PR.IR
技術基礎設施彈性
事件
承受
PR.IR-01
網路和環境受到保護
不會被未經授權邏輯存取和使用
定義
保護組織的網路和技術環境
免遭未經授權的使用者、裝置或流程的邏輯存取
保護資料、應用程式和系統免遭未經授權的
存取、使用、洩露、破壞、修改或中斷
目的
核心
邏輯存取控制
使用技術和管理控制措施限制
針對網路、系統和資料的存取
網路劃分網段
零信任安全性
對任何使用者裝置網路不信任
所有請求都需要經過驗證授權
措施
內部區隔
信任邊界
IT
物聯網
OT
行動裝置
訪客
邊界防護
建立明確的外部網路邊界
只允許必要通訊進入組織
零信任
控管
「永不信任,始終驗證」
每個資源限制最低必要程度
端點檢查
盤點端點
筆記型電腦
智慧型手機
平板電腦
執行行為
存取/瀏覽
用正式環境
先檢查網路安全狀態
舉例
PR.IR-02
組織的技術資產受到保護
不會被環境威脅
定義
自然災害因素
人為事故因素
其他環境因素
目的
核心
實體安全性
實體資產
未授權存取洩漏破壞修改中斷
環境控制
維護技術設備的適當營運環境
溫度控制、濕度管理、清灰塵
災害恢復性
措施
避免
環境威脅
建立管理流程
水災
火災
過熱
過濕
識別、評估、實施、應變
納入
廠商合約
防範環境威脅條款
供充足營運基礎設施
納入代表組織營運系統的
服務供應商的要求中
盡職調查
舉例
製造業在容易淹水的工廠建造防洪牆以保護設備
資料中心供應商購買 UPS 與 RPS 冗餘電源系統
PR.IR-03
實施機制以在正常和不利情況下實現彈性要求
定義
建立機制如災害復原、業務連續性管理計畫
確保系統與組織流程能夠承受中斷
並在正常和不利情況下繼續營運
目的
核心
彈性
承受中斷並繼續營運的能力
即使某些元件發生故障
冗餘
提供備份或重複的能力
一個元件發生故障時
另個元件可以接管並繼續營運
故障轉移
在發生故障時自動將營運
從一個系統或元件
切換到另一個系統或元件能力
措施
避免系統和基礎設施中的單點故障
使用負載平衡來提高容量和改善可靠性
使用高可用性元件(冗餘儲存和電源)
舉例
PR.IR-04
維護充足的資源容量
以確保可用性
定義
確保組織擁有足夠資源
處理能力
儲存空間
網路頻寬
支援其營運需求並在發生意外事件
(網路攻擊、自然災害)時保持可用性
目的
核心
容量規劃
資源分配
效能監控
追蹤系統和應用程式的效能
識別任何潛在問題的流程
措施
監控儲存空間、電源、運算能力、網路頻寬和其他資源的使用情況
預測未來需求,並相應調整資源
舉例
電商平台使用雲端服務來處理網站流量的峰值
確保即使在假期購物旺季期間也能維持可用性
軟體公司實施容量規劃流程,以確保其擁有足夠的伺服器空間和處理能力來支援成長中的客戶群
以下哪一項會被歸類在 PR.IR-02 中的環境威脅?
(A) DDoS 攻擊
(B) 社交工程攻擊
(C) 地震
(D) 軟體漏洞
答案
(C)
哪項措施可以 最有效地 避免系統和基礎設施中的單點故障?
(A) 安裝防毒軟體
(B) 實施網路分段
(C) 部署備用電源系統
(D) 定期進行員工安全培訓
答案
(C)
以下哪個例子最能說明 PR.IR-04 維護充足資源容量以確保可用性?
(A) 公司定期備份重要資料到雲端儲存空間
(B) 電商平臺在促銷行為前升級伺服器以應對流量突然增加
(C) 銀行使用防火牆來保護其網路免受未經授權的存取
(D) 醫院對其員工進行網路安全意識培訓
答案
(B)
某家公司希望在其網路中實施零信任安全模型,請問以下哪一項措施 不符合 零信任的原則?
(A) 對所有使用者和設備進行嚴格的身份驗證
(B) 根據使用者角色和設備狀態授予最小權限存取
(C) 持續監控和驗證網路行為
(D) 預設信任內部網路中的所有設備
答案
(D)
以下哪一項措施最能體現 PR.IR-01 中「網路和環境受到保護,免遭未授權的邏輯存取和使用」的概念?
(A) 實施多因素身份驗證以存取敏感系統
(B) 為員工提供網路釣魚攻擊防範訓練
(C) 定期備份重要資料
(D) 確保伺服器機房有足夠的冷卻系統
答案
(A)