資安職能訓練-資通安全概論

# 資安職能訓練-資通安全概論 > **最後修改日期**：2026/01/14 --- # 附表一到附表八資通安全責任等級應辦事項總表（114年修正） ## 等級適用對象 | 等級 | 公務機關 | 特定非公務機關 | | :---: | :--- | :--- | | **A** | 附表一 | 附表二 | | **B** | 附表三 | 附表四 | | **C** | 附表五 | 附表六 | | **D** | 附表七（共用） | ← | | **E** | 附表八（共用） | ← | --- ## 一、管理面應辦事項 | 項目 | A 級 | B 級 | C 級 | D 級 | E 級 | | :--- | :---: | :---: | :---: | :---: | :---: | | 核定自身資通安全責任等級 | 3年 | 3年 | 3年 | 3年 | 3年 | | 資通系統分級及防護基準 | 1年內，每年檢視 | 1年內，每年檢視 | 2年內，每年檢視 | － | － | | ISMS 導入 | 2 年內 | 2 年內 | 2 年內 | － | － | | 公正第三方驗證 | 3 年內 | 3 年內 | －＊ | － | － | | 資安專職人員 | 1 年內，4 人 | 1 年內，2 人 | 1 年內，1 人 | － | － | | 內部資安稽核 | 2 次/年 | 1 次/年 | 1 次/2年 | － | － | | 營運持續計畫演練 | 1 次/年 | 1 次/2年 | 1 次/2年 | － | － | | 資安治理成熟度評估 | 1 次/年＊＊ | 1 次/年＊＊ | － | － | － | > ＊ C 級公務機關無須第三方驗證，特定非公務機關亦同 > ＊＊特定非公務機關僅「關鍵基礎設施提供者」須辦理 --- ## 二、技術面應辦事項 | 項目 | A 級 | B 級 | C 級 | D 級 | E 級 | | :--- | :---: | :---: | :---: | :---: | :---: | | 弱點掃描 | 2 次/年 | 1 次/年 | 1 次/2年 | － | － | | 滲透測試 | 1 次/年 | 1 次/2年 | 1 次/2年 | － | － | | 資通安全健診 | 1 次/年 | 1 次/2年 | 1 次/2年 | － | － | | 資通安全監控管理機制 | 1 年內 | 1 年內 | － | － | － | | 政府組態基準 $GCB$ | 1 年內＊ | 1 年內＊ | － | － | － | | 資通安全弱點管理 | 1 年內＊＊ | 1 年內＊＊ | 2 年內＊＊ | － | － | | 端點偵測及應變機制 $EDR$ | 1 年內 | 1 年內 | － | － | － | | 資通安全防護 | 1 年內 | 1 年內 | 1 年內 | 1 年內 | － | > ＊ GCB 僅公務機關須辦理，特定非公務機關免辦 > ＊＊特定非公務機關僅「關鍵基礎設施提供者」須依主管機關指定方式導入 --- ## 三、資通安全健診項目 | 項目 | A 級 | B 級 | C 級 | | :--- | :---: | :---: | :---: | | 網路架構檢視 | ✓ | ✓ | ✓ | | 網路惡意活動檢視 | ✓ | ✓ | ✓ | | 使用者端電腦惡意活動檢視 | ✓ | ✓ | ✓ | | 伺服器主機惡意活動檢視 | ✓ | ✓ | ✓ | | 目錄服務系統設定及防火牆連線設定檢視 | ✓ | ✓ | ✓ | | 核心資通系統資料庫安全檢視 | ✓ | ✓ | － | --- ## 四、資通安全防護項目 | 項目 | A 級 | B 級 | C 級 | D 級 | | :--- | :---: | :---: | :---: | :---: | | 防毒軟體 | ✓ | ✓ | ✓ | ✓ | | 網路防火牆 | ✓ | ✓ | ✓ | ✓ | | 電子郵件過濾機制 | ✓ | ✓ | ✓ | － | | 入侵偵測及防禦機制 $IDPS$ | ✓ | ✓ | － | － | | 應用程式防火牆 $WAF$ | ✓ | ✓ | － | － | | 進階持續性威脅攻擊防禦 $APT$ | ✓ | － | － | － | > 電子郵件過濾機制：具有郵件伺服器者應備 > 應用程式防火牆：具有對外服務之核心資通系統者應備 --- ## 五、認知與訓練 ### 5.1 教育訓練時數 | 對象 | A 級 | B 級 | C 級 | D 級 | E 級 | | :--- | :---: | :---: | :---: | :---: | :---: | | 資安專職人員 | 12hr/年（資安） | 12hr/年（資安） | 12hr/年（資安） | － | － | | 資安專職人員以外之資訊人員 | 3hr/2年（資安）+ 3hr/年（通識） | ← | ← | 3hr/2年（資安）+ 3hr/年（通識） | － | | 一般使用者及主管 | 3hr/年（通識） | 3hr/年（通識） | 3hr/年（通識） | 3hr/年（通識） | 3hr/年（通識） | ### 5.2 資安專業證照及職能訓練證書 | 類型 | 公務機關 | 特定非公務機關 | | :--- | :--- | :--- | | **A/B/C 級** | 證照**及**證書**各一張**以上 | 證照**或**證書**一張**以上 | > 這是公務機關與特定非公務機關的**重要差異**！ --- ## 六、公務機關 vs 特定非公務機關差異速查 | 項目 | 公務機關 | 特定非公務機關 | | :--- | :--- | :--- | | 政府組態基準 $GCB$ | A、B 級須辦理 | **免辦** | | 資安治理成熟度評估 | A、B 級每年辦理 | 僅**關鍵基礎設施提供者**須辦理 | | 資安弱點管理導入 | 依規定期限導入 | 僅**關鍵基礎設施提供者**須依主管機關方式導入 | | 資安證照要求 | 證照**及**證書各一張 | 證照**或**證書一張 | --- ## 七、D 級與 E 級簡易對照 | 項目 | D 級 | E 級 | | :--- | :---: | :---: | | 防毒軟體 | ✓ | － | | 網路防火牆 | ✓ | － | | 資訊人員訓練 | 3hr/2年（資安）+ 3hr/年（通識） | － | | 一般使用者訓練 | 3hr/年（通識） | 3hr/年（通識） | > **E 級最簡單**：僅需一般使用者及主管每年 3 小時通識訓練 --- ## 考試重點速記 | 記憶點 | 內容 | | :--- | :--- | | **專職人員數** | A=4、B=2、C=1、D/E=0 | | **第三方驗證** | A、B 級須 3 年內通過，C 級免 | | **GCB** | 僅**公務機關** A、B 級 | | **APT 防禦** | 僅 **A 級** | | **資料庫安全檢視** | 僅 **A、B 級** | | **證照要求差異** | 公務「及」、特非「或」 | | **E 級唯一要求** | 3hr/年通識訓練 | --- # 附表九資通系統防護需求分級原則（114年修正） ## 分級判定原則 > **重要**：資通系統之防護需求等級，以機密性、完整性、可用性及法律遵循性四個構面中，**任一構面之最高者**定之。 --- ## 一、影響程度對照表 | 等級 | 影響程度關鍵字 | | :---: | :--- | | **高** | 非常嚴重或**災難性**之影響 | | **中** | **嚴重**之影響 | | **普** | **有限**之影響 | --- ## 二、四大構面分級原則 ### 2.1 機密性（未經授權之資訊揭露） | 等級 | 判定條件 | | :---: | :--- | | **高** | 資訊揭露對機關營運、資產或信譽產生**非常嚴重或災難性**影響 | | **中** | 資訊揭露對機關營運、資產或信譽產生**嚴重**影響 | | **普** | 資訊揭露對機關營運、資產或信譽產生**有限**影響 | ### 2.2 完整性（資訊錯誤或遭竄改） | 等級 | 判定條件 | | :---: | :--- | | **高** | 資訊錯誤或竄改對機關營運、資產或信譽產生**非常嚴重或災難性**影響 | | **中** | 資訊錯誤或竄改對機關營運、資產或信譽產生**嚴重**影響 | | **普** | 資訊錯誤或竄改對機關營運、資產或信譽產生**有限**影響 | ### 2.3 可用性（存取或使用之中斷） | 等級 | 判定條件 | | :---: | :--- | | **高** | 系統中斷對機關營運、資產或信譽產生**非常嚴重或災難性**影響 | | **中** | 系統中斷對機關營運、資產或信譽產生**嚴重**影響 | | **普** | 系統中斷對機關營運、資產或信譽產生**有限**影響 | ### 2.4 法律遵循性（違反資安相關法令） | 等級 | 判定條件 | 法律責任 | | :---: | :--- | :--- | | **高** | 未遵循法令導致資安事件，影響他人權益或機關公正性 | **刑事責任** | | **中** | 未遵循法令導致資安事件，影響他人權益或機關公正性 | **行政罰、懲戒或懲處** | | **普** | 其他於法令有相關規範之情形 | 一般規範 | --- ## 三、構面差異速記 | 構面 | 事件類型 | 關鍵動詞 | | :--- | :--- | :--- | | **機密性** | 未經授權之資訊**揭露** | 洩漏、外流 | | **完整性** | 資訊**錯誤**或遭**竄改** | 修改、破壞 | | **可用性** | 存取或使用之**中斷** | 停擺、無法使用 | | **法律遵循性** | 未遵循**法令** | 違法、受罰 | --- ## 四、法律遵循性責任等級速記 | 等級 | 責任類型 | 記憶口訣 | | :---: | :--- | :--- | | **高** | 刑事責任 | 高→**刑**（坐牢） | | **中** | 行政罰、懲戒、懲處 | 中→**罰**（罰錢、記過） | | **普** | 一般法令規範 | 普→**規**（有規定而已） | --- ## 五、考試情境題判斷 ### 範例 1 > 某系統資料外洩，對機關信譽產生「嚴重」影響 **答案**：機密性 → **中** ### 範例 2 > 系統遭駭導致資料被竄改，造成「災難性」影響 **答案**：完整性 → **高** ### 範例 3 > 違反資安法令，機關人員需負刑事責任 **答案**：法律遵循性 → **高** ### 範例 4 > 某系統有以下評估結果： > - 機密性：普 > - 完整性：中 > - 可用性：普 > - 法律遵循性：普 **答案**：系統防護需求等級 → **中**（取最高者） --- ## 考試重點速記 | 記憶點 | 內容 | | :--- | :--- | | **等級判定** | 四構面取**最高者** | | **高級關鍵字** | 災難性、刑事責任 | | **中級關鍵字** | 嚴重、行政罰/懲戒 | | **普級關鍵字** | 有限、一般規範 | | **CIA 對應** | 機密=揭露、完整=竄改、可用=中斷 | --- # 附表十資通系統防護基準（114年修正） ## 一、存取控制 ### 1.1 帳號管理 | 等級 | 控制措施 | | :---: | :--- | | **普** | 1. 建立帳號管理機制（申請、建立、修改、啟用、停用、刪除） 2. 逾期臨時/緊急帳號應刪除或禁用 3. 閒置帳號應禁用 4. 定期審核帳號 | | **中** | 1. 定義各系統閒置時間或可使用期限 2. 逾時應自動登出 3. 含「普」所有措施 | | **高** | 1. 依機關規定條件使用資通系統 2. 監控帳號，異常時回報管理者 3. 含「中」所有措施 | ### 1.2 最小權限 | 等級 | 控制措施 | | :---: | :--- | | **普/中/高** | 採最小權限原則，僅允許完成指派任務所需之授權存取 | ### 1.3 遠端存取 | 等級 | 控制措施 | | :---: | :--- | | **普/中/高** | 1. 先取得授權，建立使用限制、組態需求、連線需求及文件化 2. 權限檢查應於**伺服器端**完成 3. 監控遠端存取內部網段或後臺連線 4. 採用**加密機制** 5. 來源應為預先定義之存取控制點 | --- ## 二、事件日誌與可歸責性 ### 2.1 記錄事件 | 等級 | 控制措施 | | :---: | :--- | | **普** | 1. 訂定日誌記錄週期及留存政策，保留**至少 6 個月** 2. 確保系統有記錄特定事件功能 3. 記錄管理者帳號執行之各項功能 | | **中/高** | 1. 定期審查日誌 2. 含「普」所有措施 | ### 2.2 日誌紀錄內容 | 等級 | 控制措施 | | :---: | :--- | | **普/中/高** | 應包含：**事件類型、發生時間、發生位置、使用者身分識別** 採單一日誌機制，確保格式一致性 | ### 2.3 日誌儲存容量 | 等級 | 控制措施 | | :---: | :--- | | **普/中/高** | 依儲存需求配置所需容量 | ### 2.4 日誌處理失效之回應 | 等級 | 控制措施 | | :---: | :--- | | **普/中** | 日誌處理失效時，應採取適當行動 | | **高** | 需即時通報之失效事件，應於規定時效內對特定人員提出警告 | ### 2.5 時戳及校時 | 等級 | 控制措施 | | :---: | :--- | | **普/中/高** | 1. 使用內部時鐘產生時戳，對應 **UTC 或 GMT** 2. 內部時鐘應定期與基準時間源同步 | ### 2.6 日誌資訊之保護 | 等級 | 控制措施 | | :---: | :--- | | **普** | 日誌存取僅限有權限之使用者 | | **中** | 運用**雜湊**或其他完整性確保機制 | | **高** | 定期備份日誌至**原系統外**之其他實體系統 | --- ## 三、營運持續計畫 ### 3.1 資料備份 | 等級 | 控制措施 | | :---: | :--- | | **普** | 1. 訂定資料可容忍損失之時間要求（**RPO**） 2. 執行資料備份 | | **中** | 定期測試備份資料，驗證媒體可靠性及資訊完整性 | | **高** | 1. 備份還原作為營運持續計畫演練一部分 2. 