iPAS資訊安全工程師�資訊安全管理概論�(不再更新)
iPAS資安證照討論區
資產-脆弱點-威脅-風險模型
預期損失計算
21. 在資安風險管理過程中,關於風險識別( Risk Identification)應包括的�工作項目,下列何者較「不」正確?�(110-2技術)
(A) 識別威脅 Threat
(B) 識別脆弱點 Vulnerability
(C) 識別風險等級 Risk Level
(D) 識別資產 Asset
5. 下列何者「不」屬於威脅來源之一?�(111-1管理)�(A外部威脅)�(B內部威脅)�(C通常被視為外部威脅)�(D弱點)
(A) 天然災害
(B) 憤怒的員工
(C) 未經授權存取機密資料
(D) 程式的瑕疵
資訊安全的特性
機密性(Confidentiality):非授權人員無法存取資料。反向名詞,資料洩漏(Information Disclosure)。
完整性(Integrity):確定資料在授權的情況下,才可以被修改。反向名詞,篡改(Tampering)。
可用性(Availability):服務在需要的時候可被存取和使用。反向名詞,拒絕(Denial)。
不可否認性(Non-Repudiation):使用者不能否認它沒有做過這件事。
身分識別(Authentication):確保對系統或資源的存取是由合法且授權的使用者進行的。
真確性(Authenticity): 確保資料或通訊來源的真實性,及其内容未被未授權改變,保證資訊來源和身份的可靠。
可究責性(Accountability):可以從記錄檔(LOG),確認是誰做的。
1. 下列何項系統建置規劃並「不」是以可用性作為主要之考量基準?�(112-2規劃)
(A) 建置伺服器負載平衡系統
(B) 重要資料導入高可用性( High Availability)系統
(C) 建置資料加密管理系統
(D) 使用針對重要系統建置即時備援機制
26. 【題組 3背景描述如附圖】 本事件可能遭成的後續影響, 針對資料被加密,請問主要是破壞了下列哪一項的資安原則?�(112-1防護)
(A) 可用性
(B) 機密性
(C) 完整性
(D) 可歸責性
10. 下列何者「不」是提升服務可用性( Availability)的有效策略?�(111-1規劃)
(A) 導入內容遞送網路( Content Delivery Network, CDN)服務
(B) 建置應用程式防火牆
(C) 設計自動擴展機制
(D) 規劃伺服器負載平衡架構
18. 密碼學(Cryptography)除了機密性(Confidentiality)之外,還可以保護下列何者特性?(複選)�(109-1規劃)
(A) 完整性(Integrity)
(B) 可用性(Availability)
(C) 不可否認性(Non-Repudiation)
(D) 鑑別性(Authenticity)�
8. 券商集體遭 DDoS(分散式阻斷服務)攻擊勒索信件,其中有多家券商的網站下單系統更實際遭受網路 DDoS攻擊,造成交易量降低。該案例網站下單系統被攻擊,最直接影響是下列何種 資訊安全特性?�(112-1)
(A) 機密性
(B) 完整性
(C) 可用性
(D) 不可否認性
41. 請問存錄系統管理者或操作者操作系統的紀錄,並予以適當的保護,其主要的目的是要確保 下列 對於系統管理者或操作者的 何項特性?�(技術111-2)
(A) 機密性 Confidentiality
(B) 完整性 Integrity
(C) 可用性 Availability
(D) 可歸責性 Accountability
38. 資料備份的最主要目的,是保護資料的哪一個特性?�(技術111-2)
(A) 機密性
(B) 可用性
(C) 鑑別度
(D) 完整性
�2.使用微軟提供的功能將檔案加密,主要目的是增加下列資訊安全的何種特性? �(112-2)
(A) 可歸責性(Accountability)
(B) 可用性(Availability)
(C) 機密性(Confidentiality)
(D) 完整性(Integrity)
�4.關於維護資料完整性之控制措施,下列敘述何者正確?�(112-2)
(A) 密碼學技術
(B) 防火牆
(C) 資料庫備份
(D) 電子郵件加密
1.下列何者為資訊安全的「機密性」之定義? (112-1)�
(A) 確保資訊不會被揭露或被未經授權的個人、實體和流程所取得
(B) 確保資訊的正確和完全性
(C) 確保資訊在需要時可被存取和使用
(D) 確保資訊在傳輸過程中已確認兩方的身分和合法性
� 4. 駭客侵入銀行資料庫竄改存款金額,主要在破壞資訊系統的何種特性? �(112-1)� �
(A) 機密性(Confidentiality)
(B) 完整性(Integrity)
(C) 可用性(Availability)
(D) 可靠性(Accountability)
1.使用專用帳號及密碼登入CRM(Customer Relationship�Management)系統,主要是基於下列何種原則?�(111-2)
(A) 可靠性
(B) 可用性
(C) 機密性
(D) 完整性
3. 請問資訊安全的定義是下列何項最正確?�(111-2)
(A) 保護資訊資產的機密性與完整性
(B) 保護資訊資產的完整性與可用性
(C) 保護資訊資產的機密性與可用性
(D) 保護資訊資產的機密性、完整性與可用性
35. 憑證記載了個人資料、公開金鑰、憑證單位名稱、數位簽章、以及憑證有效期限及用途等資訊,下列何者「不」是憑證的特性?�(112-1)
(A) 機密性(Confidentiality)
(B) 不可否認性(Non-Repudiation)
(C) 身分識別(Authentication)
(D) 可用性(Availability)
36.關於密碼學(Cryptography)所能達成之主要目的,下列�何項錯誤?�(111-2)
A) 機密性(confidentiality)
(B) 完整性(Integrity)
(C) 可用性(Availability)
(D) 不可否認性(Non-Repudiation)
6. 使用Wireshark 工具,主要可能影響資訊安全中的何種特性?�(111-1)
(A) 機密性(Confidentiality)
(B) 可用性(Availability)
(C) 完整性(Integrity)
(D) 真確性(Authenticity)
29. 公司將資訊系統的資料進行備份,最主要是為了保護資訊安全中的何�種特性?�(111-1)
(A) 機密性(Confidentiality)
(B) 可用性(Availability)
(C) 完整性(Integrity)
(D) 真確性(Authenticity)
1. 某公司人員開啟社交工程攻擊信件,導致其公司電腦遭駭客植入惡意程式,駭客藉此將電腦機密檔案傳輸出去外,還將檔案刪除。請問上述情境中,下列哪些資安的特性被破壞? �(110-2)
(A) 只有機密性遭受破壞
(B) 只有完整性遭受破壞
(C) 可用性以及機密性均遭受破壞
(D) 完整性以及可用性均遭受破壞
4. 下列何者屬於資料完整性受影響?�(110-2)
(A) 機密資料外洩
(B) 檔案遭毀損而無法存取
(C) 系統無法正常提供服務
(D) 資料以明文方式傳輸
1. 關於 資訊安全「可用性」 的 定義 ,下列敘述何者正確?�(110-1)
(A) 確保資訊的正確和完全性
(B) 確保資訊在需要時可被存取和使用
(C) 確保資訊在傳輸過程中已確認兩方的身分和合法性
(D) 確保資訊不會被揭露或被未經授權的個人、實體和流程所取得
1. 下列何者為「 公司網路系統必須 24 小時運作 」的主要原因?�(109-2)
(A) 機密性
(B) 可用性
(C) 完整性
(D) 不可否認性
5. 下列何種網路攻擊手法,主要目的是在破壞資料的「可用性或 「完整性」?(1)社交工程(Social Engineering)、 (2)Google 駭客(Google Hacking)、 (3) 拒絕服務(Denial of Services)、 (4) 駭客侵入銀行資料庫竄改存款金額�(109-2)
(A) (1), (2)
(B) (3), (4)
(C) (2), (3), (4)
(D) (1), (3), (4)
2. 下列敘述何者「不」正確?�(109-1)
(A) 機密性(Confidentiality):使資訊不揭露給未經受權之人
(B) 可用性(Availability):經授權之人,因應需求可存取或使用資訊、資產
(C) 完整性(Integrity):使用之資產的精確度和完全性受到保護
(D) 可靠性(Reliability):可追溯至事件的源頭
3.某系統的重要資料被駭客入侵,置換成含有惡意程式的檔案,此為下列何種資訊安全特性被破壞了?�(109-1)
(A) 機密性(Confidentiality)
(B) 完整性(Integrity)
(C) 可用性(Availability)
(D) 不可否認性(Non-repudiation
1. 關於搜尋引擎攻擊 Google hacking 主要在破壞資訊系統的何種特性?�(108-2)
(A) 機密性(Confidentiality)
(B) 完整性(Integrity)
(C) 可用性(Availability)
(D) 責任性(Accountability)
2. 請問 「對資料修改權的約束與限制,只有擁有權限的使用者才能修改」所代表的意義是下列何者?�(108-2)
(A) 機密性 (Confidentiality)
(B) 完整性 (Integrity)
(C) 可用性 (Availability)
(D) 可讀性 (Readability)
10. 在進行資產分 級評估時,如果資訊系統服務中斷,將造成組織營運出現重大影響, 此 狀況 屬於下列何種評估面向?�(109-2)
(A) 機密性
(B) 完整性
(C) 可用性
(D) 流動性
22. 勒索病毒(Ransomware)使用對稱式加 密技術與非對稱 式 加密技術來進行加密電腦內的檔案,讓使用者無法使用,此現象 主要影響資訊系統的何種特性?
