## 《資通安全管理法施行細則》第 10 條 資通安全維護計畫應包括： 核心業務及其重要性 資通安全政策及目標 專責人力及經費之配置 資通安全管理措施及推動方式 資通安全事件通報與應變機制 持續改善機制 ## 📌 SOD（職務區隔）的解釋 定義 將敏感或關鍵作業拆分給不同角色處理，避免單一人員可從頭到尾掌控。 核心理念：分權制衡。 常見應用範例 會計：請款、審核、撥款分屬不同人員。 資訊系統： 程式開發 ≠ 系統部署 ≠ 系統維護 ≠ 稽核 DBA ≠ 系統管理員 人資系統：人資主管（業務使用者） ≠ 系統維護人員 未落實 SOD 的風險 資料被竄改不易發現 舞弊（例如主管偷偷調整薪資或刪除紀錄） 資安事件偵測困難 ## 📌 網路區隔（Network Segmentation）的資安知識整理 1. 為什麼要做網路區隔？ 減少攻擊面：避免駭客入侵一台機器後能橫向移動到整個網路。 控制存取：不同部門（HR、財務、研發）的資料互相隔離。 提升效能：降低廣播範圍，減少不必要的封包傳播。 符合法規：例如個資/金融法規，敏感資料要與一般網路隔離。 2. 常見的區隔方式 **實體區隔（Physical Segmentation）** 使用不同實體交換器、網線，最安全但成本高。 **邏輯區隔（Logical Segmentation）** VLAN：同一台交換器上劃分不同廣播網段。 VRF（Virtual Routing and Forwarding）：在路由器上虛擬多個邏輯路由實例。 **周界控制（Perimeter Control）** 防火牆（Firewall）、ACL（Access Control List）、Filtering Router。 典型案例：DMZ（Demilitarized Zone），把對外伺服器放在隔離區，與內部網路分離。 3. 無線網路的挑戰（跟本題 C 有關） Wi-Fi 訊號難以劃定邊界，無法像實體網路那樣嚴格限制。 常見防護措施： WPA3 加密 設定獨立的 Guest Wi-Fi VLAN NAC（Network Access Control）驗證裝置身分 避免 Wi-Fi 直接連內部網路，建議經過 VPN 或防火牆。 4. 資安最佳實務 最小權限原則：區隔後，僅允許必要的存取。 零信任架構（Zero Trust Architecture）：即使在同一個區域，也要驗證身分。 持續監控：搭配 SIEM、IDS/IPS 偵測異常流量。 ## Azure Storage 有四種主要備援機制： LRS (Locally-redundant storage) 在同一個資料中心（同區域）內，保存 3 份複本。 只防止單一硬碟或伺服器故障，沒有異地備份。 ZRS (Zone-redundant storage) 在同一區域的 不同可用性區域 (Availability Zones) 複製 3 份。 抵禦資料中心等級的災害。 GRS (Geo-redundant storage) 在 主區域 (Primary region) 存放 3 份，並 非同步複製到 次區域 (Secondary region, 距離 >300 公里) 再 3 份。 共 6 份資料。 缺點：次區域無法直接讀取，只能在 Microsoft 進行 failover 後才能使用。 RA-GRS (Read-access GRS) 與 GRS 相同，但允許 直接讀取次區域資料。 適合需要「讀取可用性」的備援需求。 ## 備援方式差異 | 類型 | 定義 | 成本 | 啟動時間 | 可用性 (RTO/RPO) | 適用情境 | | --------------------------------- | ---------------------------------------------------------------------- | -- | ------------- | ------------------ | ------------------- | | **冷備援 (Cold Backup / Cold Site)** | 災難發生時，只有「基本硬體設備」(如機房空間、電力、冷卻)，但沒有事先安裝系統或同步資料。