต์ใช้มาตรฐานที่ได้รับการยอมรับและแนวปฏิบัติที่ดีด้านความมั่นคงสารสนเทศน่าจะช่วยทุเลาปัญหาดังกล่าวได้ อย่างไรก็ตามในแต่ละองค์กรหรือโครงการอาจมีการกำหนดนโยบายความมั่นคงที่มีความหลากหลายในสถานการณ์ที่แตกต่างกัน จึงเป็นผลให้ต้องมีการเลือกบริบทให้เหมาะสมในการประยุกต์ใช้มาตรฐานและแนวปฏิบัติที่ดี ปัจจุบันมาตรฐานไอเอสโอ/ไออีซี 27002 และหนังสือแบบรูปความมั่นคงเขียนโดย M. Schumarker และคณะ ซึ่งทั้งสองรายการได้ระบุแนวปฎิบัติที่ดีที่องค์กรต่างๆ สามารถนำไปประยุกต์ใช้ในหลายบริบทได้ งานวิจัยนี้นำเสนอเครื่องมือสนับสนุนการจัดเก็บและค้นคืนส่วนของเอกสารมาตรฐานความมั่นคง (ไอเอสโอ/ไออีซี 27002) โดยใช้หลักการจัดเก็บและค้นคืนสารสนเทศของแบบจำลองปริภูมิเวคเตอร์ เพื่อช่วยสนับสนุนการค้นคืนบริบทความมั่นคงจากส่วนของเอกสารมาตรฐานความมั่นคงสารสนเทศนั้น ได้ตรงตามความต้องการของผู้ใช้ จาก 3 วิธีการ คือ 1) คำสำคัญที่ปรากฏในโครงสร้างข้อมูลความมั่นคงสารสนเทศที่สร้างจากแบบรูปความมั่นคง 2) คำสำคัญทั่วไปและ 3) ความสัมพันธ์ระหว่างแบบรูปความมั่นคง โดยได้ทำการทดลองในกลุ่มผู้ใช้งานสองประเภทคือ ผู้เชี่ยวชาญด้านความมั่นคงและผู้ใช้งานทั่วไป ผลที่ได้จากการทดลองแสดงให้เห็นว่า การค้นคืนโดยใช้โครงสร้างข้อมูลความมั่นคงสารสนเทศ มีประสิทธิผลที่ดีกว่าการค้นคืนโดยใช้คำสำคัญในทั้งสองกลุ่มทดลอง และในตัววัดค่ามัชฌิมฮาร์โมนิกและค่าระลึก แต่มีประสิทธิผลลดลงในตัววัดความแม่นยำ โดยจากกลุ่มตัวอย่างผู้เชี่ยวชาญ การค้นคืนโดยใช้โครงสร้างข้อมูลความมั่นคงสารสนเทศ ให้ค่าระลึกเฉลี่ยและค่ามัชฌิมฮาร์โมนิกเพิ่มขึ้นเป็น 115.05% และ 49.14% ตามลำดับ แต่ให้ค่าความแม่นยำลดลง 6.33% และสำหรับผู้ใช้ทั่วไปการค้นคืนโดยใช้โครงสร้างข้อมูลความมั่นคงสารสนเทศ ให้ค่าระลึกเฉลี่ยและค่ามัชฌิมฮาร์โมนิกเพิ่มขึ้นเป็น 354.26% และ 180.62% ตามลำดับ แต่ให้ค่าความแม่นยำลดลง 9.27%

Other Abstract (Other language abstract of ETD)

The main goal of security policy establishment in any organization is to provide the security and reliability of the electronic operation. General problem that organization may face is that this policy establishment usually depends on the stakeholders’ expertise and experience. The application of the widely accept security standards and best practices may help alleviate this problem. However, in any organization or project may have to establish different security policies in various scenarios. This results in the selection of the appropriate content of security standards and practices. At present, ISO 27002 and the textbook named Security Patterns [1] written by M. Schumarker etc. are provided best practices for any organization may be applied in security context. This research proposes a tool for the storage and retrieval of information security standards (ISO 27002) using information retrieval principle based on Vector Space Model in order to retrieve the standard document sections that relevant to the user need. There are three methods: 1) a method of using keywords appeared in information security structure constructed from security patterns, 2) a method of using only keywords, and 3) a method of using the relationship among security patterns. In addition, the proposed methods were applied to two user groups: security expert and regular user. The experiment result indicated that in both groups of users, the retrieval of document section of security standard using keywords appeared in information security structure earned a higher result than using only keywords in recall and harmonic mean evaluation metric but yielded a less efficient in precision. From the expert user group, the average recall and the harmonic mean increased 115.05% and 49.14% respectively, while the precision decreased 6.33%. In the regular security user, the average recall value and the harmonic mean increased 354.26% and 180.62%, respectively, while the precision decreased 27.9%.

Link to Full Text

Share

COinS