關聯筆記:Google Cybersecurity Certificate > C1 課程總覽
C1W3 — 防禦威脅、風險與漏洞
Module 3: Protect against threats, risks, and vulnerabilities
目錄
- 一、框架與控制
-
- 安全框架是什麼?
-
- 框架的四大核心組件
-
- 安全控制
-
- CIA 三元素與資產
-
- 二、合規標準
-
- 主要合規框架與標準一覽
-
- PII 違規的後果
-
- 三、敏感資料保護
-
- PII vs SPII
-
- 隱私保護的義務
-
- 四、資安倫理
-
- 倫理三大原則
-
- 反制攻擊的法律邊界
-
一、框架與控制
1. 安全框架是什麼?
把安全框架想成「種花的計畫書」:你研究土壤、規劃澆水頻率、準備防蟲措施——框架就是讓你不遺漏任何環節的結構化計畫。
- Security Framework(安全框架):用來建立計畫以緩解資料與隱私風險的指導方針,提供結構化方法來實施安全生命週期
- Security Lifecycle(安全生命週期):持續演進的政策與標準集合,定義組織如何管理風險、遵循指導方針、符合法規
框架的主要目的:
- 保護個人可識別資訊(PII)
- 確保金融資訊安全
- 識別安全弱點
- 管理組織風險
- 對齊業務目標
2. 框架的四大核心組件
核心邏輯
四個組件是有順序的循環:識別目標 → 設定指南 → 實施流程 → 監控回報,然後再循環。
| # | 組件 | 白話說明 | GDPR 實例 |
|---|---|---|---|
| 1 | 識別並記錄安全目標 | 搞清楚要達到什麼 | 識別哪些地方不符合 GDPR |
| 2 | 設定達成目標的指導方針 | 制定政策 | 制定如何處理使用者資料請求的新政策 |
| 3 | 實施強健的安全流程 | 把政策變成實際操作 | 設計確保使用者能更新/刪除個人資料的程序 |
| 4 | 監控並溝通結果 | 追蹤成效、向上回報 | 回報潛在 GDPR 違規給合規官 |
3. 安全控制
- Security Controls(安全控制):設計來降低特定安全風險的保護措施
- 控制搭配框架使用:框架說「要做什麼」,控制是「怎麼做」
- 控制確保安全目標被正確實施,組織符合法規要求
實例流程:
- 公司規定所有員工必須完成隱私培訓(目標:降低資料外洩風險)
- 分析師用軟體自動指派並追蹤誰完成了培訓
- 這個追蹤軟體 = 安全控制
4. CIA 三元素與資產
- Asset(資產):組織認為有價值的任何東西
- 資產敏感度越高,所需保護強度越高(存有社安號的資料庫 > 一般文件)
CIA 三元素 — 建立適當控制的三大基礎原則:
| 元素 | 核心問題 | 實例 |
|---|---|---|
| Confidentiality(機密性) | 只有授權的人能看到資料嗎? | 安全金鑰作為第二層驗證 |
| Integrity(完整性) | 資料是否完整且未被篡改? | 確保資料正確、真實、可靠 |
| Availability(可用性) | 授權使用者在需要時能存取嗎? | 確保系統 uptime,防止 DoS |
內部威脅(Insider Threat)
不滿的員工擁有合法的存取權限,可以繞過外部防線——多元化的安全團隊有助於識別這類攻擊模式。
- NIST CSF:美國 NIST 制定的自願性框架(非法律),提供標準、指導方針和最佳實踐來管理網路安全風險
二、合規標準
Compliance(合規):遵循內部標準與外部法規的過程。合規程度越高,風險越低。
1. 主要合規框架與標準一覽
| 框架 / 標準 | 全名 | 適用範圍 | 核心要求 |
|---|---|---|---|
| NIST CSF | Cybersecurity Framework | 各類組織(自願性) | 識別、保護、偵測、回應、復原 |
| NIST RMF | Risk Management Framework | 各類組織(自願性) | 系統化風險管理流程 |
| FERC-NERC | 聯邦能源監管委員會-北美電力 | 電力/電網相關組織 | 遵守 CIP 可靠性標準,準備/緩解/回報電網事件 |
| FedRAMP | 聯邦風險與授權管理計畫 | 美國聯邦政府雲端服務 | 標準化雲端安全評估、授權、監控 |
| CIS | 網路安全中心 | 各類組織(非營利) | 保護系統/網路的控制集 + 事件發生時的可操作控制 |
| GDPR | 一般資料保護規範 | 處理歐盟居民資料的任何組織 | 透明處理資料;72 小時內通知受影響的歐盟公民 |
| PCI DSS | 支付卡行業資料安全標準 | 處理信用卡資訊的組織 | 建立安全環境,減少信用卡詐欺 |
| HIPAA | 健康保險可攜性與責任法案 | 美國醫療相關組織 | 三大規則:隱私、安全、違規通知;保護 PHI |
| ISO | 國際標準化組織 | 全球各類組織 | 建立跨國標準,改善技術/製造/管理流程 |
| SOC 1 & 2 | 系統與組織控制報告 | 需接受審計的組織 | SOC1 = 財務合規;SOC2 = CIA + 隱私/機密性/資料安全 |
HIPAA 補充:
- 三大規則:Privacy(隱私)/ Security(安全)/ Breach Notification(違規通知)
- PHI 外洩後果:身份竊盜 + 保險詐欺
- 搭配框架:HITRUST(協助機構達到 HIPAA 合規)
SOC 補充:
- 審計層級涵蓋:Associate → Supervisor → Manager → Executive → Vendor
- 控制失敗可能導致詐欺(fraud)