災難時需從頭安裝系統、還原資料。 | 最低 | 最長 (幾天～幾週) | RTO、RPO 都很差 | 小型公司、低預算，對業務連續性要求不高 | | **暖備援 (Warm Backup / Warm Site)** | 災難前已準備好「基本系統、網路與部分資料」，但不是完全即時同步。發生災難時可快速載入最近一次的備份。 | 中等 | 中等 (數小時～1-2天) | RTO/RPO 中等 | 中小型企業，允許有限停機時間 | | **熱備援 (Hot Backup / Hot Site)** | 災難發生時有 **完整的即時鏡像系統**，包含作業系統、應用程式與資料，且與主系統幾乎 **即時同步**。可立即切換 (Failover)。 | 最高 | 最快 (幾分鐘內) | RTO、RPO 都最佳 (接近 0) | 金融業、電商、銀行，不能停機 | ## RTO & RPO RTO (Recovery Time Objective, 復原時間目標) 👉 系統發生災難後，允許 最長停機時間。 （換句話說：多久內一定要復原？） RPO (Recovery Point Objective, 復原點目標) 👉 系統發生災難後，允許 最大資料遺失量。 （換句話說：最久能接受回復到多久前的備份？） 備份時間間隔 (Backup Interval) 👉 系統多久做一次備份，例如每天一次、每小時一次。 🔹 RPO 與備份時間的關係 📌 RPO ≤ 備份時間間隔 例子： 如果 每天備份一次 (24 小時)，那最壞情況是今天出事，資料只能回復到昨天 → RPO = 24 小時。 如果要求 RPO ≤ 1 小時，就必須 至少每小時備份一次，或做即時同步 (熱備援)。 👉 所以：RPO 決定你要多頻繁備份。 🔹 RTO 與備份時間的關係 RTO 跟「備份時間」沒有直接大小關係，但有實務影響： RTO = 2 小時 → 代表你必須在 2 小時內把系統與資料恢復。 如果你的備份檔太大、存放在磁帶庫，要花 5 小時才抓回來 → 就不符合 RTO。 所以 備份方式、儲存位置會影響 RTO： 傳統冷備援：RTO 長 (幾天) 雲端快照、熱備援：RTO 短 (幾分鐘) 👉 RTO ≠ 備份時間，但 RTO 會受備份還原效率影響。 🔹 總結 RPO 要小於或等於備份週期 （想少掉資料，就得多做備份） RTO 與備份時間無必然數值關係 （但還原效率若拖太久，就會超過 RTO） ## 🔹 ISO/IEC 27001 資安事件處理流程 （對應標準控制項 A.16 – 資安事件管理） 1️⃣ 事件偵測與回報 (Detection & Reporting) 發現異常（例如：帳號被鎖定、流量異常、檔案被加密） 內部通報 → 資安官 / 資安主管 / CSIRT (Computer Security Incident Response Team) 記錄時間、來源、影響範圍 2️⃣ 初步分類與評估 (Assessment) 判斷事件嚴重程度（影響機密性、完整性、可用性？） 是否屬於重大資安事件？ 決定要不要 通報主管機關 / 第三方 3️⃣ 控制 (Containment) 採取臨時措施避免擴大，例如： 封鎖惡意 IP 斷開受感染主機網路 關閉異常服務（如 OWA） 目的：先「止血」 4️⃣ 根除與復原 (Eradication & Recovery) 移除惡意程式 / 修補漏洞 / 更新密碼策略 恢復正常服務（含驗證環境安全性） 可能需重建部分系統 5️⃣ 後續檢討 (Lessons Learned) 做 事件報告 分析根因 (Root Cause Analysis) 更新資安防護措施（如：增加 VPN、限制白名單、加強監控） 納入 持續改善 (PDCA) ## 四大風險處理方式 (Risk Treatment Options) 1. Avoid (避免 / 規避) 📌 情境： 風險發生的可能性高 衝擊也高（會造成重大損失 / 法規違規 / 無法承受） 👉 最好的方式是乾脆不要做這件事，直接移除風險來源。 