知識內容

• PR.IR
  技術基礎設施彈性

  • 事件

    • 即使發生網路攻擊、自然災害或其他意外事件

  • 承受

    • 組織技術系統和流程能夠承受中斷並持續運作

• PR.IR-01
  網路和環境受到保護
  不會被未經授權邏輯存取和使用

  • 定義

    • 保護組織的網路和技術環境

    • 免遭未經授權的使用者、裝置或流程的邏輯存取

    • 保護資料、應用程式和系統免遭未經授權的
      存取、使用、洩露、破壞、修改或中斷

  • 目的

    • 確保獲得授權的實體才能存取組織的網路和環境

  • 核心

    • 邏輯存取控制

      • 使用技術和管理控制措施限制

      • 針對網路、系統和資料的存取

    • 網路劃分網段

      • 限制利用弱點攻擊者影響範圍

    • 零信任安全性

      • 對任何使用者裝置網路不信任

      • 所有請求都需要經過驗證授權

  • 措施

    • 內部區隔

      • 信任邊界

        • IT

        • 物聯網

        • OT

        • 行動裝置

        • 訪客

    • 邊界防護

      • 建立明確的外部網路邊界

      • 只允許必要通訊進入組織

    • 零信任
      控管

      • 「永不信任，始終驗證」

      • 每個資源限制最低必要程度

    • 端點檢查

      • 盤點端點

        • 筆記型電腦

        • 智慧型手機

        • 平板電腦

      • 執行行為

        • 存取/瀏覽

        • 用正式環境

      • 先檢查網路安全狀態

  • 舉例

    • 金融機構透過網路分段將客戶資料營運資料分開

• PR.IR-02
  組織的技術資產受到保護
  不會被環境威脅

  • 定義

    • 保護組織的技術資產免遭實體和環境威脅

    1. 自然災害因素

       • 水災、火災、地震

    2. 人為事故因素

       • 洩漏、火災、爆炸

    3. 其他環境因素

       • 極端溫度、濕度、灰塵

  • 目的

    • 確保技術資產不會受到實體和環境事件的影響

  • 核心

    • 實體安全性

      • 實體資產

        • 建築,設備,資料

      • 未授權存取洩漏破壞修改中斷

    • 環境控制

      • 維護技術設備的適當營運環境

      • 溫度控制、濕度管理、清灰塵

    • 災害恢復性

      • 自然,人為災害後恢復營運流程

  • 措施

    • 避免
      環境威脅

      • 建立管理流程

        • 水災

        • 火災

        • 過熱

        • 過濕

      • 識別、評估、實施、應變

    • 納入
      廠商合約

      • 防範環境威脅條款

      • 供充足營運基礎設施

      • 納入代表組織營運系統的
        服務供應商的要求中

      • 盡職調查

  • 舉例

    • 製造業在容易淹水的工廠建造防洪牆以保護設備

    • 資料中心供應商購買 UPS 與 RPS 冗餘電源系統

• PR.IR-03
  實施機制以在正常和不利情況下實現彈性要求

  • 定義

    • 建立機制如災害復原、業務連續性管理計畫

    • 確保系統與組織流程能夠承受中斷

    • 並在正常和不利情況下繼續營運

  • 目的

    • 承受中斷並繼續以可接受的服務水準營運

  • 核心

    • 彈性

      • 承受中斷並繼續營運的能力

      • 即使某些元件發生故障

    • 冗餘

      • 提供備份或重複的能力

      • 一個元件發生故障時
        另個元件可以接管並繼續營運

    • 故障轉移

      • 在發生故障時自動將營運

      • 從一個系統或元件
        切換到另一個系統或元件能力

  • 措施

    • 避免系統和基礎設施中的單點故障

    • 使用負載平衡來提高容量和改善可靠性

