iT邦幫忙

2024 iThome 鐵人賽

DAY 16
0
影片教學

資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理系列 第 16

[資安 Vtuber 讀資安治理] Day16 NIST CSF 2.0 PR 保護與 PR.AA 驗證存取 (2/2)

  • 分享至 

  • xImage
  •  

Yes

知識內容

  • PR.AA 驗證存取(2/2)

    • PR.AA-04─身分斷言
      身分斷言 (Identity Assertion)
      受到保護、傳送和驗證

      • 定義

        • 斷言

          • 邏輯程式

            • 「斷言」是一種用於驗證程式碼或邏輯是否正確的陳述句,它包含一個邏輯判斷式,根據給定的條件產生真或假的結果。
          • 身分驗證

            • 「斷言」偏向於一種「聲明」或「主張」,用於傳達與身分相關的資訊,例如使用者名稱、電子郵件地址、角色或權限等等。
      • 目的

        • 用於傳達身分和驗證資訊的斷言

        • 確保斷言受到保護防止未授權修改、使用

      • 核心

        • 不同系統和應用程式間安全傳輸和驗證身分資訊
      • 措施

        • 保護傳送的驗證和使用者資訊的身分斷言

          • 單一登入系統

          • 聯合系統之間

        • 身分斷言實施基於標準的方法

          • SAML

          • OAuth

          • OpenID Connect

        • 遵循所有產生、保護、驗證身分斷言方法

          • 產生

            • 資料模型

            • 中繼資料

          • 保護

            • 數位簽章

            • 加密解密

          • 驗證

            • 簽章驗證
      • 舉例

        • 使用者登入公司內部系統後,可以使用相同的憑證存取合作廠商提供的雲端服務,而無需再次輸入帳號密碼。系統間透過安全斷言交換身分資訊,確保只有授權使用者才能存取。
    • PR.AA-05─存取權限管理
      在政策中定義、管理、執行和審查存取權限、權利和授權,並納入最小權限和職責分離原則

      • 目的

        • 確保使用者、服務和設備

        • 只能存取執行其授權任務所需的資訊和資源

      • 核心

        • 最小權限和職責分離原則實施嚴格存取控制策略
      • 措施

        • 定期審查邏輯和實體存取權限

          • 人員變更職責

          • 人員離開組織

          • 立即撤銷權限

        • 授權決策時參考請求者屬性和請求資源

          • 地理位置

          • 日期時間

          • 請求者端點安全

          • 請求者網路安全

        • 將存取權限和權限限制在最低必要範圍內

          • 零信任架構
        • 定期審查與關鍵業務功能相關聯的權限

          • 確認是否分離職責
      • 舉例

        • 公司會計部門的員工只能存取與其工作職責相關的財務系統和資料,
          而無法存取行銷部門的資料或系統。
    • PR.AA-06─實體存取控制
      對資產的實體存取受到管理、
      監控和強制執行,並與風險相稱

      • 目的

        • 確保對實體資產的存取受到保護

          • 伺服器機房

          • 辦公室

          • 實體設備

        • 以防止未經授權的存取和潛在的損害

      • 核心

        • 實施組織面臨的風險對應的實體安全控制措施
      • 措施

        • 使用實體控制措施來監控設施和限制進出

          • 保全人員與系統

          • 攝影機

          • 入口上鎖與門禁

          • 告警機制

        • 針對有高風險資產的區域採用額外措施

          • 生物辨識驗證

          • 雙重認證

        • 針對有關鍵業務資產的區域

          • 進出紀錄目的時間

          • 訪客廠商第三方人

          • 需有組織人員陪同

      • 舉例

        • 資料中心配備了門禁卡系統、監視器和全天候保全人員,以防止未經授權的人員進入。只有獲得授權的員工才能進入資料中心,並且必須記錄其進入和離開的時間。

小試身手

  • 以下哪一項關於 PR.AA-04 身分斷言 (IdentityAssertion) 受到保護、傳送和驗證的措施描述是錯誤?

