知識內容

• PR.PS 平台安全

  • 根據組織的風險策略來管理

  • 實體和虛擬平台硬體、軟體

    • 設備韌體

    • 作業系統

    • 應用程式

    • 安裝服務

  • 保護其機密、完整和可用性

• PR.PS-01
  建立並應用設定管理實務

  • 目的

    • 建立、維護和強制執行系統和軟體的標準化設定

    • 標準化設定可以減少漏洞出現並提高安全性

  • 核心

    • 確保所有系統和軟體都符合安全基準

    • 並降低因錯誤配置而產生安全風險的可能性

  • 措施

    • 建立、測試、部署和維護強化的基準

      • 資訊安全策略

      • 最小功能原則

      • 建立安全設定基準

        • CIS Benchmarks

        • NIST SP 800-53

    • 檢查所有可能影響網路安全預設設定

      • 檢查預設設定

    • 監控已安裝軟體是否有偏離核准基準情況

      • 手動流程檢查

      • 自動化工具檢查

    • 變更管理流程與設定管理的整合

      • 調整修改經過審批

      • 基準完整性可追溯性

  • 舉例

    • 公司建立安全基準，要求所有伺服器
      都執行防毒軟體和最新的安全修補程式

    • 使用設定管理工具自動執行基準
      並識別任何不符合規定的伺服器

• PR.PS-02
  根據風險維護、替換和移除軟體

  • 目的

    • 修補漏洞、升級到最新版本與移除不再需要軟體

  • 核心

    • 降低與過舊或有漏洞的軟體相關的風險

  • 措施

    • 在漏洞管理計畫指定的時間範圍內
      執行例行和緊急修補

      • 定義漏洞管理計畫

        • 漏洞嚴重性評估方法

        • 修補優先順序與流程

        • 驗證修補結果的方法

      • 定期識別與修補

      • 設定修補時間範圍

        • 24 小時內修補關鍵漏洞

        • 72 小時內修補重要漏洞

    • 更新容器 image，並部署新容器執行個體來替換而不是更新現有的執行個體

      • 定期更新容器 image

      • 最新的安全修補程式

    • 使用受支援的、已維護的版本
      替換生命週期結束的軟體和服務版本

    • 解除安裝並移除構成高度風險的
      未經授權的軟體和服務

      • 可能包含漏洞後門

    • 卸載並移除任何不必要的軟體元件

      • 預設安裝於系統內

    • 定義並實施軟體和服務生命週期結束
      維護支援和淘汰計畫

      • 定義生命週期結束

        • 供應商的選擇

        • 軟體安全評估

        • 合約中的安全條款

      • 結束後如何維護

      • 結束後如何淘汰

  • 舉例

    • 銀行漏洞管理計畫要求 24 小時內修補嚴重漏洞

    • 使用軟體白名單來防止未經授權的軟體安裝在他們的系統上

• PR.PS-03
  根據風險維護、替換和移除硬體

  • 目的

    • 替換故障或過時的硬體、處置硬體

    • 保護硬體免遭實體威脅

  • 核心

    • 減輕與老舊、有漏洞或不受支援的硬體相關風險

  • 措施

    • 硬體缺乏所需的安全功能或無法支援具有所需安全功能的軟體時，應更換硬體

      • 無法滿足現有需求

      • 組織就應考慮更換

    • 定義並實施硬體生命週期結束
      維護支援和淘汰計畫

      • 定義生命週期結束

      • 結束後如何維護

      • 結束後如何淘汰

    • 以安全、負責任可審計方式執行硬體處理

      • NIST SP 800-88

  • 舉例

    • 醫院要求每三年更換一次所有員工的電腦

    • 實施實體安全控制，如監視器與門禁系統

小試身手

• 下列哪一項是 PR.PS-01「建立並應用設定管理實務」的主要目的？

  • (A) 減少系統管理員的工作量。

  • (B) 提高系統的效能。

  • (C) 降低因錯誤設定而產生的安全風險。

  • (D) 簡化軟體的安裝過程。

  • 答案

    • C

      • PR.PS-01 的主要目的在於透過建立、維護和強制執行系統和軟體的標準化設定，來降低因錯誤設定而產生的安全風險。標準化設定可以減少漏洞的出現，並確保所有系統和軟體都符合安全基準。

• 在 PR.PS-02「根據風險維護、替換和移除軟體」中，下列哪一項措施可以有效防止未經授權的軟體安裝？

  • (A) 定期執行防毒軟體掃描。

  • (B) 使用軟體白名單。

  • (C) 僅從供應商網站下載軟體。

  • (D) 定期備份系統。

  • 答案

    • B

      • 軟體白名單是一種安全措施，只允許執行來自授權來源的軟體。透過建立和維護軟體白名單，組織可以有效地防止未經授權的軟體安裝，從而降低安全風險。

• 在 PR.PS-03「根據風險維護、替換和移除硬體」中，下列哪一項是安全地處理硬體的核心概念？

  • (A) 將硬體捐贈給慈善機構。

  • (B) 將硬體格式化。

  • (C) 確保硬體上的資料被清除或銷毀。

  • (D) 將硬體丟棄在垃圾桶中。

  • 答案

    • C

      • 安全地處理硬體，最重要的是確保硬體上的資料被清除或銷毀，以防止資料洩漏。清除資料是指覆蓋儲存裝置上的資料，使其無法恢復。銷毀資料是指物理地破壞儲存裝置，使其無法使用。

• PR.PS 涵蓋了哪些平台？

  • (A) 僅限實體平台。

  • (B) 僅限虛擬平台。

  • (C) 實體和虛擬平台。

  • (D) 以上皆非。

  • 答案

    • C

      • PR.PS 平台安全涵蓋了實體和虛擬平台的安全性，包括其硬體、軟體和服務。這表示組織需要管理和保護所有類型的平台，以確保其機密性、完整性和可用性。

• PR.PS-03「根據風險維護、替換和移除硬體」中，為什麼需要定義和實施硬體的生命週期結束維護支援和淘汰計畫？

  • (A) 為了降低員工對新硬體的需求。

  • (B) 為了減輕與老舊、有漏洞或不受支援的硬體相關的風險。

  • (C) 為了延長所有硬體的使用壽命。

  • (D) 為了減少電子垃圾的產生。

  • 答案

    • B

      • 定義和實施硬體的生命週期結束維護支援和淘汰計畫，可以確保組織在硬體生命週期的各個階段（採購、使用、維護、淘汰）都採取適當的安全措施，降低老舊、有漏洞或不受支援的硬體帶來的風險，並確保資料在硬體淘汰時能被安全地清除或銷毀。