PR.AA 驗證存取(2/2)
PR.AA-04─身分斷言
身分斷言 (Identity Assertion)
受到保護、傳送和驗證
定義
斷言
邏輯程式
身分驗證
目的
用於傳達身分和驗證資訊的斷言
確保斷言受到保護防止未授權修改、使用
核心
措施
保護傳送的驗證和使用者資訊的身分斷言
單一登入系統
聯合系統之間
身分斷言實施基於標準的方法
SAML
OAuth
OpenID Connect
遵循所有產生、保護、驗證身分斷言方法
產生
資料模型
中繼資料
保護
數位簽章
加密解密
驗證
舉例
PR.AA-05─存取權限管理
在政策中定義、管理、執行和審查存取權限、權利和授權,並納入最小權限和職責分離原則
目的
確保使用者、服務和設備
只能存取執行其授權任務所需的資訊和資源
核心
措施
定期審查邏輯和實體存取權限
人員變更職責
人員離開組織
立即撤銷權限
授權決策時參考請求者屬性和請求資源
地理位置
日期時間
請求者端點安全
請求者網路安全
將存取權限和權限限制在最低必要範圍內
定期審查與關鍵業務功能相關聯的權限
舉例
PR.AA-06─實體存取控制
對資產的實體存取受到管理、
監控和強制執行,並與風險相稱
目的
確保對實體資產的存取受到保護
伺服器機房
辦公室
實體設備
以防止未經授權的存取和潛在的損害
核心
措施
使用實體控制措施來監控設施和限制進出
保全人員與系統
攝影機
入口上鎖與門禁
告警機制
針對有高風險資產的區域採用額外措施
生物辨識驗證
雙重認證
針對有關鍵業務資產的區域
進出紀錄目的時間
訪客廠商第三方人
需有組織人員陪同
舉例
以下哪一項關於 PR.AA-04 身分斷言 (IdentityAssertion) 受到保護、傳送和驗證的措施描述是錯誤?
A) 在單一登入系統中保護用於傳達驗證和使用者資訊的身分斷言。
B) 在聯合系統之間保護用於傳達驗證和使用者資訊的身分斷言。
C) 針對所有情況下的身分斷言實施基於標準的方法,並遵循產生、保護和驗證身分斷言的所有指南。
D) 不需要保護任何系統間用來驗證的身分斷言。
答案
D
PR.AA-05 在政策中定義、管理、執行和審查存取權限、權利和授權,並納入最小權限和職責分離原則的主要目的是什麼?
A) 確保所有系統都受到實體安全控制措施的保護。
B) 確保只有授權使用者、服務和設備才能存取執行其授權任務所需的資訊和資源。
C) 確保所有員工都接受過網路安全意識培訓。
D) 確保所有資料在儲存和傳輸過程中都經過加密。
答案
B
以下哪一項是 PR.AA-06 對資產的實體存取受到管理、監控和強制執行,並與風險相稱的核心概念?
A) 所有員工不需要接受定期的資安意識培訓。
B) 所有系統都不需要受到最新防毒軟體的保護。
C) 實施的實體安全控制措施應與組織面臨的風險相稱。
D) 所有資料在儲存和傳輸過程中不需要經過加密。
答案
C
以下哪一項不是 SAML、OAuth 和 OpenIDConnect 的共同特點?
A) 它們都是用於保護身分斷言的加密演算法。
B) 它們都是用於在不同系統之間傳遞身分資訊的標準協定。
C) 它們都與 PR.AA-04 身分斷言 (IdentityAssertion) 受到保護、傳送和驗證的目標相關。
D) 它們都可以用於實現單一登入 (SingleSign-On) 功能。
答案
A
以下哪個情境最能體現 PR.AA-05 在政策中定義、管理、執行和審查存取權限、權利和授權,並納入最小權限和職責分離原則的應用?
A) 公司所有員工都必須使用強式密碼,並且每 90 天必須更改一次密碼。
B) 公司會計部門的員工可以存取所有財務系統和資料,但行銷部門的員工無法存取。
C) 公司所有電腦都安裝了防毒軟體,並且會定期更新病毒碼。
D) 公司銷售部門的員工只能存取客戶聯絡資訊和銷售數據,而無法存取產品設計文件或財務報表。
答案
D