調查局三等申論題
114年
[資訊科學組] 資通網路
第 二 題
某單位遭受到駭客攻擊,原因是因為某員工的身分認證資訊(credential)被竊。請問應如何強化其身分與存取管理(Identify and Access Management;簡稱 IAM),以避免遭受攻擊?實施 RBAC(Role-based Access Control)機制,亦可降低資安風險,請說明如何運用 RBAC?RBAC 與 IAM 之差異為何?(25 分)
📝 此題為申論題
思路引導 VIP
看到憑證外洩問題,首要想到「多因素驗證(MFA)」與「零信任(Zero Trust)」架構來補強 IAM。對於 RBAC,應強調「最小權限原則(PoLP)」與「角色分離」的實務運用;最後比較兩者時,需點出 IAM 是一個涵蓋身分生命週期的廣泛框架,而 RBAC 則是 IAM 框架下的一種具體授權模型。
🤖
AI 詳解
AI 專屬家教
【破題】 員工身分認證資訊遭竊為駭客入侵之常見管道,防禦核心應落實「零信任(Zero Trust)」原則。透過強化身分與存取管理(IAM)及導入角色基礎存取控制(RBAC),可有效防堵憑證盜用並限制災損範圍。 【論述】
▼ 還有更多解析內容
IAM 與 RBAC 核心要領
💡 落實零信任原則,以 MFA 強化身分驗證並透過 RBAC 實施最小權限控管。
| 比較維度 | IAM (身分與存取管理) | VS | RBAC (角色基礎存取控制) |
|---|---|---|---|
| 概念層級 | 廣義資安框架與系統 | — | 具體授權模型與機制 |
| 核心功能 | 認證、授權、稽核 | — | 專注於資源授權 |
| 管理對象 | 使用者全生命週期 | — | 角色與權限之關聯 |
| 解決問題 | 你是誰?如何證明? | — | 依角色你能做什麼? |
💬IAM 是包含身分管理的全域大傘,RBAC 則是傘下落實權限控管的核心引擎。
