什麼是GCB/TWBCB

GCB(Government Configuration Baseline)是美國政府制定的一套資訊設備安全設定基準,用來確保系統在部署時符合資安要求。
 
台灣參考這套架構,由行政院國家資通安全研究院制定了 TWGCB(Taiwan Government Configuration Baseline),針對我國政府機關與本地使用環境量身調整,規範電腦與網通設備在密碼強度、系統更新、防火牆、帳號權限等方面的安全設定。這就像是一套統一的安全守則,幫助機關在日常使用中降低被入侵或資料外洩的風險,確保設備維持在安全可控的狀態。

什麼是FCB

FCB(金融組態基準管理,Financial Configuration Baseline)是專門針對金融機構制定的一套資安設定基準。它是金管會在2022年「金融資安行動方案2.0」中推動的措施之一,目的是強化金融業的資安防護。
 
FCB在 TWGCB(政府機關通用的安全基準)基礎上,補充了更多與金融業相關的設定項目,並針對每一項設定標明風險程度與風險說明,同時參考了國際標準如 CIS 和 STIG。簡單來說,FCB 就像是金融機構的專屬「資安設定守則」,用來確保電腦與系統達到更高的資安水準,降低遭到攻擊或資料外洩的風險。

AI的RAG技術如何運用在組態設定

RAG(Retrieval-Augmented Generation,檢索增強生成)是一種能結合資料查詢與AI生成能力的技術,特別適合應用在組態設定領域。對於像Windows 這類設定明確、選項多為選擇題(如 0或1或2 )及是非題( Yes/No)的項目,RAG 可以快速對照標準基準(如 TWGCB、FCB)並回覆正確值。
 
而在 Linux 系統中,許多設定需要撰寫 script、操作指令或依據不同環境客製化,屬於開放性問題,這時 RAG 的優勢更明顯:它能從大量技術文件中找出對應做法,並生成可直接使用的 script 或指令建議。對使用者而言,RAG 就像一位結合知識庫與實作經驗的智慧助理,不僅能提供正確答案,也能針對複雜情境給出可執行的解法。

ISMS 對組態設定有什麼要求

在 ISMS(資訊安全管理系統)中,組態設定是確保系統安全的關鍵項目之一。根據 ISO 27001:2022 Annex A 控制項 8.9,要求組織所有硬體、軟體與網路設備都應建立一致且可控的安全設定(稱為組態基線),並由授權人員進行管理與變更。這些設定應遵循「最小功能原則」,僅保留必要的服務與權限,並採用標準化的設定模板。
 
同時,所有變更都必須經過正式審核流程,保留完整記錄,並定期檢查與更新。這樣的機制有助於降低資安風險、避免人為疏失,確保系統在整體營運過程中始終維持安全一致的狀態。