資訊安全重點整理

風險管理與評估

Exposure Factor（暴露因子）

計算損失百分比（資產受損比例），用於 SLE = AV × EF

Risk tolerance：組織能接受多少風險，屬於策略性概念
Vulnerability classification：漏洞嚴重度評估，不是損失計算
Environmental variables：環境因素影響修補優先級，不是損失數值

Risk Appetite（風險偏好）

衡量組織願意接受的風險程度

保守（conservative）：傾向避免風險
積極（expansionary / aggressive）：願意承擔更多風險以追求機會

Risk Register（風險登錄）

用於識別並記錄專案計畫中每個步驟相關的風險，包含風險名稱、影響程度、可能性、責任人等

SIEM 與警報管理

Alert Tuning（警報調校）

調整 SIEM 或 IDS/IPS 的警報規則，以減少誤報（false positives）與漏報（false negatives）

持續調整警報規則，排除誤報
Application benchmarking：做效能與行為基準，用於異常偵測
SIEM aggregation：集中日誌收集與報表
Data archiving：封存資料供審計或合規

加密與資料保護

Tokenization（代碼化）

將敏感資料替換成非敏感的佔位符，常用於 NFC 支付系統

由支付平台產生一次性代碼，代替真實信用卡號
符合 PCI DSS 安全規範
適合行動支付、線上支付等場景

Hashing（雜湊）

將資料轉換成固定長度的指紋值，用於驗證完整性或密碼儲存

Steganography（隱寫術）

把資訊藏在其他媒體（例如圖片、音訊或影片）裡

Salting（加鹽）

在雜湊值中加入隨機資料，增強密碼安全性

Obfuscation：混淆程式或資料，使其難以閱讀
Key stretching：密鑰延伸，重複運算增加暴力攻擊防護
Digital signature：數位簽章，提供資料完整性

HSM（硬體安全模組）

高階加密硬體設備，安全儲存金鑰與憑證

集中管理私鑰
防止私鑰外洩
提供高安全等級的加密運算
常用於銀行、證券、政府單位

加密類型

Full disk encryption：全磁碟加密
TPM（Trusted Platform Module）：可信平台模組，用於單一設備
Record-level encryption：紀錄級加密，針對資料庫個別欄位
Journaling：日誌記錄，先寫入臨時日誌再寫入資料庫

網路安全

IPsec（網際協定安全）

在網路層運作，提供機密性、封包完整性與來源驗證

ESP（Encapsulating Security Payload）：提供加密與完整性
AH（Authentication Header）：提供完整性與來源驗證但不加密
IKE（Internet Key Exchange）：鍵協商
Transport mode：只保護封包 payload
Tunnel mode：封裝整個封包，適合站對站 VPN

NAC（網路存取控制）

裝置連接到網路時的身份驗證與授權程序

802.1X：基於端口的認證
RADIUS：遠端驗證撥入使用者服務
Host posture check：主機健康檢查
隔離網段：將不合規設備分流

SASE（安全存取服務邊緣）

次世代 VPN 技術，優化到雲端服務的安全通訊

適合行動裝置與遠端工作
提供統一的安全政策管理

防火牆與網路防護

Host-based firewall：主機型防火牆，防範即時通訊惡意連結
NGFW（Next-Generation Firewall）：下一代防火牆
Screened subnet：隔離公開服務的網路區段

憑證與身份驗證

OCSP Stapling（線上憑證狀態協定裝訂）

伺服器預先查詢憑證狀態，直接傳給客戶端

省流量、加快速度
避免公司內網流量外洩
提升可靠性

多因素驗證（MFA）

Something you know（你知道的）：密碼、PIN
Something you have（你擁有的）：智慧卡、手機、USB 金鑰
Something you are（你是誰）：指紋、虹膜、臉部辨識
Somewhere you are（你在哪）：GPS、IP 位址、Wi-Fi 位置

認證協定

802.1X：使用集中式身份驗證伺服器
EAP（Extensible Authentication Protocol）：可擴充認證協議
Federation：聯合認證，跨組織使用同一組憑證
SSO（Single Sign-On）：單一登入，一次驗證存取多服務

無線安全

WPA3：802.11 無線網路加密協定
PSK（Pre-Shared Key）：預共享金鑰，所有人使用相同密碼
802.1X：企業級無線認證，每人獨立帳密

威脅與攻擊

常見攻擊類型

On-path（MITM）：中間人攻擊，攔截並篡改通訊
DNS poisoning：DNS 中毒，修改 DNS 紀錄導向惡意網站
Phishing campaign：釣魚活動，測試使用者安全習慣
Smishing：簡訊釣魚，透過簡訊進行社交工程
Vishing：語音釣魚，透過電話詐騙
Social engineering：社交工程，透過欺騙獲取資訊

進階攻擊

Buffer overflow：緩衝區溢位，操控記憶體內容
SQL injection：SQL 注入，操控資料庫查詢
Race condition：競爭狀態，多程序執行順序錯誤
Resource consumption：資源消耗，耗盡系統資源
DDoS：分散式阻斷服務攻擊
Supply chain attack：供應鏈攻擊

惡意軟體

Keylogger：鍵盤側錄器，記錄鍵盤輸入
Rootkit：隱藏於系統核心的惡意軟體
Trojan：木馬程式，偽裝成合法軟體

其他威脅

RFID cloning：複製 RFID 晶片
Jailbreaking：越獄，替換行動裝置韌體
Deauthentication：斷線攻擊，將設備從無線網路移除
Impersonation：冒充攻擊
Typosquatting：網址錯置攻擊
Watering hole：水坑攻擊，感染受害者常訪問的網站

漏洞管理

漏洞評估工具

Vulnerability scanner：識別漏洞但不利用
Penetration testing：實際嘗試利用漏洞
SCAP（Security Content Automation Protocol）：安全內容自動化協定

