CC 認證課程筆記

# CC 認證課程筆記適用考試大綱：September 1, 2026 最後修改日期：May 3, 2026 ![digitalcert-2](https://hackmd.io/_uploads/Skw35bY4Wg.png) ## 📋 考試情報速查 [ISC2 CC免費考試介紹網址](https://www.isc2.org/landing/1mcc) > ### ⚠️ 2026 免費考試時程提醒 > > ISC2 的 1MCC 免費方案將結束，**CC 證照本身不會取消**，但免費管道會關閉。 > > | 日期 | 你要做的事 | > | :--- | :--- | > | **2026/5/19 前** | 完成 ISC2 Candidate 註冊（才有免費第一次考試資格） | > | **2026/9/1** | CC 改用新版考綱（本筆記已對應新大綱） | > | **2026/12/31 前** | 完成考試（過了這天免費資格作廢） | > > **不需要任何 promo code**，2024/3 起 ISC2 已改成自動 $0 結帳，是 Candidate 就自動免費。 > > 2027 年後走付費管道：考試費 US$199、年費 US$50。 > > **📎 來源**：[ISC2 1MCC 方案結束說明](https://www.isc2.org/landing/1mcc#One-Million-Free-Certified-in-Cybersecurity-Concluding)｜[CC 認證頁面](https://www.isc2.org/certifications/cc)｜[AMF 費用政策](https://www.isc2.org/policies-procedures/amfs-overview) --- 在開始讀書之前，先了解我們要面對的「戰場」規則： | 項目 | 2026 最新規格 | 戰略建議 | | :--- | :--- | :--- | | **考試形式** | **電腦適性測驗** | **⚠️ 絕對不能回頭！也不能跳題！** 題目會根據你的答對率變難或變簡單。一旦按了 "下一題"，就回不去了。 | | **題數與時間** | **100 - 125 題** 2 小時 | 題目數量不固定。如果系統判定你已經通過（或失敗），考試可能在第 100 題就提早結束。 | | **簡中考試** | **限定視窗期** | **非全年開放！** 通常為每季開放一個月（如 3、6、9、12 月），具體日期請務必上 Pearson VUE 查詢確認。 | | **證書流程** | 通過 ➔ 申請 ➔ **繳費** | 考過後不會馬上拿到證書！必須先提交申請並繳交 **$50 美金** 年費，才會收到數位徽章。 | --- ### 📊 考題權重分佈這張表告訴你**哪裡最肥（必讀）**，哪裡CP值比較低。 | 領域 | 考試佔比 | 重點關鍵字 | | :--- | :---: | :--- | | **1. 安全原則** | **24%** 👑 | CIA、AAA、風險管理、道德規範、治理框架 | | **2. 安全治理** | **17.3%** | GRC、BC/DR、資安意識、KRI | | **3. 身分與存取管理概念** | **20%** 🔥 | 身分生命週期、PoLP、SoD、DAC/MAC/RBAC | | **4. 網路與雲端安全概念** | **21.3%** 🔥 | OSI、TCP/IP、零信任、雲端共享安全模型 | | **5. 安全營運與事件回應** | **17.3%** | 加密、威脅情報、IR、紅藍紫隊、安全測試 | | **總計** | **100%** | | --- ### 💡 考試策略建議 1. **報名策略**： * 如果你急著拿證照，建議報考**英文版**（天天都能考），英文名字務必與護照英文一致，考場僅接受護照(優先)或有簽名的信用卡(可能要問一下考場接不接受)。 * 如果一定要考**中文版**，請先上 Pearson VUE 確認最近的開放月份，以免撲空。 * 因為**簡體中文**多少跟台灣用語有點差異，考試可以隨時切換回英文，因此不建議為了考試去看簡中字彙，應以英文原文為主。 2. **時間管理**：120 分鐘做 125 題，平均 **1 分鐘** 一題。不要在一題卡太久，因為也不能回頭寫，猜一個選項就讓他去。 3. **第一章和第四章定生死**：第一章 (安全原則) 佔了 **24%**，第四章 (網路與雲端安全) 佔了 **21.3%**，加上第三章 (IAM) 佔了 **20%**，三章合計超過六成五的分數。把這三章弄熟，基本盤就穩了。 4. **看清楚題目問什麼**： * 問 **"最重要"** ➔ 通常是在問**人命安全** 或 **CIA**。 * 問 **"第一步"** ➔ 通常是 **"識別"** 或 **"評估"**，不要直接跳去解決問題。 5. **記得要馬上報名考試**： * 常常有人說要準備好才去考，但是往往沒有準備好的一天，只有已經報名考試才會讀書的壓力，雖然一年內可以隨時延期，但是建議報名三個月後的考試然後就直接去考了，準備週期應以三個月為準，古有云一鼓作氣，再而衰，三而竭。 --- ## 領域 1：安全原則 > **考試權重**：24% ### 1.1 理解網路安全概念 * **CIA 三要素** * **1. 機密性** * **一句話白話文**：「只有被授權的人才能看得到內容，其他人拿到也看不懂。」 * **⭐ 關鍵字**： * **加密**：機密性最重要的答案。 * **存取控制**：限制誰能讀取。 * **資料狀態**：保護儲存中、傳輸中、處理中的資料。 * **相關名詞**： * **個人身分資訊 (PII)**：如身分證、護照。 * **受保護健康資訊 (PHI)**：如病歷、健康狀況。 * **2. 完整性** * **一句話白話文**：「確保資料準確、完整，沒有被偷改。」 * **⭐ 關鍵字**： * **準確性**、**一致性**。 * **未經授權的變更**。 * **技術**：雜湊。 * **3. 可用性** * **一句話白話文**：「確保服務在需要的時候，隨時都能正常使用。」 * **⭐ 關鍵字**： * **及時**、**可靠**。 * **備援**：消除單點故障 (SPOF)。 * **災難復原**、**營運持續**。 --- * **認證、授權與記帳 (AAA)** * **認證 (Authentication)**：確認「你是誰」— 透過密碼、生物特徵、憑證等方式驗證身分真偽。 * **認證的三大因子**： 1. **所知之事**：密碼、PIN 碼。 2. **所持之物**：權杖、智慧卡、手機。 3. **所具之形**：指紋、臉部辨識等生物特徵。 * **延伸因子**（CC 偶爾考）： 4. **所在之地**（Somewhere you are）：GPS 定位、IP 位址範圍。 5. **所做之事**（Something you do）：打字節奏、滑鼠軌跡等行為特徵。 * **多因子認證 (MFA)**： * 必須使用 **兩種「不同類型」** 的因子（例如：密碼 + 指紋 = OK；密碼 + PIN = 不算 MFA）。 * **授權 (Authorization)**：確認「你能做什麼」— 認證通過後，根據權限決定可存取的資源。 * **記帳 (Accounting)**：記錄「你做了什麼」— 追蹤和記錄使用者的所有活動，用於稽核和問責。 > 💡 **AAA vs IAAA**： > - **CC 大綱**用 **AAA**（3 字）：Authentication / Authorization / Accounting > - **iPAS 與業界完整版**用 **IAAA**（4 字），多了第一個字 **I = Identification（識別）**：使用者宣稱自己是誰（如輸入帳號）。 > - **流程**：Identification（你說你是誰）→ Authentication（驗證你說的對不對）→ Authorization（決定你可以做什麼）→ Accounting（記錄你做了什麼）。 > - **為什麼 CC 拿掉 I？** ISC2 把 Identification 視為 Authentication 流程的一部分（合併處理），所以只列 3 字。考試遇到都正確選項即可。 * **不可否認性** * **定義**：防止個人否認其執行過的行為（如發送郵件、簽署合約）。 * **技術**：數位簽章、日誌。 * **隱私權** * **定義**：個人控制其資訊如何被分發與使用的權利。 * **重要法規**： * **GDPR** (歐盟)：通用資料保護規則，具備**域外效力**，保護歐盟公民個資。 * **HIPAA** (美國)：保護醫療健康資訊 (PHI)。 --- ### 1.2 理解風險管理概念 #### 1. 風險管理生命週期風險管理不是一次性活動，而是持續循環的過程： **識別 → 評估 → 處理 → 監控 → 重新評估** * 環境變化（新威脅、新系統、新法規）都會觸發重新評估。 * 口訣：**識別 ➔ 評估 ➔ 處理**，然後不斷循環。 --- #### 2. 風險管理流程 ##### 識別 * **一句話白話文**：「先搞清楚我們有什麼寶貝 (資產)，以及誰想偷它 (威脅)。」 * **核心任務**： * **識別資產**：找出公司值錢的東西（如：客戶資料、伺服器、專利）。 * **識別弱點**：找出防禦的漏洞（如：沒鎖門、密碼太簡單）。 * **識別威脅**：找出可能的危險來源（如：駭客、內部員工、地震）。 * **重點**： * **誰負責識別？** **所有員工** 都有責任回報風險，不只是資安團隊的事。 * **物理和實體識別**：包含識別實體資產（如筆電、門禁卡）。 ##### 評估 * **一句話白話文**：「這個風險發生機率高嗎？發生了會有多痛？」 * **黃金公式**：**風險 = 可能性 x 影響** 。 * **評估方法**： * **定性分析**： * **CC 考試重點**。 * 使用 **「文字或顏色」** 描述（如：高、中、低）。 * 依靠專家的**主觀判斷**與經驗。 * **定量分析**（對比用，CC 不深入）： * 用**具體財務數字與機率**計算（如：年化預期損失 ALE = $50,000）。 * 客觀但耗時，需要大量歷史資料。 * **題目陷阱**：選擇題若提到「使用顏色高中低」是定性，「使用美元金額」是定量。 * **工具：風險矩陣**——將「可能性」與「影響」畫成圖表，決定處理順序： | 影響程度 ➡️ 發生可能性 ⬇️ | **低** *(輕微不便 無財務損失)* | **中** *(財務損失 商譽受損)* | **高** *(人命安全 組織倒閉)* | | :--- | :--- | :--- | :--- | | **高** *(每天都可能發生)* | 🟡 **中風險** (Medium) | 🔴 **高風險** (High) | 🔥 **極高風險** (Critical) | | **中** *(偶爾發生)* | 🟢 **低風險** (Low) | 🟡 **中風險** (Medium) | 🔴 **高風險** (High) | | **低** *(百年一次)* | 🟢 **低風險** (Low) | 🟢 **低風險** (Low) | 🟡 **中風險** (Medium) | ##### 風險容忍度在進入處置之前，我們必須先畫出一條紅線。 * **定義**：組織願意承受的風險水準。由**高階管理層**決定，根據每個產業和企業文化會有所不同。 * **判斷邏輯**： * **風險 > 容忍度** ➜ **必須處理** (不能坐視不管)。 * **風險 ≤ 容忍度** ➜ **可以接受** (和平共處)。 ##### 處置 * **當風險超過容忍度時，採取的四種處理方式（避降轉保）**： | 處理方式 | 英文 | 別名 | 說明 | 範例 | |:---|:---|:---|:---|:---| | **避免** (Avoid) | Risk Avoidance | 規避 | 停止該活動，完全消除風險 | 停用 Internet Explorer、不買比特幣就不會賠錢 | | **降低** (Reduce) | Risk Reduction | 緩解 (Mitigation) 修改 (Modification) | 採取控制措施降低機率或影響——**最常見** | 裝防火牆、買滅火器、定期備份 | | **轉移** (Transfer) | Risk Transfer | 分擔 (Sharing) | 將財務損失轉嫁給第三方 | 買保險、外包給雲端服務商 | | **保留** (Retain) | Risk Retention | 接受 (Acceptance) | 接受風險、不採取行動 | 風險太小或處理成本太高 | > 💡 **記憶口訣**：「**避降轉保**」（避免、降低、轉移、保留）——這是 iPAS 與業界 ISO 27005 的標準用詞，CC 大綱原文用 avoid / mitigate / transfer / accept，中文翻譯可互通。 ##### 殘餘風險 (Residual Risk) * **定義**：採取處置措施**之後**，仍然剩下、無法消除的風險。 * **核心觀念**：沒有任何控制能 100% 消滅風險，總會有殘餘。 * **誰負責處理**：殘餘風險必須由**高階管理層正式「接受」並簽署**，不能假裝它不存在。 * **記法**：原本風險 −（控制措施的效果）= 殘餘風險。 --- ### 1.3 理解治理概念 #### 1. 法律法規 * **定義**：政府強制規定的法律，不遵守會罰款或受到法律制裁。 * **範例**：GDPR（歐盟個資保護）、HIPAA（美國醫療資料）。 #### 2. 框架與指引 * **ISO (國際標準化組織)**：如 ISO/IEC 27001（資訊安全管理系統要求）。 * **CIS (網路安全中心)**：CIS Controls 提供優先排序的安全最佳實務。 * **NIST 網路安全框架 (CSF)**：識別、保護、偵測、回應、復原五大功能。 * 框架提供「做什麼」的指引，組織再根據框架制定自己的政策和程序。 #### 3. 政策、標準、程序、指引 (Policies, Standards, Procedures, Guidelines) **業界主流邏輯鏈**：**政策 ➔ 標準 ➔ 程序、指引** 組織先有目標，才訂規則去達成目標。**法規是外部驅動因素**（如金管會要求銀行業遵守某些規範），會**影響政策的制定**，但本身不在治理文件鏈內。 **Why / What / How 三層記法**（最好用的記憶法） | 文件 | 角色 | 一句話 | 例子 | | :--- | :--- | :--- | :--- | | **政策** (Policy) | **Why** | **「為什麼要做」**——組織的目標、原則、立場 | 「本公司必須保護客戶個資」 | | **標準** (Standard) | **What** | **「要達到什麼具體要求」**——強制性的明確規範 | 「員工密碼必須 ≥ 16 碼，含大小寫與符號」 | | **程序** (Procedure) | **How (強制)** | **「一步一步怎麼做」**——強制性的 SOP | 「設定密碼的 7 個步驟：先登入...再...」 | | **指引** (Guideline) | **How (建議)** | **「建議怎麼做」**——非強制的最佳實務 | 「建議使用密碼管理器，如 KeePass」 | **要素詳解** 1. **政策（Policy）** * 由**高階管理層**制定，是組織安全的最高綱領 * 制定時須考量**內外在因素**：業務目標、產業特性、適用法規、採用的標準（如 ISO 27001、NIST CSF）、風險評估結果 * 提供**大方向**，不寫細節 2. **標準（Standard）** * **強制性**的具體技術規範或度量 * 落實政策的具體要求（政策說「要保護密碼」，標準說「至少 16 碼」） * 可能來自外部（如 ISO 27001）或組織內部自訂 3. **程序（Procedure）** * **強制性**的逐步操作步驟（SOP） * 員工照著做就不會出錯 4. **指引（Guideline）** * **非強制**的建議性最佳實務 * 提供彈性空間，不適合每個情境都照做時使用 ```mermaid graph TD Ext["🏛️ 外部驅動因素 (法規、產業要求、風險、業務目標)"] -.影響.-> Pol Pol["📜 政策 Policy WHY:為什麼要做"] ==> Std Std["📏 標準 Standard WHAT:強制性具體要求"] ==> Proc Std ==> Guide Proc["📝 程序 Procedure HOW (強制):逐步 SOP"] Guide["💡 指引 Guideline HOW (建議):最佳實務"] style Ext fill:#ffcdd2,stroke:#b71c1c,stroke-dasharray: 5 5 style Pol fill:#fff9c4,stroke:#fbc02d style Std fill:#ffe0b2,stroke:#e65100 style Proc fill:#c8e6c9,stroke:#1b5e20 style Guide fill:#bbdefb,stroke:#0d47a1 ``` > **⚠️ 教材差異提醒**：部分 CC 教科書（特別是某些早期版本）會把方向寫成「**標準 ➔ 政策 ➔ 程序**」，理由是「外部標準引導政策制定」。這是**少數寫法**，業界主流與 ISC2 官方教材以「**政策 ➔ 標準 ➔ 程序、指引**」為主。如果考題出現方向衝突，**選政策在前的版本**比較安全。 --- ### 1.4 理解網路安全控制措施 * **三大控制類型**（依實施方式分） | 類型 | 英文 | 定義 | 例子 | | :--- | :--- | :--- | :--- | | **實體控制** | Physical | 看得見、摸得著的實體保護 | 警衛、圍籬、門鎖、監視器、照明 | | **技術控制** | Technical | 透過軟體或硬體執行的自動化防護 | 防火牆、加密、ACL、入侵偵測系統 | | **管理控制** | Administrative | 約束人員行為的政策與程序 | 資安政策、教育訓練、背景調查、入職或離職流程 | #### 控制的功能類型（Functional Types） > **重點**：上面的「三大類型」分的是**控制由什麼組成**（人、技術、設備），這裡分的是**控制在做什麼事**。CC 常考交叉題：「警衛」既是實體控制（類型）、也可以是嚇阻控制（功能）。 | 功能類型 | 時機 | 一句話定義 | 例子 | | :--- | :--- | :--- | :--- | | **預防 (Preventive)** | 事前 | 阻止事件發生 | 防火牆、門鎖、密碼、教育訓練 | | **嚇阻 (Deterrent)** | 事前 | 「**讓人不想做**」（心理層面） | 警衛在入口、警告標語、「內有惡犬」 | | **偵測 (Detective)** | 事中 | 發現事件正在發生 | 監視器、IDS、日誌稽核、煙霧偵測器 | | **矯正 (Corrective)** | 事後 | 收到告警後處理已發生的事件 | 隔離受感染主機、清除惡意程式 | | **復原 (Recovery)** | 事後 | 恢復系統與資料到正常運作 | 從備份還原、災難復原 | | **補償 (Compensating)** | 不分時機 | 主控制做不到時的**替代方案** | 老舊系統不能裝防毒，改放隔離網段 | > **判斷捷徑**（拿到題目情境問自己）： > - 事件**還沒發生**就攔下了？ → **預防** > - 讓對手**不敢動手**？ → **嚇阻** > - 事件**正在發生**，剛發現？ → **偵測** > - **收到告警後**處理事件？ → **矯正** > - 事件**已結束**，恢復原狀？ → **復原** > - 主控制做不到，用替代方式？ → **補償** --- ### 1.5 維持專業與道德操守 * **核心精神**：遵守道德規範是**認證的必要條件**。 #### 職業行為準則 (Code of Conduct) * **核心觀念**：**每個組織都有自己的 Code of Conduct**，由組織自行制定，內容因組織而異——沒有放諸四海皆準的標準版本。 * **典型內容**（各組織可能涵蓋）： * **可接受使用政策（AUP, Acceptable Use Policy）**：規範員工如何使用公司資源、設備、網路 * **保密協議（NDA, Non-Disclosure Agreement）**：員工簽署以承諾保密義務，保護組織機密與客戶資料 * **利益衝突（COI, Conflict of Interest）**：主動揭露並迴避 * 反騷擾、反歧視規範 * 合規要求（遵守適用法律法規） * 違規舉報（Whistleblowing）義務 * **違反後果**：紀律處分（警告、停職、解雇），嚴重者可能涉及法律責任。 **與 ISC2 道德規範的關鍵差別：** | 項目 | 組織 Code of Conduct | ISC2 Code of Ethics | | :--- | :--- | :--- | | 制定者 | 各組織自行制定 | ISC2 統一制定 | | 適用對象 | 該組織員工 | 所有 ISC2 認證持有者 | | 違反後果 | 組織紀律處分（如解雇） | 認證被撤銷 | > **重點**：一個 ISC2 認證持有者**同時受兩者約束**，且兩者獨立運作。離職後組織 Code of Conduct 不再適用，但 ISC2 道德規範終身有效（只要持有認證）。 #### 應盡職責 (Due Care / Due Diligence) * **應有注意 (Due Care)**：「做正確的事」— 採取合理的措施來保護資產。例如：安裝防毒軟體、定期修補系統。如果明知有風險卻不採取行動，就是缺乏應有注意。 * **應盡職責 (Due Diligence)**：「確認做對了」— 持續監控和驗證控制措施是否有效。例如：定期審查安全政策、進行風險評估、稽核合規狀態。 * **記法**：Due Care 是「動手做」，Due Diligence 是「動腦確認」。 #### ISC2 道德規範 (四大守則 PAPA) **有優先順序，從高到低：** | 順序 | 守則 | 關鍵字 | | :--- | :--- | :--- | | **1** | **P**rotect society, the common good, necessary public trust and confidence, and the infrastructure. | **保護社會**（最高指導原則） | | **2** | **A**ct honorably, honestly, justly, responsibly, and legally. | **行為合法、誠實** | | **3** | **P**rovide diligent and competent service to principals. | **服務雇主** | | **4** | **A**dvance and protect the profession. | **保護專業** | > **考點提示**：當不同守則衝突時，**順序在前者優先**。例如雇主要求做違法的事，應拒絕（保護社會 > 服務雇主）。對應綜合模擬考 Q6。 --- ## 領域 2：安全治理 > **考試權重**：17.3% > 安全治理涵蓋 GRC 規劃、營運持續與災難復原、資安意識培訓、以及資安有效性量測。 ### 2.1 規劃治理、風險與合規 (GRC) * **GRC 三個字母拆開看** * **G**overnance（治理）：**「誰來決策」**——高階管理層的決策權與職責分配 * **R**isk（風險）：**「根據什麼決策」**——以風險評估為決策依據 * **C**ompliance（合規）：**「外部要求什麼」**——滿足法規、標準、合約義務 * **目的** * 將安全目標與業務目標對齊 * 確保組織符合法規和標準要求 * 系統性地管理風險，避免各部門各自為政（安全孤島） * **重要性** * 提供管理階層對安全狀態的全面可見性 * 確保資源被有效分配到最需要的地方 * 建立可重複、可稽核的安全管理流程 * **框架與工具** * GRC 平台整合了政策管理、風險登錄、合規追蹤等功能 * 常見框架：NIST CSF、ISO 27001、COBIT * 工具幫助自動化合規檢查和報告產出 --- ### 2.2 理解冗餘營運持續和災難復原的本質就是「冗餘」— 確保關鍵服務不會因單點故障而中斷。 #### 營運持續 (BC) * **目的** * **核心定義**：使企業能夠在**危機期間**繼續運作。 * **範圍**：專注於維持組織的**關鍵產品和服務**，而非所有業務活動。確保這些重要區域能以「降級的能力」運作，直到業務恢復正常。 * **一句話白話文**：「天塌下來的時候，確保公司還能『活著』，關鍵業務不要斷。」 * **重要性** * **生存關鍵**：對任何組織的生存至關重要。 * **溝通是關鍵**：計畫的核心部分是溝通，必須包含備用聯絡方式（如電話樹），以防標準通訊失效。 * **管理層支持**：必須由執行管理層提供支持與承諾，否則幾乎沒有成功的機會。 * **組成元件** * **團隊名單**：營運持續計畫 (BCP) 團隊成員及其多種聯絡方式（主要與備用）。 * **立即回應程序**：包含安全程序、消防程序、通知緊急機構的檢查清單。 * **通知系統**：用於啟動計畫的通知系統與電話樹。 * **管理層指導**：包含指定特定管理者的權限。 * **啟動標準**：說明「如何」以及「何時」啟動計畫。 * **外部聯絡人**：供應鏈關鍵成員（廠商、客戶）的電話。 * **紅皮書**：指實體紙本的計畫書，當電子系統失效時使用。 --- #### 災難復原 (DR) * **目的** * **核心定義**：在事件回應和營運持續計畫都失敗時啟動，目標是盡快幫助企業**恢復正常運作**。 * **IT 導向**：特指恢復組織所需的**資訊技術 (IT)** 和**通訊服務**。 * **一句話白話文**：「災害過後，把壞掉的系統修好，把資料救回來，讓一切回到原本的樣子。」 * **重要性** * **關係**：DR 是 BC 的重要組成部分。DR 專注於 IT 系統的恢復，以支持 BC 的目標。 * **資料依賴性**：現代業務高度依賴 IT，必須理解資料流和系統間的複雜依賴關係。 * **備份至關重要**：必須識別關鍵系統並定期測試備份。 * **組成元件** * **執行摘要**：提供給高層看的計畫高階概述。 * **部門特定計畫**：針對不同部門的詳細計畫。 * **技術指南**：給 IT 人員看的，負責實施和維護關鍵備份系統。 * **完整計畫副本**：給關鍵 DR 團隊成員持有。 * **角色檢查清單**： * **IT 人員**：技術指南，幫助啟動替代站點。 * **管理者和公關**：高階文件，幫助對外溝通。 --- #### 💡 觀念釐清：這三個計畫到底差在哪？ > IR 的詳細內容請見 5.3 章節，這裡先比較三者的定位差異。 * **IR (事件回應)**：**「現在進行式」**。火剛燒起來，消防隊（IR Team）衝去滅火、救人。重點是 **「反應快、止損、救人第一」**。 * **BC (營運持續)**：**「短期生存」**。辦公室燒掉了，但公司不能停擺。大家移到備用辦公室工作，只做最重要的生意。重點是 **「撐住、關鍵業務不中斷」**。 * **DR (災難復原)**：**「災後重建」**。火滅了，開始修復伺服器、還原備份資料、把辦公室蓋回來。重點是 **「修復 IT、回到原狀」**。 --- #### 🏥 實戰情境演練：當醫院遇上勒索軟體為了讓大家秒懂 IR、BC、DR 的差別，我們用 **「醫院急診室爆發勒索病毒」** 為例，看看這三個計畫是如何在不同時間點接力運作的。 **情境背景**：週一早上 9:00，掛號櫃台的電腦突然全部跳出紅色骷髏頭畫面，檔案被加密無法開啟，醫生看不到病歷，藥師無法查處方箋。 --- **第一階段：事件回應 (IR) —— 🚑 「救火隊：止血與隔離」** * **發生時間**：早上 9:00 - 9:30 (事發當下) * **核心目標**：把損害控制在最小範圍，確保**人命安全**。 * **實際行動**： 1. **拔線 (遏制)**：資安團隊發現攻擊，立刻切斷醫院的網路連線，防止病毒傳染給更多電腦。 2. **評估**：確認這是一個「資安事故」，而不只是電腦當機。 3. **救人第一**：確認連線中斷不會導致正在手術的機器停擺（如果會，人命優先於電腦安全）。 > **📝 筆記**：IR 團隊這時候只管 **「抓出壞人、阻止擴散」** ，還沒空管掛號慢不慢的問題。 --- **第二階段：營運持續 (BC) —— ⛺ 「求生隊：活下去」** * **發生時間**：早上 9:30 - 下午 (系統修復期間) * **核心目標**：在沒有電腦的情況下，確保關鍵業務 —— **「看病」** 能繼續進行。 * **實際行動**： 1. **啟動 BCP**：院長宣布啟動營運持續計畫。 2. **紙本作業 (降級運作)**：醫生改用**紙筆**寫病歷和處方箋；櫃台改用**人工喊號**。 3. **關鍵業務優先**：暫停「醫美、健檢」等非緊急業務，全力保住「急診、手術室」的運作。 4. **電話樹**：Email 掛了，啟動電話聯絡網通知休假醫生回來支援手寫作業。 > **📝 學生筆記**：BC 的重點是 **「變通」** 。雖然效率變差 (降級)，但醫院沒有關門，病人還能看病。 --- **第三階段：災難復原 (DR) —— 🏗️ 「工程隊：重建與還原」** * **發生時間**：下午 - 隔天 (後勤修復) * **核心目標**：把壞掉的 IT 系統修好，把資料救回來，讓一切回到原狀。 * **實際行動**： 1. **清除系統**：IT 人員將被感染的伺服器格式化，確保沒有殘留病毒。 2. **還原備份**：從異地備援中心取出昨晚的**備份**，開始還原資料。 3. **系統重啟**：確認資料庫完整無誤後，重新上線，讓醫生可以再次使用電腦看診。 4. **回歸正常**：派人把早上手寫的紙本病歷，一筆一筆敲進回電腦裡。 > **📝 筆記**：DR 是 **IT 人員** 的戰場，重點是 **「備份」** 和 **「還原」**。 --- **第四階段：回歸正常運作 —— 🏁 「指揮官：解除警報」** * **發生時間**：隔天 (確認系統穩定後) * **核心目標**：結束緊急狀態，讓醫院營運從「生存模式」切換回「正常模式」。 * **實際行動**： 1. **驗證復原**：IT 主管確認 DR 還原的系統已經穩定運行數小時，且沒有再次被加密的跡象。 2. **資料同步**：確認這兩天累積的「紙本病歷」都已經由行政人員補登錄進系統，沒有資料遺漏。 3. **院長宣布 BC 結束**：院長發布全院廣播：「各位同仁辛苦了，資訊系統已恢復正常，即刻起**解除營運持續計畫**，請大家停止紙本作業，恢復正常看診流程。」 4. **事後檢討**：召開檢討會議，分析病毒是怎麼進來的（是誰亂點連結？），並更新 IR/BC/DR 計畫。 > **📝 筆記**：BC 不是永久的！當 DR 成功且資料同步完成後，必須有一個**正式的命令**來結束 BC，這才算完整的流程閉環。 --- #### ⚡ 一張表秒懂差異 | 階段 | 角色比喻 | 醫院情境 | 關鍵字 | | :--- | :--- | :--- | :--- | | **事件回應 (IR)** | **消防員** | 發現病毒，馬上拔網路線，確認病人沒事。 | 遏制, 人命第一 | | **營運持續 (BC)** | **求生專家** | 電腦不能用，改用**紙本手寫**，急診室繼續開。 | 關鍵業務, 電話樹 | | **災難復原 (DR)** | **維修工** | 重灌電腦，從**備份**還原病歷資料。 | 專注資訊技術, 備份, 還原 | --- #### 🎯 BC/DR 三大關鍵指標：BIA、RTO、RPO > 這三個是 BC/DR 的「**心臟**」，CC 高頻考點。三者環環相扣：先做 BIA 找出關鍵業務，再用 RTO/RPO 設定恢復目標。 | 指標 | 全名 | 一句話白話 | 醫院情境舉例 | | :--- | :--- | :--- | :--- | | **BIA** | Business Impact Analysis 業務影響分析 | **「中斷哪些業務最痛？」** 盤點所有業務、評估中斷後的影響、找出關鍵業務排優先順序。 | 急診、手術 = 不能停；健檢、美容 = 可以延 | | **RTO** | Recovery Time Objective 復原時間目標 | **「老闆能忍受系統壞多久？」** 從中斷到恢復服務的最大可容忍時間。 | 病歷系統 RTO = 4 小時（4 小時內一定要修好） | | **RPO** | Recovery Point Objective 復原時間點目標 | **「最多能忍受掉多少資料？」** 從上次備份到事故發生之間，可接受的資料遺失量。 | RPO = 1 小時（每小時備份一次，最多掉 1 小時資料） | > **記法**： > - **RTO 看時間軸往未來**：壞了之後**多久**修好。 > - **RPO 看時間軸往過去**：往回退**多遠**還有備份。 --- ### 2.3 理解資安意識 #### 1. 組織文化 * 安全不只是技術問題，更是文化問題 * **安全的重要性**：從高層到基層都要認知到安全是每個人的責任 * **安全領導力**：高階管理層必須以身作則，支持安全計畫並提供足夠資源 * 有效的安全文化能降低人為錯誤造成的資安事件 * **培訓層級**：建立安全文化需要三個層次的配合： * **教育**：理解「為什麼」(Why) * **培訓**：學會「怎麼做」(How)，練技能 * **意識**：保持「警覺」(Attention)，如海報、標語 --- #### 2. 概念 ##### 社交工程 * **核心目的**：在資安防禦中，**人** 通常是**最弱的一環**。培訓的主要目標是對抗**社交工程**。 * **社交工程**：被稱為「欺騙人的藝術」，利用人性的弱點（好奇、恐懼、貪婪、熱心助人）來獲取資訊。 | 攻擊手法 | 描述與情境 | | :--- | :--- | | **假託、編造藉口** (Pretexting) | 編造一個**劇本或情境**來冒充身分。 🎯 範例：假冒 IT 人員打電話說「我在幫你修電腦，請給我密碼」。 | | **尾隨** (Tailgating / Piggybacking) | 未經授權者緊跟在擁有識別證的人員身後，溜進門禁管制區域。 🎯 利用人的禮貌 (幫忙擋門)。 | | **利益交換** (Quid Pro Quo) | 以「給予好處」交換資訊。 🎯 範例：「填問卷送星巴克券」換取你的個資或帳號密碼。 | --- ##### 密碼保護 * **強密碼原則**：長度優先（建議 16 碼以上）、混合大小寫、數字、特殊符號 * **密碼片語 (Passphrase)**：用一整句話當密碼（如「我家貓咪今年3歲很可愛!」），比隨機字元更長且更好記 * **避免重複使用**：不同系統用不同密碼，防止一組帳密被破解後連鎖失陷 * **密碼管理器**：用工具（如 KeePass、1Password）安全保管所有密碼，使用者只需記住一組主密碼 * **MFA 不是密碼的替代品**：MFA 是密碼之外的「第二道鎖」，不是取代密碼 * **帳號鎖定**：連續輸入錯誤密碼達到次數上限後自動鎖定帳號，防止暴力破解 --- ##### 網路釣魚 | 攻擊手法 | 描述與情境 | 考試關鍵字 | | :--- | :--- | :--- | | **網路釣魚** (Phishing) | 發送偽造的 Email，誘騙受害者點擊惡意連結或下載附件。 🎯 **亂槍打鳥**，沒有特定目標。 | 電子郵件、連結、附件、廣泛發送 | | **魚叉式釣魚** (Spear Phishing) | 針對**特定目標**（特定員工、部門）進行攻擊。 🎯 駭客會先做功課，郵件內容會**客製化**。 | 特定目標、客製化、研究 | | **捕鯨攻擊** (Whaling) | 專門針對**高階主管** 等「大魚」的釣魚攻擊。 | 高階主管、大魚 | | **語音釣魚** (Vishing) | 透過**電話** 或 VoIP 進行詐騙。 🎯 範例：「我是檢察官，你的帳戶涉嫌洗錢...」 | 電話、VoIP、聲音 | ```mermaid graph TD classDef broad fill:#e3f2fd,stroke:#1565c0,stroke-width:2px; classDef specific fill:#fff9c4,stroke:#fbc02d,stroke-width:2px; classDef high fill:#ffcccc,stroke:#c62828,stroke-width:2px; subgraph PhishingFamily ["🎣 釣魚家族比較"] direction TB P[網路釣魚 Phishing]:::broad S[魚叉式釣魚 Spear Phishing]:::specific W[捕鯨攻擊 Whaling]:::high P -->|範圍縮小，針對性變強| S S -->|目標變成高層，難度最高| W end Note1[亂槍打鳥 廣發 Email 看誰上鉤] -.- P Note2[有做功課 叫得出名字 針對特定人] -.- S Note3[針對 CEO/CFO 偽裝成法院/高層 騙大錢] -.- W ``` --- ### 2.4 量測網路安全有效性 * **關鍵指標與關鍵風險指標 (KRI)** * **關鍵風險指標 (KRI)**：⭐ **大綱明列**——預警風險水準的變化（如：未修補的高風險漏洞數量、異常登入次數） * **關鍵績效指標 (KPI)**：📌 **補充概念**（CC 大綱未明列，但實務常見）——衡量安全控制的執行效能（如：修補完成率、事件回應時間） * **記法**：KPI 回答「我們做得好不好」，KRI 回答「風險有沒有在升高」 * **儀表板、計分卡與報告** * **安全儀表板**：即時顯示安全狀態的視覺化介面（給 SOC 團隊用） * **計分卡**：定期（月或季）的安全績效評估（給管理階層用） * **報告**：向管理階層和董事會呈報的正式文件 * 這些工具讓非技術人員也能理解組織的安全狀態 --- ## 領域 3：身分與存取管理概念 > **考試權重**：20% > 本章聚焦身分生命週期管理和邏輯存取控制。 ### 3.1 理解身分生命週期管理 * **角色定義** * 先定義組織中的角色（如：系統管理員、一般使用者、稽核員） * 每個角色對應特定的存取權限集合 * 角色定義是實施角色型存取控制 (RBAC) 的基礎 * **配置** * 建立新使用者帳號並授予適當的存取權限 * 新員工到職時，根據其角色配置所需的系統存取 * 應遵循最小權限原則，只給予工作所需的最低權限 * **審查** * 定期檢查使用者的存取權限是否仍然適當 * **存取權限審查**：通常由主管確認部屬的權限是否合理 * 防止「權限膨脹」— 員工調職後累積了不該有的權限 * **取消配置** * 員工離職或調職時，及時移除不再需要的存取權限 * **即時停用**：員工離職當天就要停用帳號（特別是非自願離職） * 未及時取消配置是常見的安全漏洞 * **框架與工具** * 身分管理系統自動化配置和取消配置流程 * 目錄服務（如 Active Directory）集中管理身分 * 單一登入 (SSO) 和多因子認證 (MFA) 強化身分認證 --- #### 存取控制基礎概念：主體、客體與規則在進入控制之前，必須先分清楚這三個角色，考試會考「誰是主動？