PR 保護
PR 指使用安全措施管理組織網路安全風險
ID 識別資產與優先處理風險
PR 支援保護這些資產的能力
驗證存取(PR.AA)
意識培訓(PR.AT)
資料安全(PR.DS)
平台安全(PR.PS)
架構彈性(PR.IR)
PR.AA 驗證存取
PR.AA-01
授權使用者、服務和硬體的身份和憑證由組織管理
目的
核心
措施
啟動、追蹤、審查、授權權限
人員
組織員工
委外廠商
臨時人員
時機
新存取權
額外存取
核准
管理員
紀錄許可
發行、管理、撤銷憑證
主體
憑證
用於驗證身份
並授予對系統和資料存取權限的電子檔案或資訊
身分驗證 token
數位簽章
加密金鑰
其他憑證
一次性密碼
硬體 Token
指紋、臉部
找不可變特徵設定唯一識別碼
來源
硬體特徵
安全設定
針對授權硬體貼上識別標籤
好處
庫存管理
維修管理
舉例
PR.AA-02
根據互動的環境對身份進行驗證,並將其綁定到憑證維護軟體、服務、系統清單
目的
確保身份與憑證之間連結是安全的
防止未授權人員用被盜或偽造憑證
核心
措施
註冊用政府頒發身份證明文件
身份證/健保
護照
駕照
每一個人都有獨立的憑證
舉例
PR.AA-03
使用者、服務和硬體都經過身份驗證
目的
核心
措施
多因素身份驗證
密碼、PIN 碼和類似驗證器的最低強度實施政策
定期對實體重新驗證
使用者
服務
硬體
緊急情況下,授權人員仍需
能夠存取關鍵資源
舉例
以下關於PR.AA-01「由組織管理授權使用者、服務和硬體的身份和憑證」的敘述,何者錯誤?
A)目的是為了確保只有經過授權的實體才能存取組織資源。
B)核心是管理組織內外部人員的身份與憑證,確保其安全性和有效性。
C)措施包括啟動、追蹤、審查和授權權限,以及發行、管理和撤銷憑證。
D)針對授權硬體貼上識別標籤的主要目的是為了防止資料外洩。
答案
D
PR.AA-02強調在授予存取權限之前驗證身份的重要性。以下哪一項措施最能體現PR.AA-02的核心概念?
A)使用生物特徵驗證,例如指紋辨識或臉部辨識。
B)要求使用者設定複雜且難以猜測的密碼。
C)要求使用者在註冊時提供政府頒發的身份證明文件。
D)定期對使用者帳戶進行安全審查,確認其存取權限仍然有效。
答案
C
以下哪一組驗證因素組合最符合多因素身份驗證MFA的原則?
A)密碼+使用者名稱
B)指紋+一次性密碼(OTP)
C)安全問題+電子郵件地址
D)PIN碼+密碼提示問題
答案
B
以下哪個情境最能說明PR.AA-03「使用者、服務和硬體都經過身份驗證」的重要性?
A)員工忘記登入密碼,無法存取公司電子郵件。
B)駭客入侵公司伺服器,竊取大量客戶個資。
C)公司網站因為流量過大,導致伺服器癱瘓。
D)員工不小心刪除重要檔案,造成公司損失。
答案
B
根據PR.AA-01,以下哪一項不是憑證的例子?
A)數位簽章
B)加密金鑰
C)使用者名稱
D)一次性密碼
答案
C