複選題
36. 【題組 4】OSSTMM 開源安全測試方法手冊（The Open Source Security Testing Methodology Manual）其中所述，於測試安全性前應適當定義安全測試（Security Test）以妥善管理複雜性。關於定義安全測試（Defining a Security Test）的描述， 下列哪些正確？
(A) 定義所需保護的資產，找出其控制（Control）機制 之侷限（Limitations）
(B) 識別資產所處區域（Engagement Zone），包含相關 保護機制、程序與服務
(C) 定義測試範圍媒介（Vectors）如何內外交互，如： 內到內、內到外、A 到 B 單位
(D) 確保安全測試定義符合教戰守則（Role of Engagement）以避免誤解或錯誤期待

以下逐一解釋各選項：

(A) 定義所需保護的資產，找出其控制（Control）機制之侷限（Limitations）
✅ 正確
OSSTMM安全測試的初步階段包含明確識別要保護的資產，並了解相關控制機制與限制，以便確認潛在弱點。

(B) 識別資產所處區域（Engagement Zone），包含相關保護機制、程序與服務
✅ 正確
OSSTMM強調清楚界定資產所在的「區域」（Engagement Zone），並考量包含在此區域內的保護機制、程序、服務等細節，以便進行更精確的安全測試。

(C) 定義測試範圍媒介（Vectors）如何內外交互，如：內到內、內到外、A 到 B 單位
✅ 正確
OSSTMM指出，測試人員應該明確定義媒介（Vectors）如何互動，包括內部系統與外部系統的互動方式、內部系統間的互動方式，以及單位間交互關係的測試方式。

(D) 確保安全測試定義符合教戰守則（Role of Engagement）以避免誤解或錯誤期待
✅ 正確
OSSTMM強調測試前必須明確設定並遵守「教戰守則」（Rules of Engagement, RoE），以避免任何測試期間因誤解或錯誤期待所產生的負面影響。

因此，本題正確選項為：

? (A)、(B)、(C)、(D)
全部皆正確。

2.1 定義一項安全測試

以下 7 個步驟能協助您開展一個定義完善的安全測試：

1. 定義要保護的對象
   這些對象即為您的「資產（assets）」。資產的防護機制稱為「控管措施（controls）」，您將對這些控管措施進行測試，以找出其可能的「限制（limitations）」。

2. 辨識資產周邊範圍
   這個範圍包含資產本身的防護機制，以及圍繞在資產周邊的流程或服務。測試主要在此處與資產互動，稱為「交互區域（engagement zone）」。

3. 界定交互區域以外、維持資產運作所需的一切
   這些要素可能包含您無法直接控制的事物，如電力、食品、水、空氣、穩定的地基、法規、資訊，或是您能部分掌控的狀態，如乾燥、暖氣、冷卻、清晰度、外包商、同事、品牌形象、合作夥伴等。也需考量維繫基礎設施正常運作的要素，例如流程、通訊協定及持續供應的資源。這些構成您測試的「範疇（test scope）」。

4. 定義範疇內部之間以及與外部的互動方式
   將範疇內的資產按互動方向邏輯區隔，如「由內到外、由外到內、內部之間、部門 A 與部門 B 之間」等。這些互動脈絡稱為「向量（vectors）」。理想狀況下，每個向量應分別進行測試，以便縮短各區隔測試的時間，避免在環境出現顯著變化之前，測試作業過長而失準。

5. 釐清各項測試需要哪些設備
   在每個向量內，互動可能出現在不同層級。這些層級可有多種分類方式，本資料中採功能分類為五種「通道（channels）」，分別為「人為（Human）」、「物理（Physical）」、「無線（Wireless）」、「電信（Telecommunications）」及「資料網路（Data Networks）」。在每個向量裡，各通道都必須個別測試。

6. 確定想從測試中得到什麼資訊
   您是否要測試與資產的互動，或是測試現行安全措施的反應機制？「測試類型（test type）」必須針對每個測試單獨定義。本文件列出六種常見類型：「盲測（Blind）」、「雙盲測（Double Blind）」、「灰箱測試（Gray Box）」、「雙灰箱測試（Double Gray Box）」、「並行測試（Tandem）」以及「反向測試（Reversal）」。

7. 確保定義出的安全測試符合「交戰規則（Rules of Engagement）」
   交戰規則是一種指引，用以保證安全測試過程合理進行，並避免誤解、誤判或過度期望。

最終結果將是對「攻擊面（Attack Surface）」的量化評估。攻擊面指的是在已定義的向量之下，測試範疇中未受防護的部分。