PR.DS 資料安全
確保只有授權的個體
防止資料遭到未授權的存取、修改、洩漏或破壞
資料生命週期
收集
使用
儲存
傳輸
刪除
銷毀
PR.DS-01
保護靜態資料 (Data-at-Rest) 的機密性、完整性和可用性
定義
靜態資料是指儲存在各種儲存媒體中的資料
硬碟、資料庫、雲端儲存服務
儲存的資料在未被使用時處於靜止狀態
目的
核心
措施
使用加密演算法將資料轉換成不可讀格式
擁有解密金鑰的人
才能解密和讀取
進階加密標準 (AES)
三重資料加密標準 (3DES)
使用數位簽章驗證資料的來源和完整性
傳輸過程未被竄改
公鑰密碼學
擁有私鑰的發送者
能產生有效簽章
密碼雜湊函數產生資料的唯一指紋
驗證資料的完整性
確保資料未被修改
全磁碟加密
儲存裝置進行加密
遺失被偷也能保護
限制可移除媒體的使用
限制用可移除媒體
隨身碟、外接硬碟
實體保護可移除媒體
舉例
PR.DS-02
傳輸中資料 (Data-in-Transit) 的機密性、完整性和可用性
定義
傳輸中資料是指在網路中傳輸的資料
透過網際網路、電子郵件、檔案傳輸協定傳輸
目的
確保資料在傳輸過程中
不會被未經授權的個體攔截、竊取、修改或破壞
核心
措施
加密,如加密協定保護資料傳輸機密性
傳輸層安全性協定 (TLS)
安全通訊端層 (SSL)
數位簽章驗證資料來源和完整性未被竄改
密碼雜湊函數驗證資料完整性
自動加密或封鎖包含敏感資料的電子郵件
避免在開發、測試和其他非正式環境中
重複使用正式環境的敏感資料
禁止從組織系統和網路存取個人通訊服務
電子郵件
檔案共享服務
舉例
PR.DS-10
保護使用中資料 (Data-in-Use) 的機密性、完整性和可用性
定義
使用中資料是指正在被電腦處理的資料
載入到記憶體、處理器快取或處理單元內的資料
目的
核心
資料被處理和使用時是資料最脆弱的狀態
在資料被處理和使用時保護資料
措施
資料最小化, 限制資料暴露範圍
必要才解密和使用
使用後立即移除
減少資料暴露
隔離技術(例如虛擬化和沙箱)
存取控制,防止未經授權的個體
保護使用中的資料免於
同一平台上其他使用者和程式的存取
舉例
醫療機構使用虛擬桌面基礎架構 VDI
將使用者的桌面環境與實際的電腦硬體分離
PR.DS-11
建立、保護、維護
和測試資料備份
目的
確保組織在發生資料遺失事件時
及時且完整地恢復資料並確保備份資料的安全性
核心
措施
定期備份
確保資料最新版本可用於恢復
制定定期的資料備份策略
時間
每日備份、每週備份或每月備份
方式
異地備份
防止因一事件導致所有資料遺失
強制執行地理區隔地理位置限制
地點
離線備份
測試備份和還原流程
確保備份完整性與需要時可用
至少每年測試所有類型資料來源的備份和還原
加密與存取備份資料
舉例
在保護傳輸中資料 (Data-in-Transit) 安全的背景下,以下哪一項協定沒有被廣泛應用?
(A) FTP (FileTransferProtocol)
(B) TLS (TransportLayerSecurity)
(C) SSL (SecureSocketsLayer)
(D) HTTPS (HypertextTransferProtocolSecure)
答案
(A)
以下哪一項措施可以保護靜態資料 (Data-at-Rest) 的安全?
(A) 使用加密 (Encryption) 技術保護儲存資料的機密性。
(B) 使用防火牆 (Firewall) 阻止未經授權的網路存取。
(C) 定期備份資料並將備份儲存在不同的地理位置。
(D) 以上皆是。
答案
(A)
為什麼保護使用中資料 (Data-in-Use) 的安全性最具挑戰性?
(A) 使用中資料通常儲存在速度較慢的儲存媒體中,例如硬碟。
(B) 使用中資料通常處於未加密狀態,並且更容易受到攻擊。
(C) 使用中資料通常儲存在實體安全性較弱的設備上,例如筆記型電腦。
(D) 使用中資料通常體積較小,難以有效地保護。
答案
(B)
NISTCSF2.0 為什麼強調定期測試資料備份的重要性?
(A) 確保備份資料的完整性,確認資料未被損壞或竄改。
(B) 驗證備份和還原流程的有效性,確保在需要時可以成功還原資料。
(C) 識別備份和還原流程中的潛在問題和弱點。
(D) 以上皆是。
答案
(D)
以下哪一項關於 PR.DS-11 (資料備份) 的敘述是錯誤的?
(A) 組織應該定期備份重要資料。
(B) 備份資料應該儲存在與正式環境不同的安全位置。
(C) 只有在發生資料遺失事件時才需要測試資料備份。
(D) 備份資料也應該受到適當的安全控制措施保護。
答案
(C)