建立**異地備份**機制 | ### 3.2 系統備援 | 等級 | 控制措施 | | :---: | :--- | | **普** | 訂定系統中斷後重新恢復服務之最大可容忍中斷時間（**RTO**） | | **中** | 定期測試於 RTO 內由備援設備取代並提供服務 | | **高** | 備援啟動作為營運持續計畫演練一部分 | --- ## 四、識別與鑑別 ### 4.1 使用者之識別與鑑別 | 等級 | 控制措施 | | :---: | :--- | | **普/中** | 識別及鑑別使用者，**禁止使用共用帳號** | | **高** | 採取**多因子鑑別**技術 | ### 4.2 身分驗證管理 | 等級 | 控制措施 | | :---: | :--- | | **普** | 1. 預設密碼初次登入後應**立即變更** 2. 身分驗證資訊**不以明文傳輸** 3. 帳戶鎖定：失敗 **5 次**後，**15 分鐘**內不允許登入 4. 強制最低密碼複雜度，依效期變更 5. 密碼不可與**前 3 次**相同 6. 外部使用者得自行規範 | | **中/高** | 1. 防範自動化程式登入或密碼更換嘗試 2. 密碼重設需重新身分確認，發送**一次性及具時效性**符記 | ### 4.3 鑑別資訊保護 | 等級 | 控制措施 | | :---: | :--- | | **普** | 遮蔽鑑別過程中之資訊 | | **中/高** | 密碼應經**雜湊**或其他適當方式處理後儲存 | --- ## 五、系統與服務獲得 ### 5.1 系統發展生命週期（SSDLC） | 階段 | 高 | 中 | 普 | | :--- | :--- | :--- | :--- | | **需求階段** | 確認系統安全需求（機密性、可用性、完整性） | ← 同左 | ← 同左 | | **設計階段** | 1. 識別威脅，進行風險分析評估 2. 回饋需求階段，提出安全需求修正 | ← 同左 | 無要求 | | **開發階段** | 1. 執行**源碼掃描** 2. 嚴重錯誤通知機制 3. 含中/普措施 | 1. 針對安全需求實作控制措施 2. 避免軟體常見漏洞 3. 錯誤頁面僅顯示簡短訊息及代碼 | ← 同左 | | **測試階段** | 執行**滲透測試** | 執行**弱點掃描** | ← 同左 | | **部署與維運** | 1. 版本控制與變更管理 2. 含普級措施 | ← 同左 | 1. 更新與修補 2. 關閉不必要服務及埠口 3. 不使用預設密碼 4. 源碼備份 | | **委外階段** | 將各階段安全需求納入委外契約 | ← 同左 | ← 同左 | ### 5.2 獲得程序 | 等級 | 控制措施 | | :---: | :--- | | **普** | 識別第三方軟體、服務、函式庫或其他元件 | | **中/高** | 開發、測試及正式作業環境應**區隔** | ### 5.3 系統文件 | 等級 | 控制措施 | | :---: | :--- | | **普/中/高** | 應儲存與管理系統發展生命週期之相關文件 | --- ## 六、系統與通訊保護 ### 6.1 傳輸之機密性與完整性 | 等級 | 控制措施 | | :---: | :--- | | **普/中** | 無要求 | | **高** | 1. 採用加密機制防止未授權揭露或偵測變更 2. 使用**公開、國際機構驗證且未遭破解**之演算法 3. 金鑰或憑證**定期更換** 4. 伺服器端金鑰保管應訂定管理規範 | ### 6.2 資料儲存之安全 | 等級 | 控制措施 | | :---: | :--- | | **普/中** | 無要求 | | **高** | 重要組態設定檔案及具保護需求資訊應**加密**或適當方式儲存 | --- ## 七、系統與資訊完整性 ### 7.1 漏洞修復 | 等級 | 控制措施 | | :---: | :--- | | **普** | 漏洞修復應測試有效性及潛在影響，並定期更新 | | **中/高** | 定期確認漏洞修復狀態 | ### 7.2 資通系統監控 | 等級 | 控制措施 | | :---: | :--- | | **普** | 發現被入侵跡象時，應**通報機關特定人員** | | **中** | 監控系統以偵測攻擊與未授權連線，識別未授權使用 | | **高** | 採用**自動化工具**監控進出通信流量，發現異常時進行分析 | ### 7.3 軟體及資訊完整性 | 等級 | 控制措施 | | :---: | :--- | | **普** | 使用者輸入資料合法性檢查應置於**伺服器端** | | **中** | 1. 使用完整性驗證工具偵測未授權變更 2. 違反完整性時實施安全保護措施 | | **高** | 定期執行軟體與資訊完整性檢查 | --- ## 考試重點速記 | 關鍵數字 | 內容 | | :--- | :--- | | **6 個月** | 日誌保留最少期限 | | **5 次** | 帳戶鎖定之登入失敗次數 | | **15 分鐘** | 帳戶鎖定時間 | | **前 3 次** | 密碼不可重複使用次數 | | 等級專屬 | 高 | 中 | 普 | | :--- | :---: | :---: | :---: | | 多因子鑑別 | ✓ | － | － | | 源碼掃描 | ✓ | － | － | | 滲透測試 | ✓ | － | － | | 弱點掃描 | ✓ | ✓ | － | | 異地備份 | ✓ | － | － | | 傳輸加密 | ✓ | － | － | | 自動化監控 | ✓ | － | － | --- # 第一章：資通安全基本觀念 > **學習目標** > 1. 了解資通系統的組成元素（定義與構成要素）。 > 2. 建立對資通安全威脅的危機意識。 > 3. 掌握資通安全的核心防護目標 (CIA + L)。 --- ## 1.1 資通系統之組成在深入探討資安之前，必須先界定保護對象。依據《資通安全管理法》，核心保護對象為 **「資通系統」** 與 **「資通服務」**。 ### 1.1.1 資通系統 * **資通系統 (Information and Communication System)** * **定義**：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 * **範圍**：涉及資訊處理的軟硬體與網路環境總稱。 * **實例**：全球資訊網（資訊流通）、公文系統（蒐集/儲存/處理）、差勤系統（管理流程）。 ### 1.1.2 資通服務 * **資通服務 (Information and Communication Service)** * **定義**：與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 * **白話理解**：圍繞資通系統周邊的支援性活動。 * **實例**：個人電腦維護（確保終端可用性）、伺服器維護（確保核心連續性）。 | 比較項目 | 1.1.1 資通系統 (Information and Communication System) | 1.1.2 資通服務 (Information and Communication Service) | | :--- | :--- | :--- | | **法規定義** | 指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之**系統**。 | 指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享**相關之服務**。 | | **核心範圍** | 指所有涉及資訊處理的**軟硬體與網路環境總稱**。涵蓋從資訊的產生、處理、傳輸到最終儲存與銷毀的整個生命週期中所使用的各種系統。 | 指**圍繞在資通系統周邊**，所有與資訊處理相關的**支援性活動**。 | | **關鍵差異** | 它是運作的**主體**（系統本體）。 | 它**非系統本體**，卻是確保系統功能能持續可用的關鍵環節。 | | **實例** | 1. **考選部全球資訊網**：提供資訊流通的平台。 2. **eCPA 人事服務網及公文系統**：涉及資訊的蒐集、儲存與處理。 3. **差勤系統**：管理人員的資訊與流程。 | 1. **日常個人電腦維護服務**：確保終端設備穩定運作（屬資訊可用性範疇）。 2. **伺服器維護服務**：著重於機房內核心系統之連續與穩定。 | ### 1.1.3 五大關鍵要素資通系統由以下五個要素構成，均為資安保護的對象： 1. **資訊/資料 (Information/Data)**：最核心的保護對象（如：文件、資料庫、個資）。 2. **軟體 (Software)**：應用程式、作業系統、資料庫管理系統。 3. **硬體 (Hardware)**：電腦、伺服器、網路設備、儲存裝置。 4. **網路 (Network)**：連接系統的基礎設施（如：路由器、防火牆、傳輸線路）。 5. **人員 (People)**：**最常被忽略但至關重要的環節**。包含使用者、管理者。許多資安事件源於人為疏失或社交工程。 ### 1.1.4 資產分類 (CNS 27002：2023) 依據 CNS 27002：2023 標準，資產可分為： * **主要資產**：資訊、營運過程與活動（核心運作）。 * **支援資產**：硬體、軟體、網路、人員、場域、組織結構。 --- ## 1.2 建立資通安全之危機意識資安不僅是技術，更是思維模式。 ### 1.2.1 資安威脅的潛在影響 * **公共服務**：醫院系統癱瘓危及生命、政府服務停擺。 * **企業營運**：生產中斷、供應鏈斷鏈、財務損失、商譽受損。 * **國家安全**：關鍵基礎設施（電力、通訊、金融）遭攻擊恐造成社會混亂。 ### 1.2.2 攻擊趨勢 * **物聯網 (IoT)**：裝置資安設計常不足，易成為駭客跳板（如智慧家電被入侵）。 * **行動與無線通訊**：便利但伴隨高風險，如個資外洩、通訊監聽。 ### 1.2.3 每個人的責任 (資安素養) 資安是現代公民的基本素養，應落實於日常行為： - [ ] 辨識釣魚郵件 - [ ] 使用強密碼 - [ ] 不隨意點擊不明連結 - [ ] 定期更新系統與應用程式 - [ ] 定期備份資料 --- ## 1.3 資通安全之防護目標 (CIA + L) 資通安全，係指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀，或其他情形影響其機密性、完整性或可用性。因此資安的核心目的在於確保 **CIA** 三原則及 **法律遵循性**(公務機關和特定非公務機關)。 ### 1.3.1 核心三要素加法遵性 (CIA + L) #### 1. 機密性 (Confidentiality) * **定義**：確保資訊不被未經授權的人員或系統存取。 * **威脅**：資料外洩、竊聽。 * **防護措施**： * 資料加解密 * 存取控制 (Access Control) * 資料遮罩 (Data Masking) * 去識別化 #### 2. 完整性 (Integrity) * **定義**：確保資訊在生命週期中持續正確、具一致性，防止未經授權的修改。 * **威脅**：資料遭竄改（如：輸入錯誤代碼導致檔案刪除、交易金額被改）。 * **防護措施**： * 數位簽章 (Digital Signature) * 雜湊函數 (Hash Function) * 資料驗證 * 備份（用於還原正確資料） #### 3. 可用性 (Availability) * **定義**：確保資訊與資源在需要時，可被授權使用者存取與使用。 * **威脅**：系統故障、DDoS 攻擊、天災（如颱風造成電力中斷）。 * **防護措施**： * 系統備援 (Redundancy) * 資料備份 (Backup) * 負載平衡 * 營運持續演練 (BCP) #### 4. 法律遵循性 (Legal Compliance) * **定義**：確保資安活動與保護內容遵循相關法規。 * **重要性**：避免面臨法律責任、罰款或聲譽受損。 * **相關法規**： * 《資通安全管理法》 * 《個人資料保護法》 * 《國家機密保護法》 --- ### 1.3.2 CIA 防護技術對照表 | 目標 | 定義關鍵字 | 常見威脅 | 核心防護技術 | | :--- | :--- | :--- | :--- | | **機密性** | 未經授權存取 | 資料外洩、竊聽 | 加密、存取控制、去識別化 | | **完整性** | 正確性、一致性 | 資料竄改、誤刪 | 數位簽章、雜湊、備份 | | **可用性** | 需要時可使用 | 系統當機、斷電 | 備援、備份、BCP | > **Memo**: 資安防護目標是多面向的，必須綜合運用技術與管理策略，才能有效保護資訊資產。 --- ### 第 1 單元：資通安全基本觀念 #### 1. 依據《資通安全管理法》第 3 條第 1 項的定義，以下何者最能完整描述「資通系統」？ - $A$ 指用以儲存及流通資訊之硬體設備。 - $B$ 指用以傳輸或分享資訊之網路軟體。 - $C$ 指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 - $D$ 指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 > **答案：C** --- #### 2. 下列關於「資產」的敘述，何者符合 ISO/CNS 27002 標準的定義？ - $A$ 資產限於硬體和軟體等實體項目。 - $B$ 資產被定義為對組織有價值的任何事物。 - $C$ 主要資產僅指資訊，不包含營運流程與活動。 - $D$ 支援資產不包含人員和場域等要素。 > **答案：B** --- #### 3. 建立資通安全的危機意識的重要性，以下何者「錯誤」？ - $A$ 資安的危害可能產生超乎一般人的想像，造成重大影響。 - $B$ 資安攻擊無所不在，影響層面廣大。 - $C$ 資安是資安專業人員的專屬責任，與一般員工無關。 - $D$ 資安素養是現代公民需要培養的生活與工作知能。 > **答案：C** --- #### 4. 資通安全的三個核心防護目標（CIA）是指？ - $A$ 便利性、完整性、可用性 - $B$ 機密性、有效性、整合性 - $C$ 成本性、效率性、可用性 - $D$ 機密性、完整性、可用性 > **答案：D** --- #### 5. 為保護資料的「機密性」，下列哪一項為其主要措施？ - $A$ 雜湊函數與數位簽章。 - $B$ 容量規劃與備份。 - $C$ 資料加解密與存取控制。 - $D$ 容錯與負載平衡。 > **答案：C** --- #### 6. 當資通安全事件涉及資料被「未經授權地修改或破壞」時，這主要影響了資通安全的哪一個防護目標？ - $A$ 完整性 - $B$ 機密性 - $C$ 可用性 - $D$ 法律遵循性 > **答案：A** --- #### 7. 