(A) 機密性(Confidentiality)
(B) 可用性(Availability)
(C) 完整性(Integrity)
(D) 鑑別性(Authenticity)
38. 下列何 者較可保護資料傳輸過程中的機密性?�(技術109-2)
(A) 雙因子驗證
(B) 編碼技術
(C) 加密技術
(D) 雜湊函數
33. 關於去識別化( De identification ),是為了保護資料的何種特性?�(技術110-1)
(A) 機密性(Confidentiality)
(B) 完整性(Integrity)
(C) 可用性(Availability)
(D) 可歸責性(Accountability)
26. 未適當處理程式產生的詳細錯誤訊息和未處理的異常,較有可能導致下列何種威脅?�(技術110-2)
(A) 偽裝(Spoofing)
(B) 資訊洩露(Information Disclosure)
(C) 篡改(Tampering)
(D) 否認(Repudiation)
34. 下列何者較「不」屬保護資料機密性的範圍?�(技術110-2)
(A) 網站因資料隱碼攻擊( SQL Injection)弱點導致遭駭客取得員工資料
(B) 購物系統被駭客入侵,造成客戶資料外洩
(C) 訂票系統因大量會員同時登入,系統當機而無法提供服務
(D) 學校教學系統遭人入侵而公布學生考試分數
40. 「留存系統、網路日誌」是為了保護下列何種特性?�(技術110-2)
(A) 機密性(Confidentiality)
(B) 可用性(Availability)
(C) 可靠性(Reliability)
(D) 不可否認性(Non-Repudiation)
風險回應對策
風險避免(Risk Avoidance):核心系統建立在已經不維護的作業系統上,會有漏洞無法修補的問題,應該進行移轉該系統,徹底解決問題。
風險降低(Risk Reduction):員工可能會頻繁遭受郵件釣魚攻擊,雖然大多數釣魚嘗試的影響較低,但它們發生的頻率很高。為了緩解這種風險,組織可以實施定期的安全意識培訓,教育員工如何識別和處理可疑的電子郵件。
風險接受(Risk Acceptance):一個小型開發團隊使用的一個版本控制系統偶爾會出現短暫的宕機,這種宕機對工作流程影響不大,因為團隊成員可以在系統恢復時繼續工作。
風險移轉(Risk Transfer) :機房發生火災會造成重大影響,但是機率不高,因此可以買火災保險。
6. 某公司為網路電信商,其多年前研發的即時通軟體非常受歡迎,然而在面對歐盟通用資料保護規則(EU General Data Protection Regulation, GDPR)時,內部評估發現其現有系統架構無法符合GDPR的規範,且系統修改費用驚人,管理層最後決定停止歐洲的市場業務,關於上述狀況,屬於下列何種風險處理?�(109-1規劃)
(A) 風險降低(Risk Reduction)
(B) 風險接受(Risk Acceptance)
(C) 風險規避(Risk Avoidance)
(D) 風險轉移(Risk Transfer)
15. (單選題) M 公司位於 Q 大樓一樓,每年的颱風季節,網管人員很擔心相關設備因淹水而損壞,經反映問題給高階主管後,管理階層決定購買相關保險以因應相關的風險。 請問上述案例是風險處理中的 何種 選項?�(108-1規劃)
(A) 風險緩解 Risk Mitigation
(B) 風險接受 Risk Acceptance
(C) 風險規避 Risk Avoidance
(D) 風險轉移 Risk Transference
23.S公司為電器製造商並於歐洲經營網路電器零售業務,為了因應GDPR(General Data Protection Regulation),該公司關閉歐洲的零售業務。依據此內容,公司此項管理行為屬下列何項風險回應對策?�(112-2)
(A) 風險避免(Risk Avoidance)
(B) 風險修改(Risk Modification)
(C) 風險保留(Risk Retention)
(D) 風險分擔(Risk Sharing)
21. 當進行風險評估,發現機密資料外洩風險是組織內部最大之風險時,組織進行了相對應之風險處理方法,其中包含了購買資料外洩保險,此為下列何種風險處理方式?� (112-1)
(A) 風險保留(Risk Retention)
(B) 風險降低(Risk Reduction)
(C) 風險轉移(Risk Transfer)
(D) 風險避免(Risk Avoidance)
22. 風險評鑑(Risk Assessment)後的風險處理方式有以下哪幾種方法?�(112-1)�
(A) 接受、降低、轉移、避免
(B) 規劃、評估、排序、避免
(C) 面對、處理、解決、接受
(D) 評估、分析、處理、降低
24.關於風險轉移(Risk Transfer)的敘述,下列何者「不」正確?�(112-1)
(A) 藉由其他的團體,來承擔或分擔部份的風險
(B) 當風險全部或部分被轉移時,可能會遭遇新的風險
(C) 將風險轉移給其他團體時,可以降低風險對自身的影響
(D) 可以有效減低風險發生的機率
25. 下列何者「不」是風險處理的選項?�(112-1)
(A) 風險降低(Risk Reduction)
(B) 風險轉移(Risk Transfer)
(C) 風險忽略(Risk Neglect)
(D) 風險保留(Risk Retention)
23. 下列何者的處理方式無法降低風險?�(111-2)
(A) 風險避免(Risk avoidance)
(B) 風險保留(Risk retention)
(C) 風險修改(Risk modification)
(D) 風險分擔(Risk sharing)
21. 下列敘述何者符合風險移轉?�(111-2)
(A) 投保機房火險
(B) 建立備援網路系統
(C) 停止網路平台交易業務
(D) 增加開啟系統權限的簽核流程
22.公司機房重地購買地震險或火險,此行為屬於下列何種風險處理方�式?�(110-2)
(A) 風險接受(Acceptance)
(B) 風險規避(Avoidance)
(C) 風險降低(Reduction)
(D) 風險移轉(Transfer)
26. 發生資安事件攻擊時,若其損失在組織可容忍範圍,可採取下列何種風險處置策略?�(110-1)
(A) 風險接受 Acceptance
(B) 風險降低 Reduction
(C) 風險移轉 Transfer
(D) 風險避免 Avoidance
15. 若公司為資訊資產購買保險,當資訊安全事件發生時,所造成的損失由保險公司理賠,此種風險處置策略屬於下列何者?�(109-1)
(A) 風險接受
(B) 風險降低
(C) 風險移轉
(D) 風險避免
4. 當進行風險評估,發現機密資料外洩風險是組織內部最大之風險時, 組織進行了相對應之風險處理方法,其中包含了購買資料外洩保險, 此為下列何種風險處理方式?�(108-2)
(A) 風險接受
(B) 風險降低
(C) 風險轉移
(D) 風險避免
23. 關於風險規避( Risk Avoidance ),下列敘述何者 「不」 正確?�(109-2)
(A) 決定不涉入風險處境
(B) 決定退出風險處境
(C) 通常不考量主管機關的影響,而會有躲避風險的傾向
(D) 會造成不願面對風險或淡化處理風險所需要的成本
20. 下列何者「不」 是風險處理的選項?�(108-2)
(A) 風險降低
(B) 風險轉移
(C) 風險忽略
(D) 風險接受
殘餘風險
22. 關於殘餘風險( Residual Risk),下列敘述何者正確?�(110-1管理)
(A) 單位可以承受的風險
(B) 沒有被識別的風險
(C) 已經被識別,但是沒有指定處置方法的風險
(D) 執行風險處理措施後,還殘留下來的風險
存取控制的基本管理敘述
責任分擔(Dual Control):是避免高機密資訊由某人完整的持有,例如:在銀行中,開啟大型金庫需要兩名授權員工同時使用他們各自的鑰匙或密碼。
最低權限(Least Privilege):要求每個人都只能擁有完成任務的最低權限,例如:系統管理員僅能重啟服務和安裝更新,但沒有權限查看敏感員工記錄或財務報表。
僅知原則(Need to Know):是指對於負責的業務需求性有「知的權利」,例如:在醫院,只有直接負責該病人治療的醫生和護士才能存取其健康記錄。
職務區隔(Segregation of Duties, SOD):是指為避免職務及責任範圍衝突,例如:會計和出納不能同一人,這樣可以避免單一個人同時控制記帳和付款。
強制休假(Mandatory Vacation):是一種企業風險管理策略,要求員工必須在一年中的某個時期休一定天數的假期。這種政策主要在金融機構及需要嚴格內部控制的企業中實施,目的是為了防範和檢測內部欺詐、錯誤和其他非法行為。
5. 下列何項安全實作原則是為了預防僅因個人行為而造成可能的舞弊情形發生?�(111-1規劃)
(A) 強制休假 Mandatory vacation
(B) 僅知原則 Need to know basis
(C) 最小權限 Least privilege
(D) 職責分離 Separation of duties
2. 公司指派專人負責去回收櫃檯的新客戶個人資料表,裝箱並貼上封條�後,再由該專人將這些資料開車運送到 3公里之外的無人庫房存放,�請問上述情境 主要 違反下列資訊安全管理的何項原則?�(110-1規劃)
(A) 最小權限(Least Privilege)
(B) 僅知原則(Need to Know)
(C) 定期權限審查(Periodically Access Rights Review)
(D) 職務區隔(Segregation Of Duties)
4. (單選題)在進行職務規劃時, 下列何種情境 宜優先考量是否有職務區隔�Segregation Of Duties,SOD)之 設計�(108-1規劃)
(A) 執行資安內部稽核時,業務人員負責查核資訊單位的資安事故通報作業流程
(B) 程式設計人員於程式上架更新時,應在負責更新系統 程式的資訊部門待命
(C) 採購人員於向廠商下單訂購前,應在庫存系統確認庫存數量
(D) 人力資源部門主管,負責人資資訊系統之更新與維護
30.關於存取控制的基本管理敘述,下列何者錯誤? �(112-2)
(A) 「責任分擔」是避免高機密資訊由某人完整的持有
(B) 「最低權限」要求每個人都只能擁有完成任務的最低權限
(C) 「知的必要性」是指對於負責的業務需求性有「知的權利」
(D) 「資訊分類」使用者必須完整掌握其權限以外的對應系統與資料
31. 為避免職務及責任範圍衝突,應採取下列何者控制措施?�(112-1)
(A) 強化密碼管理
(B) 日誌管理
(C) 資訊之分級
(D) 職責區隔
34. 關於職務區隔(Segregation of Duties, SoD),下列敘述何者較為正確?�(109-2)
(A) 只提供執行業務上所需知道的資訊
(B) 定期審查權限
(C) 權限開放時採用最低權限原則
(D) 重要工作切分給多個人來執行
30. 在存取控制中,下列何者為權限管理的最基本要求?�(109-1)
(A) 最小權限
(B) 最大權限
(C) 適中權限
(D) 沒有權限
密碼學身分認證中的認證因素
所知之事(Something you know):密碼、安全問題的答案。
所持之物(Something you have):個人識別證、行動密碼、晶片卡。
所具之形(Something you are):指紋、聲紋、虹膜。
多因子(Multi-factor authentication, MFA)驗證機制:同時使用超過兩種以上的因素。
