iPAS 115年第ㄧ次中級資訊安全工程師-資訊安全規劃實務試題解答

這題的正確答案是 (C) 雲端備份服務供應商故障8小時，主線業務系統運作正常，備份資料未遺失亦未外洩。

根據臺灣證券交易所修訂的重大訊息發布規範，上市公司發生資安事件時，是否需要發布重大訊息（重訊）的核心判斷基準在於：「是否對公司營運、核心業務、財務或商譽造成重大影響或損害」，以及「是否有機密資料（如客戶個資、核心技術研發原始碼）遭到外洩」。

我們來逐一分析各個選項：

(C) 屬於「無實質損害與風險」事件（正確答案）：
雖然備份供應商故障了 8 小時，但因為公司內部的「主線業務系統運作正常」，且「備份資料未遺失亦未外洩」，代表公司的日常營運完全沒有受到實質阻礙，財產或核心技術也沒有實質損失。這屬於供應商端的可控異常，不屬於需要立即向大眾與投資人揭露的重大資安事件。

(A) 屬於「商譽及重大形象受損」事件（必須發布）：
官方網站首頁是公司面對公眾與投資人的門面，遭到駭客置換頁面（Defacement）長達 30 分鐘，屬於對公司形象與內部資安防禦能力的嚴重打擊，易引發市場恐慌，屬於必須發布重訊說明的範疇。

(B) 屬於「核心業務停擺及重大損害」事件（必須發布）：
ERP 系統是公司營運的心臟。遭到勒索軟體加密且導致「採購與出貨系統停擺 3 小時」，這已經實質影響到了公司的產銷、供應鏈與日常營運，屬於造成重大營運阻礙的事件，必須發布重訊揭露預估損失與因應措施。

(D) 屬於「核心技術機密外洩及重大商譽損害」事件（必須發布）：
大量原始碼與未公開技術文件（智慧財產權）在暗網販售，意味著公司的核心競爭力已經外洩，對未來營運具有極大的潛在重大財務與法律風險，這絕對屬於必須發布重大訊息的重大資安事件。

這題的正確答案是 (B) 應於知悉事故後，於法定時限內通報中央目的事業主管機關，否則將面臨加重處罰。

這題考查的是臺灣「個人資料保護法（個資法）」與「個人資料侵害事故通報查核辦法」在實務應變上的核心法規要求。

(B) 符合現行法規通報義務（正確答案）：
根據個資法與相關通報辦法規定，非公務機關（企業）若發生大規模或重大個資外洩事件，應於知悉事故起算之時限內（目前多數主管機關規定為 72 小時內），向中央目的事業主管機關（例如金融業找金管會、電商零售業找數位發展部等）以及地方政府進行通報。未依規定通報者，主管機關可直接處以行政罰鍰，並限期改善；若情節重大且未通報，更會面臨連續加重處罰。

其他選項錯誤原因

(A) 錯誤原因：認證不等於「免責護身符」
通過 ISO 27001（資訊安全管理系統）或 TPIPAS（個人資料管理系統）認證，在法律上只能作為企業證明自己「已盡適當安全維護措施」的舉證證據之一。如果發生外洩是因內部人員管理疏漏、系統未修補漏洞等實質過失，企業依然無法免除行政罰鍰與民事損害賠償責任。

(C) 錯誤原因：個資外洩與資安事件互為表裡
重大個資外洩事件通常是由資安攻擊（如駭客入侵、勒索軟體、系統漏洞）所引起。在實務上，這類事件必須同時啟動 ISMS（資安管理系統）的資通安全事件通報與應變程序，絕對屬於資安應變辦法管理的範疇。

(D) 錯誤原因：法律並未強制「所有」個資皆須加密
個資法施行細則中，對於安全維護措施的規定是「應採行適當之安全措施」（例如加密、去識別化、存取控制等），屬於技術中立與比例原則。法律並未一刀切強制「所有個資一律加密」，而是看企業是否根據風險採取了相對應的「合理防禦措施」。因此，「未加密即視為未盡善良管理人責任」的說法過於極端且不符法理。

這題的正確答案是 (C) 採用「混合模式（Hybrid Scheme）」，同時結合傳統高強度演算法（如ECC/RSA）與後量子演算法（如Kyber/ML-KEM）進行雙重封裝。

這題考查的是現代資安領域非常前沿且熱門的「後量子密碼學（PQC, Post-Quantum Cryptography）」與「加密敏捷性（Crypto-Agility）」的遷移實務。

(C) 混合模式是當前最安全、最受推崇的過渡策略（正確答案）：
面對「先竊取，後解密（Harvest Now, Decrypt Later）」的威脅，攻擊者現在就會攔截並儲存加密資料，留待未來量子電腦成熟時再行解密。因此，保存期長達 10 年以上的資料必須現在就防範。

然而，全新的 PQC 演算法（如 NIST 選定的 ML-KEM / 原名 Kyber）雖然能抵抗量子運算，但其「傳統密碼學強度」尚未經過數十年的時間驗證，可能存在未知的數學漏洞。為了兼顧兩者，NIST 與業界（如 Google、Cloudflare 等）目前極力推薦混合模式（Hybrid Scheme）：將同一份資料或金鑰用傳統算法（如 ECC/X25519）和新一代 PQC 算法（如 ML-KEM）各加密一次（雙重封裝）。這樣一來，除非兩個演算法同時被破解，否則資料就是安全的。

其他選項錯誤原因

(A) 錯誤原因：增加 RSA 或 ECC 金鑰長度無法抵抗量子計算
傳統公鑰密碼體系（RSA、ECC）的安全性奠基於「大數分解」與「離散對數」的數學難題。未來的量子電腦可以利用秀爾演算法（Shor's Algorithm）在極短時間內瓦解這些難題。因此，盲目增加 RSA 到 4096 位元或 ECC 到 521 位元，在量子電腦面前依然不堪一擊，無法有效防禦。

(B) 錯誤原因：消極等待會讓資料暴露於「先竊取，後解密」的風險中
NIST 其實已經在 2024 年正式發布了第一批 PQC 標準（如 FIPS 203 的 ML-KEM、FIPS 204 的 ML-DSA）。對於需要保存 10 年以上的長期極機密資料，現在就必須採取行動，消極等待會讓這段期間傳輸或保存的資料被駭客先行竊取留存。

(D) 錯誤原因：AES-128 強度不足，且對稱加密無法直接取代非對稱金鑰交換
在量子威脅下，格羅弗演算法（Grover's Algorithm）會使對稱加密的有效金鑰強度折半。因此，若要抵擋量子威脅，對稱加密至少需要升級到 AES-256（折半後仍有 128 位元強度）。此外，全面捨棄公鑰體系會導致現代網路完全失去網路安全傳輸（如 TLS/HTTPS）的大規模金鑰交換能力，實務上完全不可行。

本題為複選題，正確答案為 (A)、(C)、(D)。

💡 解析說明
根據臺灣證券交易所與櫃買中心現行的《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》第四條第一項第26款規定：「發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事，造成公司重大損害或影響者」必須發布重大訊息。

主管機關在官方的《上市公司重大訊息發布應注意事項參考問答集》中，針對「資安事件重大性標準」給予了非常具體的認定範例：

(A) 須發布重訊（屬於惡意駭客攻擊）：
問答集舉例中明確指出：公司之官方網站或資通系統，遭受服務阻斷攻擊（DDoS）等入侵或破壞，導致無法營運或正常提供服務者，即屬造成公司重大損害或影響，必須發布重大訊息。

(C) 須發布重訊（屬於資料外洩事件）：
公司網路遭到入侵，導致公司內部文件檔案資料、客戶或員工個人資料外洩（或是有外洩之虞時），會對公司營運、財務或商譽造成潛在重大影響，符合必須即時對市場投資人公開說明的重大事件。

(D) 須發布重訊（屬於惡意勒索事件）：
機密檔案、核心資通系統遭駭客以勒索軟體（Ransomware）加密，致使公司無法營運、無法正常提供服務或面臨商業機密遭威脅，這屬於極為典型且嚴重的重大資安事件，必須第一時間發布重訊公告。

❌ 為什麼 (B) 不需要發布重大訊息？

(B) 的錯誤原因（非資安異常事件）：

主動維護 vs 駭客入侵：選項 (B) 提到的情況是公司「自發性」為了系統安全升級而進行的主動維護作業（進行重大漏洞修補），並非「遭受駭客攻擊、入侵或破壞」的資安災情。

日常營運範疇：雖然停止服務二日會影響部分業務，但這種有計畫性的系統維護與服務停機，屬於公司內部的日常資訊營運管理，並非主管機關規範中「突發性且造成非預期重大損害」的資安事件通報範疇，因此不需要（也不符合格式）發布資安重訊。

這題的正確答案是 (A)、(C)、(D)。

在導入 ISO 27001 資訊安全管理系統（ISMS）時，定義「驗證範圍（Scope）」是非常核心的步驟。範圍的劃定必須遵循「風險導向」與「客戶期望」原則，優先將核心業務、客戶資產、以及支撐這些業務的關鍵基礎設施納入。

我們對照附圖情境來逐一分析各個選項：

(A) 資訊機房管理業務活動流程 （適切，必選）：
文中明確提到：「系統開發後之原始碼保存於 A 公司自建之資訊機房內」。資訊機房存放了公司最核心的智慧財產權與客戶系統的核心資產，且機房的實體與環境安全（如門禁、電力、空調、消防）是 ISMS 查核的重中之重，因此必須納入驗證範圍。

(C) 系統開發、維護活動 （適切，必選）：
A 公司的核心所營事業為「接受金融業委託開發與維護金融業使用之『資訊交換系統』」。既然客戶要求通過驗證，其關注的焦點必然是這個開發與維護過程是否安全（例如有無源碼檢測、防範後門漏洞、開發環境與生產環境隔離等）。因此，這項核心業務活動是絕對不能漏掉的主體。

(D) 核心資通系統管理業務活動 （適切，必選）：
文中指出，公司的業務活動「均使用自建之應用系統（例如核心資通系統…）」。核心資通系統直接支撐著公司的營運與資料傳輸，其機密性、完整性與可用性（CIA）直接關係到金融客戶的資安風險，屬於最高風險資產，必須納入驗證範圍。

為什麼 (B) 較不適切？

(B) 人力資源管理系統業務活動流程：
雖然人力資源管理系統（HR系統）也是自建系統之一，且包含員工個資，但在資源有限的情況下，ISO 27001 的驗證範圍通常會優先聚焦在與「金融客戶委託業務」直接相關的核心流程上。

HR 系統屬於公司內部支持性的行政後勤系統，與金融業客戶所關注的「資訊交換系統安全、穩定、即時通報」沒有直接的業務因果關係。實務上，企業為了兼顧資源與時效，初期通常會將 HR 等純內部行政流程排除在第一階段的 ISMS 驗證範圍之外（或留待後續個資專章再行深化）。

