EC-Council CND 網路防禦課程

MODULE 09: ADMINISTRATIVE NETWORK SECURITY

模組概述 (Module Overview)

本模組「行政網路安全」是 CND 防禦架構中的基石。不同於防火牆或 IDS 等技術控制,行政安全側重於政策 (Policy)合規性 (Compliance)風險管理 (Risk Management)

身為網路防禦者 (Network Defender),您必須理解組織面臨的法律責任與風險,並透過制定正確的 SOP 與規範,建立「第一道防線」。

01. 法規與合規性框架

REGULATORY FRAMEWORKS

支付卡產業安全標準
PCI-DSS

(Payment Card Industry Data Security Standard)
專為處理信用卡資料的機構設計。任何儲存、處理或傳輸持卡人資料的商家都必須遵守。

  • 關鍵要求:安裝防火牆、加密傳輸數據、定期更新防毒軟體。
  • 違規後果:巨額罰款、被禁止處理信用卡交易。

健康保險流通與責任法案
HIPAA

(Health Insurance Portability and Accountability Act)
美國聯邦法律,旨在保護敏感的病患健康資訊 (PHI)。

  • 適用對象:醫院、保險公司及相關業務夥伴。
  • 重點:病歷資料的機密性 (Confidentiality) 與完整性 (Integrity)。

一般資料保護規則
GDPR

(General Data Protection Regulation)
歐盟制定的隱私保護法,號稱史上最嚴格個資法。

  • 核心權利:被遺忘權 (Right to be Forgotten)、資料移植權。
  • 適用範圍:任何處理歐盟公民資料的企業(即使公司不在歐盟)。

美國國家標準技術研究所
NIST

(National Institute of Standards and Technology)
提供自願性的資安框架 (NIST CSF) 與指引 (如 SP 800-53)。

  • NIST CSF 五大核心:Identify(識別), Protect(保護), Detect(偵測), Respond(回應), Recover(復原)。
  • 這是許多政府與企業資安策略的藍本。

02. 資安政策類型

SECURITY POLICIES

企業資訊安全政策
EISP

(Enterprise Information Security Policy)
最高層級的政策,由高階管理層制定,定義組織整體的資安哲學與戰略方向。

特定議題安全政策
ISSP

(Issue-Specific Security Policy)
針對特定功能或議題的規範。

  • 範例:電子郵件使用政策 (Email Policy)、自攜設備政策 (BYOD Policy)、可接受使用政策 (AUP)。

特定系統安全政策
SSSP

(System-Specific Security Policy)
針對特定硬體或軟體的技術規範,通常由系統管理員使用。

  • 範例:防火牆規則集設定、Web 伺服器配置標準。

03. 風險管理

RISK MANAGEMENT

風險評估方法
Assessment

定量評估 (Quantitative): 使用具體數字與金錢計算。
公式:SLE (單一損失預期) x ARO (年度發生率) = ALE (年度損失預期)。

定性評估 (Qualitative): 使用「高、中、低」等級距與矩陣圖進行主觀分析。

風險處置策略
Treatment

  • Risk Avoidance (規避): 停止導致風險的活動(例如:關閉不必要的服務)。
  • Risk Transference (轉移): 透過保險或外包,將損失轉嫁給第三方。
  • Risk Mitigation (緩解): 實施控制措施以降低衝擊(例如:安裝防火牆)。
  • Risk Acceptance (接受): 成本高於潛在損失時,選擇承擔風險。

業務衝擊分析
BIA

(Business Impact Analysis)
識別關鍵業務流程,並預測中斷時的後果。

  • RTO (Recovery Time Objective): 系統必須在多久內恢復。
  • RPO (Recovery Point Objective): 容許遺失多少資料(備份頻率)。

04. 戰術模擬測驗 (Simulation Exam)

TEST YOUR KNOWLEDGE