5. 下列何種組合「不」屬於多因子驗證(Multi-factor Authentication)?�(110-1規劃)
(A) Smart Card, PIN
(B) Password, OTP
(C) Password, Username
(D) Fingerprint, PIN
14. 關於雙因子認證( Two-Factor Authentication 的 敘述 ,下�列何者錯誤?�(技術111-2)
(A) 雙因子指的是「你知/ Something you know」「你有/ Something you have」「你是/Something you are」任兩者
(B) 兩重的密碼認證,不算雙因子認證方式
(C) 可以有效防禦資料隱碼攻擊
(D) 可以 有效防禦中間人攻擊
31.指紋等生物特徵認證,屬於密碼學身分認證中的何種認證因素?�(112-2)
(A) 所知之事(something you know)
(B) 所持之物(something you have)
(C) 所具之形(something you are)
(D) 所分享之物(Something you share)
32.如附圖所示,為有效強化身分認證機制,常會使用多因子(Multi-factor authentication, MFA)認證機制,下列哪些應用組合屬於多因子認證類型? �(資訊安全管理概論,112-2)
1. 聲紋辨識+帳號密碼 (Password)
2. 指紋辨識+圖形驗證碼 (Captcha)
3. 臉型辨識+指靜脈辨識+虹膜
4. 帳號密碼+自然人憑證IC卡
5. 帳號密碼+虹膜+自然人憑證IC卡
6. 帳號密碼+指紋辨識+圖形驗證碼(Captcha)
39.密碼學身分認證的三個因素:所知之事(something you know)、所持之物(something you have)、所具之形(something you are)。下列何項為所持之物認證因素? �(112-1)
(A) 指紋
(B) 晶片卡
(C) 密碼
(D) 臉型
33.下列何者「不」屬於存取控制認證技術型式一:你所知道的事物 (Something you know)?�(112-2)
(A) 密碼
(B)你喜歡的數字
(C) 通行語
(D)指紋
32. 下列何者為使用持有物(Something You Have)進行身分驗證(Authentication)?�(112-1)
(A) 密碼
(B) 指紋
(C) 個人識別證
(D) 簽名
30. 以現行科技發展而言,下列何種生物特性較「不」適合�拿來作為身份鑑別使用?�(111-2)
(A) 指紋
(B) 虹膜
(C) 臉部特徵
(D) 身高
31. 為強化身份認證機制,我們常會使用雙因素認證機制,下列何種組合�並「不」屬於雙因素認證的定義?�111-1
(A) 密碼(Password)+RFID 感應卡(如悠遊卡)
(B) RFID 感應卡+自然人憑證IC 卡
(C) 自然人憑證IC 卡+指紋
(D) 指紋+密碼
28. 為鑑別使用者身份,常採用多因素驗證,下列何者「不」屬於多因素�驗證的設計原理?�(110-2)
(A) Something you know
(B) Something you want
(C) Something you have
(D) Something you are
27. 使用網路銀行轉帳或付款時,銀行要求提供手機號碼傳送臨時驗證碼�到手機,再請你輸入驗證碼後確認轉帳程序;請問本題中的「手機」屬於下列 何種 驗證要素?�(110-1)
(A) Something you know
(B) Something you have
(C) Something you are
(D) Something you see
29. 下列何者 「不」 是存取控制中,身分驗證的三個要素?�(109-2)
(A) 所知之事:帳號/密碼
(B) 所謂何事:共用信箱
(C) 所持之物:智慧卡
(D) 所具之形:生物特徵
26. 關於身分認證(Authentication)技術中所謂的多因子(Multi-Factor)認證,下列何者「不」正確?�(109-1)
(A) 你/妳所知道的事物
(B) 你/妳所努力的事物
(C) 你/妳所擁有的事物
(D) 你/妳所具有的特徵
21. 使用者身分識別大致可分所知之事 (something you know) 、 所持之物�(something you have) 及生物特徵(something you are) 下列何者「不」�是所持之物(something you have) 識別?�(108-2)
(A) 用指紋開電腦
(B) 刷卡進機房
(C) 用提款卡領錢
(D) 用鑰匙開門
對稱式加密和非對稱加密的比較
| 對稱式(Symmetric) | 非對稱式(Asymmetric) |
加解密金鑰 | 使用相同 | 使用不同(公鑰、私鑰) |
加解密速度 | 較快 | 較慢 |
加解密成本 | 較少 | 較多 |
金鑰交換保護 | 需另外建立機制 | 直接交換 |
常見演算法 | DES、3DES、AES、RC6、IDEA、Blowfish | RSA、ECC |
金鑰數量 | | 2N |
金鑰管理 | 麻煩 | 容易 |
3. 下列 選項何者作為金鑰分配 Key Distribution 的安全性較佳?�(111-1規劃)
(A) 3DES
(B) MD5
(C) Blowfish
(D) ECC
13. (單選題) 關於 資訊與通訊系統安全經常使用到密碼學, 下列 應用功能何者設計 「 不 」 正確?�(108-1防護)
(A) 使用雜湊函數 Hash function 來檢查設備韌體是否被竄改過
(B) PGP 郵件加密軟體可採用公鑰加密與私鑰解密的方式,保護郵件僅限特定人員才能閱讀
(C) IPSec VPN 網路傳送大量資料時,應使用非對稱式加密演算法保護訊息內容
(D) HTTPS(HTTP Secure)將 HTTP 承載到 SSL 通訊協定上,使用公鑰進行網頁認證、資料加密與訊息完整性驗證
36. 關於對稱式密碼學( Symmetric cryptography)的敘述,下列何項錯誤?�(資訊安全管理概論,112-2)
(A) 加密(ENCRYPTION)與解密(DECRYPTION)使用相同金鑰
(B) 通常加密速度相較於非對稱密碼學更快
(C) 通常運算成本相較於非對稱密碼學更高
(D) 缺點為金鑰交換須另外建立保護機制
38. 下列何種密碼演算法,其加密與解密使用的金鑰不同?�(112-2)
(A) DES
(B) 3DES
(C) AES
(D) RSA
40. 假設有兩金鑰,金鑰A用來將明文x變成密文y,而金鑰B用來將密文y變成明文x,當金鑰A與金鑰B是同一把金鑰時,請問他最有可能是下列何種加密演算法?�(112-1)
(A) AES
(B) RSA
(C) ECC
(D) SHA
37. 下列何者「不」是對稱式加密(Symmetric Encryption)�(110-2)
(A) 資料加密標準(Data Encryption Standard, DES)
(B) 三重資料加密演算法(Triple DES, 3DES)
(C) 橢圓曲線密碼學(Elliptic Curve Cryptography, ECC)
(D) RC6加密演算法(Rivest Cipher 6, RC6)
38. 關於公鑰( Public Key)與私鑰 Private Key)加解密,下列敘述何者「不」正確?�(110-2)
(A) 公私鑰加解密演算法使用「公鑰加密」與「私鑰解密」
(B) 數位簽章的時候,傳送端使用自己的公鑰製作簽章,接收端使用傳送端的私鑰驗證簽章
(C) 公鑰加密系統是多人都可以拿公鑰加密,但是只有一個人可以拿私鑰解密
(D) 數位簽章系統是只有一個人可以拿私鑰製作簽章,但是多人都可以拿公鑰驗證簽章
39. 關於對稱式加密(Symmetric Encryption),下列敘述何者「不」正確?�(110-1)
(A) 對稱式加密特色為加解密速度快,若使用長金鑰具備相對較高之安全性
(B) 對稱式加密金鑰管理是重要的課題,若有 N位使用者,則需N×(N-1)金鑰數目
(C) 對稱式加密中,金鑰的管理極為重要,為決定安全性之根本 之一
(D) 對稱式演算法可以驗證檔案所有人身分
40. 關於非對稱式加密(Asymmetric Encryption),下列敘述何者「不」正確?�(110-1)
(A) 非對稱式加密又稱公私鑰加密,顧名思義具有公鑰與私鑰,公鑰可公開,私鑰則須妥善保管
(B) 傳送方於傳送時可利用私鑰進行加密,接收方利用公鑰則可驗證檔案所有人
(C) 公鑰與私鑰為成對存在
(D) 若有 N個使用者,則須 N+1對金鑰 公鑰與私鑰為一對
40. 下列何種加密技術,屬於「 非對稱式金鑰加密技術 」?�(109-2)
(A) 國際資料加密演算法 (International Data Encryption Algorithm,IDEA)
(B) 進階加密標準 (Advanced Encryption Standard, AES)
(C) 資料加密標準 (Data Encryption Standard, DES)
(D) 橢圓曲線密碼學 (Elliptic Curve Cryptography, ECC)
41.關於「對稱式金鑰加密」與「非對稱金鑰加密」 ,下列敘述何者「不」正確?�(109-2)
(A) 「非對稱金鑰加密」在加解密使用不同金鑰
(B) 「對稱金鑰加密」在金鑰洩露後,其加密效果即時失效
(C) 「非對稱金鑰加密」的特性,可以實作數位簽章(Digital Signature)
(D) 「非對稱金鑰加密」的計算,效能比「對稱金鑰加密」佳
18. 若要安全傳送資料,達到只有接收方能開啟並確認內容未遭簒改,下列敘述何者正確?�(技術110-1)
(A) 資料以雜湊( Hash )演算後,以接收方的公開金鑰( Public Key )加密後傳送
(B) 資料以雜湊( Hash )演算後,以傳送者的公開金鑰 ( Public Key )加密後傳送
(C) 資料以雜湊( Hash )演算後,以接收方的私密金鑰 ( Private Key )加密後傳送
(D) 資料以雜湊( Hash )演算後,以傳送者的私密金鑰 ( Private Key )加密後傳送
營運持續名詞
恢復點目標(Recovery Point Objective, RPO):描述的是在發生故障時,您可以容忍失去多少資料。它是從最後一次成功備份的資料到系統故障時的時間差。
恢復時間目標(Recovery Time Objective, RTO):描述的是在發生故障後,您希望多久能恢復系統到一個可接受的運營水準,不可超過可用性目標設定中段時間。RTO需小於或等於MTPD/MAO/MTD,不然業務會有影響。
營運衝擊分析(Business Impact Analysis, BIA):評估事件對業務的影響,確定關鍵功能和恢復優先級。
最大可容忍中斷時間(Maximum Tolerable Downtime, MTD)或最長中斷時間(Maximum Tolerable Period of Disruption,MTPD)或最大容許中斷Maximum Acceptable Outage(MAO) :指業務流程能承受的最長中斷時間,超過此時間會造成嚴重影響,通常通過BIA取得。
工作恢復時間(WRT)指的是在資訊系統發生故障時,從開始執行臨時的替代作業流程(比如手動收單)開始計算,直到系統功能完全恢復並且所有暫時手動處理的資料都已經成功輸入系統,恢復到故障發生前的正常運營狀態為止的時間。這涵蓋了替代作業的時間以及系統修復和資料輸入的全過程。
