27. 在實施零信任架構(ZTA)時,傳統的靜態授權(如 Role-based Access Control, RBAC) 已不足以應對動態威脅。現代存取控制策略轉向「基於屬性的存取控制(Attribute- based access control, ABAC)」。下列何者最能體現 ABAC 的決策邏輯?
(A) 使用者可以自行決定將檔案分享給誰
(B) 只有在上班時間、使用公司配發電腦且來自台灣 IP 的請求,才允許存取
(C) 因為你是經理,所以你可以存取人資系統
(D) 系統依據機密標籤強制比對,禁止低權限讀取高機密

答案:登入後查看
統計: A(0), B(8), C(2), D(14), E(0) #3923651

詳解 (共 2 筆)

#7403533
第 27 題 正確答案: B 解析: ...
(共 187 字,隱藏中)
前往觀看
2
0
#7421864

這題的正確解答是 (B) 只有在上班時間、使用公司配發電腦且來自台灣 IP 的請求,才允許存取

這題考的是現代資訊安全與零信任架構(Zero Trust Architecture, ZTA)中非常核心的存取控制模型概念。ABAC 的精髓在於「動態綜合評估」,而非單純看使用者的職稱或身分。

以下為您詳細說明各個選項的觀念與原因分析:

正確答案分析

  • 解題關鍵:(B) 完美展現了 ABAC 的多維度、動態屬性比對。

    • 核心原因:ABAC(Attribute-Based Access Control)是透過組合多種不同維度的「屬性」來做出准駁決策。這些屬性通常包含四大類:

      1. 主體屬性(Subject):誰發起請求(如:部門、職級)。

      2. 客體屬性(Object/Resource):想存取什麼(如:檔案類型、敏感度)。

      3. 環境屬性(Environment):當下的狀況(如:上班時間、台灣 IP)。

      4. 設備屬性(Device):透過什麼工具(如:公司配發電腦、是否通過合規檢查)。

    • 選項 (B) 綜合了時間、設備狀態及地理位置(環境/設備屬性)來動態決定存取權,這正是零信任架構中「永不信任,始終驗證」且動態調適(Context-Aware)的 ABAC 典型實踐。

其他選項原因分析(它們分別屬於什麼存取控制?)

  • (A) 使用者可以自行決定將檔案分享給誰

    • 原因:這屬於 DAC(Discretionary Access Control,自主存取控制)。資料的擁有者(Owner)擁有絕對的自主權,可以隨意將權限分享給其他使用者(例如 Google Drive 的共享檔案設定)。這在企業高安全需求環境中通常不被單獨使用,因為容易失控。

  • (C) 因為你是經理,所以你可以存取人資系統

    • 原因:這屬於傳統的 RBAC(Role-Based Access Control,角色存取控制)。它是最常見的靜態授權,只根據使用者被賦予的「角色/職稱(經理)」來對應權限。它的缺點就如同題目所述,一旦經理的帳號在半夜被駭客從國外 IP 登入,系統依然會放行,無法防範動態威脅。

  • (D) 系統依據機密標籤強制比對,禁止低權限讀取高機密

    • 原因:這屬於 MAC(Mandatory Access Control,強制存取控制)。常見於軍方、政府或極高度機密系統。由系統管理員統一制定嚴格的安全標籤(如:機密、極機密),系統會強制比對使用者與資料的層級,使用者自己和 IT 管理員都不能隨意更改這個規則,非常嚴格,但也相對缺乏彈性。

? 觀念總結

  • RBAC(角色):你是什麼「職位」,就能做什麼事(靜態、粗粒度)。

  • ABAC(屬性):除了看你是誰,還要看你在什麼時間、用什麼設備、在哪個 IP、存取什麼資料(動態、細粒度,零信任的核心)。

1
0

私人筆記 (共 1 筆)

私人筆記#8246463
未解鎖
解析與 ABAC 決策邏輯說明 「基於...
(共 546 字,隱藏中)
前往觀看
0
0