關聯筆記:Google Cybersecurity Certificate > C2 課程總覽
C2W2 — 安全框架與控制(Security frameworks and controls)
Module 2: Security frameworks and controls
目錄
- 一、安全框架跟控制是什麼關係
- 安全框架是什麼?
- 安全控制有哪三種?
- 常見框架速覽
- 二、CIA 三元素怎麼保護組織
- 三個元素各是什麼?
- 實際工作怎麼套用?
- 三、NIST 框架要怎麼用
- NIST CSF 六大核心功能
- NIST SP 800-53 是什麼?
- 四、OWASP 十大安全設計原則
- 影片涵蓋的六項
- 閱讀補充的四項
- 五、安全稽核怎麼從頭做到尾
- 稽核是什麼?為什麼要做?
- 稽核的五大步驟
- 控制分類速覽
- 六、術語速查表
一、安全框架跟控制是什麼關係
1. 安全框架是什麼?
- 安全框架(Security framework):用來建立計畫以降低資料與隱私風險的指導方針
- 幫助組織遵循合規法規(如 HIPAA、GDPR)
- 框架不只處理數位安全,也涵蓋實體安全(如建築門禁)
- 核心用途:防範、偵測、回應資料外洩事件,並透過員工訓練提升意識
核心邏輯
人是資安最大的威脅。框架最重要的功能之一,就是指導組織如何教育員工辨識威脅信號並即時回報。
2. 安全控制有哪三種?
安全控制(Security controls):用來降低特定安全風險的防護措施,搭配框架使用,框架說「要做什麼」,控制是「怎麼做」。
| 類別 | 說明 | 例子 |
|---|---|---|
| 實體控制(Physical) | 保護實體存取 | 門鎖、圍欄、CCTV、門禁卡 |
| 技術控制(Technical) | 用技術手段防護 | 防火牆、MFA、防毒軟體、加密 |
| 行政控制(Administrative) | 透過政策與程序管理 | 職務分離、授權、資產分類 |
三個重要的技術控制細看
- 加密(Encryption):把可讀資料轉換為無法讀取的密文(Ciphertext),保護機密性
- 驗證(Authentication):確認「你是誰」,從基本帳密到 MFA(多因子驗證)
- 生物特徵(Biometrics):指紋、眼紋、掌紋等獨特生理特徵
- Vishing(語音釣魚):利用電子語音通訊冒充他人竊取身分,是針對生物特徵的社交工程攻擊
- 授權(Authorization):確認「你能存取什麼」,依角色限制資源存取
3. 常見框架速覽
| 框架 | 全名 | 重點 |
|---|---|---|
| NIST CSF | NIST Cybersecurity Framework | 六大核心功能(見第三節) |
| NIST SP 800-53 | Special Publication 800-53 | 專門保護美國聯邦政府資訊系統 |
| CTF | Cyber Threat Framework | 美國政府制定,提供描述網路威脅活動的共同語言 |
| ISO/IEC 27001 | 國際資訊安全管理標準 | 國際通用,管理各類型組織的資訊資產安全 |
ISO/IEC 27001 補充
ISO 27000 系列框架不要求使用特定控制,而是提供一組控制供組織自行挑選,以改善安全態勢。
二、CIA 三元素怎麼保護組織
1. 三個元素各是什麼?
| 元素 | 中文 | 核心問題 | 白話說 |
|---|---|---|---|
| Confidentiality | 機密性 | 只有授權使用者能存取資料嗎? | 「誰能看」 |
| Integrity | 完整性 | 資料是正確、真實、可信的嗎? | 「資料有沒有被動過」 |
| Availability | 可用性 | 授權使用者需要時可以存取到資料嗎? | 「需要的人能不能用得到」 |
最好記的用途
CIA 三元素是設計任何系統或安全政策時的核心檢查清單,也是「安全態勢(security posture)」的基礎。
2. 實際工作怎麼套用?
