地特四等申論題
108年
[資訊處理] 資訊管理概要
第 二 題
二、供應鏈攻擊是一種新興的威脅,一種以軟體開發人員和供應商(委外廠商)為目標,目的在於存取企業資訊系統或是內部資料。針對供應鏈攻擊之威脅,說明企業如何控管供應商(委外廠商)之資安風險。(25 分)
📝 此題為申論題
思路引導 VIP
看到「委外廠商資安風險控管」,應直覺聯想到「委外生命週期管理」與「零信任架構」。作答時建議按時間軸分為事前(選商與合約)、事中(存取控制與監控)、事後(稽核與退場)進行結構化論述,並結合管理面與技術面的具體控制措施(如SBOM、PAM),以展現全面的資安治理高度。
🤖
AI 詳解
AI 專屬家教
【破題】 供應鏈攻擊(Supply Chain Attack)係指駭客避開防護嚴密的目標企業,轉而攻擊其安全防護較弱的軟體供應商或委外廠商,以此為跳板滲透目標企業。面對此種「依賴性風險」,企業必須將資安邊界延伸至供應商,採取「委外生命週期管理」並落實「零信任架構(ZTA)」,方能有效控管風險。 【論述】
▼ 還有更多解析內容