國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

112年檢察事務官三等資通安全

答：

(一)

1.CVE(Common Vulnerabilities and Exposures)：

  (1)CVE 資料庫是一個由 MITRE 組織進行維護的公開漏洞資料庫。它會針對已知的資安漏洞進行審核並且給予編號，編號格式為 CVE-YYYY-NNNN，其中YYYY 為西元年份，NNNN 為流水號。

  (2)透過編號的查詢可以得知該漏洞的詳細資訊，並且每個 CVE 的漏洞資料會關聯到美國國家弱點資料庫 (National Vulnerability Database, NVD)，同時也是安全內容自動化協定 (Security Content Automation Protocol, SCAP) 的資料庫，裡面會針對該漏洞的影響嚴重性進行評分，以及紀錄該漏洞影響的產品通用平台列舉 (Common Platform Enumeration, CPE) 資訊。

  ※參考資料：

  1.https://blog.twnic.tw/2023/04/19/26210/

  2.行政院國家資通安全會報技術服務中心-政府機關資安弱點通報機制推廣說明.pdf

2.NVD(National Vulnerability Database)：

  (1)是 CVE 的延伸，現由美國國土安全部的國家網路安全辦公室所資助，隸屬於美國國家標準技術中心電腦安全部門的資訊技術實驗室，主要是提供美國政府存放標準弱點資訊管理的資料庫。

  (2)NVD 不僅收錄所有的 CVE 條目，還提供了每個 CVE 的詳細資訊，包括弱點描述、解決方案，以及參考資料等。

  (3)使用 CVSS (Common Vulnerability Scoring System) 對每個弱點進行嚴重性評分。

  (4)包含 CPE 資料，詳細描述受弱點影響的產品和版本。

  (5)提供許多政府單位透過 SCAP 協定使用自動化的弱點管理與安全檢測的機制，採用 CVE-ID 編號來作為弱點資訊識別的依據。

  ※參考資料：黃鵬羽、楊中皇-異質性弱點資料庫整合與研究.pdf

3.CPE(Common PlatformEnumeration)：

  (1)為美國國家標準技術研究所 (NIST) 所提出標準化方式，用以描述與識別企業內的應用程式、作業系統，以及硬體設備等資訊資產。

  (2)條目格式：

     a.主要分為作業系統、應用程式，以及硬體三大類。

     b.主要資訊：

       廠商名稱 (vendor)、產品名稱 (product)、產品版本 (version)、產品更新 (update)、產品版次 (edition)，以及語系 (language)。

  (3)讓研究者和工具能夠確定特定的弱點影響哪些具體的產品和版本。

  (4)在 NVD 中，每個 CVE 條目都會有相關的 CPE 名稱，這些名稱指出哪些產品和版本受到該 CVE 所描述的弱點的影響。

  ※參考資料：

  行政院國家資通安全會報技術服務中心-政府機關資安弱點通報機制推廣說明.pdf

4.CVE、NVD及CPE彼此之間的運作情形：

  (1)當一個新的弱點被發現並分配了一個 CVE ID 時，這個弱點的描述和資訊會被加入到 NVD 中。

  (2)NVD 提供的詳細資訊，包括該弱點的 CVSS 分數和相關的 CPE 名稱。因此，CVE、NVD 和 CPE 共同提供了一個完整、詳細且連續的描繪，幫助資訊安全專家、組織和工具理解和應對資訊安全弱點。

(二)

1.資通安全弱點通報機制：

  (1)是一套專為發現、報告和管理資安弱點而設計的系統。其主要目的是提供一個平台，讓安全研究者、組織和廠商能夠分享、更新和協作處理資安弱點。

  (2)結合資訊資產管理與弱點管理，掌握整體風險情勢，並且協助機關落實資通安全管理法的資產盤點與風險評估應辦事項。

  (3)導入 VANS 系統最主要的目的是針對校內各主機進行軟體資產盤點作業，並且透過 VANS 系統，了解各主機所安裝的應用軟體是否有漏洞產生，VANS 系統可以自動化與弱點資料庫 (Common Vulnerabilities and Exposures, CVE) 做比對，更容易掌控弱點的存在，在漏洞修補上，可以更即時，避免因為漏洞存在，遭受到駭客攻擊與入侵。

  (4)VANS 以全機關資訊資產為範圍，機關盤點資訊資產，並且以 CPE (Common Platform Enumeration) 格式進行正規化後，上傳到 VANS 平台；當爆發重大弱點時，NVD (National Vulnerability Database) 將該弱點更新於資料庫中，VANS 平台則自動更新弱點資料庫，並且比對整理系統弱點，將上述資訊上傳到資安院。資安院於發現弱點後，發出告警通知，系統管理員就可以對受影響主機進行弱點修補。

  (5)依照「資通安全責任等級分級辦法部分條文修正草案」，資安責任等級 A 級、B 級、C 級的公務機關及關鍵基礎設施提供者應該導入資安弱點通報平台，旨在建立資通系統弱點的主動發掘、通報，以及修補機制，將資訊資產清冊與弱點資料庫比對，以掌握所使用資訊資產是否存在已公開揭露的弱點資訊，並且依照風險情形完成安全性更新。

  (6)透過導入資安弱點通報系統 (VANS)，可以有效輔助組織內部監控各主機是否存在弱點，如果發現主機存在弱點，VANS 系統可以提供管理人員漏洞修補建議，幫助管理者進行系統漏洞修補作業，讓組織資安環境更穩固，降低駭客入侵機會，讓組織可以更安心的使用資訊系統。

  ※參考資料：

  1.https://www.nics.nat.gov.tw/Vans.htm?lang=zh

  2.https://acadsys.ntunhs.edu.tw/Periodical-eNews/views/fullArticlePage.php?id=2103

  3.https://www.chtsecurity.com/service/m801

2.運作方法：

  (1)資料收集：

     a.安全研究者、白帽駭客或其他專家在系統、軟體或硬體中發現弱點後，可以通過這個機制上報。

     b.機制可能會自動從公開的資源中收集弱點資訊，例如從公開的郵件列表或弱點報告平台。

  (2)弱點驗證：

    一旦收到報告，專家團隊會對其進行驗證，以確定其真實性和嚴重性。

  (3)分級評估：驗證過的弱點將根據其嚴重性、影響範圍和利用難度進行分級。

  (4)通報和公告：

     a.弱點資料庫會定期發出通報給相關的組織、廠商和公眾。

     b.嚴重的弱點可能會優先發布，而比較不嚴重或已被修補的弱點則可能會稍後公告。

  (5)協助修補：機制可能會提供修補建議或工具，協助組織快速解決已知的弱點。

  (6)回饋機制：

    提供平台供組織回報修補進度或分享解決方案，鼓勵共同參與和協作。

  (7)更新和存檔：

     a.隨著新的資訊、修補方法或利用技巧的出現，弱點資料庫會持續更新。

     b.舊的弱點資訊可能會被存檔或刪除。