這題的正確答案是 (D) 內容有誤。

本題考查的是 ISO 27001:2022（最新版）附錄 A（Annex A）控制措施 的實務應用，特別是在有「委外共同開發」情境下，如何制定「適用性聲明（SoA, Statement of Applicability）」。

我們對照情境內容來檢視各選項的控制措施判斷：

(D) 錯誤原因：8.30 委外開發 不可以列為「不適用」

情境明示： 文中非常明確提到「『資訊交換系統』之部分功能開發作業長期與系統開發商 B 公司合作共同開發」。

標準定義： ISO 27001 的 8.30 委外開發（Outsourced development） 控制措施，正是用來規範組織將軟體開發工作外包或與外部供應商合作時，必須監督、約束其安全標準與交付品質。

結論： 既然 A 公司已經將核心系統的部分開發作業「長期委外與 B 公司共同開發」，那麼在適用性聲明中，8.30 委外開發 必須列為「適用」，並落實相對應的管理與稽核。選項 D 將其宣告為「不適用」是嚴重的邏輯與合規錯誤，故選 D。

其他選項為什麼正確？

(A) 全數適用（正確）：

5.8 專案管理之資訊安全：開發金額達三千萬至五千萬的大型專案，必須納入資安管理機制。
5.19 ~ 5.22 供應者關係與服務變更管理：因為與 B 公司長期合作開發，必須建立合約約束、變更管理與持續監視。

(B) 判斷完全正確（正確）：

5.23 使用雲端服務之資訊安全 → 不適用：文中特別強調「無任何外部之服務（包含雲端服務）使用」，因此這條控制措施是本題中唯一可以合法宣告為「不適用」的項目。
5.24 事故管理規劃 與 6.6 機密性或保密協議：客戶期望包含「應即時通報客戶」，且涉及大量原始碼，故必須適用。

(C) 全數適用（正確）：

由於原始碼保存於 A 公司自建機房，且攸關金融業系統的開發與維護，因此 8.4 對原始碼之存取、8.25 安全開發生命週期、8.27 安全系統架構及工程原則，以及涉及客戶通知的 6.8 資訊安全事件通報 均為必然適用的核心控制措施。

本題的正確答案為 (A) A公司提供自行檢測之「資訊交換系統」安全性證明。

💡 選項 (A) 為何有誤？
在 ISO 27001 資訊安全管理系統（ISMS）的風險評鑑與處理實務中，產生適用性聲明（SoA, Statement of Applicability）時，所選擇的控制措施必須具備客觀稽核效力。特別是本題情境中，A 公司的產品是專門交付給「金融業客戶」使用的核心資訊系統。

(A) 成為錯誤敘述（本題選 A）的核心根因：

違反獨立性原則（球員兼裁判）：A 公司是該系統的主導開發商與利益相關方。如果控制措施僅採取由 A 公司「自行檢測並自我證明」安全性，在金融業嚴格的第三方稽核與風險管理標準中，這種「老王賣瓜」的自我宣告不具備獨立的客觀效力，無法被主管機關或金融稽核接受為有效的風險緩解依據。因此，將其列入適用性聲明是不適切且有誤的。

🟢 為什麼其他選項在官方觀點中是「無誤（合適）」的風險處理？

在管理與合規實務中，以下三種方式都屬於能被納入 SoA、具備控制約束力或風險轉移效果的合法選項：

(B) 無誤（具備供應鏈約束力）：
情境提到「B 公司是長期共同開發的合作商」。在供應鏈安全管理中，A 公司在 SoA 中要求「B 公司必須針對其負責開發的功能或模組出具安全性檢測證明」，這是標準的供應商稽核與契約約束手段，邏輯上完全合理。

(C) 與 (D) 無誤（具備獨立驗證效力）：
金融機構（客戶端）為了確保系統安全，本來就不會只聽信開發商的單方面說詞。因此，由金融客戶自行進行安全性檢測（C），或是另行委託第三方專業資安團隊進行獨立檢測（D），都屬於引進「獨立第三方驗證」來降低供應鏈風險的標準正確作法。

📝 應考核心觀念複習
未來在解答「金融資安規範」或「ISO 27001 適用性聲明（SoA）」的題目時，可以牢記這個大原則：

「凡是涉及系統交付的安全性驗證，『自我主觀證實（Self-certification）』的控制力與客觀性最低，在嚴格的金融稽核考題中，通常會被判定為『不適切 / 有誤』的控制措施。」

這題的正確答案是 (B) 曾任公務員，因違反相關安全保密規定受懲戒或警告以上行政懲處。

本題考查的是臺灣《資通安全管理法施行細則》第 14 條中有關受託辦理資通安全業務法人之人員「適任性查核（背景調查）」的法定標準。根據法規明文規定，受託業務若涉及國家機密，其執行人員的適任性查核排除要件（即不可擔任該職務的條件）中，關於公務員行政處分的門檻有嚴格的級距規定：

法規正確基準：公務員因違反相關安全保密規定，必須是受到「懲戒」或「記過以上」之行政懲處，才會被認定為不適任（如選項 A 敘述正確）。

(B) 錯誤原因（答案選擇）：
選項 B 將門檻放寬到了「警告以上」（警告是比申誡、記過更輕微的處分）。在法規標準中，輕微的「警告」處分並不會直接剝奪其參與此類涉密資通專案的資格。因此，選項 B 的法律描述是錯誤的。

其他選項法律條文對照（均為法規正確內容）

(A) 正確： 完整符合《資通安全管理法施行細則》第 14 條第一項第三款：「曾任公務員，因違反相關安全保密規定受懲戒或記過以上行政懲處」。

(C) 正確： 完整符合同條文第一項第一款：「曾犯妨害秘密罪、妨害電腦使用罪，或於動員戡亂時期終止後，犯內亂罪、外患罪，經判刑確定」。

(D) 正確： 完整符合同條文第一項第二款：「曾犯前款之罪，通緝有案尚未結案」。

這題的正確答案是 (C) 錯誤拒絕率又稱為型II（Type II）錯誤，意指原本合法的使用者在身份認證時被拒絕（這是較不正確的描述）。

這題考查的是資訊安全領域中「生物特徵身份認證（Biometric Authentication）」的各項技術特性與統計評估指標（FRR 與 FAR）。

(C) 錯誤原因（統計學定義與資安術語顛倒）：
在生物辨識與統計學中：

• 型 I 錯誤（Type I Error / 偽陰性）： 稱為錯誤拒絕率（FRR, False Rejection Rate）。意指「原本合法（正確）的使用者，卻被系統誤判為非法而遭到拒絕」。
• 型 II 錯誤（Type II Error / 偽陽性）： 稱為錯誤接受率（FAR, False Acceptance Rate）。意指「原本非法（錯誤）的冒充者，卻被系統誤判為合法而遭到接受」。

選項 (C) 雖然後半句對錯誤拒絕率的「實質定義」描述正確，但將其歸類為「型 II（Type II）錯誤」是錯誤的，它應該是型 I 錯誤。

其他選項為什麼正確？

(A) 描述正確：
指紋辨識（Fingerprint）發展歷史悠久且特徵點（脊線、谷線、分叉點）的空間密度與穩定度極高；而人臉辨識（Facial Recognition）容易受到光源、表情、化妝、配戴配件或角度影響。因此在綜合實務與大規模對比中，指紋的準確度普遍高於標準的人臉辨識。

(B) 描述正確：
視網膜（Retina）辨識是掃描眼球後方的微血管分佈圖，其特徵終生不變且極難偽造，準確率是生物辨識中最高的幾種之一。然而，受測者必須將眼睛緊貼著紅外線感測器，甚至有光源直射眼底的不適感，這種「侵入性高、特徵擷取不便」的缺點使其無法像指紋或虹膜那樣普及，多僅用於軍事或極高機密的實體控管。

(D) 描述正確：
標準的 2D 或部分 3D 臉形辨識高度依賴面部輪廓與骨架特徵。當使用者身材、體重大幅胖瘦、衰老或進行醫美手術時，面部特徵點的相對距離與幾何形狀會發生顯著改變，進而導致系統誤判。因此，這類系統確實需要使用者定期重新錄入樣本（取樣與訓練）以維持辨識精度。

這題的正確答案是 (B) 縱深防禦原則（Defense in Depth）。

該企業採行的措施正是典型縱深防禦（Defense in Depth）的核心實務展現。這個資安原則主張「沒有任何單一安全措施可以抵擋所有攻擊」，必須透過多層次、多維度的控制措施來互相補強，即便某一關卡失守，後續防線仍能有效阻絕或延緩威脅。
我們將圖中的 5 項作法對應到縱深防禦的各個防護層次：

1. 外部防火牆過濾不明 IP 連線 \(\rightarrow\) 屬於網路邊界防護層（Perimeter Security）。
2. 員工登入系統需進行多因素驗證 \(\rightarrow\) 屬於身分識別與存取控管層（Identity & Access Control）。
3. 系統內部設定使用者角色與權限控制 \(\rightarrow\) 屬於應用程式與內部控制層（Application Security）。
4. 資料庫定期備份並加密存放於異地 \(\rightarrow\) 屬於資料與底層資產保護層（Data Security）。
5. 辦理資安教育訓練，提高人員資安警覺性 \(\rightarrow\) 屬於最關鍵的人為意識與管理制度層（Human Layer）。

這種從網路、系統、資料一條龍延伸到人員教育的「多層次防禦機制」，完美契合 縱深防禦（Defense in Depth） 的定義。

其他選項不符原因

• (A) 最小權限原則： 圖中僅有第 3 點（角色權限控制）直接涉及此概念，無法涵蓋防火牆、加密備份與教育訓練等其他維度的措施。
• (C) 單一防禦原則： 實務上為資安反面教材（單點故障風險），與圖中多元化的配置矛盾。
• (D) 零信任架構： 零信任的核心在於「永不信任，始終驗證」，強調動態即時評估（如端點狀態、每次連線皆驗證）。雖然零信任會整合多層驗證，但圖中提及的「外部防火牆（劃分內外網邊界）」與傳統「縱深防禦」的邊界防護思維更為貼合。

這題的正確答案是 (C) 建立臨時角色並設定存取期限。

這題考查的是資訊安全管理中「存取控制（Access Control）」與「最小權限原則（Principle of Least Privilege）」的實務應用。當面對臨時性、階段性的業務需求時，資安控管必須兼顧彈性與安全性。

(C) 最佳實務做法（正確答案）：

符合最小權限： 針對「臨時專案」的需求，單獨封裝一個專門的臨時角色（Role-Based Access Control, RBAC），只給予該專案「必需」的跨部門資料存取權限，避免過度授權。

