在弓箭手村的資安修練第 5 天，進入了村莊的防禦工事區，我們不再只是練習射箭，而是要開始學習如何打造資安防線！據說，資安的控制措施分為三大類型，就像是村莊的三層防禦：行政控制是村長訂的規矩，物理控制是守衛巡邏的城牆與鐵門，技術控制則是魔法師設下的防火牆與密碼咒語。
今天的任務：熟悉這三種控制措施，以及他們如何互補、互相合作，讓弓箭手村在面對駭客入侵、資料外洩、系統故障時依然穩穩的，誰來都不怕！

• 資安控制措施三大類型：在資訊安全管理中，控制措施是用來保護資產、降低風險的手段，依照性質與實施方式，控制措施可分為三大類：

行政控制措施 (Administrative Controls)

• 定義：透過政策、程序、指令等方式，管理組織內部人員的行為與資安責任。
• 目的：建立資安文化與制度、規範人員行為，支援其他控制措施的設計與執行。
  • 資安政策與標準制定
  • 教育訓練與資安意識提升
  • 員工背景調查與職前審查
  • 安全審查與稽核制度
  • 事件應變計畫(IRP)
  • 業務持續性計畫(BCP)
  • 災難復原計畫(DRP)
  • 風險管理流程與制度

物理控制措施 (Physical Controls)

• 定義：使用實體設備或設施來保護資訊資產，防止未授權的實體接觸或破壞。
• 目的：限制人員或設備的物理進出、保護建築物、設備與資料。
  • 監視系統(CCTV)
  • 門禁系統（刷卡、指紋、臉部辨識）
  • 保全巡邏與警報系統
  • 旋轉門、鐵門、圍欄
  • 停車場與周邊區域的管控
• 特徵：可以親手觸摸到的實體設備或設施

技術控制措施 (Technical Controls)

• 定義：透過資訊系統與技術工具，自動化保護資料與系統不被未經授權存取或攻擊。

• 目的：在系統層級提供即時、精準的資安防護。

  • 防火牆（Firewall）
  • 入侵偵測系統（IDS）與入侵防禦系統（IPS）
  • 資料加密（Encryption）
  • 存取控制（Access Control）
  • 多因素驗證（MFA）
  • 系統日誌與監控工具
  • 弱點掃描與修補管理

• 這三類控制措施通常是互補且協同運作的：

  • 行政控制是制度基礎，確保人員遵守規範。
  • 物理控制是第一道防線，防止實體入侵。
  • 技術控制是系統防線，防止網路攻擊。

• 物理控制措施、技術/邏輯控制措施後續都會有更詳細的介紹，本篇先了解三種控制的原則。