    • A) 在單一登入系統中保護用於傳達驗證和使用者資訊的身分斷言。

    • B) 在聯合系統之間保護用於傳達驗證和使用者資訊的身分斷言。

    • C) 針對所有情況下的身分斷言實施基於標準的方法,並遵循產生、保護和驗證身分斷言的所有指南。

    • D) 不需要保護任何系統間用來驗證的身分斷言。

    • 答案

      • D

        • ABC 都是 PR.AA-04 的具體措施,旨在確保身分斷言在不同系統和應用程式間安全傳輸和驗證。D 為錯誤,需要保護身分斷言。
  • PR.AA-05 在政策中定義、管理、執行和審查存取權限、權利和授權,並納入最小權限和職責分離原則的主要目的是什麼?

    • A) 確保所有系統都受到實體安全控制措施的保護。

    • B) 確保只有授權使用者、服務和設備才能存取執行其授權任務所需的資訊和資源。

    • C) 確保所有員工都接受過網路安全意識培訓。

    • D) 確保所有資料在儲存和傳輸過程中都經過加密。

    • 答案

      • B

        • PR.AA-05 的核心是實施嚴格的存取控制策略,確保只有經過授權的實體 (包括使用者、服務和設備) 才能存取其執行任務所需的最小資訊和資源。
  • 以下哪一項是 PR.AA-06 對資產的實體存取受到管理、監控和強制執行,並與風險相稱的核心概念?

    • A) 所有員工不需要接受定期的資安意識培訓。

    • B) 所有系統都不需要受到最新防毒軟體的保護。

    • C) 實施的實體安全控制措施應與組織面臨的風險相稱。

    • D) 所有資料在儲存和傳輸過程中不需要經過加密。

    • 答案

      • C

        • PR.AA-06 強調實體存取控制措施應根據組織面臨的風險等級進行調整,針對高風險資產區域採用更嚴格的措施。
  • 以下哪一項不是 SAML、OAuth 和 OpenIDConnect 的共同特點?

    • A) 它們都是用於保護身分斷言的加密演算法。

    • B) 它們都是用於在不同系統之間傳遞身分資訊的標準協定。

    • C) 它們都與 PR.AA-04 身分斷言 (IdentityAssertion) 受到保護、傳送和驗證的目標相關。

    • D) 它們都可以用於實現單一登入 (SingleSign-On) 功能。

    • 答案

      • A

        • SAML、OAuth 和 OpenIDConnect 都是與身分驗證和授權相關的開放標準協定,用於在不同系統之間安全地傳遞身分資訊。它們並非加密演算法,而是定義了如何交換身分資訊的格式和流程。
  • 以下哪個情境最能體現 PR.AA-05 在政策中定義、管理、執行和審查存取權限、權利和授權,並納入最小權限和職責分離原則的應用?

    • A) 公司所有員工都必須使用強式密碼,並且每 90 天必須更改一次密碼。

    • B) 公司會計部門的員工可以存取所有財務系統和資料,但行銷部門的員工無法存取。

    • C) 公司所有電腦都安裝了防毒軟體,並且會定期更新病毒碼。

    • D) 公司銷售部門的員工只能存取客戶聯絡資訊和銷售數據,而無法存取產品設計文件或財務報表。

    • 答案

      • D

        • 選項 (D) 最能體現最小權限原則,只允許銷售部門員工存取執行其工作職責所需的資訊,限制其存取其他部門的敏感資料。選項 (B) 中,看似符合職責分離原則 (不同部門員工存取不同資料),但沒有體現最小權限原則。會計部門員工能「存取所有財務系統和資料」過於寬鬆。即使是會計部門內部,也應根據不同員工的職責設定不同的存取權限。

上一篇
[資安 Vtuber 讀資安治理] Day15 NIST CSF 2.0 PR 保護與 PR.AA 驗證存取 (1/2)
下一篇
[資安 Vtuber 讀資安治理] Day17 NIST CSF 2.0 PR.AT 意識培訓
系列文
資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言