誰是被動？」。 * **1. 主體** * **定義**：**主動**發起請求的實體。 * **例子**：使用者、程式、程序。 * **關鍵字**：**發起者**。 * **2. 客體** * **定義**：**被動**接受請求的實體。 * **例子**：檔案、資料庫、印表機、伺服器。 * **關鍵字**：**資源**。 * **3. 規則** * **定義**：用來判斷「主體」能不能碰「客體」的指令（例如防火牆規則或 ACL）。 ```mermaid graph LR Sub[主體 Subject - 主動] Obj[客體 Object - 被動] Rule{規則 Rule - 守門員} Sub -->|Request| Rule Rule -->|Allow| Obj Rule -.->|Deny| Sub style Sub fill:#e1f5fe,stroke:#01579b,stroke-width:2px style Obj fill:#fff9c4,stroke:#fbc02d,stroke-width:2px style Rule fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px ``` --- ### 3.2 理解邏輯存取控制這是用**軟體和系統**設定來限制存取。 * **最小權限原則 ( Principle of least privilege, PoLP)** * **定義**：只給使用者 **「剛好夠用」** 的權限，多一點都不給。 * **目的**：萬一帳號被駭，損害可以控制在最小範圍（如勒索軟體案例）。 * **例子**：即使是主治醫生，也只給他查看自己病人的權限。 * **職責分離 (Segregation of Duties, SoD)** * **定義**：把一個重要任務拆給兩個人做，沒人能單獨完成。 * **目的**：預防**詐欺**和錯誤。 * **關鍵字**：**共謀** —— 如果兩個人串通好，就能破解職責分離。 * **例子**：管帳不管錢，或是寫程式人員不能和程式上版人員同一個。 #### ⭐ 四大存取控制模型 | 模型 | 全名 | 誰決定權限？ | 特性與關鍵字 | 適用場景 | | :--- | :--- | :--- | :--- | :--- | | **DAC** | **自主式**存取控制 | **資料擁有者** | 1. **基於身分**。 2. 「擁有者」可以授予「權限」給別人。 3. 最靈活但最不安全。 | 一般作業系統 Windows,Linux | | **MAC** | **強制式**存取控制 | **系統管理員** | 1. **基於標籤**。 2. 比較「機密等級」與「許可等級」。 3. 最嚴格、最安全。 | 軍方、政府機關、高機密單位 SELINUX | | **RBAC** | **角色基礎**存取控制 | **角色** | 1. **基於工作職能**。 2. 權限綁定「職位」而非「人」。 3. 適合**高流動率**公司。 | 大型企業、商業環境 | | **ABAC** | **屬性基礎**存取控制 | **屬性條件** | 1. **基於屬性組合**（使用者屬性、資源屬性、環境屬性）。 2. 例：「行銷部 + 上班時間 + 公司網路」才能存取。 3. 最細緻、彈性最高。 | 雲端、零信任架構 | --- ```mermaid graph TD A[存取控制模型] --> B(DAC 自主式) A --> C(MAC 強制式) A --> D(RBAC 角色式) B --> B1[由擁有者 Owner 決定] B --> B2[靈活但風險高] C --> C1[由系統 System 決定] C --> C2[看標籤 Labels: 機密/絕密] C --> C3[軍方使用] D --> D1[由角色 Role 決定] D --> D2[看工作職責 Job Function] D --> D3[適合人員流動率高] style B fill:#e1f5fe,stroke:#333 style C fill:#ffebee,stroke:#333 style D fill:#e8f5e9,stroke:#333 ``` --- ## 領域 4：網路與雲端安全概念 > **考試權重**：21.3% > 涵蓋網路基礎、網路安全架構（含零信任）、以及雲端安全。 ### 4.1 理解網路安全 * **網路模型** * **概念核心**： * **OSI 模型 (7層)**：**理論參考標準**。因發展較晚，市場已被 TCP/IP 佔據 (商業上無實作)，但因分層邏輯清晰，現主要作為**教學解說**與**觀念釐清**的工具。 * **TCP/IP 模型 (4層)**：**實務運作標準**。簡化了 OSI 的上三層與下兩層，是目前網際網路**實際運行**的基石。 * **封裝**：資料往下傳時加標頭，往上傳時拆標頭。 ```mermaid graph TD %% 定義樣式 classDef l7 fill:#ffcccc,stroke:#333,stroke-width:2px; classDef l4 fill:#ffe5cc,stroke:#333,stroke-width:2px; classDef l3 fill:#ffffcc,stroke:#333,stroke-width:2px; classDef l2 fill:#e5ffcc,stroke:#333,stroke-width:2px; subgraph User_Data [原始資料產生] direction LR D(資料 Data) end subgraph L7 [L7 應用層 - PDU] direction LR L7H(App 標頭) --- L7D(資料 Data) end subgraph L4 [L4 傳輸層 - Segment] direction LR L4H(TCP 標頭) --- L4D(Data: App標頭 + 資料) end subgraph L3 [L3 網際網路層 - Packet] direction LR L3H(IP 標頭) --- L3D(Data: TCP標頭 + App標頭 + 資料) end subgraph L2 [L2 網路介面層 - Frame] direction LR L2H(MAC 標頭) --- L2D(Data: IP + TCP + App + 資料) --- L2T(FCS 檢查碼) end %% 連接關係 User_Data -->|封裝| L7 L7 -->|整包變成 L4 的 Payload| L4 L4 -->|整包變成 L3 的 Payload| L3 L3 -->|整包變成 L2 的 Payload| L2 %% 套用樣式 class L7H,L7D l7; class L4H,L4D l4; class L3H,L3D l3; class L2H,L2D,L2T l2; ``` ```mermaid graph BT %% 定義顏色樣式 classDef l7 fill:#ffcccc,stroke:#333,stroke-width:2px; classDef l4 fill:#ffe5cc,stroke:#e67e22,stroke-width:2px; classDef l3 fill:#ffffcc,stroke:#f1c40f,stroke-width:2px; classDef l2 fill:#e5ffcc,stroke:#2ecc71,stroke-width:2px; %% 步驟 1：L2 (移除 1. 和 - 符號) subgraph Step1 ["Step 1 : L2 網路介面層"] direction LR S1H("MAC 標頭") --- S1D("IP + TCP + Data") --- S1T("FCS 檢查碼") Note1("檢查 MAC 位址 檢查 FCS 是否錯誤 拆掉頭尾往上送") end %% 步驟 2：L3 subgraph Step2 ["Step 2 : L3 網際網路層"] direction LR S2H("IP 標頭") --- S2D("TCP + Data") Note2("檢查 IP 位址 確認是給我的 拆掉標頭往上送") end %% 步驟 3：L4 subgraph Step3 ["Step 3 : L4 傳輸層"] direction LR S3H("TCP 標頭") --- S3D("Data") Note3("檢查 Port 重組順序 拆掉標頭往上送") end %% 步驟 4：L7 subgraph Step4 ["Step 4 : L7 應用層"] direction LR Final("原始資料 Data") Note4("應用程式讀取內容 顯示網頁或圖片") end %% 連接關係 (由下往上) Step1 -->|去掉 MAC 與 FCS| Step2 Step2 -->|去掉 IP 標頭| Step3 Step3 -->|去掉 TCP 標頭| Step4 %% 套用顏色 class S1H,S1D,S1T l2; class S2H,S2D l3; class S3H,S3D l4; class Final l7; ``` * **⭐ 層級、設備與協定總整理** *(考試常問：Router 在哪一層？Switch 認得什麼地址？看這張表就對了)* | OSI 層級 | TCP/IP 對應 | 主要關注點 (定址) | 常見設備 | 常見協定 | | :--- | :--- | :--- | :--- | :--- | | **L7 應用層** (Application) | **應用層** | 應用程式資料 | **WAF** (網頁防火牆)、**Proxy** (代理伺服器) | HTTP(S), DNS, SSH | | **L4 傳輸層** (Transport) | **傳輸層** | **Port** (連接埠) | **Firewall** (防火牆) | TCP, UDP | | **L3 網路層** (Network) | **網際網路層** | **IP 位址** | **Router** (路由器) | IP, ICMP, IPsec | | **L2 資料連結層** (Data Link) | **網路介面層** | **MAC 位址** | **Bridge** (橋接器)、**Switch** (交換器) | ARP | | **L1 實體層** (Physical) | 無對應 | 訊號 (電波、光纖) | **Repeater**(中繼器)、**Hub** (集線器) | - | * **關鍵設備差異**： * **Hub (L1)**：笨設備，收到訊號廣播給所有人 (不安全、易碰撞)。 * **Switch (L2)**：聰明設備，認得 MAC Address，只傳給目標對象。 * **Router (L3)**：負責不同網路之間的路徑選擇，認得 IP。 * **IP 位址 (IP Address)** * **IPv4**：32 位元，格式如 `192.168.1.1`，位址已耗盡 (IPsec 需額外配置，QoS 效率較差)。 * **IPv6**：128 位元，格式如 `2001:db8::1`，主要解決 IPv4 位址耗盡問題；**支援 IPsec**（但這不代表所有 IPv6 流量都會自動加密，實務上仍需明確設定）、**QoS 效率更佳**（新增 Flow Label 欄位）。 * **VPN（虛擬私人網路 Virtual Private Network）**：在不安全的網路（如 Internet）上建立**加密通道（tunnel）**，確保遠端連線回公司的安全性。常用於遠端工作者連回公司內網。 ```mermaid graph LR %% 定義樣式 classDef home fill:#e3f2fd,stroke:#1565c0,stroke-width:2px,color:#000 classDef internet fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px,color:#000 classDef company fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px,color:#000 classDef device fill:#ffffff,stroke:#333,stroke-width:1px,color:#000 classDef tunnel fill:#fff3e0,stroke:#ef6c00,stroke-width:2px,stroke-dasharray: 5 5,color:#000 %% 區域 1: 員工家裡 subgraph Home ["🏠 員工家裡"] User(👨‍💻 員工) --> Laptop[💻 公司筆電 / VPN Client]:::device end %% 區域 2: 網際網路與通道 subgraph Internet ["☁️ 網際網路"] %% 這裡強調通道穿越了公網 Laptop -.-> |建立連線| Tunnel(🔒 VPN 加密通道 Encrypted Tunnel):::tunnel end %% 區域 3: 公司內網 subgraph Company ["🏢 公司內網"] Tunnel -.