以下何者「不是」資通安全防護目標中「可用性」的主要保護措施？ - $A$ 容量規劃 - $B$ 備份 - $C$ 數位簽章 - $D$ 容錯、備援及負載平衡 > **答案：C** --- #### 8. 《資通安全管理法》對「資通服務」的定義為何？ - $A$ 專指政府機關內部使用的資訊系統。 - $B$ 指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 - $C$ 僅指雲端運算提供的各種服務。 - $D$ 專指軟體開發與維護活動。 > **答案：B** --- #### 9. 在資通安全風險意識的建立中，物聯網（IoT）的普及帶來了商機，同時也引發了哪些資安危機的思考？ - $A$ 造成個人隱私洩露，但從不影響國家層面的資安風險。 - $B$ 增加被攻擊的風險，可能導致更大的不便。 - $C$ 對於軟體層面不會造成威脅，而只會對硬體設備造成威脅。 - $D$ 促進資訊自由流通，完全沒有資安隱患。 > **答案：B** --- #### 10. 資通安全防護目標中的「法律遵循性」主要指的是什麼？ - $A$ 資安措施的重點為遵守《資通安全管理法》，不包含其他法規。 - $B$ 確保所有資安措施都符合國際標準 ISO 27001。 - $C$ 資訊安全措施必須符合相關的法律規定，如《資通安全管理法》、《個人資料保護法》等。 - $D$ 資訊安全措施主要依循機關內部制定的資安政策與規範，不受外部法律約束。 > **答案：C** --- # 第二章：資通安全相關法規 > **學習目標** > 1. 了解我國資通安全管理體系與權責機關。 > 2. 熟悉《資通安全管理法》及其子法之核心規範。 > 3. 認識其他與資通安全相關之重要法規（如刑法、個資法）。 --- ## 2.1 我國資通安全管理體系 ### 2.1.1 主管機關與組織架構 * **數位發展部 (moda)**：統籌國家整體數位發展與資通安全策略。 * **資通安全署 (ACS)**：專責辦理國家資通安全防護及演練工作，為《資安法》的主管機關。 * **行政院國家資通安全會報**：跨部會協調單位，負責審議國家資通安全政策。 ### 2.1.2 資通安全推動策略 * **三大目標**：打造堅韌安全之智慧國家。 1. 成為亞太資安樞紐。 2. 建構主動防禦基礎。 3. 公私協力共創雙贏。 * **防護縱深**：建立多層次的防禦體系，從政府骨幹網路到端點防護。 --- ## 2.2 資通安全管理法與子法《資通安全管理法》（簡稱資安法）是我國資安防護的根本大法，於 108 年 1 月 1 日正式施行。 ### 2.2.1 立法目的與適用對象 * **立法目的**：加速建構國家資通安全環境，保障國家安全，維護社會公共利益。 * **適用對象**： 1. **公務機關**：中央與地方政府機關、公立學校、公營事業，不包含「**軍事機關及情報機關**」。 2. **特定非公務機關**： * **關鍵基礎設施提供者 (CI)**：如能源、水資源、通訊傳播、交通、金融、醫療等領域。 * 公營事業、政府捐助之財團法人和受政府控制之事業、團體或機關。 ### 2.2.2 資通安全責任等級 (A/B/C/D/E) 機關依據其業務重要性與機密性，分為五個等級，需執行對應強度的應辦事項： | 等級 | 定義簡述 | 重點應辦事項 | | :--- | :--- | :--- | | **A 級** | 業務涉及**全國性** | 導入 CNS 27001 (ISMS)、每年 2 次資安健診、每年 1 次攻防演練 | | **B 級** | 業務涉及**區域性** | 導入 ISMS、每 2 年 1 次資安健診 | | **C 級** | 維運自行或委外開發之資通系統 | 建立資安作業程序 | | **D 級** | 僅使用套裝軟體，無自行開發系統 | 定期更新、備份 | | **E 級** | 無資通系統 | 基本認知宣導 | ### 2.2.3 資通安全事件通報應變 * **事件分級**：分為一至四級（四級最嚴重，如涉及國家機密外洩或關鍵設施停擺）。 * **通報時限**： * 知悉事件後 **1 小時內** 完成通報。 * 通報對象：上級機關及資通安全署。 * **損害控制**：需在規定時間內完成損害控制與復原機制。 **資通安全事件分級標準** ![image](https://hackmd.io/_uploads/ry06bAsVZe.png) **資通安全事件通報時限：** ![image](https://hackmd.io/_uploads/By5CbCjN-g.png) ### 2.2.4 相關子法 (六大子法) 1. **施行細則**：補充母法執行細節。 2. **責任等級分級辦法**：規範 A~E 級之判定標準。 3. **特定非公務機關查核辦法**：規範行政檢查之程序。 4. **事件通報及應變辦法**：詳列通報流程與時限。 5. **情資分享辦法**：規範情資分享之格式與機制。 6. **公務機關所屬人員安全事項獎懲罰辦法**：資通安全方面的獎勵與懲罰。 --- ## 2.3 其他相關法規除了資安法外，資安人員亦需注意以下法規之競合與遵循。 ### 2.3.1 國家機密保護法 * 涉及國家機密之資訊，需依等級（絕對機密、極機密、機密）進行嚴格管控，包含人員涉密審查與出境管制。絕對機密：30年機機密：20年機密：10年 ### 2.3.2 個人資料保護法 (PDPA) * **核心原則**：蒐集、處理、利用個資需有特定目的並符合法定要件。 * **資安關聯**：保有個資之單位應採行適當之安全維護措施，防止個資被竊取、竄改或毀損。若發生外洩，需通知當事人。 ### 2.3.3 刑法 (妨害電腦使用罪章) 針對駭客攻擊行為的刑事處罰： * **第 358 條 (入侵電腦罪)**：無故輸入帳號密碼破解使用電腦。 * **第 359 條 (破壞電磁紀錄罪)**：無故取得、刪除或變更他人電腦之電磁紀錄 (刪改資料)。 * **第 360 條 (干擾電腦系統罪)**：以電腦程式干擾他人電腦，致生損害 (如 DDoS)。 --- ### 💡 總結：法規遵循 Check List - [ ] 確認機關/企業之資安責任等級。 - [ ] 資安專職人員是否已配置並完成年度培訓。 - [ ] 訂定並落實資通安全維護計畫。 - [ ] 發生資安事件時，是否知悉通報窗口與時限 (1小時內)。 --- ### 第 2 單元：資通安全相關法規 #### 1. 我國資通安全管理體系的最高指導及協調單位是哪一個？ - $A$ 數位發展部資通安全署 - $B$ 國家資通安全會報 - $C$ 國防部資通電軍指揮部 - $D$ 內政部警政署 > **答案：B** --- #### 2. 依據《資通安全管理法》，以下哪一類機關「不」屬於其適用對象？ - $A$ 關鍵基礎設施提供者 - $B$ 公營事業 - $C$ 軍事機關 - $D$ 政府捐助之財團法人 > **答案：C** --- #### 3. 《資通安全管理法》的立法目的主要為何？ - $A$ 規範個人資料蒐集與利用，避免人格權侵害。 - $B$ 促進新興科技的資安技術發展。 - $C$ 提升國家整體資安防護能力，保障國家安全和社會公共利益。 - $D$ 該法案的立法目的完全集中於處理網路犯罪的偵查與防制。 > **答案：C** --- #### 4. 依據《資通安全管理法施行細則》，公務機關與特定非公務機關在資通安全事件發生「事前」應辦理的共同義務為何？ - $A$ 提出改善報告。 - $B$ 接受資通安全稽核。 - $C$ 提交資通安全事件調查報告。 - $D$ 訂定資通安全維護計畫及通報應變機制。 > **答案：D** --- #### 5. 依據《資通安全管理法》規定，公務機關除了資安長外，還需設置什麼人員？ - $A$ 資安專責人員 $非專職$ - $B$ 資安專職人員 - $C$ 公關經理 - $D$ 法律顧問 > **答案：B** --- #### 6. 《資通安全管理法施行細則》第 7 條對「核心資通系統」的定義中，以下何者「不」是判斷標準？ - $A$ 支持核心業務持續運作必要之系統。 - $B$ 依資通安全責任等級分級辦法判定防護需求等級為高者。 - $C$ 一般行政作業的辦公室軟體之必要功能。 - $D$ 業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。 > **答案：C** --- #### 7. 依據《資通安全責任等級分級辦法》，各機關應多久提報或核定其資通安全責任等級 1 次？ - $A$ 每年 - $B$ 每 2 年 - $C$ 每 3 年 - $D$ 每 5 年 > **答案：B** > 114年修法後改成每三年，因此新版答案是C --- #### 8. 關於《個人資料保護法》的目的，以下何者敘述「最完整」？ - $A$ 其主要目的為避免人格權受侵害，與個人資料之利用無關。 - $B$ 其主要目的為促進個人資料之合理利用，不涉及人格權的保護。 - $C$ 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用。 - $D$ 為積極推動國家資通安全政策。 > **答案：C** --- #### 9. 比較《個人資料保護法》與《資通安全管理法》，關於其主管機關的敘述，何者正確？ - $A$ 兩者主管機關皆為數位發展部。 - $B$ 《個人資料保護法》主管機關為個人資料保護委員會（含籌備機制），《資通安全管理法》主管機關為數位發展部。 - $C$ 《個人資料保護法》主管機關為法務部，《資通安全管理法》主管機關為內政部。 - $D$ 兩者皆無特定主管機關。 > **答案：B** --- #### 10. 依據《國家機密保護法》，以下哪一個是「絕對機密」的最長保密期限？ - $A$ 10 年 - $B$ 20 年 - $C$ 30 年 - $D$ 永久保密 > **答案：C** --- # 第三章：資通安全風險管理 > **學習目標** > 1. 理解「風險」的組成要素 (威脅 x 脆弱性)。 > 2. 掌握風險管理的完整流程 (從全景建立到風險處置)。 > 3. 區分「高階風險評鑑」與「詳細風險評鑑」的差異。 > 4. 熟悉四種風險處理策略 (修改、留存、避免、分擔)。 --- ## 3.1 風險管理之流程資安風險管理不僅是技術檢測，更是一個持續改善的循環過程 (PDCA)。 ### 3.1.1 風險的產生風險源於三個關鍵要素的交互作用： * **威脅 (Threat)**：可能對資產造成損害的潛在原因或事件 * **脆弱性 (Vulnerability)**：資產或防護機制中存在的弱點 * **衝擊 (Impact)**：威脅利用脆弱性成功時，對資產造成的負面影響 ### 3.1.2 風險的定義 > 威脅利用其相對應的脆弱性，造成資訊資產受到衝擊的「**可能性**」風險大小 = **衝擊** × **可能性** ```mermaid flowchart LR subgraph 因果鏈 A[威脅] -->|利用| B[脆弱性] B -->|產生| C[衝擊] end subgraph 風險計算 C --> E[風險] D[可能性] --> E end style A fill:#4a90d9,color:#fff style B fill:#4a90d9,color:#fff style C fill:#e74c3c,color:#fff style D fill:#f39c12,color:#fff style E fill:#c0392b,color:#fff ``` ### 3.1.3 風險管理循環依據 ISO/IEC 27005 或 NIST RMF 概念，主要流程包含： 1. **全景建立** (Context Establishment) 2. **風險評鑑** (Risk Assessment)：包含識別、分析、評估。 3. **風險處理** (Risk Treatment) 4. **風險接受** (Risk Acceptance) 5. **風險監控與審查** (Monitor & Review)：持續性的過程。 --- ## 3.2 風險管理之全景建立在開始評鑑前，必須先劃定範圍與標準。 ### 3.2.1 識別內外部環境 * **外部環境**：法規變更（如新版資安法）、技術趨勢、供應鏈風險。 * **內部環境**：組織架構、人員能力、現有資訊系統架構。 ### 3.2.2 定義風險準則組織需統一「尺」的標準，才能客觀衡量風險： * **衝擊準則**：定義什麼是「嚴重」（如：損失金額達 100 萬為高級衝擊）。 * **風險接受準則**：定義什麼樣的風險等級是可以被接受的（如：低風險可接受，高風險必須處理）。 --- ## 3.3 風險評鑑之作法依據精細度與目的不同，分為兩種主要作法。 ### 3.3.1 兩種評鑑模式比較 | 特性 | 高階風險評鑑 (High-Level) | 詳細風險評鑑 (Detailed) | | :--- | :--- | :--- | | **適用時機** | 初期建立、資源有限、依據法規快速分級 | 高價值資產、核心系統、高階評鑑後發現之高風險項目 | | **方法** | 依據「資通系統防護需求分級原則」直接判定 | 針對資產進行深度識別，分析威脅與弱點 | | **優點** | 快速、成本低、易於執行 | 精確、能找出具體技術弱點 | | **缺點** | 較粗略，可能遺漏特定細節 | 耗時、需專業技術與較多資源 | ### 3.3.2 資通系統安全等級評估 (CIA + L) 評估資通系統在以下四個構面受損時的衝擊程度（普/中/高）： 1. **機密性** (Confidentiality)：資料外洩的影響。 2. **完整性** (Integrity)：資料遭竄改的影響。 3. **可用性** (Availability)：系統中斷服務的影響。 4. **法律遵循性** (Legal Compliance)：違反法規的後果（行政罰、刑事責任）。 > **Memo**: 最終系統的安全等級（普/中/高）通常取決於上述構面中**最高**的那個等級（木桶理論的相反，取決於最嚴重的後果）。 --- ## 3.4 風險處理之作法 (Risk Treatment) 當風險超過可接受水準時，需採取行動。主要有四種策略： ### 1. 風險修改 (Risk Modification) / 降低 (Mitigation) * **定義**：採取控制措施來降低風險發生的可能性或影響。 * **作法**：安裝防火牆、修補漏洞、實施教育訓練。 * *這是最常見的處理方式。* ### 2. 風險留存 (Risk Retention) * **定義**：在了解風險後，決定不採取額外行動，維持現狀。 * **適用**：風險極低，或處理成本高於潛在損失。 ### 3. 風險避免 (Risk Avoidance) * **定義**：停止產生風險的活動。 * **作法**：關閉不必要的服務、停止使用高風險的舊系統、放棄某項高風險業務。 ### 4. 風險分擔 (Risk Sharing) / 轉移 (Transfer) * **定義**：將風險轉嫁給第三方。 * **作法**：購買資安保險、將業務委外（但在法規上，法律責任通常無法完全轉移，僅能轉移財務損失）。 --- ## 3.5 風險接受之作法 * **殘餘風險 (Residual Risk)**：實施資安控管措施後，仍然剩餘的風險。 * **風險接受決策**： * 必須由適當層級的管理階層簽核同意（例如：高風險需由機關首長簽核）。 * 確認殘餘風險已降至「可接受風險水準」以下。 --- ## 3.6 國際相關防禦及管理標準 * **NIST CSF 2.0**：「識別(Idenfify)」、「保護(Protect)」、「偵測(Dectect)」、「回應(Respond)」、「治理(Govern)」 ### 💡 總結：風險管理流程圖 ```mermaid graph LR A[全景建立] --> B[風險評鑑] B --> C{風險是否可接受?} C -- Yes --> D[風險留存/接受] C -- No --> E[風險處理] E --> F(修改/避免/分擔) F --> G[評估殘餘風險] G --> C ``` --- ### 第 3 單元：資通安全風險管理 #### 1. 在資通安全風險管理中，「風險」的定義是什麼？ - $A$ 威脅本身的存在。 - $B$ 資產的脆弱性。 - $C$ 威脅利用其相對應脆弱性，造成組織或政府機關資訊資產受到衝擊的可能性。 - $D$ 資安攻擊造成的直接財務損失。 > **答案：C** --- #### 2. 資通安全風險管理的最終目標是什麼？ - $A$ 達到絕對的安全性，不計成本。 - $B$ 在最低的防護成本投入下獲得最佳化的安全性。 - $C$ 將所有資安風險完全消除。 - $D$ 以符合法規最低標準為目標，不考慮其他資安提升措施。 > **答案：B** --- #### 3. 在風險管理的全景建立中，進行風險評鑑與實作資安各項防護控制措施前，應識別哪些方面的安全需求？ - $A$ 識別資安需求時，主要關注組織內部環境，不包括外部因素。 - $B$ 識別資安需求時，主要關注外部環境，不包括內部因素。 - $C$ 應識別機關內、外各方面的安全需求。 - $D$ 識別資安需求時，重心放在技術能力與經費預算，可忽略其他重要方面。 > **答案：C** --- #### 4. 關於「高階風險評鑑」方法的優點，以下何者敘述不正確？ - $A$ 一開始採用較簡便作法，容易獲得參與人員接受。 - $B$ 評鑑結果較為精確，能識別所有營運過程或系統的潛在風險。 - $C$ 把握時效，讓最關鍵且需受保護的資通系統優先被提出與實作。 - $D$ 可將資源與預算運用於最有利之處。 > **答案：B** --- #### 5. 在資通系統安全等級設定中，若某資通系統資料外洩將「危及國家安全」，或涉及「特殊屬性之個人資料」外洩導致相關個人身心受到危害，則其「機密性」應被評定為哪個等級？ - $A$ 高級 - $B$ 中級 - $C$ 普級 - $D$ 無法評估 > **答案：A** --- #### 6. 下列哪種風險評鑑作法是對資產進行深度識別與鑑別，並詳細列出可能面臨威脅與可能存在的弱點？ - $A$ 高階風險評鑑作法 - $B$ 普級風險評鑑作法 - $C$ 詳細風險評鑑作法 - $D$ 簡易風險評鑑作法 > **答案：C** --- #### 7. 在建立風險評鑑組織時，建議應如何組建，以避免產出結果過於主觀？ - $A$ 由資訊人員或資安人員全權執行，不需徵詢其他部門的意見。 - $B$ 由單一成員執行所有資通系統風險評鑑工作。 - $C$ 建議成立「跨部門」風險評鑑組織，並宜包含熟悉業務的承辦人員。 - $D$ 由高層主管主導評鑑，不需納入跨部門的多元觀點。 > **答案：C** --- #### 8. 當機關面對風險時，若決定不採取額外行動，而是接受風險可能帶來的後果，這種風險處理方式稱為什麼？ - $A$ 風險修改 - $B$ 風險避免 - $C$ 風險分擔 - $D$ 風險留存 > **答案：D** --- #### 9. 針對社交工程攻擊，除了進行演練作業外，本課程指出最經濟有效的控制措施是什麼？ - $A$ 透過部署高階防火牆即可有效防禦社交工程攻擊。 - $B$ 強化認知訓練與宣導。 - $C$ 移除所有對外連線。 - $D$ 購買資安保險。 > **答案：B** --- #### 10. 將因機房設備損壞造成的損失風險轉移給保險公司，這種風險處理方式屬於哪一種？ - $A$ 風險避免 - $B$ 風險修改 - $C$ 風險分擔 - $D$ 風險留存 > **答案：C** --- # 第四章：資通安全管理面暨認知與訓練應辦事項 > **學習目標** > 1. 熟悉資通系統分級與防護基準之操作。 > 2. 了解 ISMS 導入、專責人員配置及內部稽核之法規要求。 > 3. 掌握業務持續運作演練 (BCP) 之關鍵指標 (RTO, RPO)。 > 4. 認識資安治理成熟度評估模型。 > 5. 釐清各類人員之資安教育訓練與證照需求。 --- ## 4.1 資通系統分級與防護基準為有效分配資安資源，機關須對資通系統進行分級，並實施對應強度的防護措施。 ### 4.1.1 資通系統防護需求分級依據 **機密性 `(C)`、完整性 `(I)`、可用性 `(A)`** 及 **法律遵循性 `(L)`** 之衝擊程度，將系統分為三級： * **高 (High)**：發生資安事件將造成**非常嚴重**或**災難性**影響（如涉及國家機密、關鍵基礎設施）。 * **中 (Medium)**：發生資安事件將造成**嚴重**影響（如涉及敏感個資、區域性服務中斷）。 * **普 (Low)**：發生資安事件將造成**有限**影響（如一般公開資訊網站）。 ### 4.1.2 防護基準 (Security Baselines) 依據系統分級結果，需落實對應的控制措施（詳見 CNS 27001 附錄 A 或資通安全責任等級分級辦法附表十）： * **普級系統**：需符合基本防護要求（如：密碼複雜度、定期更新）。 * **中級系統**：需符合普級 + 進階要求（如：進階存取控制、加密傳輸）。 * **高級系統**：需符合中級 + 嚴格要求（如：實體隔離、多因子認證、異地備援）。 --- ## 4.2 ISMS 之導入及通過驗證資訊安全管理系統 (ISMS) 是一套系統化的管理制度（如 ISO 27001）。 ### 4.2.1 導入與驗證規定依據資安責任等級要求： * **A 級、B 級機關**： * 全部核心資通系統須導入 CNS 27001 或 ISO 27001。 * **3 年內**需通過公正第三方驗證，並持續維持有效性。 * **C 級、D 級、E 級機關**：未強制要求導入，但鼓勵參考辦理。 ### 4.2.2 相關標準 * **ISO/IEC 27001**：ISMS 驗證標準（要求事項）。 * **ISO/IEC 27002**：資安控制措施實作指引（Best Practice）。 --- ## 4.3 資通安全專責人員機關應配置適當人力以推動資安業務。 ### 4.3.1 人力配置要求 * **資安專職人員**： * **A 級**：專職人員 4 人（其中相關專業證照 2 人）。 * **B 級**：專職人員 2 人（其中相關專業證照 1 人）。 * **C 級**：專職人員 1 人（其中相關專業證照 1 人）。 --- ## 4.4 內部資通安全稽核透過定期稽核，檢查資安規定是否被落實。 ### 4.4.1 稽核規定 * **頻率**： * **A 級**：每年2次。 * **B 級**：每年1次。 * **C 級**：每2年1次。 * **資通安全稽核分成三類**： * 第一方稽核：內部稽核。 * 第二方稽核：稽核委外廠商。 * 第三方稽核：公正第三方ISMS驗證。 --- ## 4.5 業務持續運作演練 (BCP) 確保災難發生時，核心業務能在可容忍時間內恢復。 * **頻率**： * **A 級**：全部核心資通系統，每年1次。 * **B 級**：全部核心資通系統，每2年1次。 * **C 級**：全部核心資通系統，每2年1次。 ### 4.5.1 關鍵時間指標 (Time Metrics) * **RPO (Recovery Point Objective, 復原點目標)**： * 定義：能容忍**資料遺失**的最大時間長度。 * 關聯：決定**備份頻率**（如 RPO=4小時，則至少每4小時備份一次）。 * **RTO (Recovery Time Objective, 復原時間目標)**： * 定義：從災害發生到**服務恢復運作**所允許的最大時間長度。 * 關聯：決定**備援機制**（如熱備援、溫備援）。 * **MTPD (Maximum Tolerable Period of Disruption, 最大可容忍中斷時間)**： * 通常 MTPD = RTO + WRT (工作復原時間) > [!NOTE] > **關於 MTPD 的補充說明** > > 上述「MTPD = RTO + WRT」是課本的寫法，我參考金管會轄下證交所[「資訊作業韌性參考指引」](https://twse-regulation.twse.com.tw/m/LawContent.aspx?FID=FL099445)的理解如下： > > - **MTPD** 是業務面的容忍上限，指的是「多久內若未恢復到最小可接受服務水準，將造成不可接受的衝擊」，屬於**業務目標** > - **最小可接受服務水準**（金管會用語，類似 CISM 的服務交付目標 (SDO) 或 ISO 的最低營運水準(MBCO)）是業務與技術約定的「最低限度運作水準」 > - **RTO** 是技術人員承諾在多久內恢復到最小可接受服務水準，屬於**技術目標（SLA）** > - 因此關係應為 **MTPD ≥ RTO** > > 📌 **舉例**：公司有 4 個服務櫃台 > - MTPD = 12 小時（業務說：超過就嚴重影響營運） > - 最小可接受服務水準 = 至少 1 個櫃台運作 > - RTO = 8 小時（技術承諾：8 小時內恢復到最小可接受服務水準） > > ⚠️ 不同框架（ISO 22301、NIST、CISM、CISSP）對這些術語定義略有出入，**考試時請以該認證官方教材為準**。 > > ⚠️ 金管會的定義中，RTO 明確是恢復到「最小可接受服務水準」。雖然 MTPD 沒有明確定義終點，但從邏輯上推論，MTPD 應該是達到最小可接受服務水準的時間上限，也就是 **MTPD ≥ RTO**。 > - 簡單來說，課本的MTPD指的是完全恢復，我的定義是恢復到最小可接受服務水準。 ![業務連續性時間指標關係圖](https://hackmd.io/_uploads/Syq93mHS-x.png) ### 4.5.2 業務持續運作 - 管理程序 * 有以下七個步驟： * 1. 建立業務持續運作策略。 * 2. 營運衝擊分析。 (BIA) * 3. 識別防禦性控制措施。 * 4. 發展復原策略。 * 5. 發展營運持續計畫。 (BCP) * 6. 測試與演練。 * 7. 維護營運持續計畫。 (BCP) ### 4.5.3 演練規定 * **A 級**：每年至少 1 次。 * **B 級**：每 2 年至少 1 次。 * **C 級**：每 2 年至少 1 次。 * **演練情境**：應包含社交工程、系統中斷、資料復原等複合式情境。 --- ## 4.6 資通安全治理成熟度 * **A 級**：每年至少 1 次。 * **B 級**：每年至少 1 次。公務機關需評估資安治理的落實程度。 ### 4.6.1 成熟度等級 (Maturity Levels) 依據 ISO/IEC 33004 標準分為 6 級： * **Level 0 (未成熟型)**：未執行基本流程。 * **Level 1 (基礎型)**：流程可支持業務，達基本要求。 * **Level 2 (管理型)**：有規劃、執行及監督。 * **Level 3 (制度化型)**：**標準化**流程並成為常規。 * **Level 4 (可預測型)**：量化管理，可預測結果。 * **Level 5 (創新型)**：持續優化與創新。 --- ## 4.7 資通安全教育訓練人是資安最弱的一環，需透過訓練提升意識。 ### 4.7.1 應辦事項 (每年時數要求) | 對象 | A 級 | B 級 | C 級 | D/E 級 | | :--- | :--- | :--- | :--- | :--- | | **資安專職人員** | 專業課程 **12** 小時 | 專業課程 **12** 小時 | 專業課程 **12** 小時 | - | | **資訊人員** | 每兩年專業課程 **3** 小時 每年通識課程 **3** 小時 | 每兩年專業課程 **3** 小時 每年通識課程 **3** 小時 | 每兩年專業課程 **3** 小時 每年通識課程 **3** 小時 | - | | **一般使用者** | 通識課程 **3** 小時 | 通識課程 **3** 小時 | 通識課程 **3** 小時 | 通識 3 小時 | | **主管** | 主管課程 **3** 小時 | 主管課程 **3** 小時 | 主管課程 **3** 小時 | - | | **資通安全專業證照及職能訓練證書** |至少4名|至少2名|至少1名|| --- ## 4.8 資通安全專業證照鼓勵資安人員取得國際或國內認可之證照，以證明專業能力。 ### 4.8.1 常見證照類別 * **管理類**：*ISO 27001 LA (主導稽核員)、CISA (國際電腦稽核師)、CISSP (資安系統專家)。 * **技術類**：**iPAS 資訊安全工程師中級能力鑑定、CompTIA Security+、CEH (道德駭客)、CCSP (雲端安全專業人員認證)、OSCP+。 * **數位發展部認可**：需參考資安署公告之「[資通安全專業證照清單](https://moda.gov.tw/ACS/laws/certificates/676)」。 > *Lead Auditor 相關證照應具有效性，除提出證照外，尚須提供當年度至少有2次實際參與該證照內容有關之稽核經驗證明。 > **唯一國家經濟部認可。 ### 💡 總結：應辦事項 Check List - [ ] 核心系統是否已完成分級並落實防護基準？ - [ ] A/B 級機關是否已導入 ISMS 並通過第三方驗證？ - [ ] 資安專職人員是否已配置並完成 12 小時訓練？ - [ ] 每年是否已完成內部稽核與 BCP 演練？ - [ ] 備份機制是否符合 RPO 與 RTO 目標？ --- ### 第 4 單元：資通安全管理面暨認知與訓練應辦事項 #### 1. 依據資通安全責任等級機關應辦事項規定，A 級機關初次受核定或等級變更後，應在多久時間內完成資通系統分級並完成附表十的控制措施？ - $A$ 1 年內 - $B$ 2 年內 - $C$ 3 年內 - $D$ 無明確時程要求 > **答案：A** --- #### 2. 依據附表九資通系統防護需求分級原則，當資通系統發生資安事件導致「未經授權之資訊揭露」，對機關營運、資產或信譽產生「嚴重」影響時，其「機密性」防護需求應評定為哪個等級？ - $A$ 普 - $B$ 中 - $C$ 高 - $D$ 極高 > **答案：B** --- #### 3. 依據資通安全管理面應辦事項，公務機關 A 級及 B 級的「核心資通系統」應在初次受核定或等級變更後多久完成 ISO 27001 或 CNS 27001 等資訊安全管理系統的導入？ - $A$ 1 年內 - $B$ 2 年內 - $C$ 3 年內 - $D$ 無要求 > **答案：B** --- #### 4. 依據《資通安全責任等級分級辦法》規定，A 級公務機關應在機關初次受核定或等級變更後多久時間內，配置幾位資通安全專職人員？ - $A$ 1 年內，2 人 - $B$ 1 年內，4 人 - $C$ 2 年內，2 人 - $D$ 2 年內，4 人 > **答案：B** --- #### 5. 關於資通安全稽核的類別，以下何者是組織內部的自我檢查，通常稽核範圍為「全機關」？ - $A$ 第一方稽核 - $B$ 第二方稽核 - $C$ 第三方稽核 - $D$ 外部稽核 > **答案：A** --- #### 6. 業務持續運作演練中，「復原時間點目標 $RPO$」主要定義了什麼？ - $A$ 系統從中斷後至恢復服務所需的最大可容忍時間。 - $B$ 完成備份還原測試所需的時間。 - $C$ 業務中斷後，對組織可能造成的最大不利衝擊時間。 - $D$ 系統可容忍資料損失的最大時間要求。 > **答案：D** --- #### 7. 關於資安治理與資安管理的區分，以下何者敘述正確？ - $A$ 資安治理由資安長主導，資安管理由機關首長主導。 - $B$ 資安治理負責具體執行資安措施，資安管理負責提供指導與監視。 - $C$ 資安治理從組織需求出發，提供指導與監視；資安管理負責規劃、建立、執行與監督。 - $D$ 兩者權責範圍完全相同，沒有區分必要。 > **答案：C** --- #### 8. 在資安治理成熟度評估中，Level 3「標準化流程 $Established Process$」的定義為何？ - $A$ 該流程尚未建立或無法達成目標。 - $B$ 該流程之執行結果已達到預先設定目標。 - $C$ 該流程已被標準化，並且已被有效地部署於組織中。 - $D$ 該流程可透過衡量結果了解執行成效，且流程已被量化管理。 > **答案：C** --- #### 9. 依據資安認知與訓練應辦事項，一般使用者及主管（A、B、C、D 級機關）每年至少應接受多少小時的資通安全通識教育訓練？ - $A$ 1 小時 - $B$ 3 小時 - $C$ 6 小時 - $D$ 12 小時 > **答案：B** --- #### 10. 在業務持續運作的「管理程序」中，特別強調成功執行業務持續運作的關鍵，除了高階管理人員的認同與支持外，還需要哪些部門的投入？ - $A$ 資訊部門的投入是唯一必要的。 - $B$ 成功運作僅需高階管理層和資安部門的投入，其他部門的角色無關緊要。 - $C$ 必須是核心業務所有相關部門投入，而非僅是資訊部門的責任。 - $D$ 外部顧問的投入足以確保成功，無需內部資源參與。 > **答案：C** --- # 第五章：資通系統防護控制措施 [TOC] :::info **🎯 學習目標** 1. **存取控制**：理解最小權限、職務區隔與帳號管理原則。 2. **可歸責性**：掌握日誌 (Log) 管理、NTP 校時與保存要求。 3. **營運持續**：區分 RTO (復原時間) 與 RPO (復原點) 之差異。 4. **身分鑑別**：認識多因子鑑別 (MFA) 與密碼安全。 5. **加密技術**：理解對稱/非對稱加密與數位簽章原理。 6. **系統生命週期**：了解 SSDLC 各階段之資安要求。 ::: --- ## 5.1 存取控制 (Access Control) 限制對系統資源的存取，確保僅授權人員可接觸。 ### 5.1.1 帳號管理 * **生命週期管理**：涵蓋帳號的申請、建立、啟用、停用及刪除程序。 * **閒置控管**： * 定義閒置時間（如 15 分鐘無動作），系統應自動登出。 * 長期未使用的「閒置帳號」應被停用。 * 臨時/緊急帳號逾期應立即刪除。 * **監控**：持續監控帳號的異常使用行為（如非上班時間大量存取）。 ### 5.1.2 權限原則 (三大鐵律) :::success **考試重點：權限管理三原則** 1. **最小權限原則 (Least Privilege)**：僅開放使用者完成任務所需的「最少」權限。 2. **業務僅知原則 (Need-to-Know)**：只提供執行業務所需的資訊，不讓其接觸無關的敏感資料。 3. **職務區隔 (Separation of Duties)**：避免單一人員掌握過大權力，需多人制衡（例如：開發人員不應擁有正式環境的修改權限）。 ::: ### 5.1.3 遠端存取 * **授權制**：所有遠端存取（如在家辦公、廠商維護）均需事先授權。 * **加密通道**：必須透過加密連線（如 VPN）。 * **來源管制**：限制可連線的來源 IP 或設備。 * **不落地原則**：權限檢查應在伺服器端完成，避免依賴客戶端檢查。 --- ## 5.2 事件日誌與可歸責性 (Event Logging) 凡走過必留下痕跡，確保資安事件可被追蹤與分析。 ### 5.2.1 日誌管理要求 * **記錄內容**：應包含使用者 ID、事件時間、事件類型（成功/失敗）、來源 IP、存取標的。 * **時戳與校時 (NTP)**： * 系統內部時鐘需定期與標準時間源（如國家時間與頻率標準實驗室）同步。 * 目的：確保跨系統分析日誌時，時間點是一致的 (Correlation)。 * **日誌保護**： * **存取控制**：日誌檔僅管理員可讀。 * **完整性保護**：使用雜湊函數 (Hash) 確保日誌未被竄改。 * **異地備份**：日誌應拋送至獨立的 **Log Server**，防止駭客入侵後刪除紀錄 (WORM 儲存媒體佳)。 --- ## 5.3 營運持續計畫 (BCP) 確保災害發生時，核心業務能持續運作或快速恢復。 ### 5.3.1 關鍵時間指標 :::danger **⚠️ RPO vs RTO (極易混淆，必背)** | 指標 | 全名 | 定義 | 關注點 | 範例 | | :--- | :--- | :--- | :--- | :--- | | **RPO** | Recovery Point Objective | 復原點目標 | **資料損失量** | RPO=4hr，代表備份頻率每4小時一次，災難發生最多損失4小時資料。 | | **RTO** | Recovery Time Objective | 復原時間目標 | **服務中斷時間** | RTO=2hr，代表系統當機後，必須在2小時內修復完畢並恢復服務。 | ::: * **MTPD (最大可容忍中斷時間)**：業務無法運作導致組織無法生存的最大極限時間。 * 公式概念：$MTPD \ge RTO + WRT$ (Work Recovery Time) ### 5.3.2 備份策略 1. **完整備份 (Full Backup)**：備份所有資料。復原最快，但備份最久、最佔空間。 2. **差異備份 (Differential Backup)**：備份自「上次完整備份」後變更的資料。 3. **增量備份 (Incremental Backup)**：備份自「上一次備份（無論完整或增量）」後變更的資料。備份最快，但復原最慢（需依序回補）。 * **3-2-1 備份原則**：至少 **3** 份備份、使用 **2** 種不同媒體、其中 **1** 份異地保存。 --- ## 5.4 識別與鑑別 (Identification & Authentication) 確認「你是誰 (ID)」以及「驗證你真的是你 (Auth)」。 ### 5.4.1 鑑別因子 1. **所知 (Something you know)**：密碼、PIN碼。 2. **所有 (Something you have)**：晶片卡、手機、OTP Token。 3. **所是 (Something you are)**：指紋、臉部辨識、虹膜。 :::warning **MFA 定義** **多因子鑑別 (MFA)** 必須結合上述 **兩種以上不同類型** 的因子。 * ✅ 密碼 (所知) + 手機簡訊 (所有) = MFA * ❌ 密碼 (所知) + PIN碼 (所知) = 🚫 不是 MFA (僅是雙重密碼) ::: ### 5.4.2 密碼安全實務 * 避免使用預設密碼 (Default Password)。 * 強制密碼複雜度（長度、大小寫、特殊符號）。 * 限制登入失敗次數（如 3 次錯誤鎖定帳號）。 --- ## 5.5 系統與服務獲得 (SSDLC) 將資安融入系統開發生命週期 (Secure SDLC)。 * **需求階段**：確認系統的資安需求（機密性、完整性等）。 * **設計階段**：進行威脅識別與風險評估 (Risk Assessment)。 * **開發階段**：執行 **源碼檢測 (Source Code Analysis)**，修正程式碼漏洞（如 SQL Injection）。 * **測試階段**：執行 **弱點掃描** 與 **滲透測試**。 * **部署階段**：進行版本控制，關閉不必要的服務與埠口 (Port)。 --- ## 5.6 系統與通訊保護 (Cryptography) ### 5.6.1 加解密技術比較 | 類型 | 金鑰數量 | 特性 | 常見演算法 | 適用場景 | | :--- | :--- | :--- | :--- | :--- | | **對稱式** | 1 把 (加密解密同一把) | 速度快，但金鑰傳遞困難 | AES, DES, 3DES | 大量資料加密 (如硬碟/檔案加密) | | **非對稱式** | 2 把 (公鑰加密、私鑰解密) | 速度慢，安全性高 | RSA, ECC | 身分鑑別、數位簽章、金鑰交換 | * **數位信封 (Digital Envelope)**：結合兩者優點。用「對稱金鑰」加密大量資料，再用接收者的「公鑰」加密那把對稱金鑰傳送。 ### 5.6.2 數位簽章 (Digital Signature) * **功能**：確保完整性 (Integrity)、鑑別性 (Authentication)、不可否認性 (Non-repudiation)。 * **原理**：發送者用 **私鑰** 簽署（加密雜湊值），接收者用 **公鑰** 驗證。 --- ## 5.7 系統與資訊完整性 * **漏洞修補 (Patch Management)**：定期更新修補程式，並於測試環境驗證後上線。 * **完整性監控**：使用自動化工具監控關鍵檔案（如 System32）是否被竄改（Hash 比對）。 * **輸入驗證 (Input Validation)**：檢查使用者輸入的資料（防止 XSS、SQL Injection），檢查應在 **伺服器端** 執行才有效。 --- ## 5.8 媒體控管 (Media Control) * **USB/可攜式設備**：原則上禁止使用，若必須使用需經核准並掃毒。 * **資料銷毀 (Sanitization)**： * **傳統硬碟 (HDD)**：消磁、實體破壞、覆寫。 > 📝 **註**：NIST 新觀點認為現代 HDD 進行 **單次覆寫 (Single Pass)** 已足夠安全。 * **固態硬碟 (SSD)**：**加密抹除 (Cryptographic Erase)** 為首選，單純覆寫對 SSD 效果不佳且耗損壽命。 --- ### 第 5 單元：資通系統防護控制措施 #### 1. 依據資通系統防護基準的「帳號管理」措施，以下哪項敘述是「普級」機關所需建立的基本要求？ - $A$ 機關應定義各系統之閒置時間。 - $B$ 資通系統閒置帳號應禁用。 - $C$ 建立帳號管理機制，包含帳號之申請、建立、修改、啟用、停用及刪除之程序。 - $D$ 監控資通系統帳號，如發現帳號違常使用時回報管理者。 > **答案：C** --- #### 2. 關於對稱式加解密演算法（如 AES），下列何者是其主要的特點？ - $A$ 加密與解密使用不同的金鑰。 - $B$ 無法保證資料機密性。 - $C$ 加解密速度比非對稱式慢。 - $D$ 加密與解密使用同一把金鑰。 > **答案：D** --- #### 3. 關於資通系統「日誌紀錄內容」的要求，以下何者是所有等級（普中高）遵循的「基本資訊內容」原則？ - $A$ 日誌應包含事件類型、發生時間、發生位置及相關使用者身分識別等資訊。 - $B$ 日誌記錄應僅限於系統層級的錯誤訊息，以減少儲存空間。 - $C$ 日誌資料只需在系統發生異常時才啟動記錄，平時可關閉。 - $D$ 日誌的輸出格式應能根據不同部門的需求，自訂多種樣式。 > **答案：A** --- #### 4. 關於營運持續計畫之「復原點目標」$RPO$，主要是衡量組織對下列何者的容忍度？ - $A$ 服務中斷的時間長度。 - $B$ 資料損失的時間量。 - $C$ 維修人員到場的速度。 - $D$ 設備更新的經費。 > **答案：B** --- #### 5. 在資料備份方式中，哪一種備份方式在還原時最為複雜，需要先還原最近一次的完整備份，然後依序還原所有自上次完整備份以來的備份？ - $A$ 完整備份。 - $B$ 差異備份。 - $C$ 增量備份。 - $D$ 鏡像備份。 > **答案：C** --- #### 6. 為了顯著提高身分驗證的強度，降低帳號被盜用的風險，資通系統存取應採取的鑑別技術是？ - $A$ 多因子鑑別技術。 - $B$ 變更預設密碼。 - $C$ 唯一識別功能。 - $D$ 帳戶鎖定機制。 > **答案：A** --- #### 7. 安全系統發展生命週期 $SSDLC$ 強調於專案各階段及早加入安全思維，以打造具備安全體質的資通系統。以下哪個選項「不是」SSDLC 的實作階段之一？ - $A$ 需求階段。 - $B$ 銷售階段。 - $C$ 開發階段。 - $D$ 部署與維運階段。 > **答案：B** --- #### 8. 關於加密金鑰或憑證的管理，以下何者敘述不正確？ - $A$ 加密金鑰或憑證應定期更換。 - $B$ 避免使用萬年憑證，增加被破解風險。 - $C$ 伺服器端之金鑰保管應訂定管理規範。 - $D$ 加密金鑰與加密資料應存放在同一位置，方便管理。 > **答案：D** --- #### 9. 關於系統漏洞修復的措施，以下何者是正確的？ - $A$ 系統漏洞修復應直接在正式環境進行，以節省時間。 - $B$ 只需注意廠商的安全通告，無需關注 CVE 等網站。 - $C$ 漏洞修復應測試有效性及潛在影響，並定期更新。 - $D$ 由弱點掃描檢出之系統漏洞，無需定期追蹤修復進度。 > **答案：C** --- #### 10. 在儲存媒體安全丟棄或銷毀前，應採取哪些措施以防止資料洩漏？ - $A$ 刪除資料後，無需進一步處理即可安全丟棄儲存媒體。 - $B$ 對儲存媒體進行實體破壞後，不須確認資料是否已被徹底銷毀。 - $C$ 應先安全的刪除資料或進行實體的破壞。 - $D$ 無需特別處理，直接丟棄即可。 > **答案：C** --- # 第六章：資通系統防護及偵測技術 [TOC] :::info **🎯 學習目標** 1. **惡意程式防護**：區分傳統防毒 (Antivirus) 與端點偵測回應 (EDR) 之差異。 2. **防火牆技術**：掌握封包過濾、狀態檢查 (SPI) 與應用層閘道 (Proxy) 的運作層級。 3. **入侵偵測**：比較 IDS (監聽) 與 IPS (阻擋)、特徵比對 (Signature) 與異常偵測 (Anomaly)。 4. **政府組態基準 (GCB)**：了解 GCB 的目的、適用範圍與導入流程。 ::: --- ## 6.1 惡意程式防護 (Malware Protection) ### 6.1.1 傳統防毒軟體 (Antivirus) * **運作原理**：主要依賴 **特徵碼 (Signature)** 比對。 * **限制**：只能偵測「已知」的病毒，對於變種病毒或 Zero-day 攻擊防禦力較差。 * **防護方式**： * 即時掃描 (Real-time protection)。 * 排程掃描。 ### 6.1.2 端點偵測與回應 (EDR) * **定義**：Endpoint Detection and Response。 * **運作原理**：收集端點的行為數據（如 Process、Registry、Network 連線），透過 **行為分析 (Behavior Analysis)** 找出異常。 * **優勢**：可偵測「未知」威脅及無檔案攻擊 (Fileless Malware)，並提供事件調查與回應功能。 --- ## 6.2 網路防火牆 (Network Firewall) ### 6.2.1 防火牆類型比較 [考試重點] | 類型 | 運作層級 (OSI) | 特性 | 優點 | 缺點 | | :--- | :--- | :--- | :--- | :--- | | **封包過濾** (Packet Filter) | L3 (網路層) L4 (傳輸層) | 檢查 IP、Port、Protocol (如 TCP/80)。不檢查內容。 | 速度最快、成本低。 | 無法防禦應用層攻擊 (如 SQLi)；無法追蹤連線狀態。 | | **狀態檢查** (SPI, Stateful Packet Inspection) | L3, L4 | 建立 **連線狀態表 (State Table)**，檢查封包是否屬於合法連線的回應。 | 效能佳，比封包過濾更安全（防禦 ACK Scan）。 | 仍難以防禦複雜的應用層攻擊。 | | **應用層閘道** (Application Gateway / Proxy) | L7 (應用層) | 代理人角色。能深入檢查封包內容 (Payload)。 | 安全性最高，可做內容過濾。 | 效能最差（需拆解封包），每種服務需特定 Proxy。 | ### 6.2.2 網路區域架構 * **DMZ (非軍事區)**：放置 **對外服務** 的伺服器（Web, Mail, DNS）。 * 外部網路 (Internet) ➡ 可存取 ➡ DMZ * DMZ ➡ **禁止主動存取** ➡ 內部網路 (Intranet) * **雙重宿主主機 (Dual-Homed Host)**：一台主機有兩張網卡，分別連接內外網，充當防火牆。 --- ## 6.3 入侵偵測與防禦系統 (IDS / IPS) ### 6.3.1 功能差異 * **IDS (Intrusion Detection System)**： * **旁路監聽 (Passive)**：複製流量進行分析 (Mirror Port)。 * **功能**：發現攻擊時發出 **告警 (Alert)**，**不會** 主動阻擋連線。 * **優點**：不影響網路效能與傳輸。 * **IPS (Intrusion Prevention System)**： * **串接 (Inline)**：流量實際流經設備。 * **功能**：發現攻擊時直接 **阻擋 (Block/Drop)**。 * **優點**：即時防護；**缺點**：誤判 (False Positive) 會導致正常服務中斷。 ### 6.3.2 偵測技術 :::success **💡 特徵 vs 異常 (必考觀念)** 1. **誤用偵測 (Misuse Detection) / 特徵比對 (Signature-based)**： * 建立攻擊特徵資料庫（黑名單）。 * **優點**：誤判率低 (False Positive 低)。 * **缺點**：無法偵測未知攻擊 (Zero-day)。 2. **異常偵測 (Anomaly Detection) / 行為分析 (Behavior-based)**： * 建立「正常行為」的基準線 (Baseline)。 * **優點**：可發現未知攻擊。 * **缺點**：誤判率高（正常的大流量可能被視為攻擊）。 ::: --- ## 6.4 網頁應用程式防火牆 (WAF) * **定位**：專門防護 **L7 網頁層** 攻擊。 * **防護對象**：SQL Injection, XSS, Path Traversal 等 OWASP Top 10 攻擊。 * **與傳統防火牆差異**：傳統防火牆管 IP/Port (L3/L4)，WAF 管 HTTP/HTTPS 內容 (L7)。 --- ## 6.5 進階持續性威脅防護 (APT) 與沙箱 * **沙箱 (Sandbox)**： * 建立一個隔離的虛擬環境。 * 讓可疑檔案在裡面實際執行，觀察其行為（是否偷改 Registry、是否連線 C2 Server）。 * 專門用來對付 **未知惡意程式**。 --- ## 6.6 其他防護設備 * **郵件安全閘道 (Email Security Gateway)**：過濾垃圾郵件 (Spam)、釣魚郵件 (Phishing)、惡意附檔。 * **資料外洩防護 (DLP)**：偵測並阻擋機敏資料（如身分證、信用卡號）被傳送出企業邊界。 --- ## 6.8 政府組態基準 (GCB) ### 6.8.1 基本概念 * **全名**：Government Configuration Baseline。 * **目的**：規範資通設備的 **一致性安全設定**，以降低被攻擊面 (Attack Surface)。 * **適用對象**： 1. **作業系統**：Windows, RedHat Linux 等。 2. **瀏覽器**：Edge, Chrome, Firefox。 3. **網通設備**：防火牆 (Firewall) 等。 4. **應用程式**：IIS, Apache 等。 ### 6.8.2 設定範例 * **帳號原則**：設定密碼長度最小值、密碼最長使用期限。 * **鎖定原則**：帳號鎖定閾值 (幾次錯誤鎖定)、重設鎖定計數器時間。 * **審核原則**：啟用登入/登出稽核、物件存取稽核。 * **安全性選項**： * * 關閉自動播放 (Autorun)。 * 不顯示最後登入的使用者名稱。 * 閒置時間自動登出或鎖定螢幕。 ### 6.8.3 導入管理 * **例外管理**： * 若因舊系統相容性導致無法套用某項 GCB 設定。 * 必須填寫 **例外排除申請單**，經權責主管核准後方可排除，並需定期審查。 * **檢測工具**：使用政府提供的 GCB 檢測工具掃描，確認合規率（通常要求 100% 合規或有例外核准）。 --- :::warning **📝 考試重點總結** 1. **封包過濾 vs Proxy**：誰快？誰安全？(過濾快、Proxy安全)。 2. **IDS vs IPS**：誰會阻擋？(IPS)。誰要串接？(IPS)。 3. **Signature vs Anomaly**：誰能抓未知攻擊？(Anomaly)。誰誤判低？(Signature)。 4. **GCB**：是為了「一致性安全設定」。若不能套用要走「例外管理」。 ::: --- ### 第 6 單元：資通安全技術面應辦事項-資通安全防護及偵測 #### 1. 防毒軟體在資通安全防護與偵測措施中扮演重要角色，其主要用途是防範下列哪一類的惡意程式入侵電腦軟體或系統？ - $A$ 僅限於防範傳統型態的電腦病毒。 - $B$ 蠕蟲、間諜軟體、後門程式及木馬程式。 - $C$ 主要用於加密網路通訊，而非防範惡意程式。 - $D$ 僅限於防範勒索軟體，不包含其他惡意程式。 > **答案：B** --- #### 2. 關於防毒軟體的管理重點，以下哪項敘述是不正確？ - $A$ 應定期自動更新病毒碼。 - $B$ 病毒感染的事件與趨勢應定期分析。 - $C$ 應避免未安裝防毒軟體的電腦上線。 - $D$ 「個人電腦與伺服器防毒系統」與「防毒匣道系統」應採用相同廠牌以簡化管理。 > **答案：D** --- #### 3. 網路防火牆的主要功能是什麼？ - $A$ 其唯一功能是監測內部網路的流量，不涉及外部連線。 - $B$ 限制不必要的服務埠號開啟，僅允許必要的服務連線。 - $C$ 網路防火牆的功能僅限於阻擋已知的惡意軟體入侵。 - $D$ 主要用於加密網路通訊。 > **答案：B** --- #### 4. 關於網路防火牆的管理重點，以下哪項是確保其安全有效運作的關鍵？ - $A$ 防火牆存取規則的變更無需管理程序。 - $B$ 防火牆存取紀錄無需即時匯出，定期備份即可。 - $C$ 定期產出異常存取統計分析報表，進行異常處理。 - $D$ 防火牆存取控管規則終身無需盤查。 > **答案：C** --- #### 5. 電子郵件過濾機制的核心管理重點之一，是如何處理其規則的變更？ - $A$ 規則變更由系統自動完成，無需人工介入。 - $B$ 規則變更應建立管理程序，包含變更申請、核准及記錄。 - $C$ 規則變更頻率越快越好，不需考量影響。 - $D$ 規則變更僅由技術人員私下進行。 > **答案：B** --- #### 6. 在選購電子郵件過濾機制時，除了其判斷垃圾郵件的精準度外，建議機關還應考量哪些其他重要因素，以確保機制能全面符合業務需求？ - $A$ 僅需關注是否提供基礎的郵件收發功能。 - $B$ 主要考量系統的硬體規格是否為最高級別。 - $C$ 應評估對於中文信件或多國語言的支援能力。 - $D$ 僅需確認系統的初始購買成本是否最低。 > **答案：C** --- #### 7. 面對 APT（進階持續性威脅）攻擊，除了加強防禦，還應具備哪種能力，以應對攻擊後的影響？ - $A$ 只需要部署單一高階資安設備即可全面應對。 - $B$ 提升系統效能以加速攻擊。 - $C$ 透過備份管理等機制進行快速復原。 - $D$ 減少資安事件日誌紀錄。 > **答案：C** --- #### 8. 為了有效防禦 APT 攻擊，透過哪種機制可提升安全防禦策略及戰略的部署？ - $A$ 完全依賴內部資安團隊的分析，不參考外部資訊。 - $B$ 透過跨機關的資安聯防機制、情資的交換機制。 - $C$ 專注於修補已知漏洞，不需情資共享。 - $D$ 減少對外部威脅情資的關注。 > **答案：B** --- #### 9. 關於「政府組態基準 $GCB$」的目的和部署範圍，以下敘述何者不正確？ - $A$ GCB 目的在於發展一致性安全組態設定。 - $B$ GCB 可提升政府機關資通訊設備之資安防護。 - $C$ GCB 部署範圍僅限於伺服器。 - $D$ GCB 的導入是 A 級與 B 級公務機關必須辦理的事項。 > **答案：C** --- #### 10. 在組態變更管理中，當 IT 系統的組態變更時，下列哪一項層面是應特別考量的？ - $A$ 進行組態變更時，考量重點僅在於系統功能是否正常運行。 - $B$ 應考量可用性影響、安全組態影響及存取控制影響。 - $C$ 組態變更評估時，唯一需考慮的因素是變更所產生的成本。 - $D$ 變更後無需更新組態管理資料庫。 > **答案：B** --- # 第七章：資通安全技術面應辦事項 (安全性檢測及資通安全健診) > **學習目標** > 1. 區分「弱點掃描」與「滲透測試」之差異與執行時機。 > 2. 了解應用程式安全開發 (SSDLC) 與源碼檢測的重要性。 > 3. 掌握資通安全健診的執行項目（架構檢視、封包分析等）。 > 4. 認識實體安全防護（環境監控、門禁管制）之關鍵要求。 --- ## 7.1 安全性檢測概論安全性檢測是驗證資安防護有效性的關鍵手段，如同定期的健康檢查。 * **目的**：主動發現系統漏洞，驗證修補成效，符合合規要求（如 ISO 27001, 資安法）。 * **分類**：依據檢測深度與標的，可分為弱點掃描、滲透測試、源碼檢測等。 --- ## 7.2 弱點掃描 (Vulnerability Scanning) 利用自動化工具掃描系統，比對已知漏洞資料庫（如 CVE），快速找出潛在風險。 ### 7.2.1 掃描類型 * **系統弱點掃描**：針對作業系統 (OS)、資料庫、網路設備。 * *常見發現*：未更新的 Patch、預設密碼、開啟不必要的 Port。 * **網頁弱點掃描 (Web Scan)**：針對 Web 應用程式。 * *常見發現*：XSS、SQL Injection、設定錯誤。 ### 7.2.2 執行頻率 (資安法要求) * **A/B 級機關**：每半年至少辦理 1 次。 * **C 級機關**：每年至少辦理 1 次。 > **Note**: 掃描報告產出後，必須針對「高風險」及「中風險」弱點進行修補，並執行複測 (Rescan) 以確保修補完成。 --- ## 7.3 滲透測試 (Penetration Test) 模擬駭客思維與攻擊手法，人工嘗試入侵系統，以挖掘邏輯性或深層漏洞。 ### 7.3.1 測試類型 (依資訊透明度) * **黑箱測試 (Black Box)**：模擬外部駭客，無任何內部資訊，從零開始攻擊。 * **白箱測試 (White Box)**：提供完整資訊（如原始碼、架構圖、帳號），測試覆蓋率最高。 * **灰箱測試 (Grey Box)**：介於兩者之間，提供部分資訊（如一般使用者帳號）。 ### 7.3.2 執行頻率 * **A 級機關**：核心資通系統，每年至少 1 次。 * **B 級機關**：核心資通系統，每 2 年至少 1 次。 --- ## 7.4 應用程式安全將資安融入軟體開發生命週期 (SSDLC)，從源頭降低風險。 ### 7.4.1 源碼檢測 (Source Code Analysis) * **定義**：使用工具或人工審查程式原始碼，找出編碼漏洞（如寫死的密碼、未過濾的輸入）。 * **白箱檢測**：直接分析 Code，能指出具體錯誤行數。 * **要求**：委外開發之系統，驗收時通常要求提供源碼檢測無高風險弱點證明。 ### 7.4.2 開發安全規範 * **輸入驗證**：所有使用者輸入皆視為不可信，需過濾特殊字元。 * **錯誤處理**：錯誤訊息不應洩露系統細節（如 Stack Trace）。 * **身分驗證**：Session ID 應具隨機性且加密傳輸。 --- ## 7.5 資通安全健診這是一種綜合性的檢查服務，通常由專業資安廠商至現場執行，針對網路與設備進行全面體檢。 ### 7.5.1 常見健診項目 1. **網路架構檢視**：檢查網路拓撲是否合理（如內外網區隔、DMZ 設定）。 2. **網路惡意活動檢視**：分析防火牆或 Switch 的流量紀錄，偵測異常連線（如連線至中繼站 C2）。 3. **使用者電腦惡意活動檢視**：抽測使用者電腦，檢查是否感染後門程式或存有駭客工具。 4. **伺服器主機惡意活動檢視**：檢查 Server 的 Event Log 與執行程序。 5. **目錄伺服器 (AD) 設定檢視**：檢查 AD 的群組原則 (GPO)、帳號密碼設定是否安全。 --- ## 7.6 網路安全與區域規劃 * **網路區段劃分**： * **DMZ (非軍事區)**：放置對外服務 (Web/Mail)，允許外部存取但不允許主動連入內網。 * **Intranet (內網)**：放置資料庫、員工 PC，嚴格限制存取。 * **無線網路安全**： * 避免使用 WEP (易被破解)，應使用 **WPA2/WPA3** 企業級驗證。 * 訪客網路 (Guest Wi-Fi) 應與內網實體隔離。 --- ## 7.7 實體安全 (Physical Security) 保護實體設備與場所，防止人為破壞或天災影響。 ### 7.7.1 機房安全管理 * **門禁管制**：刷卡紀錄保存、進出人員陪同與登記、監控錄影 (CCTV) 至少保存 3 個月以上 (視法規而定)。 * **環境監控**：溫濕度控制、漏水偵測、UPS 不斷電系統。 ### 7.7.2 消防安全 (滅火器選擇) 資訊機房應使用**不損害電子設備**的滅火系統： * ❌ **禁用**：水、乾粉 (會殘留粉末導電，損壞電路板)。 * ⭕ **適用**： * **氣體滅火系統** (如 FM-200, Novec 1230)：透過降低氧氣濃度或化學反應滅火，無殘留物。 * **二氧化碳 (CO2)**：適用於無人機房 (注意人員窒息風險)。 --- ### 💡 總結：掃描 vs 滲透測試 vs 健診 | 項目 | **弱點掃描 (Scan)** | **滲透測試 (PT)** | **資安健診** | | :--- | :--- | :--- | :--- | | **執行方式** | 自動化工具 | 人工 + 工具 | 綜合檢測 (架構/設定/流量) | | **目的** | 全面盤點已知漏洞 | 驗證防禦深度，找邏輯漏洞 | 體檢整體環境與設定健康度 | | **深度/廣度** | 廣度高，深度淺 | 深度深，廣度依範圍而定 | 廣度高，包含架構面 | | **產出** | 弱點清單 | 入侵路徑與證明 | 改善建議報告 | --- ### 第 7 單元：資通安全技術面應辦事項-安全性檢測及資通安全健診 #### 1. 依據資通安全責任等級規定，A 級機關的滲透測試與弱點掃描頻率為何？ - $A$ 每年 1 次滲透測試，每年 1 次弱點掃描。 - $B$ 每 2 年 1 次滲透測試，每年 1 次弱點掃描。 - $C$ 每年 1 次滲透測試，每年 2 次弱點掃描。 - $D$ 每 2 年 1 次滲透測試，每 2 年 1 次弱點掃描。 > **答案：C** --- #### 2. 關於弱點掃描與滲透測試的主要差異，以下敘述何者正確？ - $A$ 弱點掃描是一種模擬攻擊，滲透測試是自動化檢測。 - $B$ 弱點掃描用於快速識別已知漏洞，滲透測試用於驗證防護措施有效性並找出可利用弱點。 - $C$ 弱點掃描主要針對內部網路，滲透測試主要針對外部網路。 - $D$ 弱點掃描不需要修補，滲透測試才需要。 > **答案：B** --- #### 3. 在應用程式安全中，安全系統開發生命週期（SSDLC）的「部署與維運」階段應落實哪些重要工作？ - $A$ 擬訂資安需求與測試計畫。 - $B$ 執行風險分析與評估。 - $C$ 定期修補漏洞、升級更新版本及即時監控。 - $D$ 進行源碼掃描安全檢測。 > **答案：C** --- #### 4. 為了確保變更不會成為新的風險來源，應用程式安全中的「變更控制」機制強調所有變更都需符合哪三個關鍵要素？ - $A$ 簡單、快速、有效。 - $B$ 授權、測試、記錄。 - $C$ 自動、手動、半自動。 - $D$ 規劃、執行、評估。 > **答案：B** --- #### 5. 資通安全健診的目的為何？ - $A$ 資通安全健診的主要目的是處理已知的資安事件，不包括預防措施。 - $B$ 資通安全健診服務僅限於提供資通系統的漏洞掃描，不提供其他建議。 - $C$ 整合各資通安全項目的檢視服務作業，提供機關資通安全改善建議，並提升整體防護能力。 - $D$ 其目的只在於評估內部人員的資安意識，不涉及系統層面的檢視。 > **答案：C** --- #### 6. 在資通安全健診的「使用者端電腦惡意活動檢視」項目中，應檢視哪些內容？ - $A$ 檢視內容局限於網路架構圖的安全性，不包含實際系統配置。 - $B$ 檢視惡意活動時，主要檢查伺服器主機的作業系統更新，不包括使用者端。 - $C$ 檢視作業系統及應用程式的安全性更新、是否使用停止支援的軟體、及防毒軟體狀態。 - $D$ 只需要架設封包側錄設備來觀察對外異常連線，其他方法不需使用。 > **答案：C** --- #### 7. 關於網路連線安全，為何應避免使用 HTTP、FTP 和 TELNET 等協議進行敏感資料傳輸？ - $A$ 這些協議採用明文傳輸，通訊內容有可能被監聽，容易造成資訊洩露風險。 - $B$ 這些協議不支援大檔案傳輸。 - $C$ 這些協議傳輸速度較慢。 - $D$ 這些協議容易受到分散式阻斷服務（DDoS）攻擊。 > **答案：A** --- #### 8. 雲端運算具備多項核心特性，以下何者敘述是關於「受量測服務 $Measured Service$」的特性？ - $A$ 雲端資源可以被快速且彈性地擴展或縮減。 - $B$ 多個客戶共享同一套基礎設施和應用程式。 - $C$ 供應商會對資源的使用情況進行監控、測量和報告，通常按照實際消耗量計費。 - $D$ 雲端服務可以透過標準的網路機制廣泛被存取。 > **答案：C** --- #### 9. 在雲端安全管理中，ISO/IEC 27017:2015 標準強調了哪些關鍵考量，尤其是關於供應商與客戶的責任界線？ - $A$ 雲端安全管理只關注虛擬機器的強化，不涉及其他層面。 - $B$ 雲端環境下的角色共享與權責，以及雲端服務客戶資產的移除。 - $C$ 需確保虛擬和實體網路安全管理的一致性。 - $D$ 雲端安全管理只針對管理者的操作安全進行考量，不包括客戶端的責任。 > **答案：B** --- #### 10. 實體安全的三個核心防禦策略為嚇阻、延遲、偵測與處理。以下何者是屬於「嚇阻」的措施？ - $A$ 感應式讀卡機。 - $B$ 設置多層門禁。 - $C$ 公布違反實體控管要求人員姓名。 - $D$ 紅外線進出感應。 > **答案：C** --- # 第八章：資通系統委外安全管理 > **學習目標** > 1. 了解資訊委外之定義與相關法規要求。 > 2. 認識委外廠商之選任與監督管理機制。 > 3. 掌握委外生命週期（招標、履約、驗收、終止）之資安管控重點。 > 4. 熟悉遠端維護與雲端服務之委外安全原則。 --- ## 8.1 委外安全管理概論資訊委外（Outsourcing）雖能提升效率，但資安責任無法完全移轉，機關仍需負最終監督之責。 ### 8.1.1 相關法規依據 * **《資通安全管理法》第 10 條**： * 公務機關委外辦理資通系統之建置、維運或資通服務時，應選任適當之受託者，並監督其資通安全維護情形。 * **《資通安全管理法施行細則》第 4 條**： * 受託者應具備完善之資安管理措施或通過第三方驗證。 * 契約應訂定資安要求、保密義務及罰則。 * 受託者之人員若涉及國家機密，應進行適任性查核。 ### 8.1.2 委外類型依據性質可分為以下幾類： 1. **系統開發與維護**：軟體設計、程式撰寫、系統修補。 2. **機房與網路維運**：主機代管、網路設備管理、駐點服務。 3. **顧問諮詢**：資安健診、ISMS 導入輔導。 4. **雲端服務**：IaaS、PaaS、SaaS。 --- ## 8.2 委外生命週期安全管理將資安管控措施融入委外採購的每一個階段。 ### 8.2.1 規劃與招標階段 (Planning & Tendering) * **需求分析**：確認委外業務之機敏性（是否涉及個資、國家機密）。 * **廠商資格**：要求廠商具備資安證照（如 ISO 27001）或實績。 * **RFP (徵求建議書) 規範**： * 將資安需求納入規格書。 * 明訂智慧財產權歸屬。 * 明訂保密協定 (NDA) 之簽署要求。 ### 8.2.2 選任與決標階段 (Selection) * **評選重點**：不應僅以價格為考量，需評估廠商之資安管理能力、過往資安事件紀錄。 * **陸資限制**：依據採購規範，原則上禁止大陸地區廠商參與，且履約人員不得為陸籍人士（具敏感性業務）。 ### 8.2.3 履約與執行階段 (Execution) 這是風險最高的階段，需落實監督與稽核。 * **人員管理**： * 建立委外人員名冊，並進行背景查核。 * 辦理資安教育訓練。 * **權限控管**： * **最小權限原則 (Least Privilege)**：僅開放執行業務所需之最小權限。 * 帳號需申請審核，並設定啟用/停用期限。 * 禁止廠商共用帳號。 * **遠端維護管控 (Remote Access)**： * **原則禁止，例外允許**：非必要不開放遠端連線。 * **採行措施**： 1. 採 **VPN** 加密連線。 2. 實施 **多因子鑑別 (MFA)**。 3. 限制特定來源 IP。 4. 只在特定時段開放，用完即關閉。 5. 全程側錄或留存日誌 (Log)。 ### 8.2.4 驗收階段 (Acceptance) * **安全性檢測**： * 系統開發案應依契約要求，執行 **源碼檢測 (Code Review)** 或 **弱點掃描**。 * 確認中、高風險弱點已修補完畢。 * **交付項目**：確認所有文件（系統文件、操作手冊、測試報告）已交付且未植入惡意程式（如後門、邏輯炸彈）。 ### 8.2.5 契約終止與結案 (Termination) * **權限移除**：立即停用或刪除廠商人員之所有帳號與通行證。 * **資產返還**：歸還機關之設備、文件、識別證。 * **資料銷毀**： * 廠商持有之資料應依規定銷毀或刪除，並提供切結書或銷毀證明。 * 確保無備份資料留存於廠商端。 --- ## 8.3 供應鏈安全風險 (Supply Chain Risk) ### 8.3.1 供應鏈攻擊 * **定義**：駭客不直接攻擊防護嚴密的機關，轉而攻擊資安防護較弱的委外廠商或軟體供應商，將惡意程式植入合法軟體更新中（如 SolarWinds 事件）。 * **防護策略**： * 落實軟體來源驗證（檢查數位簽章）。 * 將委外廠商視為延伸的資安防護範圍，要求其提升資安等級。 --- ## 8.4 雲端服務安全當委外項目為公有雲服務時，需釐清責任邊界。 ### 8.4.1 共同責任模型 (Shared Responsibility Model) 資安責任由「雲端服務商 (CSP)」與「客戶 (機關)」共同分擔。 | 服務模式 | 雲端業者責任 (Security **of** Cloud) | 機關責任 (Security **in** Cloud) | | --- | --- | --- | | **IaaS** | 實體機房、電力、虛擬化層 | **作業系統**、應用程式、資料、防火牆設定 | | **PaaS** | 實體機房、作業系統、中介軟體 | **應用程式**、資料、使用者權限 | | **SaaS** | 應用程式及其底層所有設施 | **資料內容**、帳號管理、端點裝置安全 | > **Memo**: 委外不代表免責，機關應定期辦理委外廠商之資安稽核，確保其落實契約要求。 --- ### 💡 總結：委外管理 Check List - [ ] 招標文件是否已納入資安需求與罰則？ - [ ] 是否已確認廠商非陸資且人員非陸籍？ - [ ] 遠端維護是否已啟用 VPN + MFA 並採申請制？ - [ ] 廠商人員離退時，是否立即移除權限？ - [ ] 系統上線前是否已完成弱點掃描並修補？ --- ### 第 8 單元：資訊委外安全管理 #### 1. 依據《資通安全管理法》第 9 條，機關委外辦理資通系統或服務時，應考量哪些因素來選任適當受託者並監督其維護情形？ - $A$ 唯一的考量因素是服務的價格高低。 - $B$ 選擇廠商時，只需考量其過往經驗，其他能力不重要。 - $C$ 考量受託者之專業能力與經驗、委外項目之性質及資通安全需求。 - $D$ 無需監督，全權交由廠商負責。 > **答案：C** --- #### 2. 依據《資通安全管理法施行細則》第 4 條第 1 項，機關在選任及監督委外廠商時，哪些事項是需要注意的？ - $A$ 評估廠商時，僅需確認其是否具備 ISO 9001 品質認證。 - $B$ 廠商只需提供過去的合作經驗，其他資安相關資料不需評估。 - $C$ 評估廠商的資安管理能力、確認資安專業人員、以及委託終止後的資料處理方式。 - $D$ 無需關注涉及國家機密的委託業務。 > **答案：C** --- #### 3. 資訊委外主要分為四大類別，以下何者是屬於「顧問訓練類」的服務形態？ - $A$ ISMS 顧問輔導。 - $B$ 機房設施管理。 - $C$ 系統開發。 - $D$ 軟體即服務 $SaaS$。 > **答案：A** --- #### 4. 為降低遠端維護的資安風險，機關應採取的原則與防護措施為何？ - $A$ 原則允許、例外禁止。 - $B$ 原則禁止、例外允許，並應強化多因子鑑別。 - $C$ 無需額外防護措施。 - $D$ 遠端維護連線應該只在短天期內開放，不考慮其他條件。 > **答案：B** --- #### 5. 資訊委外生命週期的「計畫階段」包含哪些關鍵步驟？ - $A$ 決標與簽約。 - $B$ 完成建置與確認營運。 - $C$ 決定需求與識別可行解決方案。 - $D$ 驗收與保固。 > **答案：C** --- #### 6. 在委外資安需求識別時，為何需要「識別委外廠商之限制」？ - $A$ 識別限制只是為了增加招標流程的複雜性。 - $B$ 識別限制的目的完全在於確保廠商具備足夠的技術能力。 - $C$ 依據委外業務的敏感性和法規要求，對潛在廠商設定資格限制，特別是涉及國家機密或國家安全。 - $D$ 識別限制的唯一目的是篩選出價格最低的廠商。 > **答案：C** --- #### 7. 在資訊委外生命週期的「招標階段」，資安管理重點著重在哪個方面？ - $A$ 招標階段的資安管理重心完全放在廠商的價格競爭。 - $B$ 資安管理重點主要在於合約條款的法律審查，不涉及技術層面。 - $C$ RFP 撰寫之完整度與評選準則中之資安要求符合度。 - $D$ 招標階段資安管理只針對最終解決方案進行選擇，不考慮前期要求。 > **答案：C** --- #### 8. 在資訊委外「履約管理階段」中，機關應如何管理資訊委外的使用者存取？ - $A$ 在專案初期授予委外人員最高權限，後續無需調整。 - $B$ 委外人員權限由廠商自行管理，機關無需介入。 - $C$ 機關只需透過電話確認委外人員的權限即可。 - $D$ 建立正式程序，從開始登記使用註冊，到最終不再需要存取資通系統與服務註銷。 > **答案：D** --- #### 9. 在資訊委外「驗收階段」，若資通系統使用非委外廠商自行開發的第三方元件，機關應要求廠商揭露哪些資訊？ - $A$ 揭露第三方程式元件之來源與授權證明，以確保其元件非來自大陸地區或其他限制地區。 - $B$ 廠商只需要揭露元件的功能說明，不需提供其他證明。 - $C$ 廠商只需要揭露元件的版本號，其他資訊不重要。 - $D$ 無需揭露，直接使用即可。 > **答案：A** --- #### 10. 資訊委外專案「結束後」，機關應立即採取哪些資安措施？ - $A$ 專案結束後，機關的主要任務是進行最終付款，其他資安措施可延後。 - $B$ 專案結束後，機關只需回收紙本文件，無需處理電子資料或存取權限。 - $C$ 立即停止委外廠商之實體與邏輯存取權限，並回收或銷毀屬於機關之資訊資產。 - $D$ 等待保固期結束再處理。 > **答案：C** --- # 第九章：資通安全事件通報及應變 > **學習目標** > 1. 了解資通安全事件通報及應變的管理流程與法規依據。 > 2. 掌握資通安全事件的「分級評估標準」 (1級~4級)。 > 3. 熟悉通報及應變的作業時效（如：知悉後 1 小時內通報）。 > 4. 認識資安事件處理的六大階段（準備、識別、封鎖、根除、復原、經驗學習）。 > 5. 了解數位證據保全與社交工程防範之觀念。 --- ## 9.1 資通安全事件通報及應變流程資安事件無法完全避免，因此建立完善的通報與應變機制至關重要。 ### 9.1.1 法規依據 * **《資通安全管理法》**： * **第 17 條**：公務機關應訂定通報及應變機制，知悉事件後應通報上級及主管機關，並提出改善報告。 * **第 18 條**：主管機關得調度資安人員支援公務機關之事件處理。 ### 9.1.2 管理流程要點 * **組織架構**：需成立資安事件處理小組（CSIRT），明確定義指揮官、技術人員、發言人等角色。 * **事件分級**：依據衝擊程度進行分級，以決定投入資源的多寡。 * **事前演練**：定期模擬攻擊情境，驗證應變計畫的可行性。 --- ## 9.2 資通安全事件通報及應變作業規範機關應訂定內部的作業規範，以確保執行時有據可循。 ### 9.2.1 通報作業規範內容 * 判定事件等級之流程及權責。 * 事件影響範圍與損害程度之評估標準。 * **內部通報流程**（向誰報告）與**外部通報方式**（如何通報主管機關）。 * 通報窗口與聯繫方式（需保持暢通）。 ### 9.2.2 應變作業規範內容 * 應變小組之組織分工。 * **損害控制機制**（如：如何隔離網路、中斷服務）。 * 復原、鑑識、調查及改善機制。 * **事件紀錄保全**（確保 Log 未被刪除）。 --- ## 9.3 資通安全事件等級評估依據「資訊/系統性質」與「CIA 衝擊程度」，將事件分為 1 至 4 級。**以各構面中最高之等級為最終事件等級。** ### 9.3.1 評估構面 1. **資訊性質**：是否涉及核心業務、關鍵基礎設施 (CI)、國家機密或敏感個資。 2. **CIA 衝擊**：機密性 (洩漏)、完整性 (竄改)、可用性 (中斷) 之影響程度。 ### 9.3.2 事件等級定義表 (摘要) | 等級 | 嚴重程度 | 關鍵特徵 (範例) | | --- | --- | --- | | **1 級** | 輕微 | 非核心業務遭輕微洩漏、竄改；或停頓可於容忍時間內恢復。 | | **2 級** | 中度 | 非核心業務遭嚴重洩漏；或核心業務(非CI)遭輕微影響。 | | **3 級** | 嚴重 | **核心業務**遭嚴重洩漏、竄改；或**關鍵基礎設施(CI)**系統遭輕微影響；或無法於容忍時間內恢復。 | | **4 級** | 最嚴重 | **國家機密**洩漏；**關鍵基礎設施(CI)**系統遭嚴重竄改或停頓；或涉及大量敏感個資外洩。 | > **Memo**: 涉及「國家機密」或「關鍵基礎設施(CI)嚴重受損」一律列為第 4 級。 --- ## 9.4 資通安全事件通報及應變作業流程強調「黃金時間」的處理原則。 ### 9.4.1 通報時限 (公務/特定非公務機關皆同) * **通報時點**：知悉資安事件後 **1 小時內**。 * **對象**： * **公務機關** → 上級/監督機關 → 主管機關 (資安署)。 * **特定非公務機關** → 中央目的事業主管機關 → 主管機關。 ### 9.4.2 審核與完成期限 | 項目 | 1 級、2 級事件 | 3 級、4 級事件 (重大事件) | | --- | --- | --- | | **上級機關審核通報時限** | 8 小時內 | **2 小時內** (需快速反應) | | **完成損害控制/復原時限** | **72 小時內** | **36 小時內** | | **結案報告提交時限** | 1 個月內 | 1 個月內 | ### 9.4.3 損害控制與復原 * **損害控制**：隔離受駭主機、阻斷惡意連線、修改防火牆規則。 * **復原作業**：清除惡意程式、還原備份資料、修補漏洞。 * **結案報告**：需包含根因分析 (Root Cause Analysis)、處理過程、改善措施。 --- ## 9.5 資通安全事件通報及應變演練作業透過演練驗證計畫有效性。 ### 9.5.1 演練頻率與項目 (公務機關) * **社交工程演練**：**每半年 1 次** (由機關自行或配合主管機關辦理)。 * **通報及應變演練**：**每年 1 次**。 * 其他：網路攻防演練、情境演練 (配合主管機關辦理)。 --- ## 9.6 資通安全事件處理 (六大階段) 業界通用的資安事件處理生命週期 (Incident Handling Lifecycle)。 ### 1. 準備 (Preparation) * 事件發生前的準備工作。 * 建立團隊 (CSIRT)、制定策略、準備工具 (鑑識軟體)、教育訓練。 ### 2. 識別 (Identification) * 偵測並確認事件是否真實發生 (排除誤報)。 * 判斷事件範圍、類型及嚴重程度。 * **關鍵動作**：收集 Log、保存證據、確認攻擊手法。 ### 3. 封鎖 (Containment) * 限制災害擴大，防止攻擊者繼續橫向移動。 * **措施**：拔除網路線、隔離網段、修改防火牆規則、停用遭盜用帳號。 * *注意：封鎖前應考量是否會驚動攻擊者導致證據被銷毀。* ### 4. 根除 (Eradication) * 徹底移除致病因子。 * **措施**：刪除惡意程式、修補漏洞、移除後門帳號、重灌受感染系統。 ### 5. 復原 (Recovery) * 將系統恢復至正常運作狀態。 * **措施**：還原乾淨的備份資料、重啟服務。 * **監控**：復原後需持續監控一段時間，確保攻擊者未再次入侵。 ### 6. 經驗學習 (Lessons Learned) * 事後檢討 (Post-Incident Review)。 * 產出改善報告，修正資安政策，避免同樣事件再次發生。 --- ## 9.7 數位證據及數位鑑識 ### 9.7.1 數位證據特性 * 易變性 (Volatile)：如記憶體中的資料，斷電即消失。 * 易複製、易修改、無形性。 ### 9.7.2 鑑識原則 1. **監管鏈 (Chain of Custody)**：詳細記錄證據從採集、移交到保存的完整過程，確保證據未被汙染。 2. **證據保全**： * 使用**寫入保護裝置 (Write Blocker)** 進行採證，避免汙染原始證據。 * 製作**映像檔 (Image)** 進行分析，**絕對不可以直接在原始證物上操作**。 * 計算 **雜湊值 (Hash Value)** (如 SHA-256)，驗證映像檔與原始證物是否一致。 --- ## 9.8 社交工程 (Social Engineering) ### 9.8.1 定義與手法利用人性弱點（好奇、恐懼、貪婪、信任）來騙取資訊或權限，而非單純破解技術漏洞。 * **常見手法**： * **釣魚郵件 (Phishing)**：偽裝成公務機關、銀行或主管，誘騙點擊惡意連結或下載附件。 * **魚叉式釣魚 (Spear Phishing)**：針對特定對象量身打造的攻擊。 * **變臉詐騙 (BEC)**：偽冒高層主管指示匯款。 ### 9.8.2 防範觀念 * **不輕信**：檢查寄件者地址是否正確（不要只看顯示名稱）。 * **多求證**：遇到要求提供帳密、匯款或緊急操作的郵件，應透過第二管道（電話）查證。 * **不開啟**：不明來源的附件或連結切勿點擊。 --- ### 💡 總結：事件應變 Check List - [ ] 是否在知悉事件 **1 小時內** 完成通報？ - [ ] 是否依據 **CIA 衝擊** 與 **業務性質** 正確評估事件等級 (1~4 級)？ - [ ] 重大事件 (3、4 級) 是否在 **36 小時內** 完成復原？ - [ ] 處理過程是否落實 **識別 -> 封鎖 -> 根除 -> 復原** 流程？ - [ ] 鑑識過程是否確保 **監管鏈** 完整且未汙染原始證物？ --- ### 第 9 單元：資通安全事件通報及應變 #### 1. 依據《資通安全事件通報及應變辦法》的「管理流程」，以下哪一個環節是事件發生「事前」應辦理的重要步驟？ - $A$ 進行事件的初步分級與影響分析。 - $B$ 執行事件處理過程中的通報與應變措施。 - $C$ 對已發生的事件進行改善措施與分析總結。 - $D$ 應變計畫的演練與驗證。 > **答案：D** --- #### 2. 資通安全事件等級評估時，若機關的「一般公務機密或敏感資訊」遭到「嚴重洩漏」，或「國家機密」遭到洩漏，其機密性應評估為哪個等級？ - $A$ 第 1 級。 - $B$ 第 2 級。 - $C$ 第 3 級。 - $D$ 第 4 級。 > **答案：D** --- #### 3. 在資通安全事件處理中，公務機關或特定非公務機關在「知悉」資安事件發生後，應在多久時間內「向上通報」相關事件資訊？ - $A$ 1 小時內。 - $B$ 2 小時內。 - $C$ 4 小時內。 - $D$ 24 小時內。 > **答案：A** --- #### 4. 發生「第 3 級或第 4 級」資安事件時，上級/監督機關或中央目的事業主管機關應在多久時間內完成審核作業？ - $A$ 8 小時內。 - $B$ 4 小時內。 - $C$ 2 小時內。 - $D$ 1 小時內。 > **答案：C** --- #### 5. 資通安全事件處理的「目的」之一是為了確保符合《資通安全管理法》等法律要求。此外，處理目的還包括哪些？ - $A$ 資安事件處理的唯一目的就是追溯攻擊者身分。 - $B$ 僅為降低對業務與網路服務的中斷時間。 - $C$ 確認資安事件是否發生、提供精準及時資訊、保障由政策與法律要求的權利、實作控制措施以維護監管鏈。 - $D$ 處理資安事件主要目的是為了事後懲處相關人員。 > **答案：C** --- #### 6. 資安事件處理後，應撰寫改善報告，其提交時限原則上為？ - $A$ 3 天。 - $B$ 1 週。 - $C$ 1 個月。 - $D$ 1 年。 > **答案：C** --- #### 7. 資安事件處理程序中的「封鎖 $Containment$」階段，主要目的是什麼？ - $A$ 徹底清除惡意程式。 - $B$ 限制資安事件的擴散範圍，阻止損害進一步蔓延。 - $C$ 恢復受影響的系統和服務。 - $D$ 從事件中汲取教訓。 > **答案：B** --- #### 8. 在處理個人資料外洩事件時，除了遵循標準處理程序外，個人資料在「復原」階段有何特殊要求？ - $A$ 只需要對外發表道歉聲明，無需採取其他實質措施。 - $B$ 在復原階段，只需進行內部調查，不需通知外部受影響者。 - $C$ 應主動通知個資被外洩的對象，並提供改善方案防止進一步損害。 - $D$ 無需額外處理，等待受害者聯繫。 > **答案：C** --- #### 9. 關於「數位證據」的特性，以下何者敘述正確？ - $A$ 數位證據僅限於電子郵件和檔案。 - $B$ 數位證據的取得和保管無需特殊規範。 - $C$ 數位證據由電腦儲存或傳送，可用於偵查，並在法庭上具有具體用途。 - $D$ 數位證據一旦產生，其內容無法被改變。 > **答案：C** --- #### 10. 社交工程攻擊主要利用了「人」的哪些弱點來達成其非法目的？ - $A$ 社交工程攻擊完全是透過利用系統的技術漏洞來實現。 - $B$ 利用人性弱點，應用簡單的溝通與欺騙伎倆。 - $C$ 僅針對電腦系統進行攻擊。 - $D$ 需要具備頂尖的電腦專業技術。 > **答案：B** --- > 🔖 **引用來源**：[資通安全概論_新版教材_11501_v4.pdf](https://ctts.nics.nat.gov.tw/DownloadDetail/70) > 🔖 **引用來源**：[資通安全概論新版教材_自我評量測驗.pdf](https://ctts.nics.nat.gov.tw/DownloadDetail/70) ---