防範權限蔓延： 設定「存取期限」（Time-to-Live, TTL）或到期自動收回機制。這樣可以確保專案結束後，權限不會遺留在使用者身上，有效防範資安管理上的「權限累積（Privilege Creep）」漏洞。

其他選項為什麼錯誤？

(A) 直接給予使用者跨部門權限：
這會變成永久性授權。專案結束後如果沒有人工介入收回，使用者將持續擁有不必要的跨部門權限，嚴重違反「最小權限原則」。

(B) 讓使用者共用主管帳號：
這是資安上的大忌。共用帳號（Account Sharing）會直接破壞資安四大要素（識別、認證、授權、責任審計）中的「不可否認性（Non-repudiation）」與「審計追蹤（Audit Trail）」。一旦資料外洩或被惡意竄改，日後將完全無法釐清究竟是主管本人還是該專案人員的操作。

(C) 允許使用者自行設定存取權限：
違反了權限控管的「職能分立（Separation of Duties）」原則。權限的審核與發放必須由系統管理員、資料擁有者（Data Owner）或專責資安單位依據規範執行，不能讓一般使用者球員兼裁判、自行擴大權限。

這題的正確答案是 (A)、(B)、(D)。

本題考查的是在遭遇現代化供應鏈攻擊（Supply Chain Attack）時，如何透過縱深防禦（Defense in Depth）技術控制措施，有效抑制攻擊者在內網的「橫向移動（Lateral Movement）」、「權限提升（Privilege Escalation）」與「長期潛伏（Persistence）」。

我們來逐一分析各個選項：

(A) 實施「微切分（Micro-segmentation）」技術 （適切，必選）：

• 防禦原理： 當駭客透過合法的監控軟體更新漏洞進入內網後，傳統的邊界防禦（如防火牆）就失效了。
• 縱深價值： 微切分技術可以將內網切成許多極小的安全網段，實施網段間的嚴格隔離。即便該監控軟體伺服器被攻陷，它也「無法橫向連線」到非相關的資料庫或核心系統，能成功將損害控制在單一端點，阻斷駭客橫向擴散。

(B) 移除本機管理員權限並導入 LAPS （適切，必選）：

• 防禦原理： 駭客進入內網後，最常見的下一步是竊取記憶體中的憑證（如使用 Mimikatz），並嘗試利用相同的本機管理員密碼去登入其他台電腦（稱為 Pass-the-Hash 攻擊）。
• 縱深價值： 移除本機管理員權限可落實「最小權限原則」；而微軟的 LAPS 則強制讓內網每台電腦的本機管理員（Local Admin）帳號都擁有「隨機且各自相異」的強密碼，並定期更換。這樣一來，駭客就算拿到了 A 電腦的密碼，也絕對無法用來登入 B 電腦，大幅提高其權限提升與擴散的難度。

(D) 部署 EDR/XDR 並監控離地攻擊（Living off the Land） （適切，必選）：

• 防禦原理： 進階攻擊者為了躲避傳統防毒軟體的特徵碼偵測，通常會直接呼叫作業系統內建的合法工具（如 PowerShell、WMI、Cmd）來執行惡意行為。
• 縱深價值： EDR/XDR（端點偵測與應變系統）不只看有沒有惡意檔案，更著重於監控這些合法工具的「行為軌跡」。一旦發現正常的監控軟體突然去呼叫 PowerShell 來下載不明腳本或撈取帳密，EDR 就會立刻發出警報並阻斷連線，是防範駭客內網潛伏與擴散的關鍵核心防線。

為什麼 (C) 是嚴重錯誤的做法？
(C) 網路邊界防火牆設定「允許所有出站流量（Allow Any Outbound）」：

• 資安漏洞： 這在資安防禦上是非常危險的反面教材。
• 後果： 駭客在內網成功植入木馬或勒索軟體後，必須透過網路連線回外部的 C2（指揮控制伺服器）來接收指令、外傳機密資料或下載加密金鑰。如果防火牆對出站流量完全不設防（Allow Any），等於拱手為駭客搭建了一條「資料外洩與遠端控管的快速道路」。正確的做法應該是實施「最小化出站策略（Egress Filtering）」，只允許特定協議與特定目標的通訊。

這題的正確答案是 (B) 客服人員僅能發起額度調整申請，需由主管系統審核後才生效。

本題考查的是資訊安全與內部控制中非常核心的「職能分立（SoD, Separation of Duties）」與「雙人控制（Dual Control）」原則。

在金融業的帳務與授信管理中，修改「客戶信用額度」屬於高風險的機敏交易。如果單一角色（例如客服人員）能夠「獨自完成」從提出申請到最後核准修改的全套流程，且沒有留下適當的核決審查軌跡，就會產生極大的舞弊或誤操作風險。

(B) 最佳實務做法（正確答案）：
將該業務流程切分為兩個獨立的職責角色：

• 經辦（Maker）： 客服人員，僅具備「發起申請」的權限。
• 核決（Checker）： 主管，負責「審查與核准」。

透過系統強制落實「經辦、核決分立」的雙人控制模式，不僅能從根本上解決客服權限過大的問題，也能在系統中留存完整的核決歷史紀錄（Audit Trail），完全符合金融資安實務。

其他選項為什麼錯誤？

(A) 錯誤原因：不符合金融風控與業務實務
客訴或特殊變更需求（如額度調整）在實務上往往需要人工徵信與風險評估，不可能完全放任客戶在前端 App 自行無限修改；同時，這也是消極逃避客服權限管理的作法。

(C) 錯誤原因：屬於弱控制（管理控制），無法有效防範
簽署切結書與事後抽查屬於「管理層面」的宣導與補救措施，屬於弱控制。在資安實務上，高風險機敏操作應優先透過「技術控制（Technical Control）」在系統層面直接阻斷非授權的直接修改。

(D) 錯誤原因：引進了更嚴重的資安漏洞
「共用主管帳號」嚴重違反了資安的不可否認性（Non-repudiation）與身分識別原則。一旦共用帳號，日後發生舞弊或資安事故時，稽核日誌（Log）將完全無法釐清到底是哪一位客服人員登入操作的，是極其危險的反面教材。

這題的正確答案是 (C) 基於「身分、裝置健康度、上下文情境（Context）」進行動態授權，且僅建立應用程式層級的連線（App-level tunnel）。

本題考查的是現代資安架構中最核心的「零信任架構（ZTA）」與「零信任網路存取（ZTNA, Zero Trust Network Access）」之實務運作邏輯，用以解決傳統 VPN「一進內網、全網暢通」的橫向擴散風險。

(C) 完全符合零信任核心邏輯（正確答案）：

• 永不信任，始終驗證： ZTNA 拋棄了傳統「只要人在內網（或連上 VPN）就是安全」的邊界防禦思維。它在每次存取時，都會動態評估：
• 身分（Identity）： 登入者是誰？是否通過多因素驗證（MFA）？
• 裝置健康度（Device Posture）： 發出連線的電腦是否安全？防毒軟體有無定期更新？作業系統有無漏洞？
• 上下文情境（Context）： 登入的時間、地點、存取頻率是否異常？

最小權限與微切分（應用程式層級連線）： 傳統 VPN 會將整台裝置拉進內網的網路層（Network-level，獲得一個內網 IP，即可掃描全網段）；而 ZTNA 則採取「應用程式層級（App-level / Layer 7）的加密通道」，使用者通過認證後，系統只會點對點串接他權限許可的那台伺服器，內網的其他設備與網段對他而言完全是「隱形」的，徹底阻斷橫向移動。

其他選項錯誤原因

(A) 錯誤原因：這是典型「傳統 VPN」的邊界防禦作法
只依賴帳密或單一憑證（靜態認證），一旦員工的帳密被駭客竊取或裝置被植入木馬，駭客就能大搖大擺地透過 VPN 直達內網核心。

(B) 錯誤原因：不符合零信任的動態評估原則
在現代遠端維運或混合辦公的情境下，來源 IP 隨時在變動，且來源 IP 容易被偽造（IP Spoofing）。僅靠 IP 白名單無法得知裝置是否安全、身分是否遭到冒用。

(D) 錯誤原因：治標不治本，仍留有橫向移動風險
利用防火牆做網段隔離（VLAN 隔離）雖然可以限縮 VPN 網段的存取範圍，但它依然是在「網路層（Layer 3/4）」進行粗粒度的防護。只要該防火牆規則允許連線到核心帳務系統網段，一旦 VPN 被攻破，駭客依然可以對該網段內的所有伺服器發動橫向漏洞攻擊。這屬於傳統的網段劃分，並不屬於零信任（ZTNA）的智慧動態授權機制。

這題的正確答案是 (B) 存取請求發生的時間與來源地理位置（如Office Hour, Taipei IP）。

本題考查的是現代資安存取控制模型中，屬性存取控制（ABAC, Attribute-Based Access Control）的屬性分類實務。

ABAC 是一種非常靈活且細粒度的權限管理模型，它不單純看使用者是「什麼角色（RBAC）」，而是透過組成一個由四大屬性範疇構成的動態政策（Policy）來決定是否允許存取。這四大範疇分別是：

• 主體屬性（Subject Attributes）： 發出請求的人或系統。
• 客體／資源屬性（Resource/Object Attributes）： 被存取的目標檔案或資料庫。
• 環境屬性（Environment Attributes）： 存取發生時的當下外在脈絡。
• 操作屬性（Action Attributes）： 準備執行的動作（如 Read、Write、Delete）。

選項屬性歸類分析

(B) 屬於環境屬性（正確答案）：
環境屬性指的是與主體（人員）或客體（資料）本身無關，但與「連線當下的時空環境脈絡」有關的動態變數。例如：存取請求是不是在上班時間（Time）、是不是從公司允許的地理區域或特定的 IP 區段連進來的（Location）。這完全符合環境屬性的定義。

(A) 屬於「主體屬性（Subject Attribute）」：
使用者的職稱、部門代號、所屬專案組別或員工編號，都是附加在「人（主體）」身上的靜態或半靜態特徵。

(C) 屬於「客體／資源屬性（Resource Attribute）」：
資料的機密等級（如 Top Secret、Confidential）、資料所屬的資料庫名稱、檔案建立日期等，都是描述「被存取對象（資源）」本身的屬性。

(D) 屬於「主體屬性（Subject Attribute）」：
使用者通過的訓練紀錄、資安證照或簽署過的保密協定（NDA）狀態，依然是屬於用來描述該「使用者（主體）」是否具備特定資格的個人屬性。

透過將環境屬性納入（如選項 B），B 金控就能設定如「開發人員即使擁有讀取權限，也僅限於上班時間（Office Hour）且在台北辦公室內（Taipei IP）才能除錯」的動態安全政策，完美解決稽核發現中「常態性持有權限」的資安風險。