-> VPNGw[🚪 VPN Gateway]:::device VPNGw --> |解密流量| InternalSwitch[🔀 核心交換器 / 防火牆]:::device InternalSwitch --> ERP[📊 內部 ERP 系統]:::device InternalSwitch --> File[📂 檔案伺服器]:::device end %% 應用樣式 class Home home class Internet internet class Company company ``` * **防火牆** * 根據預定規則過濾網路流量 * 與連接埠和應用程式的關係密切 — 防火牆規則通常基於連接埠號碼來允許或封鎖特定應用程式 * **連接埠 (Port)** * **定義**：如果 IP 是大樓地址，Port 就是「分機號碼」，用來區分不同的服務。 * **⚠️ 實務盲點**： * 不能單憑 Port 就判斷流量的安全性！ * **例子**：駭客或軟體 (如 Skype) 常會偷跑 **Port 80 (HTTP)**，把自己偽裝成一般的看網頁行為，這樣防火牆就會誤以為是正常流量而放行。 > 為了解決這個盲點，**較進階的防火牆**會用 NGFW（次世代防火牆）或 DPI（深層封包檢測），不只看 Port，還會檢查封包內容是否真的是該應用程式的合法流量。但傳統防火牆在許多場景仍在使用，CC 考試重點是知道**防火牆可依 Port 或應用程式規則過濾流量**即可。 * **分類**： * **知名連接埠 (Well-known) (0-1023)**：系統保留，如 HTTP (80)。 * **註冊連接埠 (1024-49151)**：註冊應用程式。 * **動態連接埠 (49152-65535)**：臨時使用。 * **應用程式與安全協定** > **重點**：「不要用明文協定，要用加密的」。CC 必背：HTTP/HTTPS、Telnet/SSH、FTP/SFTP。 | 服務 | ❌ 不安全 (明文) | Port | ✅ 安全替代方案 (加密) | Port | | :--- | :--- | :--- | :--- | :--- | | **網頁瀏覽** | **HTTP** | 80 | **HTTPS** (TLS) | **443** | | **遠端連線** | **Telnet** | 23 | **SSH** | **22** | | **檔案傳輸** | **FTP** | 21 | **SFTP** | **22** | | **發送郵件** | **SMTP** | 25 | **SMTP over TLS** | **587** | | **接收郵件** | **IMAP** | 143 | **IMAP over SSL** | **993** | | **目錄服務** | **LDAP** | 389 | **LDAPS** | **636** | * **基礎建設與常用協定**（延伸參考，CC 不會考太細） > **重點**：CC 考試重點在前面那張「明文 vs 加密」對照表；下表的 SMB/SNMP/RDP/SQL 偏 Network+/Security+ 等級，看過有印象即可，不用硬背。 | 協定 | Port | 類型 | 關鍵功能 | | :--- | :--- | :--- | :--- | | **DNS** (網域名稱系統) | **53** | TCP/UDP | • **網路電話簿**：負責將網址 (`google.com`) 轉成 IP 位址。 • **攻擊**：DNS 汙染、DNS 放大攻擊。 | | **DHCP** (動態主機設定) | **67, 68** | UDP | • **自動發 IP**：讓電腦一連上網就能自動取得 IP 位址。 • Server (67), Client (68)。 | | **NTP** (網路校時) | **123** | UDP | • **對時專用**：確保所有設備時間一致。 • **例子**：**日誌分析**時，若時間不準，證據將無法拼湊，影響鑑識完整性。 | | **SMB** (伺服器訊息區塊) | **445** | TCP | • **Windows 檔案分享**：用於網芳、印表機共享。 • **例子**：勒索軟體 (如 WannaCry) 擴散的主要途徑，企業內部通常需嚴格管控。 | | **SNMP** (簡單網管協定) | **161** | UDP | • **監控設備**：用來蒐集 Router/Switch 的流量與狀態資訊。 • **Trap** (警報) 通常使用 Port 162。 | | **RDP** (遠端桌面) | **3389** | TCP | • **微軟遠端**：Windows 內建的圖形化遠端連線工具。 • **對比**： Linux 遠端通常使用 SSH (22)。 | | **SQL Server** | **1433** | TCP | • **資料庫**：Microsoft SQL Server 預設使用的連接埠。 | --- * **WiFi (無線網路)** * **風險特性**： * **邊界模糊**：訊號會穿透牆壁，攻擊者不需進入建築物即可在停車場或隔壁進行監聽或攻擊。 * **戰爭駕駛**：駕駛車輛搜尋並標記開放無線網路的行為。 ##### Wi-Fi 無線加密標準演進 | 標準 | 狀態 | 加密演算法 | 關鍵特徵與弱點 | | :--- | :--- | :--- | :--- | | **WEP** | ❌ **淘汰** | **RC4** | • 最早期的標準，極不安全。 • **弱點**：**IV (初始向量)** 長度不足且重複使用，幾分鐘內即可被破解。 • **結論**：絕對禁止使用。 | | **WPA** | ⚠️ **不建議** | **TKIP** (+RC4) | • 過渡期標準，為了修補 WEP 而生。 • **TKIP** (暫時金鑰完整性協定) 會動態改變金鑰，比 WEP 強，但核心仍基於 RC4，現已被破解。 | | **WPA2** | ✅ **主流** | **AES** (CCMP) | • 目前最普遍的標準。 • **AES** (進階加密標準) 提供了強大的安全性。 • **CCMP** 取代了 TKIP，提供完整性驗證。 | | **WPA3** | 🏆 **最強** | **AES** (GCMP) | • 最新一代標準，強化了防護能力。 • **SAE (對等實體同時驗證)**：取代了 WPA2 的 PSK，即使密碼設定很簡單，也能抵抗字典攻擊。 • 支援 192 位元加密 (企業級)。 | * **藍牙**：短距離無線通訊技術，常見安全威脅包括： * **藍牙劫持**：攻擊者向藍牙裝置發送未經請求的訊息（騷擾性質，危害較低） * **藍牙竊聽**：攻擊者未經授權存取藍牙裝置上的資料（如通訊錄、簡訊），危害較高 * **藍牙控制**：攻擊者取得藍牙裝置的控制權，可竊聽通話、發送訊息 * **防護**：不使用時關閉藍牙、設定為「不可探索」模式、拒絕不明配對請求 * **嵌入式系統與物聯網** * **工業控制系統 (ICS)**：用於控制工廠、電力設施等關鍵基礎設施 * 包含 SCADA（監控與資料擷取）系統，用於遠端監控大型設施 * 設計時優先考慮可用性和安全性（人身安全），而非資訊安全 * **物聯網 (IoT)**：連網裝置（監視器、感測器、智慧家電等），通常安全性較弱 * **共同挑戰**： * 預設密碼不更改 * 韌體難以更新修補 * 通訊協定不安全（許多使用未加密的專有協定） * 無法安裝防毒軟體 * **IT 與 OT 網路分割** * **IT 網路**：處理資料的傳統資訊系統（如 Email、ERP） * **OT 網路**：控制實體設備的營運技術系統（如 ICS、SCADA） * **關鍵原則**：IT 和 OT 網路必須**隔離**，禁止直接互通 * **解法**：使用 VLAN 或防火牆將 IoT 和 OT 設備強制隔離，嚴禁直接連線到公司核心網路 * **為什麼重要**：一旦 IT 網路被入侵，若沒有隔離，攻擊者可以橫向移動到 OT 網路，控制實體設備造成人身安全風險 --- ### 4.2 理解網路安全架構 --- * **網路分段** * **目的**：將大網路切成數個小網段。 * **資安效益**：防止駭客入侵後進行 **「橫向移動」**，避免一台中標、全公司遭殃。 * **關鍵技術名詞** * **DMZ (非軍事區)**： * 介於「外網」與「內網」之間的緩衝區。 * **用途**：放置對外服務的伺服器 (如 Web Server, Email Server)。 ```mermaid graph LR %% 定義樣式 (紅綠燈概念) classDef danger fill:#ffcccc,stroke:#cc0000,stroke-width:2px; classDef buffer fill:#fff9c4,stroke:#fbc02d,stroke-width:2px; classDef safe fill:#e8f5e9,stroke:#2ecc71,stroke-width:2px; classDef fw fill:#455a64,stroke:#333,stroke-width:2px,color:#fff; %% 1. 外部區域 (危險) NodeInternet((網際網路 Internet)):::danger %% 2. 外部防火牆 FW1[外部防火牆 Outer Firewall]:::fw %% 3. DMZ 區域 (緩衝) subgraph DMZ ["DMZ 非軍事區 (對外服務)"] direction TB Web("Web Server 官方網站") DNS("DNS Server 網域解析") Mail("Mail Server 郵件主機") Proxy("Proxy Server 代理伺服器") end %% 4. 內部防火牆 FW2[內部防火牆 Inner Firewall]:::fw %% 5. 內部網路 (機密) subgraph LAN ["Internal 內部網路 (機密)"] direction TB DB[("資料庫區 客戶資料庫")] AD("基礎設施區 AD認證伺服器") Work("員工電腦區 工作站") end %% --- 連線關係修正 --- %% 外部 -> 外部防火牆 NodeInternet ==>|公開存取| FW1 %% 外部防火牆 -> DMZ (全連) FW1 ==> Web & DNS & Mail & Proxy %% DMZ -> 內部防火牆 (全連，代表所有流量都要受檢) Web & DNS & Mail & Proxy -.->|過濾流量| FW2 %% 內部防火牆 -> 內部網路 (全連) FW2 -.-> DB & AD & Work %% 套用樣式 class Web,DNS,Mail,Proxy buffer; class DB,AD,Work safe; ``` * **VLAN (虛擬區域網路)**： * 利用交換器在邏輯上將網路切開。例如：財務部 VLAN、訪客 VLAN。 ```mermaid graph TD %% 定義樣式 classDef sw fill:#455a64,stroke:#333,stroke-width:2px,color:#fff; classDef hr fill:#ffcdd2,stroke:#c62828,stroke-width:2px; classDef it fill:#bbdefb,stroke:#1565c0,stroke-width:2px; classDef block fill:#fff,stroke:#333,stroke-dasharray: 5 5; %% 實體設備：交換器 Switch[實體交換器 Switch Physical Device]:::sw %% VLAN 10 群組 subgraph V10 ["VLAN 10 : 人資部 (HR)"] direction TB PC1(HR 電腦 A):::hr PC2(HR 電腦 B):::hr end %% VLAN 20 群組 subgraph V20 ["VLAN 20 : 工程部 (IT)"] direction TB PC3(IT 電腦 C):::it PC4(IT 電腦 D):::it end %% 連線關係 (實體連線) PC1 ===|屬於 VLAN 10| Switch PC2 ===|屬於 VLAN 10| Switch PC3 ===|屬於 VLAN 20| Switch PC4 ===|屬於 VLAN 20| Switch %% 隔離示意 (隱形牆) PC2 -.-x|無法連線 Blocked| PC3 %% 註解 Note("邏輯隔離： 雖然插在同一台機器 但紅藍之間完全不通") %% 連結註解 Switch --- Note ``` * **微分割 (Microsegmentation)**： * VLAN 的進階版——將分段切得更細，細化到**每一台虛擬機、容器、應用程式**之間的流量都要檢查。 * **應用場景**：虛擬化、雲端、容器化環境。 * **與零信任的關係**：是落實**零信任架構**的關鍵實作技術。 ```mermaid graph TD %% 定義樣式 classDef micro fill:#fff9c4,stroke:#fbc02d,stroke-width:2px,stroke-dasharray: 5 5; classDef web fill:#e1f5fe,stroke:#0277bd,stroke-width:2px; classDef app fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px; classDef db fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px; %% 同一個 VLAN / 雲端環境，但每台 VM 自帶微邊界 subgraph Same ["☁️ 同一個 VLAN / 雲端環境"] direction LR subgraph M1 ["🛡️ 微邊界"] VM1(Web-VM):::web end subgraph M2 ["🛡️ 微邊界"] VM2(App-VM):::app end subgraph M3 ["🛡️ 微邊界"] VM3[(DB-VM)]:::db end end %% 按應用拓樸允許的流量 VM1 ==>|✅ Web→App 已授權| VM2 VM2 ==>|✅ App→DB 已授權| VM3 %% 即使在同 VLAN 內，越權連線仍被擋 VM1 -.->|❌ Web→DB 越權被擋| VM3 %% 教學註解 Note("微分割精髓： 每台 VM 自帶邊界 同 VLAN 鄰居也要審核才能通") M2 --- Note class M1,M2,M3 micro ``` * **防禦策略** * **縱深防禦 (Defense in Depth)**： * **洋蔥式防禦**：使用多層次的安全控制。例如：防火牆失效了，還有 IPS；IPS 失效了，還有防毒軟體。 ```mermaid graph TD %% 定義樣式 classDef hacker fill:#000,stroke:#f00,stroke-width:2px,color:#fff; classDef physical fill:#ffe0b2,stroke:#ef6c00,stroke-width:2px; classDef perimeter fill:#ffecb3,stroke:#ff8f00,stroke-width:2px; classDef network fill:#fff9c4,stroke:#fbc02d,stroke-width:2px; classDef host fill:#dcedc8,stroke:#558b2f,stroke-width:2px; classDef app fill:#b3e5fc,stroke:#0277bd,stroke-width:2px; classDef data fill:#e1bee7,stroke:#8e24aa,stroke-width:4px; %% 攻擊者 Attacker(👹 攻擊者 / 威脅):::hacker %% 連接線 Attacker ==> L1 %% 第 1 層 subgraph L1 ["1️⃣ 行政與實體層"] direction LR P1[警衛 / 門禁] P2[資安政策] P3[教育訓練] end L1 ==> L2 %% 第 2 層 subgraph L2 ["2️⃣ 周邊防禦層"] direction LR N1[防火牆 FW] N2[DDoS 清洗] N3[VPN 閘道] end L2 ==> L3 %% 第 3 層 subgraph L3 ["3️⃣ 內部網路層"] direction LR I1[IPS 入侵防禦] I2[VLAN 隔離] I3[NAC 存取控制] end L3 ==> L4 %% 第 4 層 subgraph L4 ["4️⃣ 主機端點層"] direction LR H1[防毒軟體 AV] H2[修補 Patch] H3[系統強化] end L4 ==> L5 %% 第 5 層 subgraph L5 ["5️⃣ 應用程式層"] direction LR A1[WAF 網頁防火牆] A2[MFA 身分認證] A3[安全程式碼] end L5 ==> L6 %% 第 6 層 subgraph L6 ["🎯 核心資料層"] direction LR D1[🔒 資料加密] D2[💾 備份 Backup] D3[🚫 DLP 防外洩] end %% 樣式套用 class P1,P2,P3 physical class N1,N2,N3 perimeter class I1,I2,I3 network class H1,H2,H3 host class A1,A2,A3 app class D1,D2,D3 data ``` * **零信任 (Zero Trust, ZT)**： * **核心精神**：「**永不信任，持續驗證**」（Never trust, always verify）。 * **五大支柱**（CISA / 金管會版本，與 iPAS 一致）： | 支柱 | 重點 | 關鍵措施 | | :--- | :--- | :--- | | **身分** | 身分認證、權限控管 | MFA、FIDO、RBAC／ABAC、動態授權 | | **設備** | 設備合規、健康檢查 | 設備納管、EDR、病毒碼更新 | | **網路** | 網路區隔、流量加密 | **微分割**、TLS 加密、NDR | | **應用程式** | 存取授權、程式安全 | 最小授權、CI/CD 安全檢測 | | **資料** | 外洩防護、資料加密 | DLP、資料分類分級、加密儲存 | > **關鍵實作**：透過**微分割**強制最小權限存取——即便已通過認證的內部流量，每次存取也都要重新驗證。 --- ### 4.3 理解雲端安全 #### 雲端生態系角色 * **CSP (雲端服務供應商 - Cloud Service Provider)** * **角色**：**賣方**。 * **定義**：擁有並維運雲端硬體與軟體，提供服務給大眾的公司。 * **例子**：AWS, Microsoft Azure, Google Cloud。 * **比喻**：**「房東」**。他蓋好房子 (機房)，維護水電結構 (基礎建設)，並出租空間給你。 * **CSC (雲端服務客戶 - Cloud Service Customer)** * **角色**：**買方**。 * **定義**：付錢購買並使用雲端服務的個人或組織。**就是「你」或「你的公司」**。 * **責任**：依據 SLA 與共同責任模型，負責保護自己在雲端上的**資料** 與 **帳號**。 > 想成你是租房子的租戶，你不在意房子會漏水(那是房東的事情)，但是漏水滴到你的家具就不好了。 * **比喻**：**「房客」**。你付房租 (訂閱費)，你有權住在裡面，但你要自己負責鎖門 (設密碼) 和保管家中財物 (資料)。 #### 雲端五大關鍵特性 > 這是定義「什麼才算雲端」的標準。如果沒有這五點，那只是遠端機房，不能叫雲端。 | 特性 | 中文（對齊 iPAS） | 定義與考試情境 | | :--- | :--- | :--- | | **1. On-demand self-service** | **隨需自助** | • **不用求人**：使用者可以隨時自己按按鈕開機器，不需要經過 IT 部門的人工審核。 • **效率**：隨點隨用。 | | **2. Broad network access** | **無遠弗屆** | • **隨處可用**：透過標準網路機制，使用各種裝置（手機、筆電、平板）都能連線。 • **關鍵字**：Anywhere, Any device。 | | **3. Resource pooling** | **資源共享** | • **資源池化**：所有客戶共用同一堆實體 CPU 和硬碟。 • **⚠️ 資安關鍵字：多租戶**。 • **風險**：若是隔離沒做好，A 客戶可能會看到 B 客戶的資料。 | | **4. Rapid elasticity** | **伸縮自如** | • **能屈能伸**：資源不夠時自動變大，沒人時自動縮小。 • **情境**：雙 11 搶購、選課系統瞬間爆量，系統自動加開伺服器撐住流量。 | | **5. Measured service** | **按量計價** | • **用多少付多少**：像水費、電費一樣計價。 • **財務關鍵字**：從 **資本支出（買斷）** 轉變為 **營運支出（月租）**。 | --- #### 部署四大模型 * **公有雲**：多人共用資源 (AWS, AZURE , GCP)。便宜、彈性大，但有隱私疑慮。 * **私有雲**：企業獨享硬體。最安全，但成本最高。 * **混合雲**：重要資料 (敏感個資) 放私有雲，不重要的 (Web 前端) 放公有雲，目前最常見的使用方式。 * **社群雲**：特定團體共用 (如銀行同業雲、醫療雲)。 #### 雲端三大服務模式 | 模式 | 全名 | 定義 (客戶管什麼?) | 例子 | 責任歸屬 | | :--- | :--- | :--- | :--- | :--- | | **SaaS** | **軟體**即服務 | **軟體** 客戶只管「用軟體」，作業系統、修補都由廠商負責。 | Gmail, Office 365, Dropbox | 廠商責任最大 | | **PaaS** | **平台**即服務 | **平台** 給開發者用的。客戶管「程式碼」，廠商管作業系統與硬體。 | Google App Engine, Heroku | 各半 | | **IaaS** | **基礎設施**即服務 | **基礎設施** 租虛擬機。客戶要自己「灌作業系統、裝軟體、修補」。 | AWS EC2, Azure VM | 客戶責任最大 | #### 共同責任模型 * **雲端供應商 (CSP)**：負責 **雲端的安全** (如機房門禁、硬體維修、網路骨幹)。 * **客戶 (CSC)**：負責 **雲端內的安全** (如設定密碼、資料加密、修補作業系統)。 * **口訣**：你租了房子 (IaaS)，房東負責修牆壁，你要負責鎖門。* ![shared-responsibility](https://hackmd.io/_uploads/S1AxTUvE-g.png) 圖片來源：微軟 --- ## 領域 5：安全營運與事件回應 > **考試權重**：17.3% > 涵蓋資料安全、安全營運、事件回應、資產保護、以及安全測試。 ### 5.1 理解資料安全 * **資料處理** * **分類**：根據敏感度分級（公開、內部、機密、極機密） * **標籤**：在資料上標示分類等級 * **遮罩**：隱藏部分敏感資料（如信用卡號顯示為 ****-1234） * **清理**：確保資料在媒體上被徹底清除，防止被復原 * **加密** * **對稱式加密**：加密和解密使用同一把金鑰（速度快，適合大量資料） * **非對稱式加密**：使用公鑰加密、私鑰解密（速度慢，適合金鑰交換和數位簽章） * **雜湊**：單向函式，產生固定長度的摘要值，用於驗證完整性 * **抗量子密碼學**：為應對未來量子電腦對現有加密演算法的威脅，發展的新加密方法。 * **為什麼重要**：量子電腦理論上可用 Shor 演算法破解 RSA 和 ECC 等非對稱式加密 * **對稱式加密影響較小**：Grover 演算法僅將安全強度減半（AES-256 → 等同 128 位元），仍被視為安全 * **「先收集，後解密」威脅**：攻擊者現在攔截加密資料，等量子電腦成熟後再解密，因此現在就需要開始準備 * **NIST 後量子標準**：NIST 已於 2024 年發布首批後量子密碼標準，組織應開始評估遷移計畫 --- ### 5.2 理解安全營運 * **日誌記錄與安全事件監控** * 收集和分析系統、網路和應用程式的日誌 * 集中式日誌管理（如 SIEM）能關聯不同來源的事件 * **安全事件分類** * **事件使用案例**：定義哪些情境構成安全事件 * **優先排序**：根據影響程度和緊急性決定處理順序 * **關聯分析**：將多個看似獨立的事件連結起來，發現潛在攻擊 #### 🎯 SOC 事件分流漏斗：Log → Event → Alert → Incident > SOC（資安營運中心）每天會處理海量資料，這個推進階層是過濾的關鍵：**越往下走，越嚴重，數量越少**。 | 階層 | 中文 | 一句話定義 | 醫院系統舉例 | | :--- | :--- | :--- | :--- | | **Log** | 日誌 | 系統產生的**原始紀錄**，數量最多。 | 防火牆每秒記錄上千筆連線 | | **Event** | 事件 | 任何**可觀察到的發生**，多數無害。 | 某員工凌晨 3 點登入系統 | | **Alert** | 警報 | 符合規則、**值得關注**的事件。 | 該員工 5 分鐘內試了 10 次密碼錯誤 | | **Incident** | 事故 | 已**確認危及 CIA**、需要 IR 介入。 | 確認該帳號被盜用，正在外洩資料 | > **記法**：日誌是大海，事件是浮標，警報是響鈴，事故是火警。 * **威脅行為者** | 類型 | 主要動機 | 典型手段 | | :--- | :--- | :--- | | **國家級行為者** (Nation-state) | **政治、間諜、戰略** | APT 長期潛伏、關鍵基礎設施攻擊 | | **網路犯罪組織** (Cybercrime) | **財務利益** | 勒索軟體、商業詐騙、信用卡盜刷 | | **駭客行動主義者** (Hacktivist) | **政治、社會理念** | DDoS 抗議、網站塗鴉、洩密 | | **內部威脅** (Insider) | **報復、貪婪、疏忽** | 帶走客戶名單、誤刪資料、被釣魚 | | **腳本小子** (Script Kiddie) | **好奇、炫耀、無聊** | 用現成工具亂打、追求知名度 | > **考試陷阱**：題目給情境問「最可能是誰幹的」，要從**動機**反推類型，不能只看技術手段。 * **網路威脅情報** * 收集、分析和分享關於威脅的資訊 * 幫助組織主動防禦，而非被動回應 * **威脅框架** * 提供系統性的方法來理解和分類威脅 * **Cyber Kill Chain**（Lockheed Martin 提出）：將攻擊拆解為七個階段 — 偵察 → 武器化 → 遞送 → 利用 → 安裝 → 命令與控制 → 目標達成。防禦者的目標是在越早的階段阻斷攻擊越好。 * **MITRE ATT&CK**：攻擊者戰術與技術的知識庫，以矩陣形式呈現。用於模擬真實威脅、評估防禦缺口、改善偵測能力。是目前業界最廣泛使用的威脅框架。 --- ### 5.3 理解事件回應 * **目的** * **核心定義**：回應作業條件的**意外變化**，以維持業務運作。 * **優先級**：首要任務永遠是**保護生命、健康和安全**。 * **目標**：減少事故的影響，使組織盡快恢復中斷的運作。 * **重要性** * **第一線防禦**：資安專業人員是第一線回應者，需具備區分「一般 IT 問題」與「安全事故」的能力。 * **術語區分**： * **事件**：任何可觀察到的發生（大多無害，如防火牆日誌）。 * **事故**：危及 CIA 的負面事件，會擾亂業務（如系統被駭）。 * **組成元件** * **四大流程**： 1. **準備**：制定政策、培訓員工、識別關鍵資產。 2. **偵測與分析**：監控攻擊、分析威脅、確定優先順序。 3. **遏制、根除與復原**：隔離攻擊來源、收集證據、恢復系統。 4. **事後活動**：記錄經驗教訓、保留證據。 * **事件回應團隊**：通常是跨職能團隊（管理層、IT、法律、公關）。 --- * **事件回應計畫的實施** * 資料處理政策應與事件回應計畫整合 * 明確定義什麼構成「事件」以及通報流程 * 定義角色和責任（誰負責什麼） * **事件回應、營運持續演練類型**（由低到高，五種等級） > CC 大綱原文只列「testing, tabletop」當例子，未指定數量。本表採用業界 BC/DR 主流的 NIST SP 800-34 分類（與 iPAS 初級一致），完全符合 CC 大綱要求。 | 類型 | 英文 | 說明 | 真實度 | 成本 | |:-----|:-----|:-----|:------:|:----:| | **檢查表測試** | Checklist Test | 書面檢核文件與程序是否完整、聯絡資訊是否最新 | 最低 | 最低 | | **桌上推演** | Tabletop Exercise （又稱 Structured Walkthrough，結構化演練） | 團隊圍坐**開會討論**模擬情境，**只動口不動手** | 低 | 低 | | **模擬測試** | Simulation Test | 模擬災難情境，人員實際執行回應流程（**不中斷**主系統） | 中 | 中 | | **並行測試** | Parallel Test | 備援系統與主系統**並行運作**，驗證備援可用性 | 高 | 高 | | **完全中斷測試** | Full Interruption Test | **實際停止主系統**，切換到備援運作 | 最高 | 最高 | > ⚠️ 計畫寫得再完美，沒有實際演練驗證都是紙上談兵。**真實度越高、成本越高**——一般組織通常從「檢查表」「桌上推演」開始，逐步往上做。 --- ### 5.4 理解資產保護 * **資產生命週期管理** * 從採購到報廢的完整管理 * **生命週期結束 (EOL) 軟體和裝置**：不再接收安全更新的產品，必須替換或採取補償控制 * 維護完整的資產清冊，追蹤每項資產的狀態 * **組態與變更管理**：管理系統設定的「現狀」（組態管理）與「變更流程」（變更管理）。詳見下方專節說明。 --- #### 組態管理 (Configuration Management) > 💡 **提示**：「組態」這個詞直接理解成 **「設定」** 即可。 > **核心目的**：建立並維護系統設定的標準，避免**設定漂移（Configuration Drift）**——也就是設備設定隨時間慢慢偏離原本標準。 * **基準線（Baseline）** * **定義**：組織內所有同類設備應遵守的「最低安全標準」。 * **目的**：有了統一標準，才能偵測偏差、找出不合規設備。 * **範例**： * 所有電腦密碼長度至少 16 碼。 * 所有伺服器必須關閉 Telnet (Port 23)。 * 台灣實務範例：[政府組態基準 (GCB)](https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/) * **基準線的具體實踐：系統強化（Hardening）** * 透過減少**攻擊面**來保護系統，是基準線在每台設備上的落實： * 關閉不必要的**連接埠** * 移除不使用的軟體與服務 * **停用預設帳號和密碼**（Default Accounts） * 啟用**防火牆** * 套用最新安全修補 --- #### 變更管理 (Change Management) > **核心目的**：所有對系統設定的變動都要經正式流程，確保**可追溯、可審核、可回退**，防止未授權變更或誤操作破壞既有安全控制。 * **標準變更流程（5 階段）** | 階段 | 動作 | 關鍵字 | | :--- | :--- | :--- | | 1️⃣ **變更請求** (RFC, Request for Change) | 提出書面申請，說明變更原因、範圍、影響 | 文件化、申請人 | | 2️⃣ **評估** (Assessment) | 評估技術影響、安全風險、業務衝擊 | 風險評估 | | 3️⃣ **核准** (Approval) | 由變更諮詢委員會 (CAB) 或主管核准 | 決策、簽核 | | 4️⃣ **實施** (Implementation) | 在維護視窗內執行，全程記錄 | 執行、稽核軌跡 | | 5️⃣ **回退計畫** (Rollback) | 若失敗，能回到變更前的狀態 | 備援、緊急回退 | * **組態 vs 變更管理一句話分辨** * **組態管理**：管「**現在長什麼樣子**」（基準線、設備設定） * **變更管理**：管「**怎麼從 A 變成 B**」（流程、審核、回退） --- ### 5.5 理解安全測試 * **安全就緒測試** * **藍隊**：防禦方，負責監控和回應攻擊 * **紅隊**：攻擊方，模擬真實攻擊者測試防禦能力 * **紫隊**：紅藍隊協作，紅隊攻擊後與藍隊分享發現，共同改善防禦 * 紅隊找漏洞，藍隊堵漏洞，紫隊確保雙方有效溝通 * **應用程式測試** * **弱點掃描**：自動化工具掃描已知漏洞（如 Nessus、Qualys） * **靜態分析**：在不執行程式的情況下分析原始碼（白箱測試） * **動態分析**：在程式執行時進行測試（黑箱測試） * **威脅建模**：在設計階段系統性地識別潛在威脅 * **實體滲透測試** * **網路釣魚**：發送模擬釣魚郵件，測試員工是否會上當 * **尾隨**：測試是否能跟著授權人員進入管制區域 * **冒充**：假冒維修人員或訪客身分，試圖取得未經授權的存取 --- ## 參考資料 > ISC2 CC Certification Exam Outline (Effective Date: September 1, 2026) --- # 綜合模擬考 ### 測驗說明 * **總題數**：25 題 * **題目分佈**：依權重分配（D1：6題、D2：4題、D3：5題、D4：5題、D5：5題） * **目標**：測試觀念的靈活運用。 --- ## 領域 1：安全原則 #### Q1. AAA 概念一位員工登入公司系統後，系統記錄了他存取了哪些檔案、在什麼時間點操作。這屬於 AAA 中的哪一個？ - [ ] A. 認證 - [ ] B. 授權 - [ ] C. 記帳 - [ ] D. 稽核 <details> <summary>點我看答案與解析</summary> * **答案：C** * 記帳（Accounting）負責「記錄你做了什麼」。認證（Authentication）是確認身分，授權（Authorization）是決定權限，記帳是追蹤活動。稽核是事後檢查記帳紀錄的過程，但 AAA 中的 A 是 Accounting。 </details> #### Q2. 應有注意與應盡職責公司的資安長知道有一個重大漏洞需要修補，但因為「太忙」一直沒處理，結果三個月後被攻擊者利用該漏洞入侵。這最能描述為缺乏什麼？ - [ ] A. 應有注意 - [ ] B. 應盡職責 - [ ] C. 風險接受 - [ ] D. 風險轉移 <details> <summary>點我看答案與解析</summary> * **答案：A** * 應有注意是「做正確的事」。明知有漏洞卻不修補就是缺乏應有注意。應盡職責是「確認做對了」，例如定期審查修補狀態。 </details> #### Q3. 治理概念某組織想要建立一套資訊安全管理系統，選擇了一個國際認可的框架作為基礎。以下哪個最適合作為 ISMS 的認證標準？ - [ ] A. NIST CSF - [ ] B. ISO/IEC 27001 - [ ] C. CIS Controls - [ ] D. COBIT <details> <summary>點我看答案與解析</summary> * **答案：B** * ISO/IEC 27001 是 ISMS 的「要求」標準，可以被第三方認證。NIST CSF 和 CIS Controls 是指引或框架，不提供認證。COBIT 是 IT 治理框架。 </details> #### Q4. 控制功能類型公司在大門口設立警衛站崗，主要目的是讓有意闖入的人「看到警衛就打消念頭」。這個功能最屬於哪一種控制？ - [ ] A. 預防 (Preventive) - [ ] B. 偵測 (Detective) - [ ] C. 嚇阻 (Deterrent) - [ ] D. 矯正 (Corrective) <details> <summary>點我看答案與解析</summary> * **答案：C** * **嚇阻控制（Deterrent）**是「讓人不想做」（心理層面）。警衛在門口的存在，會讓有意作惡的人打消念頭。 * **對比**： * 若警衛主動驗證來訪者身分、阻擋未授權者進入 → 預防（Preventive） * 若是監視器事後錄到入侵 → 偵測（Detective） * 若是被駭後從備份還原 → 矯正（Corrective） * **小陷阱**：警衛站崗同時可以是「實體控制（類型）」+「嚇阻控制（功能）」，分類軸不同。題目問「功能」就選嚇阻。 </details> #### Q5. 殘餘風險公司針對勒索軟體威脅實施了多重控制（離線備份、防毒、員工教育訓練），但仍無法保證 100% 不會中招。這個剩下、無法完全消除的風險叫什麼？應由誰處理？ - [ ] A. 預期風險，由 IT 部門承擔 - [ ] B. 殘餘風險，由高階管理層正式接受 - [ ] C. 已轉移風險，由保險公司承擔 - [ ] D. 已迴避風險，不需要處理 <details> <summary>點我看答案與解析</summary> * **答案：B** * **殘餘風險（Residual Risk）**：採取處置措施**之後**，仍然剩下、無法消除的風險。沒有任何控制能 100% 消滅風險。 * **誰負責處理**：殘餘風險必須由**高階管理層正式「接受」並簽署**，不能假裝它不存在。 * **記法**：原本風險 −（控制措施的效果）= 殘餘風險。 </details> #### Q6. ISC2 道德規範一位 ISC2 認證持有者發現公司正在從事違法的資料收集行為。根據 ISC2 道德規範的優先順序，他應該優先考慮什麼？ - [ ] A. 保護社會與公共利益 - [ ] B. 服務雇主的需求 - [ ] C. 保護專業聲譽 - [ ] D. 遵守公司內部政策 <details> <summary>點我看答案與解析</summary> * **答案：A** * ISC2 道德規範四大守則有優先順序：保護社會（最高）→ 行為合法誠實 → 服務雇主 → 保護專業。保護社會永遠優先於服務雇主。 </details> --- ## 領域 2：安全治理 #### Q7. GRC 某公司的安全團隊、法遵團隊和 IT 團隊各自維護不同的風險清冊，導致資訊不一致且有重複工作。以下哪種做法最能解決這個問題？ - [ ] A. 增加安全人員 - [ ] B. 購買更多安全工具 - [ ] C. 導入整合的 GRC 平台 - [ ] D. 