iPAS 資訊安全工程師 考試重點

IS131 存取控制與身份認證
主題分類
1
存取控制基本原則 (IAAA, PoLP, SoD)
2
身份認證要素與技術
3
多因子認證與單一登入
4
生物辨識技術與評估
5
存取控制模型 (DAC, MAC, RBAC 等)
6
帳號與密碼管理
7
特權存取管理 (PAM)
8
遠端認證協定 (RADIUS, TACACS+)
#1
★★★★★
存取控制 (Access Control) 與 IAAA 模型
核心概念
存取控制是資訊安全的核心機制,旨在確保只有經過授權的使用者才能存取特定的資源。它通常涉及以下四個要素,合稱 IAAA 模型:
  • 身份識別 (Identification):使用者聲明自己是誰(例如:輸入帳號)。
  • 身份認證 / 鑑別 (Authentication)驗證使用者聲明的身份是否屬實(例如:輸入密碼、指紋辨識)。
  • 授權 (Authorization):根據已驗證的身份,決定使用者可以執行哪些操作或存取哪些資源(例如:讀取權限、寫入權限)。
  • 紀錄 / 可歸責性 (Accounting / Accountability)追蹤使用者的活動,以便進行稽核和究責(例如:登入紀錄、操作紀錄)。可歸責性確保使用者的行為可以被追溯到個人。
AAA 通常指 Authentication, Authorization, and Accounting,是網路存取控制的常見框架。可用性 (Availability) 是資安三要素之一,但不屬於 AAA 機制的核心組成。 (資料來源:108初級-管理概論 Q29, 109初級-管理概論 Q31, 109初級-管理概論 Q33, 111初級-管理概論 Q28, 112初級-管理概論 Q29, 113管理 Q35)
#2
★★★★★
存取控制基本原則
核心原則
實施存取控制時應遵循以下重要原則:
  • 最小權限原則 (Principle of Least Privilege, PoLP):使用者或程式僅應被授予完成其任務所必需的最低權限。這是最基本的存取控制要求。
  • 僅知原則 (Need-to-Know Principle):使用者只能存取執行其職責所必需的資訊,即使他們擁有存取其他資訊的技術權限。
  • 職務區隔 (Segregation of Duties / Separation of Duties, SoD):將關鍵任務或權限分配給不同的人,以防止單一個人濫用權力或進行舞弊。例如,業務承辦人員不能同時擔任稽核人員。
(資料來源:109初級-管理概論 Q27, 109初級-管理概論 Q30, 109初級-管理概論 Q34, 110初級-管理概論 Q34, 113管理 Q31)
#3
★★★★★
身份認證三要素
三種驗證方式
驗證使用者身份主要依賴以下三種類型的證據(要素):
  • 所知之事 (Something you know):使用者知道的秘密資訊,例如密碼、PIN碼、安全問題答案
  • 所持之物 (Something you have):使用者擁有的實體物品,例如智慧卡、金融卡、硬體權杖 (Token)、手機 (接收OTP)、自然人憑證 IC
  • 所具之形 (Something you are):使用者獨特的生物特徵,例如指紋、臉部、虹膜、聲音模式、簽名
個人識別證 (ID Card) 屬於「所持之物」。「所努力之事」「所謂何事」不是身份驗證的要素。 (資料來源:109初級-管理概論 Q29, 109初級-管理概論 Q26, 112初級-管理概論 Q32)
#4
★★★★
生物辨識 (Biometrics) 評估指標
評估要素
評估生物辨識系統效能時,常用以下指標:
  • 錯誤接受率 (FAR, False Acceptance Rate / Type II error)錯誤地接受非法使用者(認錯人)的機率。
  • 錯誤拒絕率 (FRR, False Rejection Rate / Type I error)錯誤地拒絕合法使用者(認不得)的機率。
  • 交叉錯誤率 (CER, Crossover Error Rate):當 FARFRR 相等時的錯誤率,CER 越低表示系統辨識效能越好
正確拒絕率 (TRR, True Rejection Rate) 不是常用來比較設備優劣性的主要指標。
為了提高安全性(降低誤放非法使用者的風險),通常會提高 FRR(寧可錯殺一百,不可放過一人),但這會降低使用便利性。反之,降低 FRR 則可能提高 FAR。 (資料來源:109初級-管理概論 Q30, 110初級-管理概論 Q30, 108初級-管理概論 Q23)
靜態與動態特徵
生物辨識可分為:
  • 靜態特徵:生理上固有的特徵,如指紋、掌紋、臉部、虹膜、視網膜
  • 動態特徵:行為模式相關的特徵,如聲音模式、簽名、打字節奏
(資料來源:110初級-管理概論 Q31, 111初級-管理概論 Q11)
#5
★★★★
多因子認證 (MFA) 與雙因素認證 (2FA)
核心概念
多因子認證 (MFA, Multi-Factor Authentication) 是指使用兩種或以上不同類型的認證要素來驗證使用者身份。 雙因素認證 (2FA, Two-Factor Authentication) 是 MFA 的一種,特指使用剛好兩種不同類型的認證要素。
