ISC2 CC - HackMD

## 簡介作者：弓箭手村資安初心者信箱：vick29191@gmail.com 此篇分享自己的考試心得與自己的筆記，有任何問題或者有錯誤的地方再請告知。如果你想要一場關於CC的修煉之旅，想要一層一層突破CC，歡迎閱讀我的[鐵人賽](https://ithelp.ithome.com.tw/users/20177922/ironman/8168)。參考筆記：https://hackmd.io/@bojack/S1734FVma 感謝寶傑哥的筆記伴我度過那一整個月CC準備的時光目前考試有支援多種語言(英語、中文、日語、德語) 考試時間為120分鐘，總共100題選擇題，及格分數700/1000。分為五大類，接下來筆記會依照五大類分別分享。 ![image](https://hackmd.io/_uploads/H180Fe5Pll.png) ## 一、安全原則 ### 1.1 了解訊息保障的安全概念 * 資安三大核心：CIA原則口語化分析 * 在資安領域，有三個最基本、最重要的概念，就是CIA：Confidentiality(機密性)、Integrity(完整性)、Availability(可用性)。這三個原則就像資安世界的三根支柱，缺一不可！ ![jpeg (1)](https://hackmd.io/_uploads/rJEbuQqDxe.jpg) 1. 機密性 (Confidentiality) * 簡單來說，就是⌈不要讓不該看到的人看到資料⌋。 * 不管是在傳輸、儲存還是使用的過程中，都要**避免被未經授權**的人存取。 * 常見的保護方法： * 加密：讓資料變成看不懂的密碼，只有授權的人能解開。 * 隱藏/遮罩：只顯示部資訊(例：只顯示卡片末四碼)。 * 數位簽章：確認資料來源和完整性，避免被竄改。 * 舉例： 1.Personally Identifiable Information (PII)個人識別資訊，像是身份證字號、電話、地址等，不能亂給。 2.組織內部的敏感資料、健康資訊、機密文件，也都要保護好，避免外洩給不該知道的人。 2. 完整性 (Integrity ) * 確保資料在整個生命週期中都⌈沒被動過手腳⌋。 * 也就是說，資料從建立、儲存、傳輸到使用，都要保持原樣，**不能被未經授權**的人偷偷改掉。 * 常見的保護方法： * Hashing雜湊：用演算法產生資料指紋，資料一改就會不一樣。 * 數位簽章：不只保密，還能驗證資料有沒有被改過。 * 軟體更新：修補漏洞，避免被惡意程式修改。 * Firewall防火牆、IDS入侵檢測系統：阻擋未授權的存取與異常行為。 * 為甚麼重要？如果資料被改了，可能會導致錯誤的決策、系統異常，甚至資安事件。 3. 可用性 (Availability) * 確保系統或資料在⌈需要使用的時候真的能用⌋。 * 不管伺服器、資料庫還是應用程式，都不能因為故障或攻擊而無法使用。 * 常見的保護方法： * 備援系統：像是多台伺服器輪流備用，確保主機掛掉時還有其他伺服器能撐場。 * 容錯設計：系統出錯時能自動切換或修復，減少停機時間。 * 定期備份：資料不見了也能快速還原，避免業務中斷。 * 數位簽章：除了能驗證資料完整性，也能在系統驗證過程中提升可用性，確保資料來源、流程不中斷。 * 想像一下，如果你要查資料、開會、報告結果，結果系統掛了，是不是超崩潰？ 4. 不可否認性 (Non-repudiation) * 不可否認性的意思是：**做了就不能賴！** * 我們要確保某個人或系統執行了某個動作後，不能事後否認。這對於法律、合約、交易紀錄等非常重要。 * 常見的保護方式有： * 實體簽名：像是紙本合約、收據、文件上的親筆簽名。 * 數位簽章：用加密技術來驗證電子文件的來源與完整性，確保文件沒被改過，也能證明是誰發出的。 * 生物辨識技術：像是指紋、臉部辨識等，用來確認身份，避免冒用。 * 舉例來說，如果有人簽了合約、發了指令、或傳了資料，我們要有辦法證明「這件事真的是他做的」，不能讓他事後說「不是我」。 5. 隱私 (Privacy) * 隱私是每個人對自己個人資訊的掌控權，這些資訊可能包括姓名、地址、身分證號碼、醫療紀錄、財務資料等等。 * 常見的保護方式有： * 加密：把資料變成只有授權者才能解讀的密碼，常用於傳輸或儲存敏感資訊。 * 存取控制：設定誰可以看、誰可以改資料，像是帳號權限、角色分級等。 * 合法性與何規性：遵守像是GDPR、台灣個資法等相關法規，確保資料處理合法。 * 監控與風險管理：持續監控系統與資料使用狀況，並針對風險進行評估應變。 * GDPR（General Data Protection Regulation）只要你在歐盟「做生意」或「收集歐盟用戶資料」，不管你是台灣公司、美國公司還是其他國家，只要涉及歐盟個資，就要遵守 GDPR。 * HIPAA (Health Insurance Portability and Accountability Act) 美國在 1996 年通過的一項聯邦法律，它的目的是要保護病患的健康資訊隱私與安全，並且規範醫療機構、保險公司、IT 業者等在處理這些資料時的行為。保護病患的個人健康資訊（Protected Health Information, PHI）：任何可以識別病患身分的健康相關資料姓名、出生日期、醫療紀錄、帳單記錄、指紋等。 6. 驗證 (Authentication) * 驗證就是確認你是你，確保系統只讓真正的使用者進來。就像門禁系統一樣，只有符合條件的人才能通過。 * 知識因素(Something You Know)：你知道的東西，你腦袋裡的資訊。 * Password、PIN * 擁有因素(Something You Have)：你擁有的東西，你手上有的東西。 * Token、Smart Card、Cookie * 生物特徵因素(Something You Are)：你是誰，你的身體特徵或行為模式。 * 指紋、虹膜、臉部辨識 * 地理因素(Something where)：你在哪裡，根據你的位置來判斷是否合理。 * 登入的地點是否在平常使用的地區、是否在公司內部網路範圍內 * 單一因素驗證 (Single-Factor Authentication，SFA) * 只用一種方式驗證，例如：指輸入密碼。 * 簡單方便，但風險也高。 * 多重因素驗證(Multi-Factor Authentication，MFA) * 結合兩種以上的驗證方式，例如：密碼+指紋，或密碼+驗證器。 * 相對麻煩，但安全性高很多。 ### 1.2 了解風險管理流程 * 什麼是風險？風險是指影響目標達成的不確定因素。在資訊安全中，風險通常是指某個**威脅（Threat）**利用某個**弱點（Vulnerability）**，導致資產（Asset）受損的可能性。 * **風險 = 威脅 × 弱點** 在 Common Criteria（CC）標準中，若缺少任一要素，則不構成風險。 ![jpeg (2) (1)](https://hackmd.io/_uploads/SJqW75ovll.jpg) 1. 資產 (Asset) * 需要保護的對象 * 資料 * 系統 * 設備 * 人員 2. 漏洞 (Vulnerability) * 系統或流程中的缺陷，可能被威脅利用造成損害。 * 弱點本身不會直接造成傷害，但若未妥善管理，將成為風險來源。 * 配置錯誤 * 軟體漏洞 * 使用者疏忽 * 弱密碼 * 未加密的資料 3. 威脅 (Threat) * 可能造成傷害的事件或行為。 * 駭客攻擊 * 自然災害 * 內部人員疏失 * 風險產生了，那下一步應該如何處置。 * 風險管理口訣1234 一大目標：控制風險至「可接受的程度」二大程序：風險評鑑與風險處置評鑑三步驟：識別、分析、評估處置四作法：避免、轉移、緩解、接受 1. 一大目標：可接受的風險是指在不影響目標達成、營運穩定或法規遵循的前提下，組織所能容忍的風險範圍。 * 可接受風險水平，由高級管理層制定。 2. 二大程序 * 評鑑：找出風險並分析其嚴重性。 * 處置：採取行動降低風險影響。 3. 評鑑三步驟 * 風險識別：找出可能影響資產的風險來源。 * 資產盤點（如：資料、系統、人員） * 威脅識別（如：駭客攻擊、自然災害、人為疏失） * 弱點分析（如：未更新的系統、弱密碼） * 風險事件的可能性與來源 * 風險分析：評估風險的影響（Impact）與發生機率（Likelihood）。 * Qualitative定性分析：使用風險矩陣（高、中、低）來判斷風險等級。 * 例如：德爾菲法(Delphi Method、匿名問卷) * Quantitative定量分析：以數字方式估算損失金額、機率等。 * 風險評估：做決策⼀⼑切，決定是否要處置風險，以及採取何種處置方式。 * 判斷風險是否在「可接受範圍」內 * 選擇處置策略（避免、降低、移轉、接受） * 制定風險處置計畫與追蹤機制 4. 處置四作法 * Avoid避免：完全消除風險來源，避免風險發生。 * 停用一個存在重大漏洞的系統 * Mitigate緩解：採取控制措施來降低風險的發生機率或影響程度。 * 安裝防毒軟體、加密資料、定期備份、補釘 * Transfer移轉：將風險責任轉移給第三方。 * 購買資安保險、委外給雲端服務商 * Accept接受：在風險可接受的情況下選擇不採取行動。 * 小型網站接受低機率的DDoS攻擊風險 * 風險承受能力：組織或個人在特定情境下，可以接受風險所帶來損失的程度。 * 財務能力：能承受多少損失而不影響營運？ * 營運彈性：系統或流程中斷多久是可接受的？ * 法規要求：是否有明確的合規底線？ * 聲譽風險：品牌或信任度受損的容忍程度？ * 人員安全：是否涉及人身安全或健康風險？ * 風險優先級：在多個風險中，根據其影響程度與發生機率排序處理順序。 * 風險的影響程度（Impact）：如果風險發生，會造成多大的損害？ * 風險的發生機率（Likelihood）：這個風險發生的可能性有多高？ * 風險矩陣：將風險依照「影響」與「機率」分類，協助判斷優先處理順序。 * 高優先級風險：立即處理，通常需採取「降低」或「避免」策略。 * 中優先級風險：可納入中期改善計畫。 * 低優先級風險：可考慮接受，或列入長期觀察。 ![1754142674259](https://hackmd.io/_uploads/rkQ1_ciwgx.jpg) ### 1.3 了解安全概念 * 資安控制措施三大類型：在資訊安全管理中，控制措施是用來保護資產、降低風險的手段。 * 依照性質與實施方式，控制措施可分為三大類： 1. 行政控制措施 (Administrative Controls) * 定義：透過政策、程序、指令等方式，管理組織內部人員的行為與資安責任。 * 目的：建立資安文化與制度，規範人員行為，支援其他控制措施的設計與執行。 * 資安政策與標準制定 * 教育訓練與資安意識提升 * 員工背景調查與職前審查 * 安全審查與稽核制度 * 事件應變計畫(IRP) * 業務持續性計畫(BCP) * 災難復原計畫(DRP) * 風險管理流程與制度 2. 物理控制措施 (Physical Controls) * 定義：使用實體設備或設施來保護資訊資產，防止未授權的實體接觸或破壞。 * 目的：限制人員或設備的物理進出，保護建築物、設備與資料。 * 監視系統(CCTV) * 門禁系統（刷卡、指紋、臉部辨識） * 保全巡邏與警報系統 * 旋轉門、鐵門、圍欄 * 停車場與周邊區域的管控 3. 技術控制措施 (Technical Controls) * 定義：透過資訊系統與技術工具，自動化地保護資料與系統免於未授權存取或攻擊。 * 目的：在系統層級提供即時、精準的資安防護。 * 防火牆（Firewall） * 入侵偵測系統（IDS）與入侵防禦系統（IPS） * 資料加密（Encryption） * 存取控制（Access Control） * 多因素驗證（MFA） * 系統日誌與監控工具 * 弱點掃描與修補管理 * 這三類控制措施通常是**互補且協同運作**的： * 行政控制是制度基礎，確保人員遵守規範。 * 物理控制是第一道防線，防止實體入侵。 * 技術控制是系統防線，防止網路攻擊。 ### 1.4 了解治理要素和程序 * 組織在面對法律要求與政府監管時，需建立一套清晰且一致的資安管理制度。 * 這套制度通常由以下三個層級構成：**政策（Policy）**、**程序（Procedure）**、**標準（Standard）**。 1. 政策 (Policy) * 定義：組織在資訊安全方面應遵循的基本原則與期望，是整體資安制度的基礎。 * 目標：提供明確的方向，確保所有相關人員了解資安目標與責任。 * 特性： * 管理層制定，高級管理層批准。 * 通常涵蓋整體資安策略與目標。 * 不涉及技術細節，而是指導性原則。 2. 程序 (Procedure) * 定義：程序是具體的操作**步驟**與指引，用來執行政策所規定的要求。 * 目標：提供一致的方法來完成特定任務，確保政策能被落實。 * 特性： * 針對特定活動（如帳號建立、事件通報）提供操作流程 * 由部門主管或資安團隊制定 * 強調「怎麼做」 3. 標準 (Standrad) * 定義：標準是針對特定技術或領域所制定的具體要求與規範，通常由業界或專業機構制定。 * 目標：建立一致性與可重複性，確保技術實作符合最佳做法。 * 特性： * 例如：密碼長度、加密演算法、系統更新頻率 * 參考外部標準（如 ISO、NIST）或內部制定 * 強調「做到什麼程度」 ::: warning ⚠️ 補充：引導（Guidelines）定義：引導是建議性的做法，提供最佳實務參考，但**非強制**。用途：在無明確標準時提供方向，或作為補充建議。 ✅ **政策、程序、標準皆為強制性要求** ⚠️ **引導（Guideline）則為非強制性的建議** ::: ### 1.5 了解ISC2職業道德規範 * 當你準備考取或學習 ISC2 的資安認證（如 CC、CISSP），了解其職業道德規範是非常重要的一環。 * ISC2 的職業道德規範（Code of Ethics）包含**四大核心道德準則**，這些準則是所有 ISC2 認證持有者必須遵守的行為標準。 1. 保護社會、共同利益與基礎設施：國家社會 Protect society, the common good, necessary public trust and confidence, and the infrastructure * 將社會安全與公共利益放在首位。 * 在資訊安全工作中，應考慮對社會、使用者、企業與基礎設施的影響。 * 例如：揭露漏洞時應負責任地通報，而非公開造成危害。 2. 誠實與正直地履行職責：個人 Act honorably, honestly, justly, responsibly, and legally * 所有專業活動中保持誠信與合法性。 * 不得從事欺騙、濫用權力或違法行為。 * 例如：不得濫用管理權限存取未授權資料。 3. 提升並保護專業能力：為雇主 Provide diligent and competent service to principals * 對雇主、客戶或委託人提供專業、認真且有能力的服務。 * 持續學習與提升技能，確保提供的建議與服務是正確且有價值的。 * 例如：不應在未具備能力的情況下承接高風險資安專案。 4. 推廣並保護職業：為產業 Advance and protect the profession * 積極推廣資訊安全專業的價值與重要性。 * 尊重同行、分享知識、避免詆毀或損害專業形象。 * 例如：參與社群、教育活動，或協助新進人員成長。 * 在資訊安全與職業道德的實務中，**誰可以舉報誰**，取決於舉報的對象與性質。 1. 國家、社會、個人層級：任何人皆可舉報 ✅ 適用對象：全民皆可舉報，不限身分 2. 企業與客戶層級：僅限雇主或客戶可舉報 ✅ 適用對象：具有雇傭或合約關係者 3. 技術與專業層級：僅限專業人士可舉報 ✅ 適用對象：具備專業資格或認證的從業人員 ## 二、業務連續性(BC)、災難復原(DR)和事故回應(IR)嚮應概念 ### 2.1 了解業務連續性(Business Continuity，BC) * 業務連續性計畫（Business Continuity Plan，BCP）就是在公司遇到突發狀況（像是系統故障、天災、網路攻擊）時，還能繼續運作、不被打亂。這就像是公司為了「萬一」先準備好備案，讓大家知道該怎麼做、誰該做什麼。 * 目的：讓公司在遇到突發事件時，還能繼續提供重要服務，並在最短時間內恢復正常，減少損失。 * 重要：公司要建立一套清楚的溝通機制（包含管理層），由各部門主動參與，一起制定業務持續計畫（BCP），確保遇到問題時能快速恢復運作。 * 成分： * 風險險評估：先瞭解可能會造成中斷的風險有哪些 * 持續運營策略：準備好替代方案和資源配置 * 即時回復的程序和清單，例：安全保障程序、滅火持續 * 溝通計畫：確保內外部都能順利聯繫，例如電話樹，包含管理層、部門主管、技術人員、員工、供應商、客戶等。 ### 2.2 了解災難復原(Disaster Recovery，DR) * 災難復原計畫(Disaster Recovery Plan，DRP)是業務連續性的一部分，主要是針對IT系統的恢復。當系統真的掛掉了，DRP就會啟動，幫助公司把資料和系統救回來。 * 目的：在災難發生後，快速恢復IT系統和資料，讓業務可以繼續運作，避免長時間停機與資料遺失。 * 重要：當IT系統中斷時，DR機制能快速恢復通訊，讓技術人員能順利聯繫並執行復原流程，確保整體業務穩定。 * 成分： * 資料備份策略：定期備份資料，放在安全的地方 * 復原時間目標(RTO)與資料復原點目標(RPO)：設定系統多久要恢復、最多能損失多少資料 * 替代系統與基礎設施：異地備援中心或雲端資源 * 測試或演練：定期模擬災難，確保流程真的能用 * 部門專屬計畫與技術指引：提供給IT人員的操作手冊，並讓DR小組擁有完整的計畫副本 ### 2.3 了解事故回應(Incident Response，IR) * 事故回應計畫（Incident Response Plam，IRP）是當公司遇到資安事件（像是駭客入侵、勒索軟體）時，要怎麼快速處理、把損害降到最低或者防止範圍擴大的一套流程。 * 目的：針對突發的資安事件做出快速反應，保護公司資產，讓業務不中斷。 * 重要：IR計畫能引導公司度過危機，比BCP涵蓋範圍更廣，幫助組織降低事件影響。 * 成分： * 事件偵測與通報機制：即時發現異常並通報相關人員 * 事件分類與優先排序：依事件嚴重程度進行處理 * 事故回應處理流程： * 識別（Identify）：確認事件是否為資安事故，並收集初步資訊。 * 隔離（Contain）：限制事件擴散，保護其他系統與資料。 * 根除（Eradicate）：移除威脅來源，如惡意程式或入侵者。 * 復原（Recover）：恢復受影響系統與服務，並確保安全性。 * 事後檢討（Lessons Learned）：分析事件原因與處理成效，提出改進建議。 * 事件回應團隊：由總經理、事件管理人、技術領導、IT與資安人員、人資等跨部門人員組成。 :::warning 不管是BC、DR又或者IR，一切以安全為重。 ::: ### 補充 (RTO、RPO、MTD) 1. RTO（Recovery Time Objective）復原時間目標：系統出問題後，做多可以停多久？ * RTO 是指當系統或服務中斷後，企業希望在多久之內能夠恢復正常運作，這個時間是業務可以接受的停機時間。 * 例如：如果一個系統的 RTO 是 4 小時，那就表示公司希望在災難發生後，最多 4 小時內把系統修好。 2. RPO（Recovery Point Objective）資料復原點目標：最多可以接受損失多少資料。 * RPO 是指在災難發生時，企業可以接受的資料損失量，它通常跟備份頻率有關。 * 例如：如果 RPO 是 1 小時，那就表示公司最多只能接受過去 1 小時內的資料損失，備份至少要每小時一次。 3. MTD（Maximum Tolerable Downtime）最大可容忍停機時間：業務最多可以停多久，超過就會造成重大損害？ * MTD 是企業可以忍受的最長停機時間，如果系統停擺超過這個時間，可能會造成嚴重的財務損失、法規違規或品牌受損。 * MTD 通常是用來設定 RTO 的上限。 ## 三、存取控制概念 * 存取控制就是決定誰可以進來、能看什麼、能做什麼，就像你家門口的鎖一樣，不是每個人都能進來，也不是每個人進來後都能打開你的保險箱。 * Subject（主體）三元素：Who、What、When * 主體就是發起存取請求的角色，你可以把它想成是「誰在什麼時候，用什麼方式，想要進入某個資源」。 * 這個「誰」不一定是人，也可能是： * 使用者（像你我） * 程式或流程（自動化任務） * 裝置（手機、筆電、伺服器） * 客戶端或端點（像是瀏覽器或應用程式） * 他們會在某個時間點，透過某種方式，向系統提出一個請求：「我可以進去嗎？」這個請求就是對某個資源的存取要求。 * Object（目的）：被存取的資源 * Object 就是主體想要接觸的東西，也就是「目標」。可能是： * 一份文件 * 一個資料庫 * 一個服務（像是郵件伺服器） * 一個 API 或應用程式功能 * 你可以想像成主體在敲門，而 Object 就是門後的東西。系統會根據存取控制規則來判斷：「這個人（或裝置）有權限進來嗎？」 >小口訣記憶法：「誰、做什麼、什麼時候，想進哪裡？」主體發起請求，目的就是資源，系統根據規則來決定放不放行。 * 存取規則 (Aceess Rule)：誰能進？誰不能進？ * 你可以把存取規則想像成守門人，他手上拿著一份名單（存取控制清單，ACL），上面寫著誰可以進入哪個地方、做哪些事。 * 當一個主體（像是使用者、程式或裝置）想要存取某個資源（像是資料庫、檔案或服務），系統就會比對這個主體的身分，看看他在名單上有沒有通行權。如果有，就放行；如果沒有，就拒絕。 * 這就像你去參加資安訓練營，門口的守衛會問：「你是誰？你有報名嗎？你現在可以進來嗎？」這一連串的檢查，就是存取規則在發揮作用。 * 縱深防禦 (Defense in Depth)：不只一道門，而是層層把關！ * 資安不是只靠一道門就能守住的，它更像是一座城堡，有好幾層防線，這就是「縱深防禦」的概念。 * 在這個策略裡，存取控制只是其中一層。其他層可能包括： * 人員訓練：讓大家知道什麼是安全行為 * 技術防護：像是防火牆、加密、入侵偵測系統 * 營運流程：像是備份、異常通報、權限審查 * 這些層層防線互相配合，讓攻擊者就算突破一層，也還有其他防線在等著他。雖然不能保證百分之百不會被攻擊，但可以大幅降低風險、延長反應時間，讓防守方有機會反擊或阻止損害擴大。 ### 3.1 了解IAAA四大核心概念 * 識別 (Identification)：你是誰？ * 系統要先知道你是誰。 * 像是你走進公司，跟櫃台說：「我是這裡的員工，資安部門的。」 * 輸入帳號、員工編號、使用者名稱等。 * 驗證（Authentication）：你說的是真的嗎？(參閱1.1第6點) * 系統部會只聽你說，它還要確認你是本人。 * 像是櫃台會請你出示員工證或者輸入密碼。 * 密碼、指紋、手機驗證碼、多重驗證等。 * 授權（Authorization）：你可以做甚麼？(參閱3.3) * 確認你是本人後，系統會根據你的身分給你相對應的權限。 * 像你是資安部門的，可以進入機房，但其他非資安部門的就不能進。 * 角色權限設定、資源存取控制、系統功能限制等。 * 稽核（Auditing）：你做了甚麼？ * 系統會記錄你做過的事，以便日後查詢或調查。 * 像門禁系統會記錄你幾點進出、進了哪個區域。 * 系統日誌、操作記錄、存取報告等。 ### 3.2了解實體存取控制 * 在辦公室、機房、資料中心等重要區域，我們不只要保護資料，也要保護「空間本身」。這就需要實體安全措施來確保只有授權人員能進入，並能即時發現異常行為。 1. 監控 * 就像門口的警衛和監視器一樣，負責「看守」誰進來、誰出去。 * CCTV * 24 小時錄影，記錄人員進出與異常行為。 * 可搭配人臉辨識、移動偵測等功能。 * 影像可用於事後調查與證據保存。 * Logs * 像是「監視器的文字版」，記錄誰做了什麼、什麼時候做的。 * 幫助追蹤人員進出紀錄、還原事件發生過程、提供審計依據。 * 日誌保留時間是怎麼決定的？ * 安全事件日誌：通常至少要保留 1 年因為資安事件可能要花時間調查，這些紀錄是關鍵證據。 * 系統操作日誌：建議保留 6 個月以上方便追蹤系統異常或操作錯誤，像是誰改了設定、什麼時候重啟了系統。 * 使用者存取日誌：通常保留 1 年以上幫助確認誰登入了系統、存取了哪些資料，支援身份驗證與權限稽核。 * 法規要求（像是 GDPR、HIPAA）：依照規定來有些法規可能要求保留 2 到 6 年，所以要看你所在的產業與地區。 * 常見類型： * 門禁刷卡紀錄：誰在什麼時間進出哪個門。 * 訪客登記紀錄：外部人員的姓名、拜訪目的、停留時間。 * 設備操作紀錄：例如門禁系統設定變更、CCTV 開關紀錄。 * 警報事件紀錄：如門未關好、強行開門等異常事件。 * 保全 * 實體巡邏與即時應變，能處理突發狀況或可疑行為。 * 可搭配巡邏打卡系統，確保巡邏路線與時間落實。 * 通常也負責監控中心的即時畫面與警報處理。 2. 物理安全 * 「防止不該進來的人進來」，並保護重要區域。 * 旋轉門(Turnstiles) * 控制人員一個一個通過，避免群體擁擠或尾隨。 * 通常搭配刷卡、人臉辨識或 QR Code 掃描。 * 人體陷阱門(Man Trap) * 兩道門之間的空間，第一道門關閉後才能開第二道門。 * 防止尾隨、強行闖入，常見於機房或高安全區域。 * 遠端門禁控制(Remote System Controll Door Lock) * 管理員可透過系統遠端開關門，提升安全性與便利性。 * 可設定自動開關時間、緊急鎖定、異常警報等功能。 * 環境設計防範犯罪（Crime Prevention through Environmental Design，CPTED） * 利用空間設計來「讓壞人不敢靠近」，是一種預防性安全策略。 1. 自然監控(Natural Surveillance) * 空間設計讓人容易被看見，例如開放式辦公室、透明玻璃。 * 壞人知道自己會被看到，就不敢輕舉妄動。 3. 自然存取(Natural Access Control) * 利用建築設計引導人員走特定路線，例如門口設在接待處旁。 * 陌生人不容易亂闖，提升安全性。 5. 環境整體(Natural Territorial Reinforcement) * 明確區分「公共區域」與「私人區域」，例如用地板顏色、標示、圍欄。 * 讓人一眼就知道哪些地方不能進，減少誤闖或惡意入侵。 ### 3.3 了解邏輯存取控制 1. 最小特權 (Least Privilege) * 只給使用者「剛好夠用」的權限，不多也不少。 * 每個人只能存取他們工作上需要的資源。 * 不該讓使用者擁有他們不需要的權限，這樣可以降低風險。 * 例如：如果你只是幫忙輸入資料，就不需要能刪除資料的權限。 * 優點：減少誤操作的機會、降低被濫用或攻擊的風險。 2. 特權帳號 (Privilege Account) * 這類帳號是用來處理比較敏感或重要的事情。 * 權限比較高，通常是管理人員(Administrator)或主管(Manager)在使用。 * 存取權限的安全等級會根據資料的重要性而提高。 * 這些帳號要特別保護，因為依但被濫用，影響可能會很大。 * 例如：只有授權的人才能看財務報表、更改設定、刪除資料。 3. 自主存取控制 (DAC) * 資料的擁有者自己決定誰可以看、改、刪。 * 像你在 OneDrive 上分享檔案，可以設定誰能看、誰能編輯。 * 擁有者可以自由分配權限，甚至給別人**再分享**的權限。 * 優點是彈性高，但風險是容易被濫用或誤分享。 * 會有一個訪問表(Access Contral List, ACL)，你設定某個檔案只有你和主管可以讀取，其他人不能看。 4. 強制存取控制 (MAC) * 權限不是你說了算，是系統根據安全政策來決定。 * 常見於軍方或政府機構，資訊保密是第一優先。 * 每個資料（客體）都有「安全標籤」，每個人（主體）有「權限等級」。 * 訪問權限由標籤決定，就算你是高層，也不一定能看所有高機密資料，因為標籤不一定符合。 * 使用者不能改權限，連管理員也不能隨便改標籤，只能透過修改安全政策調整存取規則。 5. 基於角色的存取控制 (RBAC) * 不是看你是誰，而是看你扮演什麼角色。 * 權限是根據「角色」來分配的，例如：員工、主管、系統管理員。 * 一個角色可以有多種權限，主管角色可以繼承員工的權限。 * 好處是管理簡單，適合大型組織。 6. 屬性存取控制 (ABAC) * 根據條件來決定你能不能做某件事。 * 不只看你是誰，還看你在哪裡、什麼時間、做什麼事。 * 例如：你是財務部員工，在上班時間才能執行轉帳操作。 7. 職責分離 (Separation of Duties) * 一個人不能掌控整個流程，避免濫權或舞弊。 * 避免利益衝突濫用、詐騙。 * 公司裡不能同一個人申請支票又簽發支票。 * 透過分工，讓每個人只負責一部分，互相牽制。 * 這樣可以降低內部風險，防止利益衝突或詐騙。 * 建立、儲存、傳輸到使用，都要保持原樣，**不能被未經授權**的人偷偷改掉。 * 常見的保護方法： * Hashing雜湊：用演算法產生資料指紋，資料一改就會不一樣。 * 數位簽章：不只保密，還能驗證資料有沒有被改過。 * 軟體更新：修補漏洞，避免被惡意程式修改。 * Firewall防火牆、IDS入侵檢測系統：阻擋未授權的存取與異常行為。 * 為甚麼重要？如果資料被改了，可能會導致錯誤的決策、系統異常，甚至資安事件。 ## 四、網路安全 ### 4.1 了解電腦網路 * 簡單來說，電腦網路就是透過各種「傳輸媒介」把兩個以上的設備（我們叫它「節點」）連起來，讓它們可以互相溝通。這背後會牽涉到硬體、軟體、通訊協定、加密技術等等。 1. 網路類型 * 區域網路 (Local Area Network, LAN) * 就像你家裡或辦公室的網路，範圍小，通常只涵蓋一棟建築。 * 裡面的設備彼此連得很近，速度也快。 * 廣域網路 (Wide Area Network, WAN) * 像是把台北和高雄的公司網路連起來，距離遠、範圍大。 * 通常會透過電信業者的設備來連接。 2. 網路設備 * 集線器 (Hub) * 功能：像是一個「分電器」，把一條網路訊號分送給所有連接的設備。 * 特性：不會判斷誰需要資料，收到訊號就「廣播」出去，效率低。 * 用途：早期用在小型網路，但現在幾乎被交換器取代。 * 比喻：像是老師在教室裡大聲喊話，所有人都聽得到，但不一定每個人都需要聽。 * 交換器 (Switch) * 功能：比集線器聰明，它會看資料裡的「MAC 位址」，只把資料送給需要的設備。 * 特性：不會亂廣播，傳輸更快、更有效率。 * 用途：常用在公司或家庭的區域網路（LAN）中。 * 比喻：像是老師點名，只叫到的人才回答，其他人不會被打擾。 * 路由器 (Router) * 功能：負責「選路」，決定資料要走哪條路才能到目的地。 * 特性：會看資料的「IP 位址」，根據路由表來轉送資料。 * 用途：連接內部網路與外部網路（例如：家裡連到中華電信）。 * 比喻：像是導航系統，幫你找最快的路到目的地。 * 訊號延伸器(Repeater) * 功能：放大網路訊號，延長傳輸距離。 * 特性：不改變資料，只是加強訊號。 * 用途：用在訊號太弱或距離太遠的地方。 * 比喻：像是擴音器，讓遠方的人也聽得到聲音。 * 橋接器 (Bridge) * 功能：連接兩個區域網路（LAN），讓它們可以互相溝通。 * 特性：可以過濾不必要的資料，只讓需要的資料通過。 * 用途：用在需要整合兩個網路的情境。 * 比喻：像是橋樑，讓兩邊的人可以走過去交流。 * 網關 (Gateway) * 功能：連接不同類型的網路（例如：企業網路和雲端服務）。 * 特性：能處理不同通訊協定之間的轉換。 * 用途：用在跨平台或跨系統的網路連接。 * 比喻：像是翻譯官，幫不同語言的人溝通。 * 防火牆 (Firewall) * 功能：保護網路安全，決定哪些資料可以進來、哪些要擋掉。 * 特性：根據設定的規則過濾資料，透過ACL規則檢查每一筆進出網路的資料，防止駭客或惡意程式入侵， * 用途：用在企業、家庭網路中，是網路安全的第一道防線。 * 比喻：像是門禁系統，只有有通行證的人才能進來。 3. 網路資訊 * MAC位址 * MAC 位址是每個網路設備出廠時就設定好的獨一無二的編號，像是你電腦、手機、印表機的「身分證號碼」。它不會因為你換網路或搬家而改變，主要用在區域網路（LAN）裡，幫助交換器知道資料要送到哪一台設備。 * MAC 位址就像是你手機的序號，不管你在哪裡，它都一樣，是設備的「原廠身分」。 * IP 位址 * IP 位址是設備在網路上的「住址」，會根據你連接的網路而改變。它讓資料能夠在整個網際網路中找到正確的目的地。像是你家有一個地址，郵差才能把信送到你家；IP 位址就是讓網路資料知道要送去哪裡。 * IP 位址就像是你家的地址，今天住台北，明天搬到高雄，地址會變，但郵差還是能找到你。 * IPv4 * IPv4 是目前最常見的 IP 協定版本，已經用了幾十年，幾乎所有網路設備都支援。 * 特色： * 使用 32 位元位址，格式像這樣：192.168.0.1 * 最多支援約 42 億個 IP 位址 * 因為網路設備越來越多，這些位址快不夠用了 * 預設不加密，所以安全性比較弱 * 常見的攻擊風險包括：假冒來源（IP Spoofing）中間人攻擊（Man-in-the-Middle）封包被修改或偽造 * 想像 IPv4 就像是老舊的地址系統，雖然大家都在用，但房子越蓋越多，地址快不夠分了，而且防盜系統也不太完善。 * IPv6 * IPv6 是 IPv4 的升級版，專門為了解決「地址不夠用」的問題而誕生。 * 特色： * 使用 128 位元位址，格式像這樣：2001:0db8:85a3:0000:0000:8a2e:0370:7334 * 支援的位址數量幾乎是無限（可以給地球上每個沙粒都分一個 IP） * 適合未來的物聯網（IoT）、智慧城市、大量設備連網 * 效率更高，路由更聰明 * 安全性更好，但仍需搭配像 IPsec 這類安全協定來加強加密與驗證 * 想像 IPv6 就像是新一代的智慧地址系統，不但地址多到用不完，還內建防盜機制，適合未來的網路世界。 * DNS * DNS 是網路世界的「翻譯員」或「導航員」，負責把人類好記的網址（像是 www.google.com）翻譯成電腦能理解的 IP 位址（像是 142.250.204.36），這樣你只要輸入網址，電腦就知道要去哪裡找資料。 * DNS 就像是 Google 地圖，你輸入餐廳名字，它幫你找到正確地址，帶你到目的地。 4. 網路通訊架構 * OSI（Open Systems Interconnection）七層模型是一種網路通訊的標準架構，簡單來說，它就像是一個「資料接力賽」，資料從一台設備要送到另一台設備，會經過七個不同的關卡，每一層都有自己的任務，互相合作，讓資料順利送達。 * 實體層 (Physical Layer) * 角色：搬運工 * 負責把資料變成電訊號或光訊號，透過網路線、光纖等媒介傳送出去。 * 資料在這裡變成「0 和 1」的訊號，開始在網路中移動。 * 例如：銅纜、光纖、Hub * 資料連結層 (Data Link Layer) * 角色：交通警察 * 確保資料在同一個網段內能順利傳送，負責檢查錯誤、控制流量，讓資料不會撞車。 * 就像在村莊裡的街道上安排交通，讓資料不打架。 * 例如：MAC 位址、Switch、Bridge * 網路層 (Network Layer) * 角色：導航員 * 負責幫資料找路，決定要走哪條路才能到達目的地，處理 IP 位址與路由。 * 就像 Google Maps 幫你規劃最快的路線。 * 例如：IP、Router、ICMP * 傳輸層 (Transport Layer) * 角色：快遞公司 * 確保資料能完整送達，會把資料切成小段、編號、檢查是否有漏件。 * 就像黑貓宅急便，確保每一箱都送到、沒破損。 * 例如：TCP（可靠）、UDP（快速） * 會話層 (Session Layer) * 角色：主持人 * 負責建立、維持、結束應用程式之間的對話，讓雙方能順利溝通。 * 就像主持人開場、控制流程、最後收尾。 * 例如：SMB、NetBIOS * 表示層 (Presentation Layer) * 角色：翻譯員 * 負責把資料轉成應用程式能理解的格式，也會加密或壓縮資料。 * 就像翻譯員把外語翻成你聽得懂的話。 * 例如：SSL/TLS、JPEG、MP3 * 應用層 (Application Layer) * 角色：使用者的窗口 * 這一層是你直接接觸的部分，像是瀏覽器、Email、FTP 等，提供你使用網路的功能。 * 就像你打開 Gmail 或 Chrome，背後就是這一層在運作。 * 例如：HTTPS、FTP、DNS、SSH、IMAP ![messageImage_1755602888908](https://hackmd.io/_uploads/rJ7kxkztll.jpg) [圖片參考出處](https://www.bmc.com/blogs/osi-model-7-layers/) * 傳輸控制協定/網路協定模型 (Transmission Control Protocol / Internet Protocol, TCP/IP) * 可以把 TCP/IP 想像成網路世界的「交通規則 + GPS 導航系統」，它是讓全球網路能夠順利溝通的核心架構。這個模型告訴我們資料要怎麼打包、怎麼找路、怎麼送出去，最後怎麼被接收。 * TCP（Transmission Control Protocol） * 角色：資料的快遞員 * 把資料切成一段一段的小包裹（稱為 segments） * 每個包裹都編號，確保順序正確 * 如果有包裹掉了，它會自動重送 * 確保資料完整、沒破損、沒漏件 * IP（Internet Protocol） * 角色：資料的導航員 * 幫每個設備分配一個「地址」（IP 位址） * 根據目的地地址，決定資料要走哪條路 * 把資料送到正確的地方，不管中間經過多少網路節點 * 特色 * 跨平台：不管你用 Windows、Mac、Linux 都能通訊 * 可擴展：從家裡的小網路到全球的網際網路都能用 * 可靠性高：TCP 確保資料完整送達 * 彈性強：UDP 提供快速傳輸，適合即時影音、遊戲等應用 * 與OSI對照表 ![messageImage_1755603253402](https://hackmd.io/_uploads/S1ABbkGYgx.jpg) [圖片參考出處](https://vocus.cc/article/619b4ad3fd897800016d5896) 5. 網路通訊協定 (Port) * 你可以把「port」想像成電腦裡的「門牌號碼」，每個應用程式（像是網頁、郵件、FTP）都有自己的門牌號碼，這樣資料才知道要送到哪個程式去。 * 例如： * 你開瀏覽器連到網站，背後其實是透過 port 80（HTTP）或 port 443（HTTPS）來溝通。 * 如果你用 SSH 連線到伺服器，通常是用 port 22。 * 傳送郵件可能會用到 port 25（SMTP）。 * Port屬於OSI第四層 * 建立端對端的連線 * 管理資料的分段與重組 * 使用port來識別不同的應用程式 * 常用的Port * 21 FTP * 22 SSH * 23 Telnet * 53 DNS * 123 NTP * 161 SNMP * 445 SMB * 2049 NFS * 3389 RDP * 80/443 HTTP/HTTPS * 25/465 SMTP/SMTPS * 110/995 PoP3/PoP3S * 143/993 IMAP/IMAPS * 389/636 LDAP/LDAPS * 135/137/138/139 NetBIOS 6. 網路技術 * 口訣「有線三、有無一一」有線網路用 802.3（乙太網路）、無線網路用 802.11（Wi-Fi） * 乙太網路 (Ethernet, IEEE802.3) * 功能：負責在設備之間傳送資料，讓它們能互相溝通。 * 特性：使用有線連接與 MAC 位址，提供穩定且快速的資料傳輸。 * 用途：廣泛應用於家庭、企業與資料中心的設備連線。 * 比喻：就像高速公路，資料像車子依照路線快速送達目的地。 * Wi-Fi 1. 運做原理 * Wi-Fi 是我們日常生活中最常用的無線網路技術之一，當你打開手機或筆電看到一堆可以連線的 Wi-Fi 名稱，那些其實就是 SSID（服務集識別碼）。 * SSID 就像是 Wi-Fi 的「招牌」，它會主動廣播，告訴附近的設備：「我在這裡，可以連線喔！」如果不想讓別人看到這個招牌，也可以選擇關閉 SSID 廣播。 2. 驗證方式 * 預先共享金鑰 (Preshared Keys, PSK) * 這是最簡單的方式，你只要輸入一組密碼就能連上網。 * 像是辦公室牆上貼的 Wi-Fi 密碼、咖啡廳提供的密碼，都是 PSK 的例子。大家共用一組密碼，方便但安全性有限。 * 企業身分驗證 (Enterpris Authentication) * 這種方式比較進階，常見於公司或學校。 * 使用者要輸入自己的帳號和密碼，而不是共用密碼。這樣可以針對每個人做身分驗證，也方便管理和追蹤。 * 強制門戶 (Captive Portals) * 你可能有遇過這種情況：連上 Wi-Fi 後，會自動跳出一個網頁，要求你輸入帳號、密碼、甚至信用卡資料，或是勾選「我同意使用條款」。 * 常見於飯店、機場、咖啡廳等公共場所。 3. 加密技術演進 * WEP (Wired Equivalent Privacy) * 這是最早期的加密方式，但安全性很差，現在幾乎已經被淘汰。 * WPA (Wi-Fi Protected Access) * 用來取代 WEP，加入了 TKIP（臨時金鑰完整性協定），每個封包都會使用不同的加密金鑰，比 WEP 安全很多。 * WPA2 * 進一步提升安全性，使用 AES（高級加密標準）和 CCMP 協定，現在是大多數設備的標準。 * WPA3 * 最新一代的加密技術，加入了 SAE（平等身分驗證），讓密碼破解更困難，也支援更強的加密方式（AES + CCMP），特別適合現代設備和物聯網環境。 ### 4.2 了解網路威脅和攻擊 1. 威脅類型 * 基於雲端的攻擊(Cloud-Based Attack) * 針對雲端環境來下手，像是利用雲端虛擬機器發動 DDoS 攻擊，或是偷偷在雲端資源裡埋入加密貨幣挖礦程式，攻擊者會利用雲的彈性和擴展性，讓惡意活動更難被發現，甚至還能省下自己的硬體成本，直接用別人的雲資源來賺錢！ * 供應鏈攻擊 (Supply Chain Attack) * 像是在你信任的軟體更新裡偷偷塞進毒藥，攻擊者會在合法的更新包裡植入惡意程式碼，讓你在毫無戒心的情況下中招。有時候他們還會利用多個雲端服務商來分散攻擊來源，讓防禦系統難以追蹤，像是在玩躲貓貓一樣。 * 滲透測試 (Pen Testing) * 像是請一位「好人駭客」來幫你找漏洞，他們會模擬真實攻擊，測試你的系統有沒有破綻，然後提供改進建議。這樣你就能在壞人發現之前先補好安全漏洞 * 欺騙 (Spoofing) * 攻擊者會偽造身分，假裝自己是合法使用者或系統，來騙取存取權限，像是偽造 IP 位址或電子郵件地址，讓系統誤以為他是可信任的對象，結果就被打開大門了。 * 釣魚 (Phishing) * 就像是使用假餌釣魚，攻擊者會發送看起來很真實的電子郵件或連結，誘導你點進去，結果你就被導向惡意網站，可能會被偷走帳號密碼或下載惡意程式。 * 阻斷攻擊 (Denial-of-Service, DOS) * 攻擊者會大量消耗你的網路資源，讓系統忙到沒空處理正常請求，就像是餐廳被一堆假客人佔滿座位，真正的客人進不來，服務也停擺了。 * 分散式阻斷攻擊 (Distribute Denial-of-Service, DDOS) * DoS 的進階版，攻擊者會控制一大堆被感染的設備（像是殭屍網路），同時發動攻擊，讓目標系統被淹沒。這種攻擊規模大、難防禦，而且常常讓整個服務癱瘓。 * 惡意軟體 (Malware) * 一個總稱，包含病毒、蠕蟲、特洛伊木馬等各種惡意程式。它們的共同目標就是破壞系統、偷資料或控制設備，手法五花八門。 * 病毒 (Virus) * 一種會於電腦內擴散的程式碼，通常需要人為操作（像是開啟附件）才會啟動，它會破壞資料、干擾系統運作，就像是電腦裡的感冒病毒。 * 蠕蟲 (Worm) * 蠕蟲跟病毒很像，但它不需要人為操作就能自己擴散。它會在網路中自動傳播，感染其他設備，造成資料損毀或系統過載。 * 特洛伊木馬 (Torjan) * 這種惡意程式會偽裝成正常軟體，讓你安心下載或執行。結果一旦啟動，它就會釋放惡意負載，可能偷資料、開後門，讓攻擊者可以遠端控制你的系統。 * 中間人 (Man-in-the-Middle, MitM) * 攻擊者會偷偷插入你和對方設備之間的通訊，攔截或修改訊息。就像是你在跟朋友講悄悄話，結果有個人偷偷在旁邊聽，甚至修改了你要說的話。 * 側頻道 (Side-Channle Attack) * 這種攻擊不會直接入侵系統，而是透過觀察系統的行為（像是電磁波、耗電量、時間延遲）來推測敏感資訊。就像是偷看別人打密碼時的手勢和鍵盤聲音。 * 進階持續性威脅 (Advance Persistent Threat, APT) * 這是非常有耐心的攻擊者，他們會長期潛伏在系統裡，慢慢蒐集資料或等待時機發動攻擊。通常是針對高價值目標，像是政府或大型企業，手法非常隱密。 * 勒索軟體 (Ransomware) * 這種惡意程式會加密你的檔案，然後要求你付錢才能解鎖。就像是你的資料被綁架了，攻擊者開出贖金，否則你就永遠無法取回重要檔案。 2. 識別 * 安全資訊與事件管理 (Security Information and Event Management, SIEM) * SIEM 就像是資安界的「中央指揮中心」。它會從各種不同的來源（像是伺服器、網路設備、防火牆、應用程式等等）收集大量的日誌和事件資料，然後幫你整理、分析，甚至主動發出警告。