以銀行為例,三個元素同時運作:
- 機密性:只有帳戶本人才能看到財務資訊(最小權限原則)
- 完整性:偵測異常消費模式,確認交易記錄沒有被竄改(加密 + 密碼學驗證)
- 可用性:透過網路銀行讓授權用戶隨時存取帳戶,同時驗證身份防止冒用
易混點:機密性 vs 可用性
兩者並非對立。資料可以同時受保護(機密)又對授權人員保持可存取(可用),關鍵在「授權」這道門檻。
三、NIST 框架要怎麼用
1. NIST CSF 六大核心功能
NIST CSF 2.0 新增了第六個功能 Govern(治理),完整六項:
| # | 功能 | 中文 | 核心任務 | 初階分析師的具體工作 |
|---|---|---|---|---|
| 1 | Govern | 治理 | 確保組織建立、監督並改善網路安全策略與風險管理流程 | 了解政策架構與合規要求 |
| 2 | Identify | 識別 | 管理網路安全風險及其對人員與資產的影響 | 監控內部系統與裝置,找出潛在安全問題 |
| 3 | Protect | 保護 | 透過政策、程序、訓練與工具降低威脅 | 研究歷史資料、改善政策與程序 |
| 4 | Detect | 偵測 | 識別潛在安全事件,提升偵測速度與效率 | 設定安全工具的警示等級(低/中/高風險) |
| 5 | Respond | 回應 | 確保使用正確程序遏制、中和、分析安全事件 | 收集整理資料、記錄事件、建議改善 |
| 6 | Recover | 復原 | 讓受影響的系統恢復正常運作 | 協助恢復系統、資料和資產(如財務或法律文件) |
核心邏輯
六個功能是一個循環,不只是事後應變,也包含事前準備。安全事件一定會發生,關鍵是能否快速復原並最小化損害。
2. NIST SP 800-53 是什麼?
- 專為美國聯邦政府資訊系統設計的統一框架
- 維護聯邦系統的 CIA 三元素
- 如果有意往政府資安職位發展,這個框架特別重要
NIST CSF vs SP 800-53
CSF 是自願性、適用各行各業的通用框架;SP 800-53 是專門針對聯邦政府機構的控制標準,要求更為嚴格。
四、OWASP 十大安全設計原則
1. 影片涵蓋的六項
| # | 原則 | 白話說 | 例子 |
|---|---|---|---|
| 1 | 最小化攻擊面積(Minimize attack surface area) | 盡量縮小可被攻擊的入口 | 停用不需要的功能、限制資產存取 |
| 2 | 最小權限原則(Principle of least privilege) | 只給完成任務所需的最低存取權 | 初階分析師能看日誌但不能改使用者權限 |
| 3 | 縱深防禦(Defense in depth) | 用多層不同控制來應對不同威脅 | MFA + 防火牆 + IDS + 權限設定 |
| 4 | 職務分離(Separation of duties) | 重要操作分給不同人,沒人能單獨濫用 | 薪資支票的簽核與製作要分開 |
| 5 | 保持簡單(Keep security simple) | 複雜的安全設計難以維護,反而產生風險 | 避免過度複雜的控制機制 |
| 6 | 正確修復問題(Fix security issues correctly) | 找到根本原因、修復、驗證修復成功 | 弱密碼問題 → 實施更嚴格的密碼政策並測試 |
2. 閱讀補充的四項
| # | 原則 | 白話說 |
|---|---|---|
| 7 | 建立安全預設(Establish secure defaults) | 應用程式的預設狀態就是最安全的,要讓它不安全才需要額外操作 |
| 8 | 安全失效(Fail securely) | 控制措施失效時,應預設切換到最安全的狀態(如防火牆失效 → 關閉所有連線) |
| 9 | 不信任外部服務(Don’t trust services) | 第三方夥伴的安全標準可能不同,不能無條件信任 |
| 10 | 避免依賴隱晦(Avoid security by obscurity) | 系統安全不能靠「隱藏實作細節」來維持,要靠紮實的技術控制 |
易混點:Fail securely vs Keep security simple
Fail securely 說的是「失敗時預設最安全狀態」;Keep security simple 說的是「設計時不要過度複雜」。兩者都在避免因設計不當製造漏洞,但方向不同。
五、安全稽核怎麼從頭做到尾
1. 稽核是什麼?為什麼要做?