這題的正確答案是 (A)、(D)。

本題考查的是「身分治理與管理（IGA, Identity Governance and Administration）」的核心功能，以及如何利用它來解決企業中常見的「權限蔓延（Privilege Creep）」與「非常態性過度授權」等審計痛點。

我們對照圖中的審計發現來逐一分析各個選項：

(A) 自動化存取認證（Access Certification / Review）（核心必選）：

• 對應解決痛點： 審計發現 (2)「開發人員為了除錯方便，常態性持有資料庫讀取權限」。
• IGA 核心功能： 存取認證（或稱權限覆核）是 IGA 最核心的治理防線。系統會「定期、自動化」地向主管發出查核通知，強制要求主管重新檢視：「該開發人員現在還在除錯嗎？是否仍有必要持有該權限？」。若專案或除錯已結束，主管即可直接勾選取消，有效打破「常態性持有」的資安漏洞。

(D) 權限生命週期管理（Entitlement Management）（核心必選）：

• 對應解決痛點： 審計發現 (1)「部分客服人員擁有修改客戶信用額度的權限，且未留下核決紀錄」。
• IGA 核心功能： 處理組織人員的「JML 流程」（Join 到職、Move 轉調、Leave 離職）。當客服人員調職或離職時，系統會依據其最新的職務身份，自動收回（De-provisioning）不符現職的高風險帳務權限。同時，它能嚴格定義與自動化開通「標準客服角色」的應有權限，防止人員因職務變動導致權限遺留或過度擴張。

其他選項為什麼錯誤？

(B) 錯誤原因：後半句敘述與治理目標背道而馳

• 解析： 「角色挖掘（Role Mining）」確實是 IGA 技術的一環，它的目的是利用大數據或演算法分析組織內員工目前的權限分配，找出特徵並「優化、重新定義」成更符合最小權限的新角色模型。選項中提到「確保維持現行角色權限模型不調整」是錯誤的，因為現行的模型顯然已經出現了客服權限過大的嚴重疏漏，必須進行調整優化。

(C) 錯誤原因：屬於網路層／應用層的安全防禦，不屬於身分治理（IGA）範疇

• 解析： WAF（網頁應用程式防火牆）是部署在網路邊界，用來阻擋外部駭客發動 SQL 注入、XSS 等惡意流量攻擊的「技術防禦設備」。它無法管理「組織內部員工（如客服、開發人員）合法的帳號與權限異動」。

這題的正確答案是 (D) 稽核（它「不」是五大支柱之一）。

美國網路安全暨基礎設施安全局（CISA）發表的「零信任成熟度模型（Zero Trust Maturity Model, ZTMM）2.0」，是目前業界在規劃零信任架構時最重要的參考藍圖之一。該模型將零信任的核心防禦範圍劃分為五大支柱（Pillars）與三個跨支柱能力。

(D) 錯誤原因（正確答案）：
「稽核」雖然在零信任架構中非常重要，但它在 CISA 的模型中並非獨立的「支柱」，而是屬於橫跨所有支柱的跨支柱能力（Cross-Cutting Capabilities）之一——也就是「可視性與分析（Visibility and Analytics）」與「自動化與協調（Automation and Orchestration）」的核心實作方法。

CISA 零信任成熟度模型 2.0 的「五大支柱」

為了方便您對照記憶，模型的五大主體支柱包含：

• 身分（Identity）：(C) 包含帳號管理、多因素驗證（MFA）、使用者與實體行為分析（UEBA）。
• 裝置（Device）： 包含硬體資產盤點、裝置健康度與安全狀態（Device Posture）的即時合規評估。
• 網路／環境（Network/Environment）：(A) 包含內網微切分（Micro-segmentation）、網路邊界解構、動態加密通道（如 ZTNA）。
• 應用程式與工作負載（Applications and Workloads）： 包含安全開發、API 保護、應用程式層級的存取控制。
• 資料（Data）：(B) 包含資料分類分級、靜態與傳輸加密、資料遺失防護（DLP）。

這題的正確答案是 (B) 為特別加強防護，屬於 DMZ 網路的網路(2)及網路(4)，應特別加強保護（這是較不正確的描述）。

本題考查的是智慧製造（工業控制系統 ICS / OT）中常見的網路架構分層防禦與網路區域定義（例如：Purdue Model 普渡模型）。

(B) 錯誤原因（正確答案）：

DMZ（非軍事區）的定義： 它是指一個介於嚴格受控的「內部網路」與完全不可信任的「外部網路（網際網路）」之間的緩衝區域，通常用來放置需要對外開放連線的服務（如網站服務、電子郵件等）。

圖中區域檢視：

真正屬於 DMZ 網路的是「網路(1)」（網站服務伺服器）。

「網路(2)」包含 ERP 伺服器與辦公室電腦，屬於企業的 IT 內部辦公網路（Enterprise Intranet）。

「網路(4)」包含 PLC、HMI 等直接與生產線實體設備（如馬達、機械手臂）連線的控制端，屬於最核心的 OT 廠區生產網路（Cell/Area Zone），絕對不是 DMZ。

結論： 將網路(2)與網路(4)歸類為 DMZ 網路在資安定義上是嚴重的錯誤。

其他選項為什麼正確？

(A) 描述正確：
圖中在不同的網路區域（網路 1 至 4）之間層層部署了防火牆 A、B、C、D、E，這種多層過濾的設計就是典型用來強化網路縱深防禦（Defense in Depth）的實務做法，能有效防止駭客一進入外層就直接滲透到最底层的生產線。

(C) 描述正確：
在極高安全性要求的關鍵基礎設施或智慧工廠中，為了徹底防止 IT 辦公網路的病毒（如勒索軟體）擴散到控制生產設備的 OT 網路，採用實體隔離（Air Gap，使兩者網路實體線路完全不相通）是一種公認能確保 OT 網路絕對安全的技術手段。

(D) 描述正確：
由於「網站服務伺服器」位於網路(1)，其主要功能是服務來自網際網路的外部訪客。為了讓外部使用者能安全地瀏覽網站，確實必須在最外層的「網路防火牆 A」設定安全規則，允許外部流量透過加密的 HTTPS 協定（Port 443）連線進入網路(1)。

這題的正確答案是 (B) 建立漏洞利用交換機制（Vulnerability Exploitability eXchange，VEX），以過濾出雖然存在於組件中但實際不可被利用的漏洞。

本題考查的是現代軟體供應鏈安全（Software Supply Chain Security）與 SBOM（軟體物料清單）在企業 DevSecOps 流程中的實務落地應用。

(B) 為什麼是必須優先建立的配套（正確答案）：

• SBOM 的痛點（漏洞疲勞）： 導入 SBOM 後，自動化工具會掃描出軟體內成百上千個第三方開源元件。然而，許多時候這些元件雖然包含已知漏洞（CVE），但因為在我們開發的系統中根本沒有呼叫到該功能，或者已被其他防禦機制阻斷，導致漏洞「實際不可利用（Not Exploitable）」。這會造成大量的「假陽性（False Positive）」，讓資安與開發團隊陷入「漏洞疲勞」，反而拉長了真正危險漏洞的響應時間。

• VEX 的角色： VEX（Vulnerability Exploitability eXchange） 是一種與 SBOM 搭配的標準化機器可讀格式。它專門用來聲明某個漏洞在特定產品中的「實際可利用性狀態」（例如：Affected、Not_Affected）。透過 VEX 機制，DevSecOps 流程可以自動過濾掉那些「看得到卻吃不到」的無害漏洞，讓團隊將核心精力與時間優先聚焦在「真正具有威脅且需立即修補」的漏洞上，大幅縮短漏洞響應時間（MTTR）。

其他選項錯誤原因

(A) 錯誤原因：不具備自動化與時效性
軟體版本異動極快，每次 CI/CD 構建都可能改變元件。要求廠商提供「紙本、隨合約檢附且用印」的 SBOM，完全無法塞入自動化的 DevSecOps 流程中，更無法在爆發新漏洞（如 Log4j 級別）時提供任何即時響應的能力。

(C) 錯誤原因：作法過於激進且容易引發系統崩潰（不切實際）
一律強制更新到最新版本在實務上極度危險。開源專案的最新版本往往伴隨著破壞性變更（Breaking Changes）或尚未被發現的新漏洞。盲目禁用超過半年的穩定版本，會導致開發團隊耗費大量時間在處理版本不相容的 Bug，反而降低了整體系統的穩定性與安全性。

(D) 錯誤原因：違背了 SBOM 的自動化核心價值
SBOM 的精髓在於透過 CI/CD 流程自動生成並即時與漏洞資料庫（如 NVD）進行自動化比對。如果將其鎖在「實體保險箱的離線光碟」中，在爆發零日漏洞時，資安人員將完全無法透過系統自動清查產品是否受影響，徹底失去了縮短漏洞響應時間的作用。

這題的正確答案是 (B)、(C)、(D)。

本題考查的是企業應對勒索軟體（Ransomware）的綜合防禦策略。有效的勒索軟體防護不能只靠單一設備，必須結合「事前預防（管理、技術）」與「事後損害控制（財務移轉）」的縱深策略。

我們來逐一分析各個選項：

(B) 定期做員工的資安意識訓練及社交工程演練 （正確，必選）：

• 防禦關鍵： 絕大多數的勒索軟體入侵，都是透過釣魚郵件（Phishing Email）作為第一步破口，利用員工的好奇心或疏忽點擊惡意連結、下載巨集附件。
• 成效： 透過定期演練，能讓員工對可疑郵件保持警覺，在「人為意識」這一層築起關鍵防線。

(C) 定期做網路弱點掃描 （正確，必選）：

• 防禦關鍵： 勒索軟體的另一個主要入侵管道，是利用企業暴露在網際網路上未修補的系統漏洞（如 VPN 漏洞、RDP 遠端桌面漏洞）或錯誤設定。
• 成效： 弱點掃描能幫助企業在駭客動手前，優先發現並修補這些安全漏洞，減少企業的被攻擊面（Attack Surface）。

(D) 資安合約上可以加上保險項目 （正確，必選）：

• 風險移轉： 這屬於風險管理中的「風險移轉（Risk Transfer）」策略。
• 成效： 導入資安險（Cyber Insurance）。當企業不幸遭遇大規模勒索軟體攻擊，面臨龐大的事件調查鑑識費用、系統重建成本、甚至營業中斷的財務損失時，保險能提供實質的財務補償，有效減少企業的經濟衝擊。

為什麼 (A) 是嚴重錯誤的做法？

(A) 備份資料只有一份線上（Online）保存：

• 致命缺點： 現代勒索軟體非常聰明，入侵內網後的第一件事就是去尋找並加密組織的「線上備份系統」。如果備份資料「只有一份」且保持「線上連接（Online）」狀態，它將會與生產環境的資料一起被駭客加密鎖死，讓備份完全失去作用。
• 正確做法： 應落實 3-2-1 備份原則，其中必須包含至少一份離線（Offline）、實體隔離（Air-Gapped）或不可變動（Immutable）的備份，確保即使內網全滅，仍有乾淨的備份可供還原。

