17. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture) 中的網路敘述，下列何項錯誤？
(A) 企業內部網路不可視為隱式信任區(Implicit Trust Zone)
(B) 內部網路中的設備可能非企業所有或受企業管控
(C) 遠距企業人員可完全信任他們本地的網路連線
(D) 資產與流程於企業和非企業之基礎設施移動時，必須 為一致的安全標準

概述

NIST SP 800-207 的零信任架構核心假設之一即不因資產或使用者所在的「網路位置」（例如內部網路或遠端網路）而賦予隱式信任，也不因設備所有權（企業擁有或個人擁有）而自動信任該設備【(NIST 出版物, NIST計算機安全資源中心)】。同時，當資產與流程在「企業基礎設施」與「非企業基礎設施」之間移動時，必須保持一致的安全策略與佈署狀態，以確保無論位置如何都能提供相同等級的保護【(NIST 出版物)】。由此判斷，下列選項中最「錯誤」的敘述為：（C）「遠距企業人員可完全信任他們本地的網路連線」。

各選項分析

(A) 企業內部網路不可視為隱式信任區 (Implicit Trust Zone)

NIST SP 800-207 明確指出：「Zero trust assumes there is no implicit trust granted to assets or user accounts based solely on their physical or network location (i.e., local area networks versus the internet)」【(NIST 出版物, NIST計算機安全資源中心)】。因此，將企業內部網路視為隱式信任區是違反零信任設計的，選項敘述正確。

(B) 內部網路中的設備可能非企業所有或受企業管控

同樣依據 SP 800-207：「Zero trust assumes there is no implicit trust granted … or based on asset ownership (enterprise or personally owned)」【(NIST 出版物, NIST計算機安全資源中心)】。也就是說，企業內部網路中可能存在非企業所擁有或未受企業管控的設備，必須一視同仁執行驗證與授權，故此敘述亦屬正確。

(C) 遠距企業人員可完全信任他們本地的網路連線

SP 800-207 進一步說明：「Remote enterprise subjects and assets cannot fully trust their local network connection」【(BeyondTrust)】。遠端使用者連線的本地網路（如家用 Wi-Fi）同樣不應被隱式信任，必須執行同等級的驗證與加密。因此，本選項的「可完全信任」與零信任原則相悖，為錯誤敘述。

(D) 資產與流程於企業和非企業之基礎設施移動時，必須為一致的安全標準

SP 800-207 規定：「Assets and workflows moving between enterprise and nonenterprise infrastructure should have a consistent security policy and posture」【(NIST 出版物)】。此原則確保資產無論在哪個環境執行，皆維持相同的安全佈署與控管，因此該敘述正確。

結論

在 NIST SP 800-207 的零信任架構中，最錯誤的網路相關敘述為 (C) 遠距企業人員可完全信任他們本地的網路連線，因其違背「不因網路位置賦予隱式信任」的根本原則。