參考https://www.uuu.com.tw/Public/content/article/21/20211101.htm
19. 關於系統災害復原規劃的敘述,下列何項錯誤?�(112-2規劃)
(A) 恢復點目標( RPO)的設定應考量資料備份頻率
(B) 最大可中斷時間( MTD)的設定,應符合組織所訂定之可用性的資安目標
(C) 恢復時間目標( RTO)之設定與最大可中斷時間( MTD)無關
(D) 營運衝擊分析( BIA)可協助評估各個系統的重要性
2. 「 M公司的資訊系統,每週均有進行系統與資料備份,且有異地備份,而近期公司增加了新多重加密機制,讓資料安全可以進一步確保。然近期進行系統之復原測試時,發現復原作業時間共需要 6小時,與公司的規定 4小時,明顯不符。」關於上述案例中,「不」符合下列何者 要求�(111-1規劃)
(A) 復原時間目標 Recovery Time Objective, RTO
(B) 復原點目標 Recovery Point Objective, RPO
(C) 平均復原時間 Mean Time to Recovery, MTTR
(D) 平均失效時間 Mean Time to Failure, MTTF
49. A公司災害緊急應變措施對於重要系統資料的恢復點目標(Recovery Point Objective, RPO)設定為4小時。關於此公司重要系統資料的備份週期,下列何項最適合?�(112-2) �
(A) 每 2小時備份
(B) 每日備份
(C) 每 8小時備份
(D) 每週備份
50. X公司對於電子郵件系統可用性目標設定為不得中斷超過一天,在制定該系統災害復原計畫時,關於此公司復原時間目標(Recovery Time Objective, RTO)的設定,下列何項最適當? �(112-1)
(A) RTO設定為二天
(B) RTO設定為一週
(C) RTO設定為20小時
(D) 在制定災害復原計畫時,不需考慮RTO
50. 下列何者「不」是營運持續性的相關用語?�111-2
(A) 交叉錯誤率(Crossover Error Rate, CER)
(B) 營運衝擊分析(Business Impact Analysis, BIA)
(C) 復原時間目標(Recovery Time Objective, RTO)
(D) 最大可容忍中斷時間(Maximum Tolerable Downtime, MTD/MTPD)
13. 下列敘述何者較「不」正確?�111-1
(A) RTO 時間越長,代表可容忍系統無法使用時間越長
(B) RPO 的時間點要求越遠,代表可允許之資料備份週期越長
(C) RPO 的時間點要求越遠,代表可允許之資料備份週期越短
(D) MTPD 時間越長,代表可容忍系統無法使用時間越長
48. 若您希望能估計營運可承受之最長中斷時間( Maximum Tolerable Period of Disruption),最有可能從下列何者取得�(110-2)
(A) 平衡計分卡( Balanced Score Card
(B) 風險評鑑( Risk Assessment
(C) 恢復點目標( Recovery Point Objective
(D) 營運衝擊分析( Business Impact Analysis
49. 在進行營運持續規劃時,若評估發現公司資料遺失之最大可接受程度為 10分鐘內,應考慮下列何者?�(110-2)
(A) 恢復點目標(Recovery Point Objective, RPO)
(B) 恢復時間目標(Recovery Time Objective, RTO)
(C) 工作恢復時間(Work Recovery Time, WRT)
(D) 最大可容忍中斷時間(Maximum Tolerable Period of Disruption, MTPD)
47. 關於復原點目標( Recovery Point Objective, RPO),下列敘述何者正確?�(110-1)
(A) 可以忍受多久的業務中斷
(B) 資料回復的時間點與資料量無關
(C) 以可容許資料損失時間與資料量,進行備份計畫評估
(D) 投入資源越多,恢復越慢
48. 在營運持續管理過程中,對下列(a)(b)(c) 三種時間( Time )的關係之敘述,何者最正確?(a) 最大容許中斷時間(Maximum Tolerable Period of�Disruption MTPD) 、 (b) 復原時間目標(Recovery Time Objective, RTO)、(c)復原點目標(Recovery Point Objective, RPO)�(109-2)
(A) (a)<(c)<(b)
(B) (a)>( b)>(c)
(C) (a)>( b),(c)與另二者無直接關聯
(D) (a)>( c),(b)與另二者無直接關聯
49. 關於復原點目標( Recovery Point Objective , RPO ),下列敘述何者正確?�(109-2)
(A) 系統硬碟所儲存的資料量
(B) 系統進行備份所需要的時間
(C) 在災害發生之後,預計要將資料復原到特定的某一時間
(D) 在災害發生之後,預計資料無法回復的時間
44. 關於復原時間目標(Recovery Time Objective, RTO)與復原點目標(Recovery Point Objectives, RPO),下列敘述何者「不」正確?�(109-1)
(A) RTO為發生中斷後皆需達到原運作水準所需花費的時間目標
(B) RPO為發生中斷後資料恢復的時間點目標
(C) RTO與中斷時間有關,RPO與資料遺失區間有關
(D) 因應RPO選用的技術有時也與RTO能恢復的時間有關
42. 在進行營運持續規劃時,若評估發現公司資料遺失之最大可接受程度為10分鐘內,應考慮下列何者?�(108-2)
(A) 恢復點目標(Recovery Point Objective, RPO)
(B) 恢復時間目標(Recovery Time Objective,RTO)
(C) 工作恢復時間(Work Recovery Time, WRT)
(D) 最大可容忍中斷時間(Maximum Tolerable Period of Disruption, MTPD)
37. 關於復原 點目標(Recovery Point Objective, RPO ),下列 敘述何者正確?�(技術109-2)
(A) RPO 指當災害發生後,資訊系統恢復基本或必要服務的所需時間
(B) RPO 的定義與組織執行備份的頻率與方式無相關
(C) RPO 定義的時間愈短,組織所需投入的成本通常就愈高
(D) RPO 與組織內資料可允許的誤差時間無關
災難備援的替代地點
恢復時間 (從最快到最慢)�全備援>熱備援>暖備援>冷備援
建置成本(從最高到最低)
全備援>熱備援>暖備援>冷備援
38. 異地備援是資料備份最好的選擇,其復原速度最快的是下列何種方式?�(技術112-2)
(A) 冷備援 Cold Site
(B) 暖備援 Warm Site
(C) 熱備援 Hot Site
(D) 全備援 Mirrored Site
50. 在組織遇到資安事件時,可能需要尋找適宜的替代場地,請問關於替代場地的敘述,下列何者較正確?�(112-2)
(A) 冷備援站點(Cold site):場地和設備皆有,於事件發生時依需求執行回復工作
(B) 暖備援站點(Warm site):異地備援端備有同樣之系統,事件發生時在可接受的時間內恢復啟用,待資料載入後即可投入營運
(C) 熱備援站點(Hot site):有提供基本設備,但仍須自行安裝系統
(D) 行動備援站點(Mobile hot site):在移動車輛中安裝設備與系統,當事件發生時,可迅速移動至適當地點啟用
40. 某公司規定重要系統與資料,在發生重大災難時,也不能發生過長營運中斷或是資料的遺失,當該公司建置異地備援中心時,下列何者「最」能符合上述要求?�(109-1)
(A) 熱備援(Hot Backup Site)
(B) 暖備援(Warm Backup Site)
(C) 冷備援(Cold Backup Site)
(D) 無需建置備援中心
42. 關於系統備援的方案:1.熱備援(Hot Backup Site)、2.暖備援(Warm Backup Site)、3.冷備援(Cold Backup Site)所需的資源成本,下列排序何者正確?�(109-1)
(A) 3>1>2
(B) 3>2>1
(C) 1>2>3
(D) 2>1>3
存取控制(Access Control)的AAA機制
認證(Authentication)
授權(Authorization)
紀錄(Accounting)
存取控制(Access Control)的AAA機制-續
CC Certified in Cybersecurity Study Guide (Sybex Study Guide) 1st 版本
29.在存取控制(Access Control)中,提到存取控制系統能夠達到的AAA機制,請問這3個A「不」包含下列何者?�(112-1)
(A) Availability
(B) Accounting
(C) Authentication
(D) Authorization
28. 關於系統安全性中,IETF(Internet Engineering Task Force)制定的�AAA 協定,下列何者定義主要說明認證機制?�(111-1)
(A) Applicability
(B) Authentication
(C) Authorization
(D) Accounting
32. 遠端用戶撥入驗證服務( Remote Authentication Dial In User Service , RADIUS)是 AAA三種服務的網路傳輸協議,關於此 AAA,下列何者「不」正確?�(110-2)
(A) Authentication
(B) Authorization
(C) Access
(D) Accounting
35. 下列何者「不」是 應用系統安全防護的三大核心(AAA)?�(110-1)
(A) Authentication
(B) Authorization
(C) Availability
(D) Accounting
35. 關於驗證( Authentication)與授權 Authorization),下列敘述何者正確?�(110-2)
(A) 輸入帳號密碼是屬於 Authorization
(B) CEO可調閱資料是屬於 Authorization
(C) 使用者輸入 MFA Token是屬於 Authorization
(D) 警察將嫌犯扣留 72小時是屬於Authentication
29. 關於身分認證(Authentication),下列敘述何者正確?�(109-1)
(A) 是個唯一且可電子讀取的名稱,電腦系統可以識別的使用者身分
(B) 會授予使用者讀、寫、執行、刪除等等權限的程序
(C) 是個會自動記錄軌跡,自己檢核的存取過程
(D) 是指通過一定的手段,完成對用戶身分的確認程序
32. 遠端用戶撥入驗證服務( Remote Authentication Dial In User Service ,�RADIUS 是 AAA 三種服務的網絡傳輸協議,關於此 AAA 下列何者「不」 正確?�(109-2)
(A) Authentication
(B) Authorization
(C) Access
(D) Accounting
雜湊函式(Hash functions)的介紹
所有雜湊函式 | SHA-1、SHA-2、MD5 |