這題的正確答案是 (A) 結合EDR、NDR的事件資料，並由XDR進行關聯分析。

本題考查的是企業在面對現代複雜的「橫向移動」與「跨維度攻擊」時，如何運用 XDR（延伸偵測與回應） 平台進行威脅狩獵與事件關聯分析。

(A) 為什麼最能帶來實質效益？（正確答案）

情境中的威脅特徵：
• 端點行為異常： 裝置開始執行不常見的系統指令（這屬於 EDR 的偵測範疇）。
• 網路行為異常： 在短時間內嘗試連線至多個內部系統，進行橫向移動（這屬於 NDR 的偵測範疇）。
• 帳號與身分異常： 員工帳號於「非上班時間」登入（這屬於身分行為分析）。

XDR 的核心價值： 傳統的 EDR 或 NDR 只能看到自己維度的單一碎片（看到局部象腿），但這場攻擊活動的特徵是「活動模式橫跨端點行為、帳號使用與內部網路連線」。此時，最有效的方法就是透過 XDR 平台 將分散在 EDR（端點）與 NDR（網路）的日誌資料自動進行「串聯與關聯分析（Correlation Analysis）」，把零碎的異常事件拼湊成完整的攻擊故事線（Attack Storyline），如此一來，資安團隊才能一目了然地確認這些活動是否屬於同一場縝密的駭客攻擊行動。

其他選項為什麼不夠完美？

(B) 錯誤原因：漏失網路層面的視野
單靠 EDR 雖然能觀察到端點上的可疑指令，但無法有效監控或關聯內部網路層面（NDR 負責的範疇）的橫向掃描與異常連線行為。

(C) 錯誤原因：分析維度過於傳統且缺乏效率
傳統防火牆日誌缺乏端點行為（程序、指令）與身分上下文的資訊。單靠既有防火牆紀錄，SOC 團隊很難在凌晨短時間內將網路連線與端點的異常指令精準關聯在一起。

(D) 錯誤原因：缺乏自動化關聯，且耗費大量人力
只用 EDR 收集資料後完全依賴「人工判讀」，在面對跨端點、跨網路的複雜複合式攻擊時，速度太慢。凌晨時段人手較少，若沒有 XDR 平台先進行跨品項的自動關聯，光靠工程師肉眼比對多套系統的日誌，會嚴重拉長響應時間。

本題的正確答案為 (C) 由 SOC 於上班時間統一處理所有事件。

解析說明

(C) 最不適當的原因：
情境中明確提到，該異常行為發生於「凌晨」，且其活動模式（執行不常見指令、嘗試連線多個內部系統）屬於潛在的資安威脅。若依據選項 (C) 的做法，等到白班 SOC 上班才統一處理，將會造成長達數小時的防護空窗期，讓攻擊者有足夠的時間進行橫向移動或竊取資料，完全無法兼顧「即時應變」的原則。

其他選項為什麼適當？

(A) 透過自動化工具（如 EDR/NDR 的阻斷功能）在凌晨先進行威脅隔離，可有效降低損害，符合即時應變。

(B) 圖片中提到企業有建置 XDR 平台，且夜間與假日委由外部 MDR 服務商提供 24x7 的即時監控與回應支援。因此，由 MDR 結合 XDR 進行即時分析與處置，正是該企業預防夜間防護空窗的合理配置。

(D) 在情境發生當下，暫時限制該帳號或相關非上班時間的系統操作，屬於合理的緊急風險控制手段。

本題的正確答案為 (A) 透過 NDR 觀察是否存在異常網路通訊。

💡 解析說明
題目詢問在特定情境下，若要「快速確認端點是否已遭入侵，並即時降低風險」，哪一個選項最「無法」帶來實質效益。

我們來抓取題目中描述的環境特徵與事件狀態：

現狀特徵：「尚未觀察到明顯的內部網路連線異動」。

異常特徵：「持續產生不尋常的程序啟動、記憶體注入行為，並嘗試修改系統設定」（這些全是典型的主機端點內部行為）。

(A) 最無法帶來實質效益的原因：

偵測盲區：NDR（網路偵測與回應）的核心功能是透過監控「網路流量（Traffic）」來發現異常行為（例如橫向移動、資料外洩、異常外連）。

不符現況：題目字面已明確鎖定此時「尚未觀察到明顯的內部網路連線異動」。既然網路層還沒有動靜，且攻擊行為目前侷限在主機內部的程序與記憶體控制，此時再去盯著 NDR 的網路流量瞧，根本看不到任何異常特徵，也無法提供即時的阻斷回應，因此在當下最無法帶來實質效益。

🟢 為什麼其他選項在當下更具備實質效益？

(B) 具備驗證效益：
不尋常的程序啟動與系統設定修改，都會在作業系統中留下系統日誌（Windows Event Logs / Syslog）。SOC（安全維運中心）團隊透過逐一檢查這些日誌，可以協助「確認」端點是否已遭入侵與受害範圍。

(C) 具備綜效效益：
XDR（延伸偵測與回應）強在可以把端點行為、身分驗證與網路事件進行「跨來源的關聯性分析」。它能把這台筆電在凌晨「不尋常的登入」與「後續的程序啟動」串聯起來，幫助管理員快速釐清整起攻擊的故事線。

(D) 為最核心、最有實質效益的手段（最佳答案的反面）：
面對「程序啟動、記憶體注入」等純端點主機內的惡意行為，EDR（端點偵測與回應）是完美的對症下藥。它不僅能精準抓到記憶體注入，還能點擊按鈕直接對該筆電進行「即時網路隔離（Isolate）」或中止惡意程序，完全契合題目要求的「即時降低風險」。

本題為複選題，正確答案為 (A)、(B)、(C)。

💡 深度解析
本題的時空背景設定在「凌晨發生異常行為、內部 SOC 團隊尚未全面值班，且風險已達需立即處置的程度」。為了同時滿足「即時降低風險」與「兼顧人力配置合理性」，官方在應變策略的配置上，採取了結合「管理政策限制」、「外部委外偕同」與「自動化技術阻斷」的全方位縱深防禦邏輯。

為什麼 (A) 是正確（合適）的安排？（管理控制維度）
風險規避（Risk Avoidance）策略：
在凌晨突發高風險資安事件且內部白班人力尚未進駐的極端情況下，「暫時限制所有非上班時間的系統與帳號操作」是一種非常果斷且強效的管理控制手段。

斬斷攻擊路徑：
雖然這個做法會暫時犧牲非上班時間的便利性，但它可以從源頭關閉可能被駭客利用的潛在管道，防止攻擊者在夜間無人看守時進一步擴大戰果、進行橫向移動或提升權限。在官方通盤的資安治理與應變政策評估中，這被認定為完全合理且符合成本效益的應變處置。

為什麼 (B) 是正確（合適）的安排？（委外人力偕同維度）
充分發揮委外監控的契約價值：
情境中明確提到，該企業的營運安排為「夜間與假日委由外部 MDR 服務商提供 24x7 的即時監控與回應支援」。

標準協同作業流程（SOP）：
因此，在凌晨收到高風險告警時，利用 XDR 平台整合端點與身分事件，並由正在值班的 外部 MDR 團隊 即時介入分析並執行阻斷等初步回應，等到隔天日班上班時再完整交接給 內部 SOC 團隊 進行後續數位鑑識與根因分析，是最符合現有人力資源配置、最合理的應變協同流程。

為什麼 (C) 是正確（合適）的安排？（自動化技術阻斷維度）
利用工具特性達到即時遏止（Containment）：
端點（筆電）目前正持續產生不尋常的程序啟動與記憶體注入行為。此時直接使用 EDR 的「即時回應功能」（如遠端網卡隔離） 可以在第一時間將該高風險端點從網路中切離，阻止其進一步連線至多個內部系統。

降低夜間人力追蹤負擔：
透過 EDR 快速封鎖現場並完整保留處置紀錄，即使內部 SOC 團隊此時不在線上，也能確保威脅被完全控制，靜待白班人員上班後進行後續處理。

❌ 為什麼 (D) 絕對錯誤？

觀念嚴重違背資安原則：
題目字面已清晰強調「風險已達需立即處置的程度」，且實務上現代駭客（如 APT 組織或勒索軟體集團）最常刻意挑選防守兵力最薄弱的「凌晨、連假、深夜」發動致命總攻擊。宣稱「夜間事件通常風險較低、無須即時處理」是完全錯誤且極度危險的資安怠慢觀念，因此是必須排除的錯誤選項。

這題的正確答案是 (D) 6。

依據數位發展部資通安全署（以及國內外主流的資安與 IT 治理成熟度模型，如 CMMI、COBIT 等架構演進）所推行的成熟度評估模型，通常將成熟度類級（Maturity Levels）劃分為 6 個等級：

• Level 0 未成熟型(Immature)：組織尚未有效執行相關之基本流程。
• Level 1 基礎型(Basic)：相關流程構面執行結果已達成預先設定，且可支持組織之業務。
• Level 2 管理型(Managed)：相關流程構面已進行管理，包含規劃、執行及監督之過程。
• Level 3 制度化型(Established)：有效定義與部署標準化流程，使其成為常規作業。
• Level 4 可預測型(Predictable)：依組織目標定義流程量化指標，建立穩定、可預測之流程，蒐集與分析歷史數據，持續改善。
• Level 5 創新型(Innovating)：透過識別創新應用、技術、新機會或潛在風險優化各流程構面。

此 6 個等級的設計能讓公務機關循序漸進地檢視自身的資安治理現況。

這題的正確答案是 (C) 時間相關因素與波動性不是考慮的因素（這是較不適切的描述）。

本題考查的是風險管理（依據國際標準如 ISO 31000 國際風險管理標準）中，在進行風險分析（Risk Analysis）時必須評估的核心要素。

(C) 錯誤原因（正確答案）：
• 實務思維： 風險絕對不是靜態不變的。時間相關因素（如風險發生的時機、迫切性、潛伏期）以及波動性（如市場的動盪、外部威脅頻率的季節性波動、新技術漏洞爆發的突發性）是非常關鍵的考慮因素。
• 舉例來說： 在分析勒索軟體風險時，連假期間（時間因素）的受駭可能性與帶來的波動衝擊通常高於平日。因此，宣稱它們「不是考慮的因素」在理論與實務上都是嚴重的錯誤。

其他選項為什麼正確？

(A) 描述正確：
風險的核心定義即為「不確定性對目標的影響」。因此，評估特定資安事件發生的可能性（Likelihood/Probability）以及該事件發生後所造成的後果與衝擊（Consequences/Impact），是風險分析最基礎的二維矩陣（\(Risk = Likelihood \times Impact\)）。