    • 使用高可用性元件（冗餘儲存和電源）

  • 舉例

    • 醫院建立故障轉移系統
      發生停電可將關鍵系統自動切換到備用電源

• PR.IR-04
  維護充足的資源容量
  以確保可用性

  • 定義

    • 確保組織擁有足夠資源

      1. 處理能力

      2. 儲存空間

      3. 網路頻寬

    • 支援其營運需求並在發生意外事件
      （網路攻擊、自然災害）時保持可用性

  • 目的

    • 確保組織擁有足夠的資源來滿足其營運需求
      即使在發生意外事件時

  • 核心

    • 容量規劃

      • 確定未來需要多少資源的流程

    • 資源分配

      • 資源分配給不同系統的流程

    • 效能監控

      • 追蹤系統和應用程式的效能

      • 識別任何潛在問題的流程

  • 措施

    • 監控儲存空間、電源、運算能力、網路頻寬和其他資源的使用情況

    • 預測未來需求，並相應調整資源

  • 舉例

    • 電商平台使用雲端服務來處理網站流量的峰值
      確保即使在假期購物旺季期間也能維持可用性

    • 軟體公司實施容量規劃流程，以確保其擁有足夠的伺服器空間和處理能力來支援成長中的客戶群

小試身手

• 以下哪一項會被歸類在 PR.IR-02 中的環境威脅？

  • (A) DDoS 攻擊

  • (B) 社交工程攻擊

  • (C) 地震

  • (D) 軟體漏洞

  • 答案

    • (C)

      • PR.IR-02 強調保護技術資產免受實體和環境威脅，例如自然災害和人為事故。地震屬於自然災害，因此是 PR.IR-02 涵蓋的環境威脅。其他選項則屬於網路攻擊或技術漏洞的範疇。

• 哪項措施可以 最有效地 避免系統和基礎設施中的單點故障？

  • (A) 安裝防毒軟體

  • (B) 實施網路分段

  • (C) 部署備用電源系統

  • (D) 定期進行員工安全培訓

  • 答案

    • (C)

      • 部署備用電源系統可以確保在主要電源系統故障時，系統仍能繼續運作，避免單點故障導致服務中斷。其他選項雖然對整體網路安全也很重要，但並非直接針對避免單點故障而設計的措施。

• 以下哪個例子最能說明 PR.IR-04 維護充足資源容量以確保可用性？

  • (A) 公司定期備份重要資料到雲端儲存空間

  • (B) 電商平臺在促銷行為前升級伺服器以應對流量突然增加

  • (C) 銀行使用防火牆來保護其網路免受未經授權的存取

  • (D) 醫院對其員工進行網路安全意識培訓

  • 答案

    • (B)

      • 電商平臺在促銷行為前升級伺服器是為了確保在流量高峰期擁有足夠的資源來處理交易和維持網站運作，這正是 PR.IR-04 所強調的確保可用性的資源容量管理。其他選項則較偏向於資料保護 (A)、網路安全 (C) 或人員安全意識 (D)，而非直接針對資源容量和可用性進行管理。

• 某家公司希望在其網路中實施零信任安全模型，請問以下哪一項措施 不符合 零信任的原則？

  • (A) 對所有使用者和設備進行嚴格的身份驗證

  • (B) 根據使用者角色和設備狀態授予最小權限存取

  • (C) 持續監控和驗證網路行為

  • (D) 預設信任內部網路中的所有設備

  • 答案

    • (D)

      • 零信任的核心原則是 "永不信任，始終驗證"，不論使用者或設備位於網路內部或外部，都必須經過驗證和授權才能存取資源。選項 (D) 預設信任內部網路中的所有設備 明顯違反了零信任的原則。

• 以下哪一項措施最能體現 PR.IR-01 中「網路和環境受到保護，免遭未授權的邏輯存取和使用」的概念？

  • (A) 實施多因素身份驗證以存取敏感系統

  • (B) 為員工提供網路釣魚攻擊防範訓練

  • (C) 定期備份重要資料

  • (D) 確保伺服器機房有足夠的冷卻系統

  • 答案

    • (A)

      • PR.IR-01 強調防止未經授權的存取和使用網路及環境。多因素身份驗證透過要求額外的驗證因素 (例如，除了密碼之外，還需要手機簡訊驗證碼) 來增強安全性，有效降低未經授權存取的風險。其他選項則著重於人員培訓 (B)、資料保護 (C)、環境控制 (D)，而非直接強化網路和環境的存取控制。