Loading...
|
Please use this identifier to cite or link to this item:
https://nccur.lib.nccu.edu.tw/handle/140.119/138970
|
| Title: | 國軍應用線上快速身分識別之風險因子建構
Construction of Risk Factors for Applying Fast Identification Online (FIDO) in R.O.C. Military |
| Authors: | 唐健馨
Tang, Chien-Hsin |
| Contributors: | 蕭乃沂
Hsiao, Nai-yi
唐健馨
Tang, Chien-Hsin |
| Keywords: | 線上快速身分識別
身分識別
風險因子
混合研究
多準則決策
Fast Identification Online(FIDO)
Identification
Risk Factors
Mixed Methods Research(MMR)
Multiple-Criteria Decision-Making(MCDM) |
| Date: | 2022 |
| Issue Date: | 2022-02-10 13:13:55 (UTC+8) |
| Abstract: | 國安會在2018年提出「資安即國安」的戰略概念,隨後內政部採用FIDO生物特徵快速登入技術,藉「臺灣行動身分識別」提升資訊安全,降低傳統文字型態認證依賴。經檢閱文獻後,發掘當前我國FIDO應用發展欠缺國軍特性與風險管理有關文獻,是故本研究亟欲為國軍爾後發展行動身分識別,整理國、內外文獻後建構風險層級架構雛形,藉由專家訪談與專家問卷等混合研究進行資料蒐集,由受訪專家協助確立架構,運用多準則決策方法建構出預防性的危害風險因子。
研究結果指出,風險層級架構計有24個評估準則,其中風險因子計有「法規依循」、「人員素質」、「駭客入侵」以及「人員操守紀律」等4個,從而提出「研議提升數位治理層級」、「奠定法制基礎」、「落實風險管控作為」與「廣泛建置應用場域」等實務建議以彌補可能風險;非預期研究發現則是以M FIDO為個案,探討國發會風險管理手冊的適用性與研究成果差異、已知風險與風險因子關聯以及受試專家認知差異,其中就適用性言以「政治法律」及「資訊」類型最高、「自然環境」最低,就「R10人員素質」與「R16駭客入侵」與已知風險關聯最高,由此得知本研究建構的風險因子確實能夠應處已知風險。
綜整資料蒐集過程所獲成果,對目前國軍身分識別作為提出革新建議,分別是「降低使用者存管壓力與不便利性」與「節約發行資源與環境成本」,受訪者指出使用者因為擔心軍用證件遺失遭受懲處而備感壓力,國軍智慧卡則是受限於讀卡機週邊設備而感到不便。除此之外,憑證虛擬化可以大幅節約發行成本,以及降低塑料卡片的環境成本,整體而言可以獲得正面效益。最後,就研究發現與所過程中面臨的限制提出建言,分別是「M FIDO風險層級架構適時修訂」、「廣泛邀集受訪(試)對象」及「掌握發展趨勢與脈絡」等,期盼本研究能為後續有關研究開啟新猷。
The National Security Council proposed the strategic concept of “Cybersecurity is National Security” in 2018. In order to reduce the users` dependence on traditional text-based accounts and passwords, Ministry of the Interior used biometrics to improve information security by Taiwan FidO. This study finds that FIDO(Fast Identification Online) development currently in Taiwan, it still lacks relevant literature for the military specialty and its risk management after consulting the literature. Consequently, the thesis aims to build the risk factors to avoid harm for military FIDO development in the future. This study preliminarily establishes the risk model by collecting the relevant issues worldwide. Both interviews and survey questions for multi-method research to confirm the risk model, and build the risk factors by experts’ advice, DEMATEL(Decision Making Trial and Evaluation Laboratory), and DEMATEL-based ANP(Analytic Network Process).
The research discovers that the risk model contains 24 factors, in which 4 factors are identified as the most critical including “legal compliance”, “quality of manpower”, “hacking”, and “conduct and discipline”. Thus, it puts forward practical suggestions to reduce risks such as discussion on upgrading the level of digital governance, laying a legal foundation, implementing risk management, and establishing a wide range of application fields. Unexpected research findings take M FIDO as a case to discuss: (1) applicability of the National Development Council risk management manual, (2) the differences in research results, and (3) the relationship between identified risks and risk factors, and the differences in the cognition of the experts. The categories “politics and law” and “information” are the highest applicability of the manual, while “natural environment” is the lowest. “quality of manpower” and “hacking” have the highest relationship with the identified risk factors. Therefore, the factors constructed by this study can reduce identified risks.