(B) 描述正確：
現代企業環境複雜，一個風險因子往往會引發連鎖反應（例如：供應鏈組件漏洞，同時連結到軟體安全、法律合規與商譽損失）。因此，風險分析必須考量因子的複雜性與連結性（Complexity and Connectivity），以防低估了複合型風險的破壞力。

(D) 描述正確：
在評估「殘餘風險（Residual Risk）」時，必須先確認組織現有控制措施的有效性（Effectiveness of Existing Controls）。如果現有的防火牆或權限控管已經非常強大且運作良好，那麼該風險的實際發生機率或衝擊度就會隨之調降。

這題的正確答案是 (B) 建立並維護軟體物料清單（SBOM）。

這題考查的是在應對軟體供應鏈漏洞（Software Supply Chain Vulnerabilities）時，如何快速進行漏洞清查與資產定位的實務能力。

(B) 最精準、最有效的機制（正確答案）：

• 軟體成分的透明化： SBOM（Software Bill of Materials，軟體物料清單） 就像是食品的「成分配方表」。它用機器可讀的標準格式（如 SPDX 或 CycloneDX），詳細記錄了軟體系統中包含的每一個開源套件、第三方函式庫、元件版本以及依賴關係。

• 為什麼能快速識別： 當像 Log4j 這種嚴重的零日漏洞（Zero-Day）爆發時，資安團隊不需要手動去翻源碼或等待漫長的動態掃描。他們只需要將揭露的漏洞元件名稱與版本號（例如 log4j-core），丟進 SBOM 中央管理系統中進行關鍵字自動化比對，幾秒鐘內就能「精準定位」出公司內部哪幾套系統、哪幾個專案使用了這個有問題的元件，進而實現分鐘級的應變與修補。

其他選項為什麼不是「最有效」？

(A) 定期執行外部弱點掃描（Vulnerability Scanning）：
外部弱點掃描是從外網視角探測系統表面暴露的漏洞。像 Log4j 這種深埋在應用程式內部的第三方相依套件漏洞，外部掃描器通常必須在「已知特定攻擊路徑」或「觸發特定行為」時才能勉強偵測到，速度太慢且容易有漏報，無法做到在漏洞揭露當下「精準且全面」的內部資產定位。

(C) 要求供應商提供每季一次的滲透測試報告：
滲透測試（Penetration Testing）是特定時間點（Point-in-time）的人工作業。供應鏈漏洞可能在報告提供的隔天就爆發，且「每季一次」的時間顆粒度太粗，完全無法滿足零日漏洞爆發時需要「即時、數小時內」完成清查的時效性需求。

(D) 在所有伺服器上安裝主機型入侵偵測系統（HIDS）：
HIDS 屬於「事中偵測」與「事後審計」的防禦措施。它是在駭客已經開始利用 Log4j 漏洞嘗試攻擊主體系統、引發異常行為時才會發出告警。它能幫你「抓到攻擊者」，但無法幫你在漏洞剛揭露、駭客還沒動手前，主動「精準定位哪些資產含有該脆弱組件」以進行預防性修補。

這題的正確答案是 (B)、(C)、(D)。

本題考查的是 ISO/IEC 27001:2022 新版標準中，附錄 A 新增的核心控制措施之一：A.5.7 威脅情資（Threat Intelligence）。

新版標準要求組織必須建立蒐集、分析及運用威脅情資的程序，以便主動採取預防措施。一個完整的威脅情資生命週期必須包含情資的蒐集、評估、關聯與行動化。

我們來逐一分析各個選項：

(B) 訂閱並分析外部情資（正確，必選）：

實務作業： 威脅情資的核心在於了解外部駭客的最新動向。組織應透過外部管道獲取情資，例如訂閱產業別的 ISAC（資安資訊分享與分析中心）、政府 CERT 通報、或是商業資安廠商提供的威脅指標（IoC，如惡意 IP、Domain、檔案雜湊值）與攻擊手法（TTPs）。

(C) 將情資與內部環境進行關聯分析（正確，必選）：

實務作業： 收到大量外部情資後，如果只是放著就毫無價值。資安團隊必須將情資與內部資產、系統環境進行關聯分析（例如：清查內部是否有情資提到的受災漏洞元件或系統？是否有內部主機曾連線至該惡意 IP？），以此評估該威脅對組織的真實相關性與衝擊度。

(D) 依據情資調整防禦策略（正確，必選）：

實務作業： 這是情資「行動化」的關鍵。當確認情資與組織相關後，必須將其轉化為防禦能量，例如：立即在 WAF（網頁應用程式防火牆） 部署防禦規則、在防火牆或閘道器封鎖高風險的惡意 IP、或是針對特定漏洞發布緊急修補程序。

為什麼 (A) 是錯誤的做法？

(A) 僅收集內部防火牆日誌，不需參考外部資訊：

錯誤原因： 防火牆日誌（Log）只能呈現內部網路「已經發生」的通訊活動，屬於組織內部的事件紀錄，並不等於「威脅情資（Threat Intelligence）」。威脅情資強調的是預知外部威脅趨勢（知己知彼），如果完全不參考外部資訊，就失去了導入 A.5.7 控制措施「主動防禦、提早預警」的核心意旨。

這題的正確答案是 (B) 實施外部驗證（Out-of-Band Verification），透過第二種不同管道確認指示。

本題考查的是面對新興 AI 社交工程攻擊——Deepfake（深偽技術）影音詐騙與傳統 BEC（商務電子郵件詐騙）時的風險管理。題目特別強調了要找出「流程面（Process）」的控制措施，且是防範詐騙的「最後一道防線」。

(B) 為什麼是最後一道防線？（正確答案）

• 技術的極限： 當駭客利用 AI 生成高度逼真的主管聲音與即時影像時，人類的肉眼與耳朵在視訊電話中已經難以分辨真偽（如情境中所述「影像與聲音均無異狀」）。

• 外部驗證（Out-of-Band, OOB）的核心： 它的精髓在於「不依賴原有的通訊管道」。當你在管道 A（如視訊電話、電子郵件）接收到涉及「資金匯款、機密外洩」的高風險指令時，必須強制透過完全獨立、互不相干的管道 B（如公司內部的加密通訊軟體、撥打平時熟記的官方分機、或親自面對面簽核）進行二次確認。

• 情境印證： 案例中的財務長之所以能成功揭穿騙局，正是因為在最後一刻實施了「例外匯款雙重確認流程」，透過另一種管道（內部加密通訊軟體）向執行長發出文字確認。這種流程控制能徹底打破駭客在單一通訊管道上佈下的偽裝。

其他選項為什麼錯誤？

(A) 錯誤原因：不屬於「最後一道防線」，且無法防範此情境
垃圾郵件閘道器（SEG）屬於「技術面」的防護，且它的作用是在「郵件傳遞階段」進行過濾。對於本案例中「直接打過來的視訊電話（Deepfake 詐騙）」，郵件閘道器完全無能為力。

(C) 錯誤原因：無法防範深偽內容的生成
定期更換視訊軟體密碼雖然是好的資安習慣，但無法阻止駭客從其他公開管道（如社交媒體、公開演講影片）蒐集高階主管的聲音與容貌素材，並利用自己的 AI 工具生成深偽影片。

(D) 錯誤原因：不符合資安現實，且流於科技迷思
提升解析度並無法解決 AI 生成模型演進帶來的偽裝。現今的 Deepfake 技術在高清畫質下依然能做到維妙維肖，過度依賴「看清細節」反而會讓人員產生虛假的安全感，落入更深的詐騙陷阱。

這題的正確答案是 (B) 使用信任來源白名單機制（它「不」屬於增強身分驗證強度的技術機制）。

本題的關鍵在於分辨什麼是「身分驗證（Authentication）」技術，以及什麼是「存取控制／網路層過濾（Authorization / Access Control）」技術，並從中評估它們對於防止「帳號被盜用」的有效性。

(B) 為什麼最不具身分驗證有效性？（正確答案）

• 概念錯置： 「信任來源白名單（如 IP 白名單、網域白名單）」是一種存取控制（Access Control）或邊界防禦手段，用來限制只有特定範圍的設備可以連線，它本身完全無法驗證「當前操作者的真實身分」。

• 防盜無力： 如果高階主管的帳號密碼已經在外洩名單中，或者駭客成功混入了白名單允許的內部網路（或偽造了信任來源），白名單機制就會完全失效。它無法識別坐在電腦前的到底是主管本人還是駭客，因此對於「增強身分驗證強度」來說，它的有效性最低。

其他選項的身分驗證有效性分析

其餘三個選項皆屬於實質的身分驗證（Authentication）或多因素驗證（MFA）技術，其防盜效果由低至高排列如下：

(C) 電子郵件發送驗證連結 & (A) 簡訊傳送一次性密碼（SMS OTP）：

有效性： 屬於傳統的雙因素驗證（2FA）。雖然簡訊 OTP 存在被 SIM 卡劫持（SIM Swapping）或釣魚網站攔截的風險，電子郵件也有可能因信箱被破而失守，但它們依然實質上多了一道「擁有物（Something you have）」的驗證關卡，強度仍遠高於單純的「信任來源白名單」。

(D) 基於 FIDO2 / WebAuthn 標準的實體金鑰或 Passkey：

有效性： 這是目前公認安全強度最高的身分驗證機制（拒對稱加密與無密碼驗證）。它具備「防釣魚（Phishing-resistant）」的特性，驗證時會綁定當前的網域（Domain），即使使用者不小心把憑證送出，駭客也無法在其他虛假網站上使用。能徹底終結帳號密碼外洩、阻斷 AI 社交工程帶來的帳號盜用風險。

這題的正確答案是 (C) 應調升機率，因GenAI工具普及降低了攻擊成本與技術門檻。

本題考查的是現代資安風險評鑑中，面對生成式 AI（GenAI）與深偽技術（Deepfake）普及時，如何動態調整風險矩陣中的「可能性／機率（Likelihood）」評估準則。

(C) 為什麼是最適切的調整？（正確答案）

• 攻擊門檻斷崖式下跌： 過去要製作逼真的語音或影片克隆，需要好幾週的運算時間與專業的特效團隊（技術門檻高、成本高）。但隨著近兩年各式開源與商業 GenAI 工具、SaaS 服務的爆發，現在駭客只需要幾秒鐘的語音素材或幾張公開照片，就能在幾分鐘內一鍵生成極為擬真的深偽內容。

• 攻擊工業化： 技術門檻與時間成本的降低，意味著這種攻擊不再是「國家級駭客」的專利，一般網路詐騙集團、甚至低技術的犯罪分子都能輕易發動。因此，企業在風險評鑑時，必須與時俱進地「調升」這類新型態社交工程攻擊的發生機率（Likelihood），才能提撥相對應的防禦預算與流程防護。

