14. 情境如附圖所示，為了強化該公司對於會員個人資料保護的作為，資安長（老闆）要求資訊部重新評估公司整體資訊安全相 關作為，以降低整體營運上之風險，試問資訊部對於整體資訊安全 強化所採取之作為，下列敘述何者錯誤？
(A) 採取邊界防禦評估，包含防火牆、入侵偵測/防禦系統 （IDS/IPS）與網路安全設備等，以防止未經授權之存取
(B) 採用防毒軟體進行身分驗證及授權管理評估
(C) 採取應用程式保護評估，包含弱點掃描、滲透測試以及源碼檢測等
(D) 採取資料保護評估，包含機密等級識別、資料加密傳書、存取控制等

這是一個非常典型的「工具與功能不匹配」的陷阱題。在資安領域中，每一種工具都有其特定的防禦維度，將它們混淆是考題常見的出題方式。

以下是詳細的解析：

為什麼 (B) 是錯誤的？

• 錯誤點： 防毒軟體（Antivirus）的主要功能是惡意程式的偵測、阻斷與清除（如病毒、蠕蟲、勒索軟體）。

• 正確工具： 「身分驗證及授權管理」屬於 IAM (Identity and Access Management) 的範疇。通常使用的技術或工具包含：

  • MFA (多因素驗證)

  • SSO (單一登入系統)

  • LDAP / Active Directory (目錄服務)

  • RBAC (基於角色的存取控制)

• 防毒軟體並無法執行這些複雜的身分驗證與權限控管邏輯。

其他正確選項的解析：

• (A) 邊界防禦： 這是網路安全的第一道防線。透過 Firewall（過濾流量）、IDS/IPS（偵測及阻斷攻擊特徵），可以有效防止外部駭客未經授權進入內部網路。

• (C) 應用程式保護： 針對軟體層級的強化。

  • 弱點掃描 (Vulnerability Scanning)： 自動化尋找已知漏洞。

  • 滲透測試 (Penetration Testing)： 模擬駭客行為找出邏輯或深層漏洞。

  • 源碼檢測 (Code Review/SAST)： 從程式碼根本解決安全問題。 這對於保護存放個資的會員系統至關重要。

• (D) 資料保護： 這是保護個人資料（PII）的核心。

  • 機密等級識別： 知道哪些是敏感資料（如身分證字號、信用卡號）。

  • 加密傳輸： 使用 TLS/SSL 防止資料在網路中被竊聽。

  • 存取控制： 確保只有經授權的人員能讀取特定的資料。