未公開碰撞 | SHA-2 |
CIA三要素常使用 | 完整性(Integrity),因此很適合數位鑑識建立檔案指紋 |
抵擋破解 | 使用加鹽(Salt)技術,以抵擋彩虹表破解 |
作法 | 每個檔案透過雜湊會產生一組長度相同的字串,不同檔案產生的雜湊皆不相同,只差一個字元,透過雜湊函數得到的結果會差異很大 |
不可逆的特性 | 無法利用雜湊值計算取得原始資料 |
8. 當使用者利用帳號密碼登入系統時,密碼的儲存基本原則是不可以直接用明文方式存放於資料庫中,因此密碼通常利用加密�(Encryption)或是雜湊(Hash)的方式進行編碼轉換。關於雜湊函數的敘述,下列何者錯誤?�(112-2技術)
(A) 雜湊原理是限制輸入長度為8 字元以上並透過雜湊函數進行計算,計算後會得到一樣長度的密文
(B) 常見的雜湊函數有MD5、SHA-1 及SHA-2 等
(C) 輸入的原始字串只差一個字元,透過雜湊函數得到的結果會差異很大
(D) 雜湊函數具有不可逆的特性,無法利用雜湊值計算取得原始資料
3. 下列何種 密碼學演算法,對於不同大小的資料, 運算後產生的資料長度都一樣?�(111-1防護)
(A) RC5(Rivest Cipher 5)
(B) RSA(Rivest, Shamir, Adleman)
(C) ECC(Elliptic Curve Cryptography)
(D) MD5(Message Digest Algorithm 5)
9. 下列何者可被用來確認資料的完整性(Integrity)?�(109-1規劃)
(A) SHA-512
(B) 3DES
(C) RC4
(D) EC-ElGamal
36.關於目前尚未被公開有碰撞攻擊(Collision attack)威脅之雜湊函式(Hash functions)類型,下列敘述何者正確? �(112-1)
(A) SHA-1
(B) SHA-2
(C) MD5
(D) CRC-32
40. 下列何種機制「不」可用於加密及解密?�(111-2)
(A) AES(Advanced Encryption Standard)
(B) DES(Data Encryption Standard)
(C) RSA(Rivest–Shamir–Adleman)
(D) MD5(Message-digest algorithm)
35. 下列何種技術最常被拿來作為檔案完整性(Integrity)的檢查使用?�(111-1)
A) ECC
(B) SHA2
(C) RSA
(D) AES
39. 某銀行近日疑似遭遇駭客以彩虹表( Rainbow Table )攻擊法破解內部�伺服器的密碼系統,為了能夠抵擋類似的攻擊手法再度發生,請問銀行的內部密碼系統該如何因應?�(109-2)
(A) 更換加密雜湊演算法
(B) 制定更嚴謹的密碼政策
(C) 啟用密碼鎖定原則
(D) 使用加鹽的金鑰延伸函式( Key Derivation Function with a Salt
33. 下列何種技術最常被拿來作為檔案完整性 (Integrity) 的 檢查使用?�(108-2)
(A) ECC
(B) MD5
(C) RSA
(D) AES
35. 下列何種機制「不」 可用於加密及解密?�(108-2)
(A) AES(Advanced Encryption Standard)
(B) DES(Data Encryption Standard)
(C) RSA(Rivest–Shamir–Adleman)
(D) MD5(Message-Digest Algorithm)
39. 證據保管鏈 (Chain of Custody) 為 具有保管且能夠為證據提供文件證明的程序,紀錄中應該有資料 蒐集 的人、時、地、保管人以及對證據的保護手法 ,可用 下列何種方式確保證據記載之資訊的完整性?�(108-2)
(A) SHA-256
(B) X.509
(C) WPA2
(D) TLS1.3
35. 關於密碼儲存與保護,下列敘述何者為最佳實務?�(108-2)
(A) 密碼明文(Plaintext)儲存即可,無需進行加密
(B) 密碼應使用對稱式加密(Symmetric encryption)儲存
(C) 密碼應使用非對稱式加密(Asymmetric encryption)儲存
(D) 密碼加鹽後(Password salting),再儲存其雜湊與鹽值
35. 為確保公司備份資料之完整性,下列何種處理方式最佳?�(技術109-2)
(A) 加解密
(B) 身分驗證
(C) 雜湊計算
(D) 資訊隱藏
35. 在雜湊( Hash )之前將內容插入特定字串,稱為下列何者?�(技術110-1)
(A) 數位簽章(Digital Signature)
(B) 加鹽(Salt)
(C) 編碼(Encoding)
(D) 替換(Substitution)
安全控制措施類別
威懾控制(Deterrent Controls):這些控制旨在阻止違規行為的發生。例如,安全政策、警告標誌等。
預防控制(Preventive Controls):這些控制用於阻止安全事件的發生。例如,防火牆、加密、訪問控制等。
偵測控制(Detective Controls):用於發現和識別安全事件的發生。例如,入侵檢測系統(IDS)、安全監控攝像頭等。
補償控制(Compensating Controls):當主要控制無法實施或不充分時,這些控制作為替代或補充措施。例如,增加審計日誌和監控。
糾正控制(Corrective Controls):這些控制用於在安全事件發生後立即作用,以糾正和恢復系統。例如,對系統重新配置或關閉受感染的系統。
恢復控制(Recovery Controls):這些控制用於在發生安全事件後恢復和修復系統。例如,災難恢復計劃和資料備份。
5. (單選題)規劃縱深防禦(Defense in Depth)時,我們常會採用多種不同�面向的管控措施( Controls ),下列何者屬於預防性存取管控措施�(Preventative Access Control)?�(108-1規劃)
(A) 側錄系統 Session recording system
(B) 加密 Encryption
(C) 備份 Backup
(D) 入侵偵測系統 Intrusion detection system
28.門禁卡與機房進出需要特定密碼控制實體出入,是下列�哪一個目的?�(111-2)
(A) 偵測性
(B) 指導性
(C) 預防性
(D) 嚇阻性
23. 關於控制的類型,下列何者「不」正確?�(109-1)
(A) 嚇阻性:為了讓有犯意的人,因恐懼而產生放棄,如:違反條款
(B) 偵測性:為了事件發生時,能夠產生警訊而察覺,如:入侵偵測
(C) 預防性:為了避免不希望的事情發生,如:設立門禁卡
(D) 指導性:為了回復至正常運作的措施,如:回復正確設定
17. 下列何者「不」屬於預防性 Preventive 的安全管控機制?�(技術110-1)
(A) 實施強制性密碼原則管理
(B) 安裝防毒軟體並啟動即時偵測
(C) 定期檢視安全記錄檔(Log)
(D) 定期套用安全性更新(Patch)
生物辨識錯誤型態
生物辨識錯誤型態-續
31. 關於生物辨識錯誤型態的敘述,下列何者正確?�(111-2)
(A) 錯誤接受(False Acceptance)發生時,會拒絕正確使用者進入
(B) 交叉錯誤率(Crossover Error Rate, CER)發生時為第一型錯誤率等於第二型錯誤率
(C) 對存取控制來說第一型錯誤發生時比第二型錯誤嚴重
(D) 視網膜與虹膜辨識的CER 最高
35.公司的簽到系統是採用動態行為特徵「簽名辨識」(在電子筆上加裝感應器),但某日員工Alex 因為慣用右手受傷,改用左手簽名,卻一樣可以通過辨識簽到系統,請問安全管理人員得知此狀況後,該如何處理?�(111-2)
(A) 將簽到系統的敏感度調高,以降低錯誤拒絕率(False Rejection Rate)
(B) 將簽到系統的敏感度調低,以提高錯誤拒絕率(False Rejection Rate)
(C) 將簽到系統的敏感度調高,以降低錯誤接受率(False Acceptance Rate)
(D) 將簽到系統的敏感度調低,以提高錯誤接受率(False Acceptance Rate)
30. 若運用「生物特徵」來做身分認證時,儀器的最佳靈敏度必須調整在誤殺( False Reject)與誤放 ( False Accept)兩條曲線的交叉點,此交叉點被稱為下列何種錯誤率?�(110-2)
(A) 位元錯誤率 Bit Error Rate
(B) 封包錯誤率 Packet Error Rate
(C) 測試錯誤率 Test Error Rate
(D) 交點錯誤率 Crossover Error Rate
30. 關於生物特徵認證中 之 CER、 FRR與 FAR三種評比指標 ,下列敘述何者 「不」 正確?�(110-1)
(A) CER:交叉錯誤率,集合 FRR及 FAR兩個曲線的交叉點
(B) FRR:錯誤拒絕率,把對的驗證為錯誤的屬於 Type I error
(C) FAR:錯誤接受率,把錯誤的驗證為對的屬於 Type II error
(D) 生物特徵認證,最好的是 CER及 FAR愈高的愈好
30. 在挑選以生物辨識(Biometrics)為主的驗證設備時 下列何種 評估要素「不」是常 用來比較設備間的優劣性?�(109-2)
(A) 錯誤接受率(False Accept ance Rate, FAR)
(B) 正確拒絕率(True Rejection Rate, TRR)
(C) 錯誤拒絕率(False Rejection Rate, FRR)
(D) 交叉錯誤率(Crossover Error Rate , CER)
23. 若公司的門禁出入管制已使用生理特徵認證(Biometric Authentication)設備進行身分驗證,為更加嚴格管制, 建議應如何調整生理特徵設備?�(108-2)
(A) 選擇交叉錯誤率(Crossover Error Rate, CER)
(B) 提高錯誤拒絕率(False Rejection Rate, FRR)
(C) 提高錯誤接受率(False Acceptance Rate, FAR)
(D) 選擇相等錯誤率(Equal Error Rate, EER)
磁碟陣列(Redundant Array of Independent Disks, RAID)等級
RAID0:至少需要兩顆,不可壞硬碟,空間利用率為N,實務上不使用。
RAID1:至少需要兩顆,最多可壞一硬碟,空間利用率為N/2。
RAID5:至少需要三顆,最多可壞一顆硬碟,空間利用率為N-1。
RAID6:至少需要四顆,最多可壞兩顆硬碟,空間利用率為N-2。�(https://www.synology.com/zh-tw/support/RAID_calculator 可以計算容量)
RAID10:至少四顆,以兩對鏡像每一對鏡像中最多可壞一顆硬碟,空間利用率為N/2。��
11. 磁碟陣列( RAID)是指使用多個磁碟進行資料複製的檔案系統,它是一種即時備援與資料復原技術,若以硬碟毀損方面進行評估,下列何種規劃對於資料保存的安全性最低?�(111-1防護)
(A) AD主機採用 2顆 SATA硬碟規劃成 RAID1
(B) 網路儲存裝置( NAS)採用 8顆 SATA硬碟規劃成 RAID5
(C) 檔案伺服器採用 4顆 SAS硬碟規劃成 RAID0
(D) 儲存區域網路( SAN)採用 16顆 SAS硬碟規劃成 RAID6