其他選項錯誤原因

(A) 錯誤原因：不符合現今技術發展的現實
宣稱「AI 技術門檻高、調降機率」是嚴重的資安資訊滯後。現實中 AI 工具已經全面普及化與平民化，攻擊的發生率正在急劇攀升，調降機率會導致企業對新興威脅完全失去防禦戒心。

(B) 錯誤原因：低估了威脅的氾濫程度
如情境所述，這家跨國製造業的財務長接到的就是針對企業的詐騙（商業詐騙）。這證明 Deepfake 早已全面擴散到商業詐騙市場（如 BEC 升級版），不再侷限於國家級的政治或軍事對抗。

(D) 錯誤原因：逃避風險管理的職責
風險管理的本質就是去評估與應對「不確定性」。Deepfake 雖然新興，但其本質仍屬於社交工程與身分冒用的延伸，可以透過流程面（如 Out-of-Band 驗證）與技術面（如 FIDO2）來控制緩解，絕非「無法評估」或「不可抗力」的藉口。

這題的正確答案是 (A)、(B)、(C)。

本題考查的是面對新興 AI 威脅（Deepfake 影音、語音詐騙）時，企業如何依據「縱深防禦（Defense in Depth）」原則，從「人（People）」、「流程（Process）」、「技術（Technology）」三大維度布建多層次的詐騙防護體系。

我們來逐一分析各個選項：

(A) 定期舉辦社交工程演練，並將新興 AI 情境納入演練（正確，必選）：

• 維度：人（People）
• 防禦價值： 員工是防範社交工程的第一道也是最脆弱的防線。既然駭客的武器已經升級到 AI 級別（如情境中所述聲音影像無異狀），企業的宣導與演練就不能停留在傳統的「辨識錯字郵件」。將 Deepfake、AI 仿聲等新興情境納入社交工程演練，才能真正提升高階主管與財務人員的警覺心。

(B) 建立嚴格的財務放行流程，實施雙重控制（正確，必選）：

• 維度：流程（Process）
• 防禦價值： 雙重控制（Dual Control） 或職能分立（Separation of Duties）是金融與企業風控的鐵律。不論視訊中的「執行長」催得有多急，只要流程卡死「高額款項必須有第二位高階主管或特定裁決鏈上的人員覆核簽核」，就能用制度硬性攔截單一人員因受騙而直接將款項匯出的風險。

(C) 採購能偵測 Deepfake 訊號的監控方案（正確，必選）：

• 維度：技術（Technology）
• 防禦價值： 雖然人類肉眼難以辨識高畫質的偽造內容，但 AI 生成的影音在底層編碼、光影邊緣、眨眼頻率不自然或聲音微小的斷層上，仍會留下特定的「合成痕跡（Artifacts）」。利用專門的 Deepfake 偵測技術在視訊或通訊時進行即時辨識與警告，能提供技術面的客觀佐證，協助人員提早察覺異狀。

為什麼 (D) 是錯誤的做法？

(D) 禁止公司內部使用任何視訊會議軟體，改回實體會議：

錯誤原因： 這是典型「因噎廢食」且完全不切實際的作法。情境中明確提到該企業為「跨國製造業」，集團執行長與海外帳戶分布在不同國家。在現代全球化營運的環境下，全面禁止視訊會議將導致企業溝通中斷、決策效率嚴重低落。資安的目標是「安全地啟用新技術（Enable the business safely）」，而非透過消滅業務工具來達成絕對的安全。

這題的正確答案是 (B) 持續監督與審查風險處理實施的過程，以確保風險處理能夠有效完成。

本題考查的是風險管理標準（如 ISO 31000）中關於風險處理（Risk Treatment）與後續監控的實務核心原則。

(B) 為什麼最為適切？（正確答案）

• 動態循環： 風險處理不是一個「做完就射後不理」的靜態作業。在實施風險處置計畫（如導入新系統、修改流程）的過程中，外部威脅環境在變、組織內部架構也在變。
• 監控的必要性： 因此，必須透過持續的監督（Monitoring）與審查（Review），確認處置措施有沒有確實落地、有沒有達到預期的風險緩解效果，這正是整個風險管理 PDCA 循環中不可或缺的關鍵。

其他選項錯誤原因

(A) 錯誤原因：背離利害關係人溝通的核心原則
在評估風險處理的理由或效益時，除了財務與經濟可行性外，組織所有利害關係人（員工、客戶、股東、主管機關）的觀點與法律合規義務都必須納入考量。只看經濟結果會導致組織做出違反法規或損害商譽的錯誤決策。

(C) 錯誤原因：過於僵化，缺乏彈性
風險處理方式選定後，如果在新實施的過程中發現環境改變、技術不可行、或是該處理方式帶來的成本遠超預期，必須依據現況彈性調整處置計畫（例如：從「降低風險」改為「風險移轉」）。盲目堅持不調整是不符合風險管理彈性（Resilience）原則的。

(D) 錯誤原因：過於絕對，忽略了「殘餘風險」與「次生風險」
在風險管理中「沒有絕對的安全」。即使再精心設計的風險處置措施，實施後依然可能會：

• 留下無法完全消除的殘餘風險（Residual Risk）。
• 意外引發先前沒料到的次生風險／新風險（Secondary Risk）（例如：為了加強身分驗證導入生物辨識，卻意外帶來了隱私資料外洩的新風險）。

這題的正確答案是 (B) 透過資安保險避免電力短缺問題（這是較不適切的描述）。

本題考查的是資訊安全營運與營運持續計畫（BCP）中，針對電力可用性（Availability）與風險管理策略的實務認知。

(B) 錯誤原因（正確答案）：

• 風險管理的本質： 保險屬於「風險移轉（Risk Transfer）」的財務手段，它只能在風險發生、造成損害後，提供組織財務上的補償（例如：補償停電造成的營業中斷損失）。
• 無法避免事件發生： 保險「完全無法避免」電力短缺、停電或跳電的實體事件發生。要維持資訊系統的持續營運，必須依靠技術與實體防護措施（如不斷電系統 UPS、發電機），而不是指望保險來讓電力的實體供應恢復。

其他選項為什麼正確？

(A) 描述正確：
建置備援發電機組（以及配置不斷電系統 UPS），是機房對抗台電停電風險、維持實體電力可用性的標準「降低風險（Risk Reduction）」技術措施。

(C) 描述正確：
在進行資料中心（Data Center）或核心機房的選址時，地理區域的基礎設施品質（如該工業區是否有雙迴路供電、是否屬於限電高風險區）是關鍵的環境風險評估指標，選擇供電穩定的區域能從源頭降低風險。

(D) 描述正確：
規劃「異地備援中心」的目的是當主機房因天災或重大停電事故失能時，備援中心能接手營運。如果備援中心所在的區域同樣面臨供電不穩定的可靠度風險，那異地備援的機制將流於形式、無法發揮作用。因此，評估備援中心的供電可靠度絕對是必要的。

這題的正確答案是 (A) 僅允許使用企業地端部署或私有雲版本的LLM模型，並實施資料不落地政策。

本題考查的是企業在迎來生成式 AI（GenAI）與大語言模型（LLM）驅動軟體開發的浪潮下，如何制定符合商務現實且具備可行性的風險降低（Risk Mitigation）策略。題目設定了關鍵的限制條件：「在不完全禁止使用的前提下」且要「最能兼顧安全性」。

(A) 為什麼是最能兼顧安全性的平衡點？（正確答案）

• 阻斷資料外洩風險： 企業最擔心的就是員工將內部的核心業務邏輯、未公開的 proprietary 原始碼（Source Code）或敏感的 API 金鑰直接貼進公有雲 AI 服務（如免費版 ChatGPT），導致這些資料被用作公開模型的訓練材料。使用地端部署（On-premise）或私有雲（Private Cloud）版本的 LLM，可以確保所有的提示詞（Prompts）和代碼互動數據完全保留在企業的安全邊界之內。

• 落實資料不落地： 結合「資料不落地政策」（例如透過受控的 VDI 虛擬桌面環境存取 AI 開發助理，禁止複製代碼到本地個人裝置），能最大程度防止敏感源碼外流，同時又能釋放 AI 輔助開發的生產力效益。

其他選項錯誤原因

(B) 錯誤原因：背離風險管理的責任分配原則，流於形式
簽署 NDA 是法律管理手段，屬於事後追責，無法實質阻止技術層面的代碼外洩或惡意代碼注入。更重要的是，企業核心智財權（IP）外洩造成的商譽與財務損失巨大，宣稱「將風險完全轉移給員工個人承擔」在法律實務與風險管理上都是不切實際且不合規的。

(C) 錯誤原因：做法前後矛盾，將會完全癱瘓開發業務
「阻擋所有含程式碼特徵的封包」意味著開發人員完全無法進行正常的連外工作（例如無法推送代碼到雲端 GitHub、無法下載合規的 Nuget/npm 套件、無法查詢任何技術論壇）。這種做法在實務上與「完全禁止使用 AI」甚至「斷網」無異，完全無法達成題目要求的「兼顧」安全性與業務實務。

(D) 錯誤原因：不符合金融或企業級資安的「盡職調查（Due Diligence）」
公有雲 AI 的預設隱私條款（特別是免費或大眾版本）通常會明確聲明用戶輸入的資料可能被用於優化、訓練模型。盲目相信預設條款並直接將其視為「風險接受」，屬於高風險的資安怠忽職守，在面對合規稽核時絕對無法過關。

這題的正確答案是 (B) 和 (C)（這兩項的描述是有誤的）。

本題考查的是 OWASP Top 10 for LLM Applications（大語言模型應用安全前十大風險） 的核心觀念。我們要選出「描述有誤」的選項。

(B) 描述有誤（必選）：

• 正解觀念： 間接提示詞注入（Indirect Prompt Injection）的定義，正是攻擊者將惡意指令埋藏在外部資料來源（例如：網頁、電子郵件、上傳的 PDF 檔案、或是供應鏈中的第三方 API 與元件）中。當 LLM 應用程式去擷取、讀取這些外部資訊時，惡意指令就會被模型當成正常的上下文吸收並執行。因此，宣稱它「不包含供應鏈之外部來源」是完全錯誤的。

(C) 描述有誤（必選）：

• 正解觀念： 如果應用程式讓「所有使用者」共用相同的 API Token，這在資安架構上屬於嚴重的漏洞。這樣做不僅無法依據使用者身分限制權限，還會導致：
• 權限過大： 低權限使用者可能藉此存取到高權限的後端系統（違反最小權限原則）。
• 無法追溯審計： 當發生資安事件時，日誌上全都是同一個 Token 的操作紀錄，根本無法釐清到底是哪一個真實使用者幹的。
• 正確做法： 應實施「最小權限原則（Least Privilege）」，限制 LLM API 只能調用該使用者本身權限範圍內的 API Token。