例子： 發現某應用程式漏洞太多 → 決定停用該系統。 某服務涉及法規風險 → 公司決定不進入該市場。 2. Mitigate (降低 / 緩解) 📌 情境： 衝擊高但可能性低 → 建立控制措施來降低衝擊。 或 衝擊低但可能性高 → 降低發生的機率。 👉 透過技術 / 管理控制，把風險降到可接受範圍。 例子： 員工密碼外洩風險高 → 導入 MFA (多因子驗證)。 系統可能常被攻擊，但影響有限 → 加強監控、增加異常警示。 3. Transfer (移轉 / 分攤) 📌 情境： 風險存在，但可以交由第三方承擔（通常是財務或責任）。 👉 常見作法是透過 保險、外包、契約，把風險轉嫁給他人。 例子： 系統上雲 → 簽 SLA，讓雲端供應商負責服務中斷。 買資安保險 → 當發生資安事件，由保險理賠部分損失。 4. Accept (接受 / 承受) 📌 情境： 衝擊低 + 發生機率低 或 處理成本大於風險本身 👉 直接承擔，不額外採取措施，但要記錄並納入風險登錄表。 例子： 一台老舊非關鍵電腦可能中毒 → 公司決定不修，因影響有限。 系統可能偶爾 downtime 1 分鐘，但不影響業務 → 接受。 | 衝擊 (Impact) | 發生可能性 (Likelihood) | 建議處理方式 | | -------------- | -------------------------------- | --------------------- | | 高衝擊 ＋ 高可能性 | **Avoid**（避免，直接停掉或改變業務模式） | | | 高衝擊 ＋ 低可能性 | **Mitigate**（降低衝擊，例如異地備援、災難復原計畫） | | | 低衝擊 ＋ 高可能性 | **Mitigate**（降低機率，例如加強控管、增加監控） | | | 低衝擊 ＋ 低可能性 | **Accept**（接受，記錄即可） | | | **可透過契約或保險處理** | 不論高低 | **Transfer**（移轉 / 分攤） | ## 不同單位的責任分級 我國《資通安全責任分級辦法》 A 級：關鍵基礎設施（如國防、金融核心系統），影響國家安全或重大經濟利益。 B 級：重要單位，影響社會秩序或公共利益，若遭受資安事件會造成較大影響。 C 級：一般單位，影響範圍較小，事件造成損害有限。 D 級：非關鍵單位，影響最小。 ## 備份方法 1️⃣ 完整備份（Full Backup） 定義：備份系統中所有選定資料的完整副本。 優點： 還原時只需要一個備份集（最快）。 備份結構最簡單。 缺點： 備份時間長。 佔用大量儲存空間。 適用情境： 週期性完整備份（例如每週一次）作為基礎。 2️⃣ 增量備份（Incremental Backup） 定義：只備份自上一次備份（完整或增量）後有變動的資料。 優點： 備份速度快。 節省儲存空間。 缺點： 還原時需要最初的完整備份 + 所有後續增量備份（較慢，步驟多）。 若某個增量備份損毀，之後的資料可能無法完整還原。 適用情境： 每日備份小量變動的資料，搭配週期性完整備份。 3️⃣ 差異備份（Differential Backup） 定義：備份自上一次完整備份後所有變動的資料。 優點： 還原比增量簡單，只需完整備份 + 最新差異備份。 備份速度比完整備份快。 缺點： 隨時間增加，每次差異備份會越來越大。 比增量佔用更多儲存空間。 適用情境： 需要快速還原，但又不想每天完整備份的情況。 ## 資安控制措施的類型 1️⃣ 控制措施分類 管理的（Administrative）控制 由政策、規範、程序或訓練實施。 例子：資安政策、教育訓練、簽署保密協議。 技術的（Technical）控制 由技術手段自動執行。 例子：防火牆、加密、存取控制系統。 2️⃣ 控制目的分類 預防性（Preventive） 目的是阻止事件發生。 例子：設定密碼策略、防毒軟體阻擋病毒。 偵測性 / 威嚇性（Detective / Deterrent） 偵測性：用來發現事件或異常。 威嚇性：用來警告或提醒，讓人不想違規。 例子：登入提醒、告示牌、監控標語。