Accordingly, the study proposes innovation suggestions such as “reducing users’ keeping pressure and using inconvenience” and “saving issuance resources and environmental costs”. Some interviewees point out that users are under pressure because they are worried about being punished for losing Military ID Card. Using Military Smart Card is inconvenient constrained by the card reader. In addition, digitized ID card could reduce issuance and environmental costs, and overall positive benefits could be achieved. Finally, this study points out the limitations that author encountered in the research, and makes suggestions such as modifying M FIDO risk model at the opportune time, inviting more interviewees, and following development trend. |
| Reference: | 一、中文文獻
中央研究院法律學研究所資訊法中心(2020年7月)。政府單位說明。載於中央研究院法律學研究所資訊法中心政策建議書研議小組(編),數位時代下的國民身分證與身分識別政策建議書(157-160頁)。臺北市:中央研究院法律學研究所。
內政部(2020)。數位身分識別證(New eID)-新一代國民身分證換發計畫(修訂版), 2021年2月19日,取自:https://www.ris.gov.tw/app/portal/792。
內政部(2021)。中華民國內政部統計月報表一一〇年九月,2021年11月22日,取自:https://ws.moi.gov.tw/Download.ashx?u=LzAwMS9VcGxvYWQvNDAwL3JlbGZpbGUvMC8xNTE4Mi9iOTQyYWIxYS01YzcxLTQ5ZDQtYjdlYy0xM2ZiYWFmNWFhNDkucGRm&n=MTEwMDkucGRm&icon=..pdf。
內政部戶政司(2019)。數位身分識別證─打開智慧政府的關鍵鑰匙,2021年5月21日,取自:https://ws.moi.gov.tw/001/Upload/OldFile/news_file/New%20eID%20%E6%96%B0%E8%BA%AB%E5%88%86%E8%AD%98%E5%88%A5%E8%AD%89%E6%87%B6%E4%BA%BA%E5%8C%85%E7%B0%A1%E5%A0%B1%E5%85%A7%E5%AE%B9.pdf。
內政部資訊中心(2003)。自然人憑證正式發卡啟用,對外界提供服務,2021年5月21日,取自:https://moica.nat.gov.tw/news_in_39.html。
內政部憑證管理中心(2021)。憑證簽發統計數據,2021年5月21日,https://moica.nat.gov.tw/moica/apstatistic.do。
王小璠(2005)。多準則決策分析(初版)。台中市:滄海。
王立恒(2017a)。【十年大變革!數位身分證要來了】人權組織台權會:eID應訂專法,建立法源,也避免數位足跡遭濫用,2021年7月22日,取自:https://www.ithome.com.tw/news/117049。
王立恒(2017b)。【十年大變革!數位身分證要來了】eID要普及,得靠4大關鍵!德國、愛沙尼亞專家親身揭露,2021年7月22日,取自:https://www.ithome.com.tw/news/117048。
王旭正、高大宇、ICCL-資訊密碼暨建構實驗室(2006)。資訊安全─網際網路安全與數位鑑識科學(二版)。臺北縣:博碩文化。
王曼菱(2021)。掌紋紋理特徵擷取與身分識別。國立中央大學通訊工程學系在職專班碩士學位論文,未出版,桃園。
王瑞庚、周桂田(2012)。台灣發展WiMAX之潛在健康風險與風險治理探討。台灣衛誌,31(5),399-411。
立法院(2020)。立法院第9屆第8會期內政委員會議事錄,2021年5月21日,取自:https://www.ly.gov.tw/Pages/ashx/File.ashx?FilePath=~/File/Attach/186650/File_255256.pdf。