這樣一來，當有異常行為或潛在攻擊發生時，你就能第一時間掌握狀況。簡單來說，SIEM 就是幫你把所有資安資訊集中起來，讓你不會漏看任何可疑動作。 * 入侵偵測系統 (Instrution Detection system, IDS) * IDS 是一種用來「抓小偷」的工具，它會監控系統或網路的活動，看看有沒有異常或可疑的行為，像是有人試圖闖入、掃描漏洞、或執行不尋常的程式，IDS不會主動封鎖。 * IDS 分成兩種主要類型： * 主機型入侵偵測系統（Host-Based IDS，HIDS） * HIDS 是安裝在單一設備上的偵測系統，像是伺服器或個人電腦。它會監控該主機的系統日誌、應用程式日誌、安全性事件，甚至是主機防火牆的紀錄。它還能追蹤攻擊者使用的程序（process），像是某個奇怪的程式突然在背景執行。這種方式比較深入，但只針對單一設備。 * 網路型入侵偵測系統（Network-Based IDS，NIDS） * NIDS 則是部署在網路中，像是路由器或交換器旁邊，它會監控整個網路的流量，分析封包內容，看看有沒有異常的行為。不過它有個限制，就是沒辦法看加密流量的內容（像是 HTTPS），也無法深入監控某些設備內部的活動。它比較像是「守門員」，負責看誰在網路上走來走去。 3. 預防 * 入侵防禦系統 (Intruction Prevention System, IPS) * IPS 就像是你家的自動門禁系統，不只會發現有可疑的人靠近，還會直接把門鎖起來、甚至報警。它會即時分析網路上的流量，判斷哪些是正常的、哪些可能是攻擊行為。只要發現有問題，它就會立刻擋掉那些封包，不讓它們進來，IPS會主動封鎖。 * 與IDS相同分為HIPS、NIPS。 * 防毒軟體 (Antivirous) * 防毒軟體就像是你電腦的保健醫師，專門負責掃描系統裡有沒有病毒、惡意程式。它會比對已知的病毒特徵碼，也會觀察程式的行為，像是某個程式突然開始加密檔案、偷資料、或偷偷連到奇怪的網站，就會跳出警告。 * 防毒軟體主要分成兩種偵測方式： * 已知威脅偵測：透過病毒特徵碼來比對，這種方式快但只能抓到已知的病毒。 * 未知威脅偵測：透過行為分析或機器學習來判斷程式是否可疑，這種方式可以抓到新型病毒，但有時會誤判。 * 防火牆 (Firewall) * 防火牆就像是你家的大門，負責決定誰可以進來、誰要被擋在外面。它會根據你設定的規則來控制網路流量，像是只讓某些 IP 或連接埠通過，或是限制某些應用程式的存取權限。 * 防火牆可以是硬體設備，也可以是軟體程式，甚至你電腦裡就有內建的防火牆。現在很多防火牆都很聰明，不只看 IP 和連接埠，還能分析封包內容、辨識應用程式，甚至整合 IPS 功能，變成「下一代防火牆（NGFW）」。 ### 4.3 了解網路安全基礎架構 1. 地端 * 冷卻系統 (HVAC) * HVAC 是 Heating（加熱）、Ventilation（通風）、Air Conditioning（空調）三個系統的合稱，主要目的是維持建築物內的舒適環境，不管是辦公室、資料中心還是一般住宅，HVAC 都很重要。 * 溫度控制：HVAC 系統會根據環境需求調整室內溫度，通常會設定在華氏 64度到 81 度之間（約攝氏 18 到 27 度），這個範圍不只讓人感覺舒服，也有助於保護設備不受過熱或過冷影響。 * 空氣品質：空氣中的灰塵、有毒煙霧或其他污染物不只會影響人體健康，也可能損害設備，縮短使用壽命，尤其在資料中心或精密設備環境中，空氣品質的好壞直接影響系統效能。 * 監控控制：HVAC 系統通常會搭配監控系統，隨時偵測是否有異常狀況，例如水管破裂、瓦斯外洩、下水道倒灌，甚至 HVAC 本身的故障，這些問題如果沒被及時發現，可能會造成重大損失。 * 應急計畫：當監控系統發出警告時，應該優先處理與基礎設施相關的問題，像是電力、通訊、空調等，萬一真的發生重大故障，應急計畫的目標就是盡量減少對人員安全、營運流程以及其他基礎設施的影響。 * 電源管理 * 在現代的建築或資料中心，穩定的電路供應是基本中的基本，只要一斷電，不只冷氣、燈沒辦法使用，伺服器可能也會直接斷掉，造成資料的瞬間消失。所以電源管理不僅僅只是「有電就好」，而是要確保電源穩定、不中斷、能應急。 * 備用發電機：萬一主電源出現問題，備用發電機就要馬上頂上，所以這些發電機要夠力，能撐住像伺服器、網路設備這些關鍵的系統，還要能支援冷氣、照明等基礎設施，讓整棟大樓部會陷入黑暗或癱瘓。 * 電池備援：發電機啟動通常需要幾秒鐘到幾分鐘不等，這段時間就靠UPS(不間斷電源)先撐著。UPS就像電力的緩衝墊，讓設備不會突然斷電。 * 定期測試：就像備份資料要定期驗證一樣，電源備援系統也要定期測試，不然等到真正停電時，才發現UPS或者備援發電機壞店，那就真的完蛋了。 * 消防 * 火災是危險的突發事件之一，尤其在有大量電子設備的地方，滅火方式就要特別講究，不是每種火災都能用水滅火，有些情況反而會讓損害更大。 * 水滅火系統：水滅火是常見的方式之一，但在資料中心或伺服器室裡，水可能會把設備泡壞，造成比火災還大的損失，所以這種系統就不適合用在像機房這種地方。 * 氣體滅火系統：這種通常會釋放特殊氣體(像是FM-2000或Novec1230)，透過降低氧氣濃度或使用化學反應來滅火，不會留下水漬或導電物質，對機房裡的伺服器或網路設備來說，這種方式比較安全。 * 冗餘 * 在資料中心或重要設施裡，冗餘的概念就是「不要把雞蛋放在同一個籃子裡」，我們會設計出重複的設備或系統，萬一某個地方故障，另外一個就能馬上接手，確保整體運作不會中斷。 * 公共事業服務 * 在風險評估裡，會特別注意建築物跟外部公共設施(像是電力、網路、自來水)的連接方式，當然最理想的狀況會是多條獨立的線路，例如電力從兩個不同的變電所近來，網路有兩家不同的業者提供，這樣一來，如果其中一個出現問題，另外一個還能使用。 * 電源 * 對於關鍵設備設施來說，雙店員設計是基本配備，意思是美台設備都接上兩個獨立的電源，萬一其中一個斷電，也可以確保設備不會突然停機。 * 備用電源 * 除了雙電源，還要有備用電源系統，像是UPS(不間斷系統)或大型發電機，UPS可以在瞬間停電時撐住幾分鐘，讓設備有時間安全關機或者等候備用發電機啟動。 * 發電機 * 發電機的能源來源有很多種，常見的包括： * 汽油或柴油：最常見，啟動快、供電穩。 * 丙烷或天然氣：燃燒乾淨、污染少，適合長時間使用。 * 太陽能：環保但受天氣影響，通常搭配電池儲能系統使用。 * 合作備忘錄：諒解備忘錄(Memorandum of Undersstanging, MOU)/協議備忘錄(Memorandum of Agreement, MOA) * 在企業或機構之間，面對災難或突發事件時，合作備忘錄就是一份事先講好的「互助契約」，他不具有法律效益，是在雙方都同意的特定情況下互相支援，確保彼此之間的營運不中斷。 * 可以大幅提升組織的業務持續性(BC)和災難復原(DR)能力，尤其是當兩個組織性質相近、資源互補時，這種合作更具有價值。 * 例如：有兩家醫院平常是競爭對手，但他們簽了一份合作備忘錄，萬一其中一家醫院發生火災、淹水或大停電，另外一家醫院就會提供臨時支援。 2. 雲端 * 基礎設施即服務(Infrastructure as a Service, IaaS) * 就像是你租了一間空房子，房子本身(硬體、網路、儲存空間)是雲端業者提供的，但房子的裝潢、家具(作業系統、應用程式、資料)都要你自己處理。 * 雲端業者提供伺服器、儲存空間、網路等基礎資源。 * 客戶要自己安裝作業系統、設定環境、維護安全性。 * 雲端設備是租界的，雲端供應商是擁有者。 * 適合技術團隊高度客製化 * AWS、Microsoft Azure VM * 平台即服務(Platform as a Service, PaaS) * 就像是你租了一間已經裝潢好的房子，裡面有桌椅、有網路、有空調，你只要帶著你的團隊和工具就可以開始工作了。 * 雲端業者除了提供硬體，還會幫你準備好作業系統、開發工具、執行環境。 * 客戶只需要專注在開發應用程式和管理資料。 * 不用煩惱底層架構，開發效率高。 * 適合開發團隊快速部屬、測試、上限應用程式。 * Microsoft Azure App Services * 軟體即服務(Software as a Service, SaaS) * 就像是你訂閱了一個線上服務，它甚麼都幫你準備好了，你只需要登入帳密就能開始使用，其餘的像是更新、維護都會由服務商替你處理。 * 雲端業者負責所有東西：硬體、作業系統、應用程式、資料維護。 * 客戶只需要透過網路連線使用服務。 * 適合一班使用者或企業日常作業需求。 * Microsoft 365（像是 Outlook、Word、Excel） * 公有雲（Public Cloud） * 你付費使用設備，但這些設備是由供應商提供和維護，雖然很多人都在使用同一套系統，但每個人都有自己的帳號和資料空間，雙方看不到彼此的東西。 * 開放給所有人使用的雲端服務。 * 你需要創建帳號、選擇服務訂閱，就能開始使用。 * 資源是由雲端服務工商提供和管理，不需要自己購買伺服器或維護硬體。 * 私有雲（Private Cloud） * 這種雲端環境是專門為某個組織打造的，安全性和可控性都會相對高。 * 不對外開放，只給特定的組織使用。 * 公司自己建立，或者是第三方幫忙架設和維護。 * 資料和應用程式都會是在自己可控的範圍內，安全性高。 * 混和雲（Hybrid Cloud） * 公有雲加私有雲的組合，根據需求彈性使用。 * 將公有雲的彈性和私有雲的安全性結合。 * 例如：平常的內部系統放在私有雲上，但遇到高峰期就將工作丟到公有雲上處理。 * 社群雲（Community Cloud） * 大家因為有共同的需求和目標，所以一起使用同一套資源。 * 由一群有共同利益或需求的組織共同使用雲端的環境。 * 可以是公有的，也可以是私有的，重點在於「共享」和「合作」。 * 受管理的服務提供商(Managed Service Provide, MSP) * 是專門幫其他公司管理IT系統的公司，就像是技術保母一樣，技術的是交給專業的來做。 * 通常會負責日常的技術和運營，例如： * 幫你維護網路設備 * 監控資安裝況 * 定期幫你補丁、更新系統 * 協助你使用雲端服務 * 服務水平協議 (Service-Level Agreement, SLA) * 客戶與雲端服務供應商簽的「服務保證書」，內容會清楚列出供應商承諾要提供什麼樣的服務品質，萬一沒做到會有什麼樣的補償或處理方式，對企業來說是一種保障，不只是白紙黑字的承諾，更是你評估跟選擇供應商的重要依據。 * SLA通常會包含下面幾個重點： * 服務可用性：例如保證 99.9% 的時間服務都能正常運作。 * 回應時間：如果系統出問題，對方多久內會處理？ * 安全性要求：資料怎麼保護？有沒有加密？有沒有備份？ * 支援方式：遇到問題時，你可以透過哪些管道聯絡對方？（電話、Email、線上客服） * 責任範圍：哪些是供應商要負責的？哪些是你自己要處理的？ * 違約處理：如果對方沒達到 SLA 的標準，會怎麼賠償？（例如退費、額外服務） 3. 設計 * 網路分段 (Network Segmentaion) * 概念大概像是你把一個很大的空間分成好幾個小房間，透過實體或邏輯的方式，把不同用途或風險等級的設備分開，讓攻擊者就算入侵了某個區域，也不容易擴散到其他區域。 * 可以完全隔離某些區域，讓他們無法與外部直接通訊，提升整體的安全性。 * 非軍事區 (Demilitarized Zone, DMZ) * DMZ是一個半空開的網路區域，專門用來放需要讓外部使用者存取的服務。 * 它與內部網路是隔離的，萬一DMZ被攻破，攻擊者不容易直接進入組織內部系統。 * 例如：Web伺服器、電子郵件伺服器。 * 虛擬區域網路 (Virtual Local Area Network, VLAN) * VLAN是一種邏輯上的網路分段方式，它透過交換器設定，把一台實體設備上的不同連接埠分成不同的網路群組。 * 可以讓不同部門的設備分開管理。 * 有效控制廣播流量，提升效率與安全性。 * 虛擬私有網路 (Virtual Private Netwoek, VPN) * VPN就像在公共網路上開了一條加密隧道，讓遠端使用者可以安全地連回公司內部網路。 * 資料在傳輸過程中會被加密，防止被竊聽。 * 常用於遠端工作、分公司連線、出差連回總部。 * 有SSL VPN、IPsec VPN。 * 縱身防禦 (Defense In Depth) * 這是一種多層防禦的策略，不靠單一防線，而是層層把關。 * 防火牆、入侵偵測系統(IDS)、存取控制、加密技術。 * 網路分段、實體安全、員工訓練與資安意識。 * 目的在於：就算某一層被突破，其他層還能繼續保護。 * 網路存取控制 (Network Acess Control, NAC) * NAC的目標就是誰能進來，要先過關。 * 所有想連上網的設備都要先通過驗證與檢察。 * 可以檢查裝置是否有安裝防毒、是否更新到最新版本。 * 防止未授權或不安全的設備進入組織網路。 * 可以設定「誰可以跟誰通訊」，大幅降低橫向移動風險。 * 微分段 (Microsegementation) * 微分段網路是分段網路的進階版，做到更細緻的控制。 * 不只分區，而是針對每一台設備、每一個應用程式。 * 常見於資料中心或雲端環境，搭配虛擬化技術。 * 物聯網 (Internet of Thing, IoT) * 物聯網設備包括 * 智慧電視、網路印表機、醫療設備、智慧家電。 * 它們可以透過藍牙、Wi-Fi、Zigbee 等方式連網。 * 可以將IoT 設備放在獨立網段，限制它們的存取權限，並定期更新韌體。 ## 五、安全維運 ### 5.1 了解資料安全 1. 資料處理 * 資料的生命週期 * 創建/建立/取得 (Creation)：資料誕生的時刻，可能是你自己輸入、系統產生或者從外部取得，這階段也包含對現有資料的修改。 * 儲存 (Storage)：資料要有家，可以住在地端硬碟、NAS或是雲端儲存空間，儲存的方式要考慮安全性、存取速度和成本。 * 使用 (Usage)：使用者或系統會查閱、處理資料，這階段要注意全線控管，避免未經授權的存取。 * 分享/共享 (Share)：有時資料需要分享給客戶、合作夥伴或其他部門，要設定好存取控制，確保資料不會被濫用。 * 封存/歸檔 (Archiving)：當資料不再需要日常使用，但需要留存時，會將資料存到比較便宜、但存取速度沒那麼快的儲存空間裡。 * 銷毀 (Destruction)：當資料不再需要時，就需要安全銷毀，避免被復原或者外洩。 * 資料處理流程 * 分類 (Classification) * 分類是資料保護的第一步，幫助我們知道哪些資料要特別小心。 * 分類的目的是防止資料外洩，維護資料的價值。 * 軍方分類：Top Secret、Secret、Confidential、Unclassified * 企業分類：Confidential/Private、Sensitive、Internet Use Only、Public * 標示 (Labeling) * 分類完後要貼標籤，讓大家一眼就知道這份資料的敏感程度，這樣在使用或分享時才不會出錯。 * 保留 (Retention) * 有些資料不能隨便刪，可能因為法律或公司政策要保留一段時間。 * 保留政策說明：保留多久、何時銷毀、怎麼銷毀。 * 備份 (Backup) * 資料怕遺失，所以要備份，備份3原則： * 三份備份資料 * 兩種不同媒體儲存 * 一份放在異地 * 完整備份 (Full Backup)：全部資料一次備份 * 增量備份 (Incremental Backup)：只備份上次「任何備份」後有變動的資料 * 差異備份 (Different Backup)：只備份上次「完整備份」後有變動的資料 ![types-of-backup-1](https://hackmd.io/_uploads/rk3BLC0ixg.jpg) [圖片參考出處](https://tw.easeus.com/backup-recovery/types-of-backup.html) * 熱站點 (Hot site)：想像它是一個「隨時待命的分身」，裡面有完整的硬體設備、軟體系統，甚至資料都已經同步好了。 * 溫站點 (Warm site)：有基本的硬體設備和網路環境，但資料可能不是即時同步，系統也可能還沒安裝好，需要花一些時間來安裝系統、載入資料、設定環境，才能開始運作。 * 冷站點 (Cold site)：通常只是一個空的機房，有電力、網路和空間，但沒有任何設備或資料，必須從頭開始搬設備、安裝系統、載入資料，整個過程可能需要好幾天。 * 銷毀 (Distruction) * 資料不能只是「刪掉」，還要確保無法復原。 * 清除 (Clearing)：用新資料覆寫原本的資料內容，讓原始資料無法被復原。 * 清洗 (Purging)：使用消磁器破壞磁碟的磁性結構，讓資料無法被讀取。 * 實體 (Physical)：撕碎、砍碎、強酸腐蝕，直接摧毀儲存設備本身。 * 紀錄和安全監控事件 * 系統會記錄誰做了什麼，包括使用者ID、活動時間、裝置、存取嘗試等。 * 這些日誌對安全審查很重要，可以發現違規、詐騙或操作錯誤。 * 要建立日誌管理系統，保護日誌不被竄改或刪除。 2. 加密 * 對稱加密 (Symmetric Encryption) * 加密和解密使用相同的金鑰，不分公用或私有，共享金鑰，又稱密鑰 * 任何知道密鑰的部分都可以存取和修改管理器 * 適用於IPsec、TLS、plaintext、串流媒體即時訊息 * 不提供不可否認性 * 速度快，使用AES、DES * 非對稱加密 (Asymmetric Encryption) * 支援不可否認性，不適合用於串流媒體即時訊息 * 任何一個人都可以使用公鑰加密，但只有私鑰才可以解密，又稱公鑰 * 使用RSA、DSA * 訊息：收件者公鑰加密，收件者私鑰解密 * 數位簽章：寄件者私鑰加密，寄件者公鑰解密 * 數位憑證：收件者公鑰加密，收件者私鑰解密 * 混和：收件者公鑰加密，寄件者私鑰解密 3. 雜湊 (Hashing) * 雜湊的核心概念 * 單向函數：雜湊就像一台「只進不出的機器」，你把資料丟進去，它會吐出一串固定長度的亂碼（雜湊值），但你永遠無法從這串亂碼反推出原始資料，因此非常適合用來保護敏感資訊。 * 密碼雜湊（Password Hashing）：在系統儲存密碼時，不會直接存明碼，而是先經過雜湊處理，只存雜湊值，這樣即使資料庫被駭，駭客也拿不到真正的密碼。 * 加鹽（Salting）：為了防止駭客使用預先計算好的「彩虹表(Rainbow table)」來破解雜湊值，我們會在密碼前加上一段隨機字串（稱為「鹽」），再一起做雜湊，因此即使兩個人密碼一樣，他們的雜湊值也會完全不同。 * 多輪雜湊（Multiple Rounds of Hashing）：有些系統會把雜湊運算做好幾輪，讓計算變得更耗時，這樣駭客就算用暴力破解法，也會被拖慢速度，大大增加攻擊成本。 * 常見的雜湊演算法 * 傳統演算法 * MD5：已不建議使用，容易碰撞。 * SHA-1：也已被證實不夠安全。 * SHA-256：屬於 SHA-2 家族，安全性高，廣泛用於區塊鏈、數位簽章等場景。 * bcrypt：內建加鹽與多輪處理，安全性高。 * scrypt：設計上更耗資源，適合防止硬體加速破解。 * Argon2：目前最先進的密碼雜湊演算法之一，效能與安全兼具。 * 訊息摘要（Message Digest） * 雜湊也常用來驗證資料有沒有被竄改，只要原始資料有一點點變動，雜湊值就會完全不同，這讓它非常適合用來做完整性驗證，像是檔案下載驗證、數位簽章、區塊鏈交易等。 ### 5.2 了解系統強化 * 組態管理 (Configuration management)主要目的是確保整個系統在運作過程中，能夠維持在一個穩定、可控的狀態，不只可以追蹤設備的設定、軟體更新或修補狀況，透過系統強化(System Harding)，可以讓系統面對外部威脅時更有抵抗力，也能減少被攻擊的風險。 1. 基準 (Baseline) * 基準就像是系統的「健康標準」，定義了系統、網路設備在安全性上應該達到的最低要求，這些標準可以幫助判斷系統是否有被未經授權修改，或是否發生意外的變更。 * 系統管理員會定期把目前的系統狀態跟基準做比對，這樣就能快速發現那些地方有被改動，進而評估這些變更是否安全、是否需要恢復原狀。 2. 更新 (Update) * 每次系統或軟體進行更新時，都不能只是「裝了就好」，必須確認新功能是否正常是否有按照預期運作，並且確保這次的修改沒有意外引入新的錯誤或漏洞。 * 更新後的測試也是非常重要的一環，如果沒有做更新後測試可能會讓原本的系統變得不穩定。 3. 修補 (Patch) * 修補漏洞是資安管理中不可或缺的一部分，我們要判斷哪些修補是「非修不可」，哪些又是可以稍後處理。 * 雖然自動化修補工具可以提升效率，但也可能產生相對應的風險，例如：正式環境中如果套用自動修補，可能會導致系統中斷、服務中斷，甚至引發其他問題，因此修補的部屬需要謹慎規劃。 * 變更與組態管理，在進行任何系統變更或組態調整時，應該： * 所有變更都必須經過審核與批准，不能隨便改。 * 變更過程要完整紀錄，方便日後稽核與追蹤。 * 變更後要持續監控，確保系統穩定。 * 盡量減少系統中斷時間，讓使用者不受影響。 * 變更前一定要先測試，確認不會造成問題。 * 要準備好回滾計畫，萬一更新失敗，可以快速恢復原狀。 ### 5.3 了解最佳實踐安全政策 1. 資料處理政策 * 重點在於，需要透過一系列的安全措施還標準作業程序，來保護敏感資料不被為授權的人存取或洩漏。這些敏感資料可能包含個人資訊、財務資料、醫療紀錄等。 * 參考「5.1 資料處理」章節 2. 密碼政策 * 每個組織都應該制定一套明確的密碼政策，來確保使用者帳號不會因為若密碼而被駭。這份政策通常會規定： * 密碼至少要有多少字元（例如：8位以上） * 必須包含大小寫字母、數字和特殊符號 * 密碼多久要更換一次（例如：每90天） * 不可以重複使用舊密碼 * 除了密碼本身的規範，政策也應該清楚說明：誰負責執行這些規定、誰負責定期檢查密碼是否符合標準，這樣才能確保整個密碼管理流程是有效且可以追蹤的。 3. 可接受使用政策 (Acceptable Use Policy, AUP) * AUP就像公司對員工使用資源的使用守則，他會明確規定員工在使用公司電腦、網路、資料或其他資源時，哪些行為是被允許的，哪些又是被禁止的。 4. 自攜裝置政策 (Bring Your Own Device, BYOD) * BYOD是指公司允許員工使用自己的筆電、手機或平板來處理工作相關的事務，這樣做的好處可以提升工作效率和彈性，但也會帶來一些風險， * 例如：員工的個人裝置可能沒有安裝防毒軟體、沒有加密儲存空間，甚至可能連接到不安全的公共網路。這些都可能讓公司資料暴露在風險之中。 * 公司在實施 BYOD 政策時，必須制定明確的安全標準，像是要求裝置安裝資安軟體、設定強密碼、啟用遠端清除功能等，來降低潛在風險。 5. 隱私政策 * 組織必須清楚定義什麼是個人可識別資訊（PII）和受保護健康資訊（PHI），並說明這些資料會如何被收集、使用、儲存和保護。 * 這類政策通常會參考各國的法規與立法，例如： * 歐盟的 GDPR（一般資料保護規則） * 加拿大的 PIPEDA（個人資訊保護與電子文件法） * 美國的 HIPAA（健康保險可攜與責任法案） * 公司應該公開這份政策，讓使用者或員工知道他們的資料會被如何處理，也要說明如果他們有隱私疑慮，可以透過什麼管道提出申訴或查詢。 ### 5.4 了解安全意識培訓 * 在資安領域裡，光靠技術是不夠的，人的行為也是關鍵，這就是為什麼「安全教育訓練」這一塊這麼重要，它通常分成三個層次：認知/意識（Awareness）、訓練（Training）、教育（Education）。 1. 安全教育訓練 * 認知/意識 (Awareness) * 目的是讓員工知道資安風險的存在，讓他們有警覺心，知道哪些行為可能會導致資安事件。 * 公司可能會透過下列方式幫助員工建立基本的安全意識。 * 簡報或短影片介紹常見的資安威脅 * 張貼海報提醒大家不要隨便點擊不明連結 * 分享資安新聞或案例，讓大家了解真實世界的攻擊手法 * 安排資安講座或邀請專家演講 * 訓練 (Training) * 訓練則是更進一步，讓員工學會具體的技能，能夠在面對資安事件時做出正確的反應。 * 教大家如何辨識釣魚信件（Phishing） * 如何設定強密碼並定期更換 * 如何安全地處理敏感資料（像是加密、分類、刪除） * 教育 (Education) * 通常是針對資安專業人員或是有志於資安領域的人，這部分的目標是提升整體組織的資安專業能力，讓有能力的人可以設計、管理、維護整個資安架構。 * 修讀資安相關課程 * 取得專業證照（像是 ISC2 CC、CISSP、CEH 等） * 參加學位課程或研究所 2. 社交工程 * 社交工程不是靠技術，而是靠騙術來攻擊的手法，攻擊者會利用人性的弱點，像是信任、好奇心、恐懼或急迫感，誘使目標做出不該做的事。 * 社交工程的可怕之處在於，他不需要破解系統，只需要你相信對方，就可能讓攻擊者輕易取得存取權限或敏感資料。 * 釣魚信件（Phishing）：偽裝成銀行、公司或朋友寄來的信件，誘使你點擊惡意連結或輸入帳號密碼。 * 肩膀偷看（Shoulder Surfing）：在你輸入密碼時偷看螢幕或鍵盤。 * 尾隨（Tailgating）：假裝是員工，跟在你後面進入門禁區域。 * 語音釣魚（Vishing）：透過電話來進行，攻擊者會假裝自己是銀行客服、政府機關、技術支援人員等，看起來像是合法單位的人。 * 簡訊釣魚（Smishing）：透過簡訊來進行，你可能會收到一封看起來像是銀行、快遞公司或政府機關發來的簡訊，裡面會附上一個連結或要求你回覆敏感資訊。 * 魚叉式釣魚（Spear Phishing）：攻擊者會事先蒐集你的背景資料，針對特定個人或組織下手，高度客製化。 * 網路捕鯨（Whaling）：針對高階主管（像是 CEO、CFO），這些人通常掌握公司最敏感的資料或資金權限，所以攻擊者會花更多時間設計一封非常精緻、可信度極高的信件。 ## 心得這張 CC 證照難的不是讀書，而是「理解考題」。我在準備的過程中，主管一直提醒我：「**不要死背**，那樣很容易考不過。」 ❌ 第一次考試：4/8 我那時候選了英文版考試，但其實我的英文不太好。雖然單字大致都看得懂，但整句話合起來就完全不理解題目在問什麼。這也是我覺得 ISC2 考試的一大挑戰：**你不只要懂資安，還要能看懂題目到底在考什麼。** 結果當然是大失敗，當下真的超挫折。 ✅ 第二次考試：7/18 這次我選擇了簡體中文版，整個六月幾乎都泡在 CC 的內容裡。我的筆記翻了不下十次，有些頁面都被我翻爛了。後期其實已經不知道自己還能讀什麼，只能不斷刷題庫、複習錯題。考前一天我還特地去翻了一下幾位大神的 CISSP 筆記，看看 CC 也會考到的內容，意外地真的有幫助，推推！ 📌 一些建議給準備 CC 的你： - **英文不好就不要硬上英文版**，真的。重考一次含國外刷卡手續要六千五左右，別跟自己的荷包過不去。現在簡中版本的翻譯已經比以前好很多，不太會有像「MAC 被翻成蘋果」這種奇怪的問題了。 - **不要死背課本或筆記內容**。你要做的是「理解」它，然後把它變成你生活的一部分。舉數位簽章的例子： > 數位簽章可以保護 CIA，屬於非對稱加密。 > 使用寄件者私鑰加密，寄件者公鑰解密。 > 有不可否認性，對稱加密則不提供不可否認性，這時候就會想到對稱加密。 > 再往下延伸對稱加密的內容... 這樣一層一層延伸下去，就像長出一棵知識樹，讓你不只是記住，而是「理解並應用」，這種「支線思考法」真的很有用。 💬 最後的話如果你也正在準備 CC，或是曾經失敗過，別灰心。 **理解比死背更重要，方法比努力更關鍵。** 祝大家考試順利！