- 兩者皆由 AICPA(美國注冊會計師協會)制定
2. PII 違規的後果
Google 安全工程副總裁 Heather 的觀點——三大後果,按嚴重程度遞進:
- 政府監管機構介入:深入調查公司的資料處理實務
- 客戶直接追問:主動詢問資料如何被使用,尤其是敏感資料
- 法律行動:受害者起訴公司,控告企業資料處置不當
如何保持合規知識更新:
- 查詢各司法管轄區的官方政府網站(多數已公開法規與合規要求)
- 各國/州/縣的規範層級不同,不要假設一個地區的規則適用於另一個地區
- 具體法律問題須諮詢當地法律顧問
三、敏感資料保護
1. PII vs SPII
| 類型 | 定義 | 範例 |
|---|---|---|
| PII(個人可識別資訊) | 任何可推斷個人身份的資訊 | 姓名、電話號碼、電子郵件 |
| SPII(敏感個人可識別資訊) | 受更嚴格處理要求的 PII | 社會安全號碼、信用卡號 |
SPII 一定是 PII,但 PII 不一定是 SPII。
2. 隱私保護的義務
- Privacy Protection(隱私保護):保護個人資訊不被未授權使用的行為
資安專業人員對 PII/SPII 的倫理義務:
- 保護個人私密資訊
- 識別安全漏洞
- 管理組織風險
- 將安全對齊業務目標
四、資安倫理
Security Ethics(資安倫理):引導資安專業人員做出適當決策的準則。保持不偏不倚、維護私人資料的安全性與機密性。
1. 倫理三大原則
原則一:機密性(Confidentiality)
- 對隱私保持高度尊重,保護特權資訊
- 即使是管理層要求,也不能在未走正式程序的情況下分享員工個人資訊
原則二:隱私保護(Privacy Protection)
- 保護 PII 和 SPII 免於未授權使用
- 詳見 三、敏感資料保護
原則三:法律遵循(Legal Compliance)
- 誠實、負責任地工作,遵守最高法律標準
- 透明、公正、以證據為基礎,不靠猜測或偏見做決定
- 持續投入工作,適當且合乎倫理地處理問題
- 持續進修,跟上技術與法規演進
Holly(Google Cloud 安全架構師)的真實案例
9/11 事件後,高層主管要求她在無書面授權、無法院命令的情況下查詢電信公司所有人的簡訊資料庫。她拒絕,並要求書面授權,主管最終找了別人去做。
教訓:面對倫理困境時,想清楚決定的後果,堅守流程——即使是對高層也要能說「不」。
2. 反制攻擊的法律邊界
美國立場:對組織和個人都是非法的。
相關法律:
- CFAA 1986(Computer Fraud and Abuse Act)
- CISA 2015(Cybersecurity Information Sharing Act)
非法的三大原因:
- 視為「自行執法」(Vigilantism):非執法人員擅自停止犯罪 = 違法
- 可能升級攻擊:反制 → 引發更大規模報復
- 國際事件風險:若攻擊者是 Hacktivist(有政治目的的駭客),反制可能引發外交衝突
例外:只有聯邦政府授權員工和軍事人員可以反制。
ICJ(國際法庭)允許反制的四個條件(須同時滿足):
- 只影響首先攻擊的一方
- 是要求攻擊者停止的直接溝通
- 不升級情況
- 效果可逆
實務上組織通常不反制——四個條件極難同時確保,失控時後果難以控制。 參考:Tallinn Manual
五、術語速查表
| 英文 | 中文 | 白話解釋 |
|---|---|---|
| Security Framework | 安全框架 | 建立安全計畫的結構化指導方針 |
| Security Lifecycle | 安全生命週期 | 持續演進的政策與標準集合 |
| Security Controls | 安全控制 | 降低特定風險的保護措施 |
| Security Governance | 安全治理 | 協助支持、定義和指導組織安全工作的實踐 |
| Security Architecture | 安全架構 | 由工具與流程組成的安全設計,用於保護組織 |
| Security Ethics | 資安倫理 | 引導資安專業人員做出適當決策的準則 |
| Compliance | 合規 | 遵循內部標準與外部法規 |
| CIA Triad | CIA 三元素 | 機密性、完整性、可用性 |
| Asset | 資產 | 組織認為有價值的任何東西 |
| PII | 個人可識別資訊 | 能識別特定個人的任何資訊 |
| SPII | 敏感個人可識別資訊 | 受更嚴格處理要求的 PII(社安號、信用卡號) |
| PHI | 受保護健康資訊 | 個人健康狀況/醫療計畫/支付記錄 |
| Privacy Protection | 隱私保護 | 保護個人資訊不被未授權使用的行為 |
| Hacktivist | 駭客行動主義者 | 利用入侵達成政治目的的人 |
| GDPR | 一般資料保護規範 | 歐盟居民資料保護法 |
| HIPAA | 健康保險可攜性與責任法案 | 美國保護病患健康資訊的聯邦法 |
| HITRUST | 健康資訊信任聯盟 | 幫助機構達到 HIPAA 合規的安全框架 |
| PCI DSS | 支付卡行業資料安全標準 | 信用卡資訊安全的國際標準 |
| FedRAMP | 聯邦風險授權管理計畫 | 美國聯邦政府雲端安全標準化計畫 |
| NIST CSF | NIST 網路安全框架 | 美國 NIST 制定的自願性框架 |
| SOC 1 / SOC 2 | 系統與組織控制報告 | 財務合規及資料安全審計報告 |
| FERC-NERC | 聯邦能源監管委員會-北美電力 | 電網相關組織的安全合規規範 |
筆記建立日期:2026-03-26 | 最後更新:2026-03-26