任光德、林崇仁、莊貿雄(2010)。應用DANP之多準則決策模式探討資訊化專案管理系統的影響關聯與重要度。運籌與管理學刊,9(1),55-66。
江吉民(2017)。穿越時光迴廊‧再現戶政風華(初版)。彰化:彰化縣社頭鄉戶政事務所。
何瑞萍(2005)。數位計畫營運風險管理之探討。圖書資訊學刊,3(1&2),107-124。
吳克強(2005)。利用智慧卡之身分認證機制。國立中興大學資訊科學研究所碩士學位論文,未出版,台中。
宋曜廷、吳昭容、劉子鍵、廖遠光、洪煌堯、吳心楷…潘佩妤(2011)。數位學習研究方法(初版)。台北市:高等教育出版社。
宋曜廷、潘佩妤(2010)。混合研究在教育研究的應用。教育科學研究期刊,55(4),97-130。
李子聿、張喬婷(2008)。Biobank風險管理與救濟制度研議。法律與生命科學,7,26-34。
李創明(2013)。美韓網路身分識別管制資安政策之研究-兼論對臺灣之啟示。危機管理學刊,10(2),25-36。
李蕙貽、陳泰維、范宏宙、黃筱薌、鐘國應、羅正南、陳炳源(2016)。勝於無形:國軍軟實力指標初探(初版)。桃園市:國防大學。
李靜宜(2020)。【金融科技生態圈關鍵發展策略3:金融行動身分識別標準化】靠FIDO建立數金服務通用驗證,奠定異業資料交換的基礎,2021年5月25日,取自:https://www.ithome.com.tw/news/141114。
周立平、楊博宏(2011a)。晶片卡安全之探討-離線攻擊Mifare Classic。前瞻科技與管理,1(2),97-111。
周立平、楊博宏(2011年05月b)。Mifare Classic的僅卡攻擊(Card-Only Attack)。載於中華民國資訊安全學會(主編),全國資訊安全會議(125-133頁)。臺灣:中華民國資訊安全學會。
周桂田、陳薪智(2014)。脆弱性的資訊科技風險治理文化:考察病歷電子化之制度性無知。思與言:人文與社會科學期刊,52(3),53-97。
林文苑(2019)。鄉鎮市區層級災害耐韌力指標關聯性與權重之DANP分析以及空間聚集性分析之應用。臺灣土地研究,22(1),59-103。
林冠宇(2019)。美澳生物識別技術應用與隱私保護之指標性案例評析。科技法律透析,31(8),7-12。
林裕庭(2021)。基於時空間注意力機制及自監督學習訓練之三維卷積神經網路應用於行人步態辨識。國立交通大學數據科學與工程研究所碩士學位論文,未出版,新竹。
邱玟慧(2007)。清代閩臺地區保甲制度之研究(1708-1895),國立臺灣師範大學歷史學系碩士學位論文,未出版,台北市。
金融監督管理委員會(2020),金融科技發展路徑圖,2021年5月25日,取自:https://www.fsc.gov.tw/websitedowndoc?file=chfsc/202009141535040.pdf&filedisplay=1090827%E9%87%91%E8%9E%8D%E7%A7%91%E6%8A%80%E7%99%BC%E5%B1%95%E8%B7%AF%E5%BE%91%E5%9C%96%E5%A0%B1%E5%91%8A%E6%9B%B8.pdf。
紀凱齡(2015)。從各國科技評估制度探討其對於科技風險治理之重要性。科技政策觀點半年刊,1,113-117。
范麗娟(1994)。深度訪談簡介。戶外遊憩研究,7(2),25-35。
高建林(2015)。利用生理資訊進行身分識別方法之研究-以臉部特徵為例。臺北市立大學資訊科學系碩士在職專班碩士學位論文,未出版,台北。
高嘉仁、楊宗璟(2019)。遊覽車駕駛人職能指標建構與分析。運輸學刊,31(1),27-59。
國防部(2018)。國防部發布新聞稿,說明媒體報導「每3人就有1人志願役的天方夜譚?」乙情。(107年10月21日) ,2021年11月22日,取自:https://www.mnd.gov.tw/Publish.aspx?p=75692&title=%E5%9C%8B%E9%98%B2%E6%B6%88%E6%81%AF&SelectStyle=%E6%96%B0%E8%81%9E%E7%A8%BF。
國家安全會議國家資通安全辦公室(2018)。國家資通安全戰略報告-資安即國安。新北市:國家安全會議國家資通安全辦公室。
國家發展委員會(2020)。行政院及所屬各機關風險管理及危機處理作業手冊,2021年5月27日,取自:https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMzg5My8xNTAyNGFlNC0wNGY3LTRlYTEtOTMwNS0xODI0YWM2YjhkZTcucGRm&n=6KGM5pS%2f6Zmi5Y%2bK5omA5bGs5ZCE5qmf6Zec6aKo6Zqq566h55CG5Y%2bK5Y2x5qmf6JmV55CG5L2c5qWt5omL5YaKLnBkZg%3d%3d&icon=..pdf。