2. 關於容錯式磁碟陣列(RAID, Redundant Array of Independent Disks)當中的RAID 5,下列敘述何者「不」正確?�(109-1防護)
(A) 最大容錯1顆硬碟異常
(B) 最少需要5顆硬碟
(C) 讀取效能比RAID 1低
(D) 容錯能力比RAID 0高
4.(單選題)磁碟陣列 RAID 是一種即時備援與資料復原技術,它主要使用多個磁碟進行資料複製的檔案系統, 下列何種規劃 「 不 」 能 避免因單一磁碟故障而造成資料損毀的能力?�(108-1防護)
(A) AD 主機採用 2 顆 SATA 硬碟規劃成 RAID1
(B) 檔案伺服器採用 4 顆 SAS 硬碟規劃成 RAID0
(C) 網路接取儲存器 NAS 採用 8 顆 SATA 硬碟規劃成 RAID5
(D) 域儲存網路 SAN 採用 16 顆 SAS 硬碟規劃成 RAID6
14. 常見的磁碟陣列(Redundant Array of Independent Disks, RAID)中,�RAID5 可以容忍同時幾顆硬碟損毀?�111-1
(A) 1
(B) 2
(C) 3
(D) 4
44. 下列何種磁碟陣列( RAID )等級 沒有 提供容錯能力?�(108-2)
(A) RAID 1
(B) RAID 0
(C) RAID10
(D) RAID 5
36. 某公司將網站伺服器內的五顆硬碟作 RAID 5 ,並且規劃備份機制為每週日 23:30 進行完整備份( Full Backup ),其餘每天 23:30 進行差異備份( Differential Backup ),若於某週三 23:00 時伺服器其中一顆硬碟發生故障,此時應採取下列何種處理方式?�(110-1)
(A) 將上週五的 Full Backup 磁帶回存,再依序將週日、一、二的增量備份磁帶回存
(B) 將上週五的 Full Backup 磁帶回存,再將週二的備份磁帶回存
(C) 將上週三的磁帶回存
(D) 只需更換有問題的硬碟 ,重作 Rebuild 即可
36. 若公司營運系統伺服器內有三顆硬碟作 RAID 5 ,並且備份機制中規劃每週五 23:00 進行完整備份(Full Backup),其餘每天 23:00 進行增量備份(Incremental Backup)已持續運行半年狀況很好,無奈於本週一 11:00 時伺服器其中一顆硬碟發生故障,請 問應採取下列何種處理方式?�(技術108-2)
(A) 將上週五的 Full Backup 磁帶回存,再將六、日的增量備份磁帶回存
(B) 將上週五的 Full Backup 磁帶回存,再將週日的備份磁帶回存
(C) 更換有問題的硬碟
(D) 更換有問題的硬碟,並將上週五的 Full Backup 磁帶回存,再將六、日的增量備份磁帶回存
35. 若公司營運系統伺服器內有三顆硬碟作 RAID 5,並且備份機制中規劃每週五 23:00進行完整備份( Full Backup),其餘每天 23:00進行增量備份( Incremental Backup)已持續運行半年狀況很好,無奈於本週一11:00時伺服器其中一顆硬碟發生故障,請問應採取下列何種處理方式?�(111-2)
(A) 將上週五的 Full Backup磁帶回存,再將六、日的增量備份磁帶回存
(B) 將上週五的 Full Backup磁帶回存,再將週日的備份磁帶回存
(C) 更換有問題的硬碟 即可
(D) 更換有問題的硬碟,並將上週五的 Full Backup磁帶回存,再將六、日的增量備份磁帶回存
資料備份策略
� | 全備份�(Full Backup)� | 差異備份�(Incremental Backup) | 增量備份�(Differential Backup) |
備份時間 | 最慢 | 次中 (與最近一次全備份的不同檔案) | 最快 (與最近一次增量備份的不同檔案,若無則全備份) |
還原時間 | 最快 (僅一個檔案) | 次中 (全備份+差異) | 最慢 (全備份+所有增量) |
使用空間 | 最多 | 次中 | 最少 |
比方說還原星期二好了
完整:星期二的完整備份
差異:星期日的完整備份+星期二的差異備份
增量:星期日的完整備份+星期一的增量備份+星期二的增量備份
4. 某公司在每週星期日凌晨1點執行完整備份(Full Backup),每日凌晨1點執行增量備份(Incremental Backup),每日備份資料分存放於不同磁帶。若此系統在星期三的下午2點發生嚴重損毀(Crash),資訊人員執行資料回復,需使用多少個磁帶的資料?�(109-1規劃)
(A) 1
(B) 2
(C) 3
(D) 4
星期日凌晨一點完整備份�磁帶一
星期一凌晨一點增量備份�磁帶二
星期二凌晨一點增量備份�磁帶三
星期三凌晨一點增量備份�磁帶四
星期三下午兩點系統掛了�需要幾個磁帶?
37. 當 A公司的備份策略是每個月底最後一天的 晚上 6點 後進�行一次全備份,而每週六 凌晨 1點 進行一次差異備份,假設�所有備份檔案都完整,今天 3月 10日剛好是週五,中午時不幸系統中毒,所有資料遺失,請問當備份順利還原後,最近的資料是下列哪一天的備份?�(技術112-2)
(A) 2月 28日
(B) 3月 4日
(C) 3月 9日
(D) 3月 10日
37. 請問下列何種備份策略,所需的儲存空間最少?�(112-1)
(A) 全備份配合增量備份
(B) 全備份配合差異備份
(C) 複製
(D) 差異備份配合增量備份
36. 關於電腦檔案備份的敘述,下列何者錯誤?�(技術112-1)
(A) 檔案備份首重擬定備份策略,以確實發揮資料還原效果
(B) 將資料依重要性程度加以區分,在訂定資料備份策略時,才能掌握真正需要備份的標的
(C) 完整備份:備份空間有限的狀況下,十分適合使用完整備份
(D) 備份位置主要可分為「本機備份」、「異機備份」及「異地備份」三種不同方式
48. 關於差異備份,下列敘述何者較為正確?�111-1
(A) 只備儲存媒體內自上次完全備份後曾更改或新增的檔案
(B) 只備儲存媒體內自上次備份後曾更改或新增的檔案
(C) 只備儲存媒體內第三次備份後曾更改或新增的檔案
(D) 只備儲存媒體內自上次完全備份後曾新增的檔案
46. 若固定每星期日執行一次完整備份( Full Backup),之後每天會備份從上次完整備份到目前所異動的內容,此 種備份方式 稱為下列何者?
(A) 差異備份(Differential Backup)
(B) 增量備份(Incremental Backup)
(C) 循環備份(Circulatory Backup)
(D) 緊急備份(Emergency Backup)
50. 下列三種備份方式,依其執行備份所需的時間 下列何者較為正確?�甲:完全備份(Full Backup)、 乙:增量備份(Incremental Backup)、�丙:差異備份(Differential Backup)�(109-2)
(A) 甲>乙=丙
(B) 甲<丙<乙
(C) 甲=乙>丙
(D) 甲>丙>乙
43. 若系統固定每星期日執行一次完整備份(Full Backup),則星期一到星期六每天備份後與星期日完整備份後不同的部分,稱為下列何者?�(109-1)
(A) 差異備份(Differential Backup)
(B) 增量備份(Incremental Backup)
(C) 循環備份(Circulatory Backup)
(D) 緊急備份(Emergency Backup)
43. 若固定每星期日執行一次完整備份( Full Backup ),星期一到星期六每�天備份與前一天差異的部分(如 :星期一備份與星期日的差異,星期三備份與星期二的差異), 此現象稱為 下列何者?
(A) 差異備份(Differential Backup)
(B) 增量備份(Incremental Backup)
(C) 循環備份(Circulatory Backup)
(D) 緊急備份(Emergency Backup)
36. 關於差異備份(Differential Backups)與增量備份(Incremental Backup),下列敘述何者正確?�(技術109-1)
A) 差異備份是指每一次備份都是將所有檔案資料重新備份一次
(B) 每次差異備份所備份之資料量會大於等於(>=)增量備份所備份的資料量
(C) 初次差異備份須先針對所有資料進行一次完整備份,但增量備份不用
(D) 增量備份在進行資料復原時,只需要使用最後一次的備份資料即可
33. 差異備份、 增量備份、 完整備份此三種備份方式的備份速度,由快到慢依次為下列何者?�(技術108-2)
(A) 完整備份、差異備份、 增量備份
(B) 差異備份、 增量備份、完整備份
(C) 增量備份、差異備份、完整備份
(D) 完整備份、 增量備份、差異備份
34. 某組織規劃的資料備份策略為週日進行完全備份,週一至週六進行「 X 」備份。若組織在週四因系統問題導致資料毀損,此時資料備份管理員之處理程序為先還原週日完全備份資料後,再依序將週一至週三所備份之資料還原,請問此「 X 」備份是指下列何者?�(技術110-1)
(A) 完整備份(Full Backup)
(B) 增量備份(Incremental Backup)
(C) 減量備份(Decremental Backup)
(D) 差異備份(Differential Backup)
36. 某組織在資料異動量大以及期望資料復原速度快之前提下,規劃了資�料備份策略為週日進行完全備份,週一至週六進行「 X 」備份。該組織週三因系統問題導致資料毀損,此時資料備份管理員之處理程序為先還原週日完全備份資料後,再加上週二(事故發生前一天)所備份之資料,請問此「 X 」備份 是 指下列 何者�(技術109-2)
(A) 完全備份(Full Backup)
(B) 選擇式備份(Selective Backup)
(C) 差異備份(Different Backup)
(D) 增量備份(Incremental Backup)
32. 只有在第一次備份時做完整備份,而之後每次備份時,只從上次備份至目前有改變的檔案進行備份,此為下列何種備份方式?�(技術110-2)
(A) 完整備份(Full Backup)
(B) 差異備份(Different Backup)
(C) 增量備份(Incremental Backup)
(D) 選擇式備份(Selective Backup)
36. 若資料持續不斷增加,則差異備份、增量備份、完整備份三種備份方式的備份速度,「由慢到快」依次為下列何者?�(技術110-2)
(A) 完整備份、差異備份、增量備份
(B) 差異備份、增量備份、完整備份
(C) 增量備份、差異備份、完整備份
(D) 完整備份、增量備份、差異備份
15. 在其他備份環境與條件相同情況下,下列何者備份方式,其還原時速度最慢?�(111-1)
(A) 完整 備份(Full Backup)
(B) 差異備份(Different Backup)
(C) 增量備份(Incremental Backup)
(D) 選擇式備份(Selective Backup)
37. 請問利用磁帶進行資料備份時,執行備份時耗時較久,但回復時需要的磁帶數通常最少的是下列何者?�(111-2)
(A) 巨量備份(Bigdata Backup)
(B) 完全備份(Full Backup)
(C) 差異備份(Differential Backup)
(D) 增量備份(Incremental Backup)
營運持訓計畫之演練方式
檢查表測試 (Checklist Test):主要側重於文件和計劃的檢查。參與者會根據提供的檢查表逐項確認災難恢復計劃的各個部分,以確保所有關鍵元素都已被涵蓋並且是最新的。
結構化排練測試(Structured Walk-through):大家坐下來閱讀和討論災難復原程序書,找看看有沒有哪裡有問題,比方說實際無法達成。