- 安全稽核(Security audit):對照一組預期標準,審查組織的安全控制、政策與程序
- 目的:找出不符合內外部標準的地方、降低風險、避免政府罰款
- 稽核團隊通常包含:合規官、安全經理及其他部門成員
稽核頻率怎麼決定?
取決於:產業類型、組織規模、適用的政府法規、所在地理位置、自選的合規框架。
2. 稽核的五大步驟
| 步驟 | 名稱 | 重點 |
|---|---|---|
| 1 | 確立範圍與目標(Scope & Goals) | 範圍 = 涵蓋哪些人員、資產、政策、系統;目標 = 想改善什麼安全態勢 |
| 2 | 進行風險評估(Risk assessment) | 評估預算、控制、流程、外部法規相關的組織風險 |
| 3 | 完成控制評估(Controls assessment) | 盤點現有資產,評估各類控制措施的現況與缺口 |
| 4 | 評估合規性(Compliance assessment) | 確認組織是否符合 GDPR、PCI DSS 等適用法規 |
| 5 | 向利害關係人溝通結果(Communicate results) | 輸出包含現有風險等級、改善建議、合規要求的詳細報告 |
初階分析師最常做哪一步?
資深人員通常設定範圍與目標,初階分析師常被要求審查這些元素,並分析風險評估細節以判斷需要哪些控制與合規要求。
3. 控制分類速覽
| 類別 | 目的 | 例子 |
|---|---|---|
| 行政 / 管理控制(Administrative) | 透過政策降低人為風險 | 密碼要求、職務分離、授權政策 |
| 技術控制(Technical) | 用技術系統防護 | IDS、加密、防火牆、MFA |
| 實體控制(Physical) | 保護實體存取 | 攝影機、門鎖、安全警衛 |
稽核的最終產出
一份詳盡報告,包含:現有風險與其緊急程度、需遵循的合規法規、具體安全改善建議。
六、術語速查表
| 英文 | 中文 | 白話解釋 |
|---|---|---|
| Security Framework | 安全框架 | 建立降低風險計畫的指導方針 |
| Security Controls | 安全控制 | 降低特定安全風險的防護措施 |
| Security Posture | 安全態勢 | 組織管理關鍵資產防禦與因應變化的能力 |
| CIA Triad | CIA 三元素 | 機密性、完整性、可用性,資安設計的核心模型 |
| Confidentiality | 機密性 | 只有授權使用者能存取特定資產或資料 |
| Integrity | 完整性 | 資料是正確、真實、可信的 |
| Availability | 可用性 | 授權使用者可以存取到所需資料 |
| Encryption | 加密 | 將資料從可讀格式轉換為編碼格式 |
| Authentication | 驗證 | 確認「你是誰」的流程 |
| Authorization | 授權 | 確認「你能存取什麼」的概念 |
| Biometrics | 生物特徵 | 可用來驗證身份的獨特生理特徵 |
| Attack Vectors | 攻擊向量 | 攻擊者用來突破安全防禦的路徑 |
| NIST CSF | NIST 網路安全框架 | 自願性框架,含標準、指南、最佳實踐以管理網路安全風險 |
| NIST SP 800-53 | NIST 特別出版物 800-53 | 保護美國聯邦政府資訊系統的統一框架 |
| OWASP | 開放式 Web 應用程式安全專案 | 非營利組織,專注於改善軟體安全 |
| CTF | 網路威脅框架 | 美國政府制定,提供描述網路威脅的共同語言 |
| ISO/IEC 27001 | 國際資訊安全管理標準 | 國際通用,管理各類組織的資訊資產安全 |
| Security Audit | 安全稽核 | 對照預期標準審查組織安全控制、政策與程序 |
| Risk | 風險 | 任何可能影響資產機密性、完整性、可用性的事物 |
| Threat | 威脅 | 任何可能對資產產生負面影響的情況或事件 |
| Asset | 資產 | 組織認為有價值的項目 |
筆記建立日期:2026-03-27 | 最後更新:2026-03-31