41. 有效管理來自伺服器、網路設備及應用程式等各種來源的日誌資訊可以提升資料的安全性並檢測威脅。請問下列有關日誌管理的描述何者有誤?
(A) 不同網路設備的日誌格式不同,Windows EventViewer 就沒辦法直接開啟 Linux 系統的日誌
(B) 依據「資通系統防護基準驗證實務」規定,日誌的保存期限至少為 3 個月
(C) 任何發生在機關資通系統中可觀察到行為之結果稱為資通系統事件,應當具備有記錄特定事件之功能,並決定應記錄之特定資通系統事件
(D) 日誌應記錄資通系統管理者帳號所執行之各項功能

答案:登入後查看
統計: A(189), B(585), C(65), D(88), E(0) #3351143

詳解 (共 2 筆)

#6403542
資通系統日誌留存期限應至少保留 6 個月

(共 22 字,隱藏中)
前往觀看
13
0
#7378808

正確答案是 **(B)**。



### 答案解析:

* **(B) 錯誤原因:** 根據我國《資通安全責任等級分級辦理辦法》附表十的「資通系統防護基準」規定,不論資通系統的安全防護等級是「普」、「中」或「高」,皆規定必須「訂定日誌之記錄時間週期及留存政策,並**保留日誌至少 6 個月**」,而非 3 個月。因此 (B) 的描述數字有誤。


### 其他選項說明(皆為正確描述):

* **(A) 正確:** 不同的作業系統或網路設備(如 Windows、Linux、Cisco 路由器等)所產生的日誌格式與紀錄機制大不相同。Windows 內建的「事件檢視器(Event Viewer)」主要讀取 Windows 自家的 .evtx 格式日誌,沒辦法直接開啟或解析 Linux 系統常見的純文字 Syslog 日誌,必須透過文字編輯器或第三方日誌集中管理系統(如 ELK、SIEM)來處理。

* **(C) 正確:** 這段話是法規中對於「資通系統事件」的標準定義與控制措施要求(應具備記錄特定事件之功能,並決定應記錄之特定資通系統事件)。

* **(D) 正確:** 根據防護基準規定,為了防止內部特權帳號濫用或在發生資安事件時進行追溯,系統**必須記錄資通系統管理者帳號(如 Root 或 Administrator)所執行之各項功能**,這屬於高權限帳號的行為審計。
0
0