模擬測試(Simulation Test):會模擬一種災難情況,要求災難恢復團隊啟動並執行他們的恢復計劃,大家會模擬走動,但不會實際碰到機器。
並行測試(Parallel Test):開啟備援機房,但是主要機房還是持續提供服務。
完全中斷測試(Full-interruption Test):最極端方法,關閉主要機房,然後備援機房提供服務,模擬轉移到災難恢復站點來測試在真正的災難情況下的業務連續性。
越往下成本和風險越高,但是越能反應真實
49. 下列何者「不」屬於營運持續計畫之演練方式?�111-1
(A) 模擬測試
(B) 檢查表測試
(C) 黑箱測試
(D) 完全中斷測試
49. 關於營運測試,下列敘述何者正確?�(110-1)
(A) 平行測試:在實際作業環境中進行測試
(B) 完全中斷測試:於備援平台上進行測試
(C) 模擬測試:建立模擬環境並於其中測試
(D) 結構化排練測試:權責單位各自討論處理方式與可行性
45. 在進行演練測試時,規劃將關閉主站點來進行有效測試請問此方法為下列何種測試?�(108-2)
A) 結構化瀏覽演練(Structured Walk through)
(B) 模擬測試(Simulation Test)
(C) 並行測試(Parallel Test)
(D) 完全中斷測試(Full interruption Test)
相關法規和認證
ISO 27001:資訊安全管理系統標準(ISMS)。
ISO 27002:資訊安全控制措施指南。
ISO 27701:隱私管理系統指南,個資相關。
ISO 27017:雲服務資訊安全控制指南。
ISO 27018:雲服務個資保護指南,個資相關。
ISO 22301:業務連續性管理系統標準,營運持續相關。
BS 10012:英國標準協會發布的個人資訊管理系統。
GDPR:歐盟一般資料保護法規,個資相關。
個人資料保護法:中華民國適用,個資相關。
CSA STAR:幫助用戶評估雲服務提供商的安全性。
IEC 62443:工控安全相關。
相關法規和認證-續
相關法規和認證-續
4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?�(112-1規劃)
(A) ISO 27001
(B) ISO 27701
(C) BS 10012
(D) IEC 62443
1. X公司為在中華民國註冊登記之公司,該公司將於 2023年�導入資安管理制度 並預計於 2024年第一季通過國際資安驗證,請問下列何項制度最適合 X公司做為導入資訊安全管理制度依循之參考?�(112-1規劃)
(A) ISO/IEC 27001 : 2013
(B) ISO/IEC 27004 : 2016
(C) ISO/IEC 20000-1 : 2018
(D) ISO/IEC 27001 : 2022
50. 下列何項標準「不」是針對物聯網設備?�(技術112-1)
(A) NIST SP 800-213
(B) ETSI EN 303 645
(C) ISO 27400
(D) IEC 62443-3-2
44. 下列何者「不」是和雲端安全有關的國際標準?�(技術111-2)
(A) ISO/IEC 27011
(B) ISO/IEC 27017
(C) ISO/IEC 27018
(D) CSA STAR
8. 立案於我國的A公司主要營業活動市場位於中華人民共和國及新加坡並將以ISO 27001架構公司之資訊安全管理系統,下列何項要求在其架構資訊安全管理系統時,並非優先考量項目?�(112-1)
(A) ISO 27001:2022
(B) 個人資料保護法(中華民國)
(C) 歐盟一般資料保護法規(General Data Protection Regulation, GDPR)
(D) 網路安全法(中華人民共和國)
3. 下列何者為國際上受到業界認可,並可驗證的資訊安全管理系統�(Information Security Management System, ISMS)標準?�(111-1)
(A) ISO 9001
(B) ISO 27000
(C) ISO 27001
(D) ISO 27002
� �3. 下列何種標準是針對雲端服務個人隱私資料的保護?�(110-2)�
(A) ISO/IEC 27001
(B) ISO/IEC 27002
(C) ISO/IEC 27017
(D) ISO/IEC 27018
8. 若要 實施資訊安全管理系統( Information Security Management System, ISMS),第三方驗證公司是依據下列何種 ISO標準進行驗�證?�(110-1)
(A) ISO/IEC 27000 :2013
(B) ISO/IEC 27001 :2013
(C) ISO/IEC 27002 :2013
(D) ISO/IEC 27003 :2013
5. 下列何者是國際標準組織(International Organization for Standardization, ISO)將資訊安全管理系統(Information Security Management System, ISMS)制定的資訊安全第三方驗證標準?�(109-1)
(A) ISO 27000
(B) ISO 27001
(C) ISO 27002
(D) ISO 27005
7. 導入資訊安全管理系統( Information Security Management System , ISMS ),第三方驗證單位 是 依據 下列何種 ISO 標準進行驗證?�(108-2)
(A) ISO/IEC 27000 :2013
(B) ISO/IEC 27001 :2013
(C) ISO/IEC 27002 :2013
(D) ISO/IEC 27003 :2013
6. 下列 何者 與保護 「 個人資訊隱私 」 有關?�(109-2)
(A) 個人資料保護法
(B) 專利法
(C) 商標法
(D) 著作權法
50. 下列何者違反 GDPR (General Data Protection Regulation) 的規範要求?�(108-2)
(A) GDPR 為歐盟一般資料保護法規
(B) 任何使用與歐盟公民相關資訊的公司都必須遵循
(C) 雲端處理者與控制者目前不納入 GDPR 強制實施範圍
(D) 要求持有個人可識別資訊的組織,需實施適切的安全控制措施,以防止個人資料遺失
44. 下列何者「不」是和雲端安全有關的國際標準?�(技術109-1)
(A) ISO/IEC 27011
(B) ISO/IEC 27017
(C) ISO/IEC 27018
(D) CSA STAR
43. 下列何者「不」是和雲端安全有關的國際標準?�(技術110-1)
(A) ISO/IEC :27011
(B) ISO/IEC :27017
(C) ISO/IEC :27018
(D) CSA STAR
常見國際標準
PCI DSS(Payment Card Industry Data Security Standard):支付卡產業資料安全標準,信用卡相關。
HIPAA(Health Insurance Portability and Accountability Act):健康保險便利和責任法案 ,醫療相關。
Sarbanes-Oxley Act:沙賓法案,公司財報相關。
Basel II:國際銀行監管標準,銀行監管相關。
為保障信用卡持卡人的資料安全,制定統一的資料安全標準,提供資�料安全的技術與作業要求之基準,此行為屬於下列何者?�(110-2)
(A) PCI DSS
(B) HIPAA
(C) Sarbanes-Oxley Act
(D) Basel II
49. 為保障持卡人的資料安全,制定統一的資料安全標準,提供資料安全的技術與作業要求之基準 ,此 行為 屬 下列何者?�(108-2)
(A) PCI DSS
(B) HIPAA
(C) Sarbanes Oxley Act
(D) Basel II
存取控制類型
自由存取控制(Discretionary Access Control,DAC):實例:Windows個人電腦的檔案系統,檔案擁有者可以任意授權。
強制存取控制(Mandatory Access Control,MAC):實例:SELinux(Security-Enhanced Linux)。SELinux是一種在Linux作業系統中實現的安全子系統,它提供了基於強制存取控制的安全策略。
角色存取控制(Role-based Access Control,RBAC):實例:企業環境中的用戶權限管理。讓只有人資部門群組成員才能訪問人資資料夾。
屬性存取控制(Attribute-based Access Control,ABAC): 就算是部長在非洲訪問,也不能使用非洲網路簽屬公文,因為風險太高,但可以瀏覽行事曆。
規則基礎存取控制(Rule based Access Control):辦公室安全系統控制。設定規則允許員工在工作日的9:00 AM至5:00 PM期間使用其門禁卡進入辦公室,但在非工作時間或假日自動拒絕所有門禁卡的存取請求。這裡的存取控制完全基於時間規則
15. 「 某網站伺服器經常有大量的使用者來進行異動,且常會定義不同的使用者身份,例如會員、非會員或系統管理者。」關於網站存取控制模型之選擇,下列何者 管理效率較高?�(111-1規劃)
(A) 存取控制清單 Access Control List
(B) 強制存取控制 Mandatory Access Control
(C) 自主性存取控制 Discretionary Access Control
(D) 以角色為基礎的存取控制 Role Based Access Control
1. 下列何者 最能說明系 統 角色權限存取控制 Role-Based Access Control, RBAC?�(110-1規劃)
(A) 允許系統管理者決定誰能不能夠存取相關資源
(B) 採用集中存取控制方法,系統管理者可不需要依使用者部門來進行存取控制設定
(C) 可依據系統使用者的工作任務,設定與變更人員操作存取權限,也可於使用人員任務異動時撤銷不需要的授權功能
(D) 主要作為 執行企業資訊系統的安全策略、資安標準和作業管理指南
8. 關於資訊安全模型(Security Models)中的強制存取控制(Mandatory Access Control, MAC),下列敘述何者「不」正確?�(109規劃)
(A) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取物件(Object)機敏等級來決定是否可以存取
(B) 安全強度較自主存取控制(Discretionary Access Control, DAC)高
(C) 傳統的Unix系統使用者(Users)、群組(Groups)和讀-寫-執行(Read-Write-Execute)管控,即為MAC的一種實作
(D) 安全政策(Policy)由安全政策員(Security policy administrator)集中管控
26. 存取控制( Access Control)決定使用者與作業系統之間的溝通,防止系統資源或資料被未經授權地存取。請問下列何者「不」是存取控制�在組織中主要區分的三種操作模式?�(110-2)
(A) 強制存取控制(Mandatory Access Control, MAC)
(B) 任意存取控制(Discretionary Access Control, DAC)
(C) 屬性存取控制(Attribute-based Access Control, ABAC)
