複選題

21. H 公司於上周發生公司 email 超過 4 個小時以上無法收發的資安事件，經 MIS 人員處理後發現，郵件伺服器因硬碟空間不 足而無法正常運作，並由追蹤相關記錄中找出服務中斷前，系統正在處理一封寄給全公司 2000 位同仁的內部公告郵件，其之中被夾帶著 4GB 的附檔，但此附檔在防毒軟體和沙箱工具 檢查後並無病毒或威脅性，刪除此郵件及相關衍生作業後，郵件伺服器恢復正常運作，檢討此次內部資安攻擊事件，確認為人員操作失誤所致。請問下列何項措施「無法」防範此類事件再度發生？
(A) 儘快增購郵件伺服器的硬碟容量，避免再發生相同空 間不足的問題再度發生
(B) 對員工加強資安教育訓練，避免錯誤的資訊系統操作 行為
(C) 增加防火牆檢查細則，減少大量或敏感資料的傳輸與 攻擊事件
(D) 郵件伺服器增設郵件處理容量限制，阻絕大檔案的傳 送服務

根因樹 (Root Cause Tree, RCA)

5 Why

套用「5 Why」在 21 題郵件伺服器事件

1. 為什麼郵件伺服器中斷？
   → 因為硬碟空間不足。

2. 為什麼硬碟空間不足？
   → 因為伺服器正在處理一封 4GB 的郵件。

3. 為什麼有 4GB 的郵件？
   → 因為有人把大檔案直接寄給全公司 2000 人。

4. 為什麼有人會寄大檔案給全公司？
   → 因為員工缺乏教育訓練，也沒有大檔傳輸規範。

5. 為什麼沒有規範/限制？
   → 因為郵件伺服器沒有設附件大小限制，管理上沒有防範機制。

? 最終 Root Cause = 人員操作 + 系統規劃不足。

題目在問「哪一項措施無法防範此類事件再度發生」。我們來逐項分析：

事件重點

• 郵件伺服器當機原因：硬碟空間不足。

• 根本原因：一封全公司公告郵件夾帶 4GB 附檔 → 塞爆硬碟。

• 本質上屬於 操作失誤／流程控管不足，不是外部攻擊。

選項分析
(A) 增購硬碟容量
✅ 能降低因硬碟滿掉導致停擺的風險，但只治標不治本，仍有防範效果。

(B) 加強資安教育訓練
✅ 教育員工避免寄出不適當的大檔案，是正確的人員面向控制。

(C) 增加防火牆檢查細則
❌ 防火牆主要針對內外部流量過濾，這次事件是內部員工寄送內部公告，屬於內部郵件傳輸，通常防火牆規則 無法限制內部郵件系統處理大檔案，所以幾乎沒有幫助。

(D) 郵件伺服器增設容量限制
✅ 設定單封郵件大小上限（例如 25MB）是標準做法，可有效避免超大檔案造成伺服器異常。

✅ 正確答案：(C) 增加防火牆檢查細則
因為它對此案例無實質防範效果。