知識內容

• PR 保護

  • PR 指使用安全措施管理組織網路安全風險

    • ID 識別資產與優先處理風險

    • PR 支援保護這些資產的能力

  • 驗證存取(PR.AA)

    • 針對實體、虛擬進行授權與存取控管

  • 意識培訓(PR.AT)

    • 接受資安意識培訓已執行資安相關任務

  • 資料安全(PR.DS)

    • 以資料安全管理策略保護資料的 CIA

  • 平台安全(PR.PS)

    • 管理策略保護實體、硬體、軟體、服務

  • 架構彈性(PR.IR)

    • 管理資安架構保護整體資產 CIA 彈性

• PR.AA 驗證存取

  • PR.AA-01
    授權使用者、服務和硬體的身份和憑證由組織管理

    • 目的

      • 確保有授權實體才能存取組織資源

    • 核心

      • 管理組織內外人員身份與憑證

    • 措施

      • 啟動、追蹤、審查、授權權限

        • 人員

          • 組織員工

          • 委外廠商

          • 臨時人員

        • 時機

          • 新存取權

          • 額外存取

        • 核准

          • 管理員

          • 紀錄許可

      • 發行、管理、撤銷憑證

        • 主體

          • 憑證

            • 用於驗證身份
              並授予對系統和資料存取權限的電子檔案或資訊

            • 身分驗證 token

          • 數位簽章

          • 加密金鑰

          • 其他憑證

            • 一次性密碼

            • 硬體 Token

            • 指紋、臉部

      • 找不可變特徵設定唯一識別碼

        • 來源

          • 硬體特徵

          • 安全設定

      • 針對授權硬體貼上識別標籤

        • 好處

          • 庫存管理

          • 維修管理

    • 舉例

      • 銀行APP申請後獲授權才能看資料

  • PR.AA-02
    根據互動的環境對身份進行驗證，並將其綁定到憑證維護軟體、服務、系統清單

    • 目的

      • 確保身份與憑證之間連結是安全的

      • 防止未授權人員用被盜或偽造憑證

    • 核心

      • 在授予存取權限之前驗證身份

    • 措施

      • 註冊用政府頒發身份證明文件

        • 身份證/健保

        • 護照

        • 駕照

      • 每一個人都有獨立的憑證

    • 舉例

      • 銀行註冊需要提供身份證與健保卡

  • PR.AA-03
    使用者、服務和硬體都經過身份驗證

    • 目的

      • 防止未經授權的存取

    • 核心

      • 驗證嘗試存取網路資源的使用者、服務和設備的身份

    • 措施

      • 多因素身份驗證

      • 密碼、PIN 碼和類似驗證器的最低強度實施政策

      • 定期對實體重新驗證

        • 使用者

        • 服務

        • 硬體

      • 緊急情況下，授權人員仍需
        能夠存取關鍵資源

    • 舉例

      • 轉帳可結合臉部辨識和一次性密碼

小試身手

• 以下關於PR.AA-01「由組織管理授權使用者、服務和硬體的身份和憑證」的敘述，何者錯誤？

  • A)目的是為了確保只有經過授權的實體才能存取組織資源。

  • B)核心是管理組織內外部人員的身份與憑證，確保其安全性和有效性。

  • C)措施包括啟動、追蹤、審查和授權權限，以及發行、管理和撤銷憑證。

  • D)針對授權硬體貼上識別標籤的主要目的是為了防止資料外洩。

  • 答案

    • D

      • 針對授權硬體貼上識別標籤的主要目的是庫存管理和維修管理，並非防止資料外洩。

• PR.AA-02強調在授予存取權限之前驗證身份的重要性。以下哪一項措施最能體現PR.AA-02的核心概念？

  • A)使用生物特徵驗證，例如指紋辨識或臉部辨識。

  • B)要求使用者設定複雜且難以猜測的密碼。

  • C)要求使用者在註冊時提供政府頒發的身份證明文件。

  • D)定期對使用者帳戶進行安全審查，確認其存取權限仍然有效。

  • 答案

    • C

      • *PR.AA-02的核心概念是在授予存取權限之前驗證身份，並將其與憑證綁定，而選項C)是最直接且在授予權限前驗證身份的方法。

• 以下哪一組驗證因素組合最符合多因素身份驗證MFA的原則？

  • A)密碼+使用者名稱

  • B)指紋+一次性密碼(OTP)

  • C)安全問題+電子郵件地址

  • D)PIN碼+密碼提示問題

  • 答案

    • B

      • 多因素身份驗證要求使用者提供至少兩種不同類型的驗證因素：
        *知識因素你知道什麼，例如：密碼、PIN碼
        *持有因素你擁有什麼，如：硬體Token、手機
        *天生因素你是誰，例如：指紋、臉部辨識
        選項B結合了持有因素一次性密碼通常透過手機接收和天生因素指紋，符合MFA原則。

• 以下哪個情境最能說明PR.AA-03「使用者、服務和硬體都經過身份驗證」的重要性？

  • A)員工忘記登入密碼，無法存取公司電子郵件。

  • B)駭客入侵公司伺服器，竊取大量客戶個資。

  • C)公司網站因為流量過大，導致伺服器癱瘓。

  • D)員工不小心刪除重要檔案，造成公司損失。

  • 答案

    • B

      • PR.AA-03的目的是防止未經授權的存取，選項B)中駭客入侵的情況，就是因為缺乏適當的身份驗證機制，導致未經授權的存取發生。

• 根據PR.AA-01，以下哪一項不是憑證的例子？

  • A)數位簽章

  • B)加密金鑰

  • C)使用者名稱

  • D)一次性密碼

  • 答案

    • C

      • 憑證是用於驗證身份並授予對系統和資料存取權限的電子檔案或資訊。選項C)使用者名稱只是身份識別的一部分，通常需要搭配密碼或其他驗證因素才能使用，並非憑證本身。