其他選項為什麼正確？（不選）

(A) 描述正確：
提示詞注入（Prompt Injection）很難單靠純技術完美阻斷。因此，在防禦指引中，針對刪除資料、發送郵件、巨額匯款等「高風險操作」，強制加入「人工審核（Human-in-the-loop）」作為最後一道關卡，是降低其最終衝擊極度有效的緩和措施。

(D) 描述正確：
在 LLM 的系統架構中，必須嚴格落實「零信任（Zero Trust）」思維，將 LLM 的輸出視為「不受信任的實體（Untrusted Entity）」，對其生成的內容與執行的代碼進行嚴格的輸入驗證（Input Validation）。同時，定期透過黑箱滲透測試與紅隊演練來檢驗 LLM 系統的邊界防禦，是標準的進階安全實務。

這題的正確答案是 (A) 在 IT 與 OT 之間建立工業控制系統 DMZ（IDMZ），並終止直接連線。

本題考查的是工業控制系統（ICS）與營運技術（OT）資安國際標準 IEC 62443 以及經典的普渡模型（Purdue Model）中，關於網絡分區與隔離（Segmentation and Isolation）的核心設計原則。

(A) 為什麼最關鍵且有效？（正確答案）

• 阻斷直接跨區攻擊： 依據普渡模型，IT 網絡屬於 Level 4/5，而 OT 廠區網絡屬於 Level 0-3。在兩者進行介接以分析數據時，絕不能允許 IT 網段與 OT 網段直接進行通訊（Any-to-Any 連線）。

• IDMZ 的核心價值： 實務上必須在 Level 3.5 建立一個「工業非軍事區（IDMZ, Industrial DMZ）」。所有從 IT 到 OT 或從 OT 到 IT 的資料交換（例如機台數據上傳），都必須在 IDMZ 的代理伺服器（Proxy/Jump Host）或儲存庫（如歷史資料庫 Historian Replication）進行中繼與終止直接連線。如此一來，即使 IT 網段的人資電腦感染了具備橫向移動能力的勒索病毒，病毒也會在 IDMZ 的邊界被防火牆與隔離機制硬生生擋下，無法直接跨網段滲透、橫向擴散到 OT 產線。

其他選項為什麼不適切？

(B) 錯誤原因：不符合商務與技術現實
雖然實體氣隙（Air Gap）理論上安全，但題目情境明確指出該半導體設備商「為提升良率，將 OT 與 IT 網路進行介接，以便即時分析機台數據」。若採取完全斷開的實體氣隙，企業將無法實施數據即時分析的現代化智慧工廠轉型。

(C) 錯誤原因：大忌！嚴重放大攻擊面
允許 OT 設備直接暴露、連線至網際網路（Internet）是 OT 資安的大忌。這會讓原本封閉的工業控制系統直接面對來自全球黑客與自動化漏洞掃描器的攻擊，反而大幅增加了整座工廠被入侵的風險。

(D) 錯誤原因：忽略 OT 系統的異質性與穩定性要求
OT 廠區內的設備（如 PLC、HMI、舊版 Windows 嵌入式系統）通常非常注重即時性與高穩定度，且計算資源有限。直接安裝與 IT 相同版本的商用防毒軟體，極可能因為掃描耗費資源而導致產線機台當機、延遲、或因誤報而停機，這在工業自動化環境中通常是不可行的。

這題的正確答案是 (A) IT 優先考量機密性；OT 優先考量人員安全與可用性。

本題考查的是資訊安全（IT）與營運技術（OT）在安全三要素（CIA 三向度）上的本質差異，這是處理製造業關鍵基礎設施資安事件（Incident Response）時最重要的核心思維。

(A) 為什麼是最大的優先順序差異？（正確答案）

• 傳統 IT（企業資訊網）： 核心資產是「資料」（如客戶個資、財務報表、商業機密）。其防禦優先順序通常是 機密性（Confidentiality） \(\rightarrow\) 完整性（Integrity） \(\rightarrow\) 可用性（Availability）。當 IT 系統受駭時，資安團隊為了防止資料外洩，往往會採取切斷網路、關閉伺服器等手段，犧牲短期可用性來保全機密。

• 工業 OT（廠區控制網）： 核心資產是「實體機台、產線與製程」。其安全首要考量與 IT 完全顛倒，是以 人員生命安全（Safety） 與 系統可用性（Availability） 為第一優先（意即穩定且不停機地運作，防止化學氣體外洩、高溫爐失控、高壓設備爆炸等重大工安事故）。在事件應變時，絕不能貿然套用 IT 那套隨意斷網、重啟或關機的作法，否則非計畫性的停機帶來的損失與人身傷害將遠超資安事件本身。

其他選項錯誤原因

(B) 錯誤原因：兩者的優先級順序皆敘述錯誤
如上所述，IT 最優先通常是機密性，而 OT 最優先是人員安全與可用性，此選項將兩者的屬性混淆且顛倒。

(C) 錯誤原因：不符合 OT 營運本質
智慧財產權（IP）屬於資料與專利範疇，是 IT 或研發部門（R&D）的核心。對一線的 OT 產線而言，保護現場作業人員的生命安全、維持高昂的晶圓良率與不間斷供電，才是高於一切的第一優先。

(D) 錯誤原因：OT 環境的致命大忌
在 OT 應變中，「立即斷電」是極度危險的錯誤操作。許多精密製程設備（如半導體黃光區、蝕刻機、或重工業的熔煉爐）在無預警斷電時，不僅會造成數千萬至數億元的晶圓報廢與機台損壞，更可能引發嚴重的毒氣外洩或火災。此外，斷電也會抹除記憶體內的數位證據，於理於法都不適切。

這題的正確答案是 (B) 工控入侵防禦系統（OT IPS/Firewall）。

本題考查的是營運技術（OT）環境中非常核心的補丁管理替代方案——虛擬修補（Virtual Patching）技術。

(B) 為什麼是工控入侵防禦系統？（正確答案）

• 老舊設備的困境： 工廠內的老舊控制器（如 PLC）或 HMI 運作時間動輒十幾年，通常因原廠停止支援、更新可能引發當機，或是產線無法停機等因素，無法直接在設備本體上安裝傳統的修補程式（Patch）。
• 虛擬修補的原理： 虛擬修補並非真正修改設備內部的程式碼，而是在該設備的前端網路閘道上佈置一道防禦屏障。
• 實務應用： 透過部署具備深度封包檢查（DPI）能力的 工控入侵防禦系統（OT IPS）或工控防火牆，該設備能夠識別專屬的工業通訊協定（如 Modbus TCP、Profibus、EtherNet/IP），並在網路層直接攔截、過濾掉企圖利用該 PLC 漏洞的惡意攻擊封包。這等同於在網路上幫 PLC 穿了一件「虛擬防彈衣」，達到保護老舊控制器的效果。

其他選項為什麼錯誤？

(A) 端點防毒軟體（Antivirus）：
PLC 通常採用專屬的嵌入式作業系統（如 VxWorks、OS-9 等），並非一般的 Windows 或 Linux，因此完全無法安裝傳統的端點防毒軟體。

(C) 網頁應用程式防火牆（WAF）：
WAF 專門用來防禦網頁應用程式層（HTTP/HTTPS）的威脅（如 SQL 注入、XSS 等）。PLC 間的通訊通常是專屬的工業控制協定，而非網頁流量，因此 WAF 無法派上用場。

(D) 郵件安全閘道器（Email Gateway）：
郵件安全閘道器是用於過濾企業電子郵件（SMTP）中的垃圾郵件、釣魚連結或惡意附件，與 OT 場域內控制器的漏洞防護完全無關。

這題的正確答案是 (A)、(B)、(C)。

💡 深度解析
本題的核心在於：半導體製造商為了提升 OT 環境的可視性與異常偵測，同時「避免影響產線運作（高可用性）」所推薦的實務作法。

為什麼 (B) 是推薦的（正確選項）？（官方對「主動掃描」的現代觀念）

• 關鍵字在於「低頻率（Low Frequency）」：
雖然傳統觀念認為 OT 嚴禁主動掃描，但現代工業資安實務（與新型態的工控掃描工具）已經允許在「特定受控條件下」進行資安健診。

• 低風險的主動探測：
選項強調了「主動式低頻率漏洞掃描」。在可控制的頻率下，利用專門針對工控協定（如 Modbus, S7）設計的輕量化、低負載探測指令，去盤點 PLC 的韌體版本與漏洞，是被現代 OT 資安標準接受的（用以彌補被動監聽看不到非活動設備的盲點）。因此官方將其列為推薦作法。

為什麼 (A) 和 (C) 毫無疑問是推薦的？

(A) SPAN (Port Mirroring)：利用交換器晶片將產線流量複製一份送到偵測設備，原本的生產封包傳輸路徑與速度完全不受影響，是標準的被動安全監控。

(C) Network TAP：屬於物理層的硬體分流。直接串接在線路上被動擷取訊號，不會消耗交換器的 CPU 算力，且在物理上具有單向隔離特性，絕對不會對產線造成干擾。

❌ 為什麼 (D) 成為了「最不推薦」的錯誤選項？

在一般 IT 環境中裝 Agent 很正常，但在 OT/SCADA 實務與考題邏輯中，(D) 往往是最大的地雷：

破壞工控主機的穩定性（高風險）：
SCADA 主機通常是工廠內極為核心的控制電腦，多數運行著非常老舊、甚至不能輕易變更設定的作業系統（例如為了相容舊機台而無法更新的 Windows 系統）。在這種主機上「安裝任何第三方代理程式（Agent）」，都存在著引發藍屏死機（BSOD）、系統衝突或耗盡 CPU 資源的極高風險。

認證與保固終止問題：
半導體產線的核心控制主機通常是由設備原廠（如 ASML、應用材料等）整體打包交付。原廠嚴禁用戶在控制主機上自行安裝任何軟體，一旦擅自安裝 Agent 收集日誌，不僅可能導致系統效能微幅下降而影響精密製程，更會直接喪失原廠的合規認證與保固。

維護成本過高：
比起從網路層（A、B、C）統一收集流量，逐台去 SCADA 部署與更新 Agent 既不經濟又增加系統的受攻擊面（Attack Surface）。

📝 應考重點歸納

面對這類「半導體/OT 產線資安部署」的複選題，官方的考核核心可總結為：

「優先推薦從『網路層』著手（不論是被動的 SPAN、TAP，或是低頻率控制的主動掃描），因為這對機台本身的作業系統零干擾。相反地，直接在『端點主機/SCADA 層』安裝軟體（Agent），在極度要求精密與穩定的工廠環境中，反而被視為高風險、不推薦的作法。」