例如:
  • 密碼 (所知) + 手機驗證碼 (所持) = 2FA
  • 自然人憑證 IC 卡 (所持) + 指紋 (所具) = 2FA
  • RFID 感應卡 (所持) + 自然人憑證 IC 卡 (所持) = 單一因素認證 (因為兩者皆為所持之物)
(資料來源:111初級-管理概論 Q31, 112初級-管理概論 Q38)
#6
★★★
單一登入 (SSO, Single Sign-On)
核心概念
單一登入 (SSO) 允許使用者使用一組憑證登入多個相關但獨立的軟體系統。其特點包括:
  • 集中權限控管
  • 降低使用者需要記憶多組帳號密碼的困擾
  • 減少重複輸入密碼的程序
  • 提升使用者體驗
簡訊認證 (SMS Authentication) 是一種身份驗證方式,並非 SSO 的固有特點。 (資料來源:110初級-管理概論 Q33)
#7
★★★★
存取控制模型比較
模型種類與特性
常見的存取控制模型包括:
  • 任意存取控制 (DAC, Discretionary Access Control):資源擁有者可以自行決定誰可以存取其資源及存取權限。彈性高,但管理較分散。例如:檔案系統權限。
  • 強制存取控制 (MAC, Mandatory Access Control):由系統根據預先定義的安全政策(如安全標籤)強制執行存取權限,使用者或擁有者無法自行更改。安全性高,但缺乏彈性。例如:SELinux
  • 角色為基礎存取控制 (RBAC, Role-Based Access Control):根據使用者的角色分配權限,相同角色的使用者擁有相同權限。易於管理,特別適用於大型組織。
  • 規則為基礎存取控制 (RuBAC / RBAC, Rule-Based Access Control):依據一組規則來決定是否授予存取權限,常用於防火牆。
  • 屬性為基礎存取控制 (ABAC, Attribute-Based Access Control):根據使用者屬性、資源屬性、環境條件等多種屬性動態決定存取權限。最靈活但也最複雜。
銀行櫃檯出納員的存取控制最適合用 角色為基礎存取控制 (RBAC)。系統管理者統一指定使用者對資源的權限存取策略屬於 強制存取控制 (MAC)。 (資料來源:108初級-管理概論 Q21, 108初級-管理概論 Q31, 109初級-管理概論 Q32, 110初級-管理概論 Q26, 110初級-管理概論 Q34, 112初級-管理概論 Q27, 113管理 Q26)
#8
★★★
帳號與密碼管理
管理實務
  • 密碼原則:應強制要求密碼複雜度(包含數字、大小寫字母、特殊符號)與長度,並定期更換密碼,避免使用與帳號相關或容易猜測的密碼。
  • 帳號生命週期:應建立帳號申請、審核、開通、停用、刪除的流程。
  • 權限審查:應定期審查使用者帳號及其權限,移除不再需要的帳號或權限。
  • 預設帳號:應避免使用系統預設帳號,或至少更改預設密碼。
  • 密碼儲存:系統不應以明文儲存密碼,應使用加鹽雜湊 (Salted Hashing) 等方式保護。
(資料來源:109初級-管理概論 Q27, 109初級-技術概論 Q17, 108初級-管理概論 Q20, 108初級-管理概論 Q28, 109初級-管理概論 Q20, 113管理 Q29)
#9
★★★★
特權帳號管理 (PAM)
管理重點
特權帳號(如系統管理員 Administrator, root)擁有較高權限,其管理需特別謹慎:
  • 限制使用:避免日常操作使用特權帳號,應使用一般帳號,僅在必要時提升權限。
  • 定期審查:定期檢視特權帳號的執行紀錄人員及其權限
  • 密碼管理:特權帳號密碼應更複雜、更換頻率更高,不應使用系統預設帳號或密碼
  • 避免共用:避免多人共用同一特權帳號,以利追究責任。
  • 稽核紀錄:詳細記錄特權帳號的操作活動。
  • 人員離職:當特權帳號使用者離職時,應立即停用或刪除其帳號,並審查相關系統帳號。
使用 Runas/sudo 命令或 UAC (User Account Control) 機制有助於落實最小權限原則。 (資料來源:109初級-管理概論 Q28, 109初級-管理概論 Q36, 108初級-管理概論 Q21, 108初級-管理概論 Q24, 113管理 Q27)
#10
★★★
遠端認證協定 - RADIUS vs TACACS+
協定比較
RADIUS (Remote Authentication Dial-In User Service) 和 TACACS+ (Terminal Access Controller Access-Control System Plus) 是常用的集中式遠端使用者認證協定 (AAA 協定)。
  • RADIUS
    • 結合了身份認證授權步驟。
    • 主要使用 UDP 協定。
    • 僅加密密碼欄位。
  • TACACS+
    • 身份認證授權紀錄 (AAA) 分開處理。
    • 主要使用 TCP 協定,更可靠。
    • 加密整個封包內容 (除了標頭),安全性較高。
    • 提供更精細的指令級授權
RADIUS 屬於 AAA 三種服務的網路傳輸協議。 (資料來源:110初級-管理概論 Q32)
沒有找到符合條件的重點。