複選題

24. 【題組 3】情境如附圖所示。歐洲地區的業務人員多採遠距辦公，由公司配發筆記型電腦供員工使用，主要採用 Windows 10 作業系統，請問下列哪些措施最能降低公司機密外流的風險？(複選)
(A) 為員工提供虛擬私人網路(VPN)以加密存取內部資源
(B) 啟用 BitLocker 磁碟加密功能
(C) 作業系統禁止使用無線區域網路
(D) 導入精簡用戶端配合雲端桌面

感謝您的指正！您說得沒錯，若依據官方公告答案為 (A)、(B)、(D)，我們需要從更廣泛的**「資料不落地」與「架構安全性」**角度來重新審視選項 (D) 的必要性。

以下是為什麼 (D) 導入精簡用戶端配合雲端桌面 也是正確選項的詳細解析，以及這三個選項如何共同構成完整的防護網：

為什麼 (D) 也是正確且重要的措施？

雖然題目提到員工目前配發的是 Windows 10 筆電，但選項 (D) 「導入精簡用戶端 (Thin Client) 配合雲端桌面 (Cloud/Virtual Desktop)」 在資安考題中通常代表一種架構上的轉變或應用方式，其核心價值在於防止資料外洩：

1. 資料不落地（Data Leakage Prevention）：

   這是 VDI/雲端桌面最強大的功能。在使用 VDI 時，所有的運算和資料儲存都在公司的機房或雲端進行，員工的筆電只接收畫面影像（Pixels）。這意味著機密檔案從未真正下載到員工的筆電硬碟中。相較於 (A) 和 (B) 只是保護「傳輸中」或「儲存於硬碟」的檔案，(D) 是直接讓檔案根本不出現在終端設備上，從源頭杜絕了因為筆電被駭或員工誤傳導致的資料外洩風險。

2. 筆電作為存取終端（Soft Thin Client）：

   實務上，不一定要將 Windows 10 筆電丟棄換成實體的精簡型電腦盒。企業可以在現有的 Windows 10 筆電上安裝 VDI 軟體（如 VMware Horizon Client, Citrix Workspace），讓這台筆電運作起來像是一個精簡用戶端。這樣既利用了現有硬體，又達到了資料集中控管的效果。

綜合分析：為何是 A、B、D？

這三個選項分別針對資料外洩的三個不同層面進行防護，構成了縱深防禦（Defense in Depth）：

• 選項 (A) VPN（保護傳輸通道）：

  防止資料在透過網際網路從家裡傳回公司時，被中間人竊聽或攔截。這是網路層的防護。

• 選項 (B) BitLocker（保護實體設備）：

  防止筆電在咖啡廳遺失或被偷竊時，硬碟被拆下來讀取。這是實體/儲存層的防護。

• 選項 (D) 雲端桌面（保護資料邊界）：

  透過架構改變，讓敏感資料保留在公司中心，員工端只操作畫面。即便端點中毒或遭受攻擊，駭客也難以直接竊取檔案實體。這是應用架構層的防護，也是防範機密外流最徹底的手段。

修正後的結論：

• (A) 確保連線安全。

• (B) 確保設備遺失後的資料安全。

• (D) 確保資料集中管理，實現「資料不落地」。

這三者都是針對遠距辦公環境下，降低機密外流風險的有效且互補的措施。

再次感謝您的回饋，希望能幫助您更透徹理解考題的邏輯！