lesson1

1A

安全資訊處理系統的特性是什麼？

What are the properties of a secure information processing system?

Ans:機密性、完整性、可用性、身份驗證、權限控制、不可否認性

什麼術語用於描述發送者無法否認已發送消息的安全網路的屬性？

What term is used to describe the property of a secure network where a sender cannot deny having sent a message?

Ans:不可否認性

一家跨國公司管理著大量有價值的智慧財產權 （IP）數據，以及其客戶和帳戶持有人的個人數據。可以使用哪種類型的營業單位來管理如此重要和複雜的安全要求

A multinational company manages a large amount of valuable intellectual property (IP) data, plus personal data for its customers and account holders. What type of business unit can be used to manage such important and complex security requirements?

Ans:SOC 安全營運中心

一家企業正在迅速擴張，擁有者擔心其已建立的IT和程式設計部門之間的緊張關係。哪種類型的安全營業單位或職能部門可以幫助解決這些問題？ A business is expanding rapidly and the owner is worried about tensions between its established IT and programming divisions. What type of security business unit or function could help to resolve these issues?

Ans:Development and operations (DevOps) 開發安全營運

---

1B

你實施了一個安全網關，阻止對社交網絡網站的訪問。你會如何分類這種安全控制？

You have implemented a secure web gateway that blocks access to a social networking site. How would you categorize this type of security control?

Ans: access control 權限控制

一家公司在其場地周圍安裝了感應器啟動的防洪照明。這種安全控制的類別和功能是什麼？

A company has installed motion-activated floodlighting on the grounds around its premises. What class and function is this security control?

Ans:

一個防火牆裝置攔截一個違反政策的數據包。它自動更新其存取控制列表，阻止來自源IP的所有進一步數據包。這個安全控制執行的兩個功能是什麼？

A firewall appliance intercepts a packet that violates policy. It automatically updates its Access Control List to block all further packets from the source IP. What TWO functions is the security control performing?

Ans:權限控制、

如果一個安全控制被描述為操作性和補償性，你可以推斷出有關其性質和功能的什麼信息？

If a security control is described as operational and compensating, what can you determine about its nature and function?

補：

**操作性（Operational）：**操作性控制通常是直接應用於日常業務運作中，以確保系統和資訊的安全性

**補償性（Compensating）：**補償其他安全控制的缺陷或不足

Ans:要來補償其他控制的缺陷

如果一家公司希望確保其在選擇安全控制方面遵循最佳實踐，哪種類型的資源將提供指導？

If a company wants to ensure it is following best practice in choosing security controls, what type of resource would provide guidance?

Ans:安全準指南secure configuration guides

---

Note

CIA:機密性、完整性、可用性、（身份驗證、權限控制、不可否認性）

職責：職責指的是一個人或一個部門在組織中需要履行的特定工作或任務

權限：權限表示一個人或一個部門被賦予執行特定職責的能力或權力

角色：角色指的是在組織中擁有特定職責和權限的一組工作職能

DevSecOps : Development , Security ,operations

安全配置指南secure configuration guides ：組織或個人在配置和操作特定軟體、硬體、網絡或系統時應遵循的最佳實踐和建議，以確保風險降低