知識內容

• PR.AA 驗證存取(2/2)

  • PR.AA-04─身分斷言
    身分斷言 (Identity Assertion)
    受到保護、傳送和驗證

    • 定義

      • 斷言

        • 邏輯程式

          • 「斷言」是一種用於驗證程式碼或邏輯是否正確的陳述句，它包含一個邏輯判斷式，根據給定的條件產生真或假的結果。

        • 身分驗證

          • 「斷言」偏向於一種「聲明」或「主張」，用於傳達與身分相關的資訊，例如使用者名稱、電子郵件地址、角色或權限等等。

    • 目的

      • 用於傳達身分和驗證資訊的斷言

      • 確保斷言受到保護防止未授權修改、使用

    • 核心

      • 不同系統和應用程式間安全傳輸和驗證身分資訊

    • 措施

      • 保護傳送的驗證和使用者資訊的身分斷言

        • 單一登入系統

        • 聯合系統之間

      • 身分斷言實施基於標準的方法

        • SAML

        • OAuth

        • OpenID Connect

      • 遵循所有產生、保護、驗證身分斷言方法

        • 產生

          • 資料模型

          • 中繼資料

        • 保護

          • 數位簽章

          • 加密解密

        • 驗證

          • 簽章驗證

    • 舉例

      • 使用者登入公司內部系統後，可以使用相同的憑證存取合作廠商提供的雲端服務，而無需再次輸入帳號密碼。系統間透過安全斷言交換身分資訊，確保只有授權使用者才能存取。

  • PR.AA-05─存取權限管理
    在政策中定義、管理、執行和審查存取權限、權利和授權，並納入最小權限和職責分離原則

    • 目的

      • 確保使用者、服務和設備

      • 只能存取執行其授權任務所需的資訊和資源

    • 核心

      • 最小權限和職責分離原則實施嚴格存取控制策略

    • 措施

      • 定期審查邏輯和實體存取權限

        • 人員變更職責

        • 人員離開組織

        • 立即撤銷權限

      • 授權決策時參考請求者屬性和請求資源

        • 地理位置

        • 日期時間

        • 請求者端點安全

        • 請求者網路安全

      • 將存取權限和權限限制在最低必要範圍內

        • 零信任架構

      • 定期審查與關鍵業務功能相關聯的權限

        • 確認是否分離職責

    • 舉例

      • 公司會計部門的員工只能存取與其工作職責相關的財務系統和資料，
        而無法存取行銷部門的資料或系統。

  • PR.AA-06─實體存取控制
    對資產的實體存取受到管理、
    監控和強制執行，並與風險相稱

    • 目的

      • 確保對實體資產的存取受到保護

        • 伺服器機房

        • 辦公室

        • 實體設備

      • 以防止未經授權的存取和潛在的損害

    • 核心

      • 實施組織面臨的風險對應的實體安全控制措施

    • 措施

      • 使用實體控制措施來監控設施和限制進出

        • 保全人員與系統

        • 攝影機

        • 入口上鎖與門禁

        • 告警機制

      • 針對有高風險資產的區域採用額外措施

        • 生物辨識驗證

        • 雙重認證

      • 針對有關鍵業務資產的區域

        • 進出紀錄目的時間

        • 訪客廠商第三方人

        • 需有組織人員陪同

    • 舉例

      • 資料中心配備了門禁卡系統、監視器和全天候保全人員，以防止未經授權的人員進入。只有獲得授權的員工才能進入資料中心，並且必須記錄其進入和離開的時間。

小試身手

• 以下哪一項關於 PR.AA-04 身分斷言 (IdentityAssertion) 受到保護、傳送和驗證的措施描述是錯誤？

  • A) 在單一登入系統中保護用於傳達驗證和使用者資訊的身分斷言。

  • B) 在聯合系統之間保護用於傳達驗證和使用者資訊的身分斷言。

  • C) 針對所有情況下的身分斷言實施基於標準的方法，並遵循產生、保護和驗證身分斷言的所有指南。

  • D) 不需要保護任何系統間用來驗證的身分斷言。

  • 答案

    • D

      • ABC 都是 PR.AA-04 的具體措施，旨在確保身分斷言在不同系統和應用程式間安全傳輸和驗證。D 為錯誤，需要保護身分斷言。

• PR.AA-05 在政策中定義、管理、執行和審查存取權限、權利和授權，並納入最小權限和職責分離原則的主要目的是什麼？

  • A) 確保所有系統都受到實體安全控制措施的保護。

  • B) 確保只有授權使用者、服務和設備才能存取執行其授權任務所需的資訊和資源。

  • C) 確保所有員工都接受過網路安全意識培訓。

  • D) 確保所有資料在儲存和傳輸過程中都經過加密。

  • 答案

    • B

      • PR.AA-05 的核心是實施嚴格的存取控制策略，確保只有經過授權的實體 (包括使用者、服務和設備) 才能存取其執行任務所需的最小資訊和資源。

• 以下哪一項是 PR.AA-06 對資產的實體存取受到管理、監控和強制執行，並與風險相稱的核心概念？

  • A) 所有員工不需要接受定期的資安意識培訓。

  • B) 所有系統都不需要受到最新防毒軟體的保護。

  • C) 實施的實體安全控制措施應與組織面臨的風險相稱。

  • D) 所有資料在儲存和傳輸過程中不需要經過加密。

  • 答案

    • C

      • PR.AA-06 強調實體存取控制措施應根據組織面臨的風險等級進行調整，針對高風險資產區域採用更嚴格的措施。

• 以下哪一項不是 SAML、OAuth 和 OpenIDConnect 的共同特點？

  • A) 它們都是用於保護身分斷言的加密演算法。

  • B) 它們都是用於在不同系統之間傳遞身分資訊的標準協定。

  • C) 它們都與 PR.AA-04 身分斷言 (IdentityAssertion) 受到保護、傳送和驗證的目標相關。

  • D) 它們都可以用於實現單一登入 (SingleSign-On) 功能。

  • 答案

    • A

      • SAML、OAuth 和 OpenIDConnect 都是與身分驗證和授權相關的開放標準協定，用於在不同系統之間安全地傳遞身分資訊。它們並非加密演算法，而是定義了如何交換身分資訊的格式和流程。

• 以下哪個情境最能體現 PR.AA-05 在政策中定義、管理、執行和審查存取權限、權利和授權，並納入最小權限和職責分離原則的應用？

  • A) 公司所有員工都必須使用強式密碼，並且每 90 天必須更改一次密碼。

  • B) 公司會計部門的員工可以存取所有財務系統和資料，但行銷部門的員工無法存取。

  • C) 公司所有電腦都安裝了防毒軟體，並且會定期更新病毒碼。

  • D) 公司銷售部門的員工只能存取客戶聯絡資訊和銷售數據，而無法存取產品設計文件或財務報表。

  • 答案

    • D

      • 選項 (D) 最能體現最小權限原則，只允許銷售部門員工存取執行其工作職責所需的資訊，限制其存取其他部門的敏感資料。選項 (B) 中，看似符合職責分離原則 (不同部門員工存取不同資料)，但沒有體現最小權限原則。會計部門員工能「存取所有財務系統和資料」過於寬鬆。即使是會計部門內部，也應根據不同員工的職責設定不同的存取權限。