張如婷(2021)。內政部移民署「行動身分識別系統」(e指通) 滿意度調查研究。醒吾科技大學資訊科技應用系碩士學位論文,未出版,新北。
張堂賢、游上民、劉宜傑與張元瑞(2010)。ATMS通訊安全動態加密技術研究。運輸學刊,23(1),51-74。
張紹勳(2012)。模糊多準則評估法與統計(初版)。台北市:五南。
梁文韜(2006)。資訊時代下的公共治理:規範性電子公民身分論之初探。政治與社會哲學評論,19,1-84。
許建隆、陳志清、黃美涓、劉卜誠(2014)。多重伺服器之三因子身份鑑別協定。資訊安全通訊,20(2),1-23。
郭戎晉(2012)。論數位環境下個人資料保護法制之發展與難題-以「數位足跡」之評價為核心。科技法律透析,24(4),18-39。
陳世仁、藍紹緯、范雋彥(2017)。基於生物辨識之強安全認證應用技術實用性研究。資訊安全通訊,23(1),61-73。
陳以明、向佳君、楊皓博(2010)。結合DANP之MCDM模型探討新產品開發過程品質關連性之研究。運籌與管理學刊,9(1),39-54。
陳宥丞(2021)。基於時間卷積網路之強健性心電圖身分識別系統。國立陽明交通大學電機工程學系碩士學位論文,未出版,台北。
陳瑞麟(2020)。科技風險與倫理評價:以科技風險倫理來評估台灣基改生物與人工智能的社會爭議。科技、醫療與社會,30,13-65。
陳蔚菁(2019)。介紹德國eID政策法制-從德國身分證及電子識別法出發。科技法律透析,31(3),31-37。
曾國雄(2020)。國立臺北大學「問題解決之研究方法」冬令營講習資料。未出版之原始資料。
馮正民(2014)。風險管理的概論。主計月刊,699,30-34。
黃宇晨、林谷鴻(2011)。使用分析網路程序法(ANP)評估招募目標的關鍵準則-以Y公司爲例。工程科技與教育學刊,8(3),502-517。
黃宗賢(2020)。e管家還是e管區?數位身分識別證下的隱私計算。國立政治大學公共行政學系碩士學位論文,未出版,台北。
黃東益(2020)。數位轉型與智慧政府的課責。載於中央研究院法律學研究所資訊法中心政策建議書研議小組(主編),數位時代下的國民身分證與身分識別政策建議書(117-122頁)。臺北市:中央研究院法律學研究所資訊法中心。
黃建隆(2015)。感應式技術之金融應用與安全防護。財金資訊季刊,81,7-14。
萬文隆(2004)。深度訪談在質性研究中的應用。生活科技教育,37(4),17-23。
臺北市政府資訊局(2020)。「台北通TaipeiPASS」上線試營運市民服務再升級,2021年2月25日,取自:https://doit.gov.taipei/News_Content.aspx?n=4B2B1AB4B23E7EA8&sms=72544237BBE4C5F6&s=01FAEA71D8F90745。
蔡亞軒(2019)。國軍外事人才職能模型建構與分析。國立政治大學行政管理碩士學程碩士學位論文,未出版,台北。
蔡毓智(譯)(2013)。研究方法:基礎理論與技巧(二版)(Earl R. Babbie原著)。臺北市:新加坡商聖智學習。
鄭棟元(2020)。軍人身分證晶片化之決策分析。國立政治大學行政管理碩士學程碩士學位論文,未出版,台北。
蕭乃沂、羅晉(2010)。電子化政府的價值鏈評估觀點:以數位台灣e化政府計畫爲例。公共行政學報,36,1-37。
謝家祥、田效文、薛家和(2017)。應用DANP探討直銷商價值創新關鍵因素分析。直銷管理評論,2(3),108-133。
謝家祥、顏瑞美、田效文、陳雅蘋(2016)。應用DANP探討行動App科技行銷之研究。行銷科學學報,12(2),119-140。
羅正漢(2020)。剖析數位身分證資安爭議,臺大研究生公布歐洲4國eID實行狀況研究,2021年7月22日,取自:https://www.ithome.com.tw/news/140031。
羅嘉寧(2018)。行動裝置之兩階段身分認證機制。資訊安全通訊,24(4),31-43。
蘇文彬(2020)。唐鳳:個資獨立專責機關組織草案下個會期可望送立院審查,2021年7月22日,取自:https://www.ithome.com.tw/news/139122。
蘇品長、謝定芳、高尉晏(2018)。設計具多因子之身分認證協定機制-以空軍指管通情系統為例。國防管理學報,39(2),33-54。
二、英文文獻
Courtois, Nicolas T. (2009). The Dark Side of Security by Obscurity - and Cloning MiFare Classic Rail and Building Passes, Anywhere, Anytime. In: Fernández-Medina, E and Malek, M and Hernando, J, (Eds.), Proceedings of the International Conference on Security and Cryptography (pp. 331-338). Lisboa: INSTICC.
