18. 關於設計供應鏈遠端存取架構的敘述，下列何項最「不」適 切？
(A) 身份識別應該要有多重身份驗證機制(MFA)
(B) 可以透過虛擬私人網路(Virtual Private Network， VPN)做存取控制
(C) 使用資料外洩防護(Data Loss Prevention，DLP)即 可做到個人資料保護
(D) 可以透過傳輸加密保護營業秘密

總結

在設計供應鏈之遠端存取架構時，以下措施皆屬必要且適切的安全控制：

• 多重身份驗證 (MFA)：強化使用者與裝置驗證的可靠度【(CISA)】。

• VPN 存取控制：傳統且經常使用的遠端存取方式，搭配強化設定可提供合理防護【(CISA)】。

• 傳輸加密：確保敏感或營業秘密資料於網路上不被攔截與竊聽，是保護機密性的基本手段【(Palo Alto Networks)】。

唯獨「僅使用資料外洩防護 (DLP) 即可做到個人資料保護」並不恰當，因為 DLP 解決方案主要透過監控、偵測及攔截機制對資料進行分類與警示，但無法涵蓋所有情境（例如靜態資料保護、終端裝置外之隱蔽通道），也常有誤報與漏報問題，故無法單獨滿足個人資料全方位保護需求【(Spirion)】。

各選項解析

1. (A) 身份識別應該要有多重身份驗證機制 (MFA)

   • 強烈建議遠端存取使用 MFA，以避免單一憑證被盜用後導致未經授權存取。【(CISA)】

2. (B) 可以透過虛擬私人網路 (VPN) 做存取控制

   • VPN 是普遍且成熟的遠端存取方式，只要依據 CISA／NSA 指南對其選型與硬化，即能提供合理的存取控制與加密保護【(CISA)】。

3. (C) 使用資料外洩防護 (DLP) 即可做到個人資料保護

   • DLP 雖能有效分類並攔截可疑資料外流，但其僅限於偵測和封鎖資料流動，並不涵蓋靜態資料加密、終端裝置防護等面向，且常有誤報與漏報，無法單獨達成個資保護需求【(Spirion)】。

4. (D) 可以透過傳輸加密保護營業秘密

   • 使用 TLS、IPsec 或其他傳輸層加密協議，可有效避免未授權者在網路上窺聽或竊取高度機密之營業秘密，為保護機密性的基本且必要手段【(Palo Alto Networks)】。

最「不」適切的選項：
(C) 使用資料外洩防護 (Data Loss Prevention，DLP) 即可做到個人資料保護。