偵察類型

Passive reconnaissance：被動偵察，從公開來源蒐集資訊（OSINT）
Active reconnaissance：主動偵察，對目標系統進行互動式資料蒐集
Partially known environment：部分已知環境，知道部分目標資訊
Known environment：完全已知環境，掌握完整資訊

系統強化

Server hardening：伺服器強化
修改預設配置
關閉不必要服務
限制權限
更新憑證與安全補丁
Network segmentation：網路分段

事件回應

事件回應流程

Preparation：準備
Detection：偵測
Containment：隔離（使用沙箱分析惡意軟體）
Eradication：根除（完全清除惡意軟體）
Recovery：復原（重建系統與服務）
Lessons learned：事後檢討

災難復原演練

Tabletop exercise：桌上演練，討論災難應對流程
BIA（Business Impact Analysis）：業務影響分析
COOP（Continuity of Operations）：營運持續性

存取控制

存取控制模型

DAC（Discretionary Access Control）：自主存取控制，資源擁有者決定
Zero Trust：零信任，永不信任、始終驗證
Policy Enforcement Point (PEP)：策略執行點

實體安全控制

Access control vestibule：出入口管制前室
Biometric scanner：生物辨識掃描器
Badge readers：門禁讀卡器
Security guard：保全人員
Fencing：圍欄
Bollards：防撞柱
Pressure sensors：壓力感測器
Infrared sensors：紅外線感測器

資料管理

資料角色

Data owner：資料擁有者，決定資料使用與保護
Data custodian：資料管理者，負責安全與存取控制
Data processor：資料處理者，執行資料操作
Data controller：資料管理者，決定資料處理方式
Data subject：資料主體，資料所屬的個人或實體

資料分類

Public：公開
Restricted：受限
Private：私人
Regulated：受規範

資料保護

Privacy compliance：隱私合規性（GDPR、CCPA）
Data retention：資料保存
Data exfiltration：資料外洩
Open permissions：開放權限

雲端安全

雲端責任

Responsibility matrix / RACI Matrix：責任矩陣
IaaS：客戶負責 OS、應用程式、資料
PaaS：客戶負責應用程式、資料
SaaS：客戶僅負責資料

混合雲考量

Network protection mismatches：網路防護不一致
認證選項差異
使用者權限設定不同

行動裝置管理

MDM（Mobile Device Management）

自動鎖定
位置追蹤
資料分割（Segmentation）
集中管理政策

設定強制

Configuration enforcement：配置強制
Posture assessment：姿態評估
Private VLAN：私有虛擬區域網路
Quarantine：隔離不合規設備

變更管理

變更控制流程

Change management：變更管理
Backout plan：回退計畫
Maintenance window：維護時段
Testing：測試階段

離職流程

Offboarding：離職流程
Account audit：帳號稽核
停用系統存取權
設備與資產回收

合規與政策

政策類型

Acceptable use policy：可接受使用政策
Password policy：密碼政策
Security policy：安全政策

密碼政策要素

Password expiration：密碼有效期限
Account lockout：帳號鎖定
Password complexity：密碼複雜度
Password reuse：密碼重複使用限制
Password managers：密碼管理器

合約與協議

MOA（Memorandum of Agreement）：協議備忘錄
SLA（Service Level Agreement）：服務層級協議
SOW（Statement of Work）：工作說明書
NDA（Non-Disclosure Agreement）：保密協議
Right-to-audit clause：審計權條款

合規自動化

Automation：定期自動檢查合規性
Attestation：確認與認可
External audit：外部稽核

可靠性指標

系統可靠性

MTBF（Mean Time Between Failures）：平均故障間隔時間
MTTR（Mean Time To Repair）：平均修復時間
RTO（Recovery Time Objective）：復原時間目標
RPO（Recovery Point Objective）：復原點目標

電子郵件安全

郵件驗證

SPF（Sender Policy Framework）：寄件者政策框架
DKIM：郵件簽章驗證
DMARC：郵件驗證與處理政策

虛擬化安全

虛擬化風險

Hypervisor：虛擬機管理程式
VM 隔離失效風險
SDN（Software-Defined Networking）：軟體定義網路

遠端管理

管理工具

Jump server：跳板伺服器，集中安全管理入口
NAC：存取控制與健康檢查

其他重要概念

安全控制類型

Deterrent：嚇阻性（如登入橫幅）
Preventive：預防性
Detective：偵測性
Corrective：矯正性
Compensating：補償性
Directive：指導性

控制分類

Operational：操作性控制，由人員執行
Managerial：管理性控制，政策與策略
Physical：實體控制，保護建築與設備
Technical：技術控制，系統自動執行

其他術語

Due care：內部防護措施與責任
Due diligence：第三方審核與評估
Enumeration：枚舉，詳細列出裝置零件
Sanitization：資料清理
Decommissioning：退役
Benchmarks：安全設定基準
Honeypot：蜜罐，無密碼訪客帳號於 screened subnet
Blockchain：區塊鏈，不可竄改的分散式帳本
Secure enclave：安全區域，硬體級保護

風險處理策略

Mitigate：減輕，降低威脅程度
Accept：接受
Transfer：轉移
Avoid：避免

關鍵服務考量

System availability：系統可用性（最重要）
Integration costs：整合成本
Patch availability：修補程式可用性
Power usage：電力使用量

威脅行為者

Hacktivists：駭客行動主義者（政治訊息攻擊）
Nation-state actors：國家級攻擊者
Organized crime：組織犯罪
Script kiddies：腳本小子
Insider threats：內部威脅

錯誤類型

False positive：假陽性，誤報
False negative：假陰性，漏報
True positive：真陽性
True negative：真陰性