Dasgupta, Dipankar., Roy, Arunava., & Nag, Abhijit. (2017). Advances in user authentication. Springer International Publishing.
Davis, Fred D., Bagozzi, Richard P., & Warshaw, Paul R. (1989) .User acceptance of computer technology: a comparison of two theoretical models. Management Science, 35(8), 982-1003.
De Koning Gans, G., Hoepman, J.-H., & Garcia, F. D. (2008). A Practical Attack on the MIFARE Classic. Smart Card Research and Advanced Applications, 5189, 267-282.
Fidel, Raya. (2008). Are we there yet?: Mixed methods research in library and information science. Library & Information Science Research, 30(4), 265-272.
G20. (2017, March). Communiqué. G20 Finance Ministers and Central Bank Governors Meeting, Baden-Baden.
Garcia, F. D., de Koning Gans, G., Muijrers, R., van Rossum, P., Verdult, R., Schreur, R. W., & Jacobs, B. (2008). Dismantling MIFARE Classic. Computer Security – ESORICS 2008, 5283, 97-114.
Garcia, F.D., van Rossum, P., Verdult, R., & Schreur, R. W. (2009). Wirelessly Pickpocketing a Mifare Classic Card. 2009 30th IEEE Symposium on Security and Privacy, California.
Higo, H., Isshiki, T., Nara, M., Obana, S., Okamura, T., & Tamiya, H. (2020). Security Requirements for Store-on-Client and Verify-on-Server Secure Biometric Authentication. Emerging Technologies for Authorization and Authentication, 11967 , 86–103.
Ho, M. F., & Huang, C. L. (2011). Gait analysis for walking paths determination and human identification. 修平學報, 23, 1-16.
Hu, K., & Zhang, Z. (2016). Security Analysis of an Attractive Online Authentication Standard:FIDO UAF Protocol. China Communications, 13(12), 189-198.
International Business Machines Corporation. (2016). IBM Solution for Pharmaceutical Track & Trace: Supply chain visibility drives overall performance. Retrieved August 18, 2021, from ftp://public.dhe.ibm.com/software/solutions/sensors/pharmaceutical-track-and-trace-solution.pdf.
Likert, R. (1932). A technique for the measurement of attitudes. New York: The Science Press.
Ngerng, Roy. (2021). Digital Regulation Could Have Saved Taiwan’s Botched eID. Retrieved July 23, 2021, from https://international.thenewslens.com/article/145594.
Ou Yang, Yu-Ping., Shieh, How-Ming., Leu, Jun-Der., & Tzeng, Gwo-Hshiung. (2008). A Novel Hybrid MCDM Model Combined with DEMATEL and ANP with Applications. International Journal of Operations Research, 5(3), 160-168.
Tan, Wee-Hon. (2008). Practical Attacks on the MIFARE Classic. Unpublished doctoral dissertation, Department of Computing, Imperial College London, London.
Wang, Wei-Chih., Lin, Yueh-Hua., Lin, Chia-Li., Chung, Chu-Hsuan., Lee, Ming-Tsung. (2012). DEMATEL-based model to improve the performance in a matrix organization. Expert Systems with Applications, 39(5), 4978-4986.
Zavadskas, E. K., Turskis, Z., & Kildienė, S. (2014). State of art surveys of overviews on MCDM/MADM methods. Technological & Economic Development of Economy, 20(1), 165-179.
Zhang, Y., Wang, X., Zhao, Z., & Li, H. (2018). Secure Display for FIDO Transaction Confirmation. Proceedings of the Eighth ACM Conference on Data and Application Security and Privacy, 2018, 155-157.
Zúquete, A., Gomes, H., & Teixeira, C. (2014). Personal Identification in the Web Using Electronic Identity Cards and a Personal Identity Provider. Information Security Theory and Practice. Securing the Internet of Things, 8501, 160-169. |
| Description: | 碩士
國立政治大學
行政管理碩士學程
109921305 |
| Source URI: | http://thesis.lib.nccu.edu.tw/record/#G0109921305 |
| Data Type: | thesis |
| DOI: | 10.6814/NCCU202200064 |
| Appears in Collections: | [行政管理碩士學程(MEPA)] 學位論文
|
Files in This Item:
| File |
Description |
Size | Format | |
|---|
| 130501.pdf | | 12519Kb | Adobe PDF2 | 266 | View/Open |
|
All items in 政大典藏 are protected by copyright, with all rights reserved.
|