外包安全營運 <details> <summary>點我看答案與解析</summary> * **答案：C** * GRC 的核心價值就是整合治理、風險和合規的管理，消除安全孤島，讓各團隊共用統一的風險登錄和合規追蹤。 </details> #### Q8. 營運持續與災難復原以下哪一項最能描述營運持續 (BC) 和災難復原 (DR) 的主要差異？ - [ ] A. BC 處理自然災害，DR 處理人為攻擊 - [ ] B. BC 確保業務在危機中持續運作，DR 著重在災後恢復系統 - [ ] C. BC 是技術性的，DR 是管理性的 - [ ] D. BC 和 DR 完全相同，只是名稱不同 <details> <summary>點我看答案與解析</summary> * **答案：B** * BC 的重點是「危機期間維持關鍵業務運作」，DR 的重點是「災後將系統恢復到正常狀態」。 </details> #### Q9. BIA / RTO / RPO 某銀行的網路銀行系統若中斷，每延遲一小時將損失約新台幣 200 萬元。經過評估，銀行決定要求 IT 部門在事故發生後**最多 4 小時內**必須恢復服務。請問「**4 小時**」屬於哪一個指標？ - [ ] A. RPO (Recovery Point Objective) - [ ] B. RTO (Recovery Time Objective) - [ ] C. MTBF (Mean Time Between Failures) - [ ] D. SLA (Service Level Agreement) <details> <summary>點我看答案與解析</summary> * **答案：B** * **RTO 看時間軸往未來**：「壞了之後**多久**要修好」——本題的「4 小時內恢復」就是 RTO。 * **RPO 看時間軸往過去**：「最多能忍受**掉多少資料**」（如每小時備份一次，最多掉 1 小時資料）。 * 「每延遲一小時損失 200 萬」這種影響評估屬於 **BIA（業務影響分析）** 的範疇——先用 BIA 算出影響，才能合理設定 RTO/RPO。 * **三者關係**：BIA（找出哪些業務最痛）→ 設定 RTO/RPO（恢復目標）→ 制定 BC/DR 計畫去達成。 </details> #### Q10. 資安有效性量測安全團隊向董事會報告：「本季度未修補的高風險漏洞數量從 50 個增加到 120 個。」這個數字屬於什麼類型的指標？ - [ ] A. 關鍵績效指標 (KPI) - [ ] B. 關鍵風險指標 (KRI) - [ ] C. 服務層級指標 (SLI) - [ ] D. 投資報酬率 (ROI) <details> <summary>點我看答案與解析</summary> * **答案：B** * KRI 預警風險水準的變化。未修補的漏洞數量上升代表風險正在增加，這是典型的 KRI。KPI 則是衡量「做得好不好」（如修補完成率）。 </details> --- ## 領域 3：身分與存取管理概念 #### Q11. 身分生命週期一位員工從「業務部」調到「財務部」。IT 部門為他新增了財務系統的存取權限，但忘記移除原本業務系統的權限。這個情境最可能導致什麼問題？ - [ ] A. 帳號鎖定 - [ ] B. 權限膨脹 - [ ] C. 身分盜用 - [ ] D. 職責分離失效 <details> <summary>點我看答案與解析</summary> * **答案：B** * 權限膨脹是指員工隨著調職或角色變更，累積了超過實際需要的存取權限。定期的存取權限審查可以防止此問題。 </details> #### Q12. 取消配置一位員工因為嚴重違規被立即解雇。以下哪個動作應該最先執行？ - [ ] A. 立即停用該員工的所有系統帳號 - [ ] B. 收回公司筆電 - [ ] C. 通知該員工的直屬主管 - [ ] D. 更新組織架構圖 <details> <summary>點我看答案與解析</summary> * **答案：A** * 非自願離職時，最優先的動作是停用帳號，防止離職員工在離開前惡意存取或破壞資料。其他動作也重要但優先順序較低。 </details> #### Q13. 最小權限原則某公司的資料庫管理員可以存取所有客戶的個資，包括與其工作無關的部門資料。這違反了什麼原則？ - [ ] A. 最小權限原則 - [ ] B. 職責分離 - [ ] C. 強制存取控制 - [ ] D. 角色型存取控制 <details> <summary>點我看答案與解析</summary> * **答案：A** * 最小權限原則要求只給予「剛好夠用」的權限。DBA 不應該能存取所有部門的資料，只應存取其職責所需的資料庫。 </details> #### Q14. 存取控制模型在軍事環境中，文件被標記為「極機密」，只有持有相應安全等級的人員才能存取。系統管理員無法更改這些存取規則。這是哪種存取控制模型？ - [ ] A. 自主存取控制 (DAC) - [ ] B. 強制存取控制 (MAC) - [ ] C. 角色型存取控制 (RBAC) - [ ] D. 屬性型存取控制 (ABAC) <details> <summary>點我看答案與解析</summary> * **答案：B** * MAC 的特徵是存取決策由系統（根據標籤和安全等級）做出，使用者和管理員都無法自行更改。軍事環境是 MAC 的經典應用場景。 </details> #### Q15. 職責分離以下哪個場景最能體現職責分離原則？ - [ ] A. 所有員工都必須使用 MFA 登入 - [ ] B. 系統管理員擁有最高權限 - [ ] C. 提出採購申請的人不能同時批准該申請 - [ ] D. 密碼每 90 天強制更換一次 <details> <summary>點我看答案與解析</summary> * **答案：C** * 職責分離的核心是「把一個重要任務拆給不同人做」，防止單一個人能獨立完成可能導致詐欺的流程。提出和批准由不同人負責就是典型的 SoD。 </details> --- ## 領域 4：網路與雲端安全概念 #### Q16. 零信任以下哪項最能描述零信任架構的核心原則？ - [ ] A. 信任內部網路，不信任外部網路 - [ ] B. 一次驗證後就不需要再驗證 - [ ] C. 永不信任，始終驗證 - [ ] D. 只要使用 VPN 就可以信任 <details> <summary>點我看答案與解析</summary> * **答案：C** * 零信任的核心是不論使用者在內網還是外網，每次存取都必須驗證。這與傳統的「城堡與護城河」模型相反。 </details> #### Q17. 雲端共享安全模型某公司使用 SaaS 電子郵件服務。以下哪項安全責任最可能屬於該公司（而非雲端供應商）？ - [ ] A. 維護郵件伺服器的作業系統修補 - [ ] B. 確保資料中心的實體安全 - [ ] C. 管理員工帳號的存取權限 - [ ] D. 維護郵件應用程式的程式碼安全 <details> <summary>點我看答案與解析</summary> * **答案：C** * 在 SaaS 模型下，客戶的責任最少，但帳號和存取管理仍然是客戶的責任。伺服器、應用程式和實體安全都由供應商負責。 </details> #### Q18. 網路分段（微分割）某公司資料中心已使用 VLAN 隔離不同部門。但近期決定進一步在虛擬化環境中，限制即使是「**同一個 VLAN 內**的兩台 VM」也必須經過授權才能互相通訊。這種更細顆粒度的分段技術稱為什麼？ - [ ] A. DMZ (非軍事區) - [ ] B. 微分割 (Microsegmentation) - [ ] C. NAT (網路位址轉換) - [ ] D. 縱深防禦 (Defense in Depth) <details> <summary>點我看答案與解析</summary> * **答案：B** * **微分割（Microsegmentation）**是 VLAN 的進階版，將分段細化到「**每一台虛擬機、容器、應用程式**」之間。 * 即使是同一個 VLAN 的鄰居 VM，也要經過政策審核才能通訊（這是 VLAN 做不到的）。 * **與零信任的關係**：是落實**零信任架構**的關鍵實作技術，常見於虛擬化、雲端、容器化環境。 * **干擾項**：DMZ 是把對外服務放在外網與內網之間的緩衝區（粗顆粒度）；NAT 是 IP 轉換不是分段；縱深防禦是「多層」概念，不是「細顆粒」概念。 </details> #### Q19. 物聯網安全以下哪項是物聯網 (IoT) 裝置最常見的安全弱點？ - [ ] A. 加密演算法太強 - [ ] B. 使用預設密碼且難以更新修補 - [ ] C. 網路頻寬太大 - [ ] D. 儲存容量過多 <details> <summary>點我看答案與解析</summary> * **答案：B** * IoT 裝置最大的安全挑戰是預設密碼不更改、韌體難以更新、以及通訊協定不安全。 </details> #### Q20. 雲端服務模型某公司想要租用虛擬伺服器來部署自己開發的應用程式。他們需要自行管理作業系統和應用程式。這應該選擇哪種雲端服務模型？ - [ ] A. SaaS - [ ] B. PaaS - [ ] C. IaaS - [ ] D. FaaS <details> <summary>點我看答案與解析</summary> * **答案：C** * IaaS 提供虛擬化的基礎設施（運算、儲存、網路），客戶自行管理作業系統和應用程式。PaaS 是供應商管理作業系統，SaaS 是供應商管理一切。 </details> --- ## 領域 5：安全營運與事件回應 #### Q21. 威脅行為者某駭客組織受到外國政府的資助，長期潛伏在目標國家的關鍵基礎設施中蒐集情報。這種威脅行為者最可能屬於哪一類？ - [ ] A. 腳本小子 - [ ] B. 駭客行動主義者 - [ ] C. 國家級行為者 - [ ] D. 內部威脅 <details> <summary>點我看答案與解析</summary> * **答案：C** * **解題技巧**：題目給情境問「最可能是誰」，要從**動機 + 目標**反推類型，不能只看技術手段。 * **動機反推**： | 線索（題目給的） | 對應類型 | | :--- | :--- | | 「外國政府資助」+「關鍵基礎設施」+「長期潛伏蒐集情報」 | **國家級**（政治、間諜、戰略動機） | | 「勒索贖金」+「商業詐騙」 | 網路犯罪組織（財務動機） | | 「DDoS 抗議」+「網站塗鴉」 | 駭客行動主義者（政治、社會理念） | | 「離職員工帶走客戶名單」 | 內部威脅（報復、貪婪） | | 「用現成工具亂打、追求知名度」 | 腳本小子（好奇、炫耀） | * 國家級行為者通常使用 **APT（進階持續性威脅）** 手段，這也是另一個關鍵字。 </details> #### Q22. 安全測試安全團隊聘請外部顧問模擬真實攻擊者，在不告知防禦團隊的情況下嘗試入侵公司系統。這屬於什麼類型的測試？ - [ ] A. 藍隊演練 - [ ] B. 紅隊演練 - [ ] C. 紫隊演練 - [ ] D. 桌上推演 <details> <summary>點我看答案與解析</summary> * **答案：B** * 紅隊模擬真實攻擊者，在防禦方不知情的情況下進行攻擊測試。藍隊是防禦方，紫隊是紅藍協作，桌上推演只是會議討論不實際操作。 </details> #### Q23. 事件回應在事件回應的四個階段中，「隔離被感染的系統以防止惡意軟體擴散」屬於哪個階段？ - [ ] A. 準備 - [ ] B. 偵測與分析 - [ ] C. 遏制、根除與復原 - [ ] D. 事後活動 <details> <summary>點我看答案與解析</summary> * **答案：C** * 隔離系統是「遏制」的動作，屬於第三階段。準備是事前制定計畫，偵測是發現事件，事後活動是檢討改進。 </details> #### Q24. 資產保護公司使用的一套軟體已經被廠商宣布進入生命週期結束 (EOL)，不再提供安全更新。以下哪個做法最適當？ - [ ] A. 繼續使用，因為軟體還能正常運作 - [ ] B. 等到被攻擊後再處理 - [ ] C. 規劃遷移到新版本或替代方案，並在過渡期實施補償控制 - [ ] D. 將該軟體從網路斷開但繼續使用 <details> <summary>點我看答案與解析</summary> * **答案：C** * EOL 軟體不再有安全更新，應規劃替換。在過渡期間應實施補償控制（如額外的監控、存取限制）來降低風險。 </details> #### Q25. 抗量子密碼學組織開始關注量子運算對現有加密的影響。以下哪種加密演算法最可能被量子電腦破解？ - [ ] A. AES-256 - [ ] B. RSA-2048 - [ ] C. SHA-256 - [ ] D. 以上皆是 <details> <summary>點我看答案與解析</summary> * **答案：B** * 量子電腦主要威脅的是非對稱式加密（如 RSA、ECC），因為 Shor 演算法可以有效破解大數分解問題。對稱式加密（如 AES）和雜湊（如 SHA）受到的影響較小（Grover 演算法只能將安全強度減半，AES-256 仍相當於 128 位元安全性）。 </details> --- > **及格標準**：答對 18 題以上 (72%)