(D) 角色基準存取控制(Role-based Access Control, RBAC)
32. 銀行櫃檯出納員的存取控制最適合實施下列 何種 存取控制?�(109-2)
(A) 強制性存取控制(Mandatory Access Control)
(B) 規則基礎存取控制(Rule based Access Control)
(C) 角色基礎存取控制(Role based Access Control)
(D) 自由決定存取控制(Discretionary Access Control)
31. 關於系統管理者統一指定使用者對資源之權限存取策略,屬於下列何種安全模式?�(109-1)
(A) MAC(Mandatory Access Control)強存取控制
(B) DAC(Discretionary Access Control)自由存取控制
(C) RBAC(Role-Based Access Control)基於角色存取控制
(D) ABAC(Attribute-Based Access Control)基於屬性存取控制
17. 於 Linux 作業系統中,(SELinux Security Enhanced Linux)為何種存取控制模型的實作?�(技術108-2)
(A) DAC(Discretionary Access Control)
(B) MAC(Mandatory Access Control)
(C) RBAC(Role Base Access Control)
(D) NonDAC(Non Discretionary Access Control)
資安健檢方法
網路弱點掃描(Network Vulnerability Assessment):透過自動化工具對網絡系統和服務進行掃描,以識別安全弱點和漏洞。這個過程通常是全自動的,旨在快速識別和報告潛在的安全問題。
滲透測試(Penetration Testing):綜合使用手工技術和自動化工具來評估系統的安全性。滲透測試模擬駭客的攻擊手法,以深入評估系統的安全性,尋找並嘗試利用弱點,更重視弱點的實際可利用性和對系統造成的影響。
網頁應用程式弱點掃描(Web Vulnerability Assessment):特別針對網頁應用程式,透過自動化工具掃描網頁應用的安全漏洞,如SQL注入、跨站腳本(XSS)等。這也是一個自動化過程,主要用於識別網頁應用中的常見安全問題。
源碼檢測(Source Code Analysis):利用自動化工具或手動方法分析應用程序源碼,旨在發現安全漏洞如密碼沒有加密儲存。此過程幫助早期識別問題,促進安全編碼習慣,可完全自動化或結合手動審查提高準確度。
34. 【題組4】情境如附圖所示。API 伺服器上線前可以進行滲透測試、弱點掃描、源碼檢測的敘述,下列何者正確?�(112-2防護)
(A) 原始碼檢測應該每季執行
(B) 滲透測試有機會找出商業邏輯漏洞
(C) 弱點掃描應該在開發階段進行
(D) 弱點掃描不應定期執行
28. 與滲透測試及弱點掃描相關議題的敘述,下列何者較為正確?�(112-2防護)
(A) 若使用滲透測試工具來測試系統安全性,測試期間宜謹慎規劃不要危及系統運作
(B) 滲透測試會影響系統可用性之稽核測試,宜於正常營運時間執行,可確認實際結果
(C) ISO 27005 為提供關於技術遵循性審查之特定國際指引
(D) 滲透測試或源碼檢測之結果,若有風險需判斷修補,可於下次再檢測時,確認實施結果
13. AAA公司網站常受駭客入侵,網站風險問題一直居高不下,關於降�低網站風險問題處理實務,下列做法何者 較為 正確?�(111-1規劃)
(A) 連線至後台管理系統的帳號密碼不需要區隔讀取與寫入刪除資料庫權限區隔
(B) 公司網站應定期進行網站黑箱檢測以及系統弱點掃描,對程式碼應進行 Code Review
(C) 工程師在系統上直接更新新版程式,可先將舊版程式改名成 bak作為歷史留存在官網系統中,以便日後改錯後有原始程式碼做修正使用
(D) 網站已經建立網站應用程式防火牆( Web Application Firewall, WAF)系統,其主機作業系統 則不需要再升級更新
13. 某公司被主管機關要求須每年進行網路資安健檢,下列何者較「不」符合主管機關之資安健檢要求?�(111-1防護)
(A) 到場網頁應用程式弱點掃描
(B) 到場網路安全備份服務
(C) 遠端網路弱點掃描
(D) 遠端滲透測試
10. 在網站平台開發時弱點管理的範疇中時常需要進行源 碼檢測、弱點掃描、滲透測試;源碼檢測目的是透過對原始碼的檢查,挖掘已知或未知的網頁問題,而進行弱點掃描的目的為何?�(111-1防護)
(A) 驗證所知弱點的可行性
(B) 以駭客或惡意使用者的角度對目標進行驗證
(C) 檢測程式中的商業邏輯問題
(D) 檢測在環境與系統上的錯誤
24. 題組背景描述如附圖。公司為客戶開發的軟體系統,於交付客戶前,為確保其安全性,應先執行下列哪些工作?(複選)�(109-1防護)
(A) 弱點掃描
(B) 原始碼檢測
(C) 滲透測試
(D) 使用者體驗檢測
14.(單選題)公司資訊室主任要求 MIS 人員每一季使用 Nessus 掃瞄工具進行公司內部網段掃瞄,下列 何者 「 不 」 是 本項作業的目的?�(108-1防護)
(A) 辨認目前主機系統的弱點
(B) 模擬駭客人工入侵發掘系統中未知的漏洞
(C) 辨識出缺乏安全管控的項目
(D) 解讀安全弱點,再進行安全強化
8.(單選題)公司收到主管機關要求,必須每年進行網路 資安健檢 下列何者方式 較 「 不 」 符合?�(108-1防護)
(A) 遠端網路弱點掃描 Network V ulnerability Assessment
(B) 遠端滲透測試 Penetration Testing
(C) 到場網頁應用程式弱點掃描 Web Vulnerability Assessment
(D) 到場網路安全備援服務
19. 關於滲透測試( Penetration Test)的敘述,下列何者錯誤?�(技術112-2)
A) 滲透測試的工作由一群對網路及系統安全有完整知識與豐富經驗的成員組成,為確保組織資訊安全,不可能委託由第三方負責
(B) 滲透測試是藉由對企業網路採取各種攻擊的手段以便找出系統可能存在的漏洞
(C) 雙黑箱滲透測試主要對內部人員保密下進行
(D) 滲透測試主要考驗系統的安全防護能力
33. 關於「弱點掃描」的描述,下列何者最「不」正確?�(技術112-1)
(A) 此作業可能會觸發入侵偵測系統的警告
(B) 可部署 Web應用程式防火牆,來避免弱點掃描的探測
(C) 是滲透測試( Penetration Test)常見的前置作業之一
(D) Ping工具的使用,是弱點掃描常用前置作業之一
43. 公司收到主管機關要求,必須每年進行網路資安健檢,下列何種處理較「不」符合?�(110-2)
(A) 遠端網路弱點掃描(Network Vulnerability Assessment)
(B) 遠端滲透測試(Penetration Testing)
(C) 到場網頁應用程式弱點掃描(Web Vulnerability Assessment)
(D) 到場網路安全備援服務
27. 某網站在設計時進行過安全分析,也在開發時要求程序員編寫安全的代碼,但佈署時由於管理員將備份存放在 WEB 目錄下導致了攻擊者可直接下載備份,為了發現系統中是否存在其他類似問題,下列何種測試方式是最佳的測試方法?�(技術110-1)
(A) 模糊測試
(B) 源碼測試
(C) 整合測試
(D) 滲透測試
30. 關於弱點評估,下列敘述何者正確?�(技術110-1)
(A) 不同的弱點管理方式都可使用相同的風險評級對弱點進行評分
(B) 具高風險弱點可協助組織提升在業界中的口碑
(C) 弱掃報告中的弱點評分可依據組織產業類型或性質重新給予評分
(D) 弱掃工具提供的報告結果準確性高,無需再對弱點進行評估
27. 下列何者「不」屬於滲透測試之手段?�(技術111-1)
(A) 社交攻擊
(B) 密碼破解
(C) 弱點掃描
(D) 分散式服務阻斷攻擊
稽核活動中常見的類型
第一方( First Party )稽核:也稱為內部稽核,是由組織內部人員對自己的操作或系統進行的稽核。
第二方( Second Party )稽核:主管機關對所屬機關或公司對供應商。
第三方( Third Party )稽核:由獨立的外部組織進行的稽核,例如SGS或BSI對公司進行ISO 27001驗證。
聯合/合併( Joint )稽核:當需要對多個管理系統或標準進行稽核時,可以同時進行以節省資源和時間。例如,公司可能選擇同時進行ISO 22301(業務連續性管理)和ISO 27001(資訊安全管理)的稽核。
8. 請問主管機關對所屬機構(如 金管會對銀行)執行之稽核,稱為下列何者?�(109-2)
(A) 第一方( First Party )稽核
(B) 第二方( Second Party )稽核
(C) 第三方( Third Party )稽核
(D) 聯合合併( Joint )稽核
10. 下列何種稽核可做出建議 ISO 27001 通過驗證發出證書?�(109-2)
(A) 第一方( First Party )稽核
(B) 第二方( Second Party )稽核
(C) 第三方( Third Party )稽核
(D) 第四方( Fourth party )稽核
50. 由獨立的驗證單位所執行之稽核,稱為下列何者?�(109-1)
(A) 第一方(First Party)稽核
(B) 第二方(Second Party)稽核
(C) 第三方(Third Party)稽核
(D) 聯合/合併(Joint)稽核
8. 可建議發出 ISO 27001 通過驗證的國際證書,為下列何者?�(108-2)
(A) 第一方稽核
(B) 第二方稽核
(C) 第三方稽核
(D) 第四方稽核
存取控制具體實施的類型
管理控制(Administrative Control):組織的政策、程序、標準和指南,例如:資通安全政策。
技術控制(Technical Control):涉及使用技術手段來保護資訊系統和資產。例如:防火牆、IPS和加解密技術。
實體控制(Physical Control):例如圍籬、守衛、空調環控和門禁系統。
11. 某公司在員工個人電腦登入後會強制跳出提醒訊息:「請遵守本公司資訊安全規範,避免機敏資料外洩」,此提醒屬於下列何種控制措施?�(109-1規劃)
(A) 管理的(Administrative)、威嚇性(Deterrent)
(B) 管理的(Administrative)、預防性(Preventive)
(C) 技術的(Technical)、威嚇性(Deterrent)
(D) 技術的(Technical)、預防性(Preventive)
31. 下列何者 「不」是 存取控制具體實施時的類型?�(109-2)
(A) 還原控制(Recovery Control)
(B) 管理控制(Administrative Control)
(C) 技術控制(Technical Control)
(D) 實體控制(Physical Control)
常見資安設備
安全資訊與事件管理(Security Information & Event Management, SIEM):集中收集公司的日誌資料,進行事件關聯分析和響應。
入侵偵測系統(Intrusion Detection Systems, IDS):監控網路封包,只偵測潛在入侵行為。
入侵預防系( Intrusion Prevention Systems, IPS):監控網路封包,偵測並阻擋潛在入侵行為。
網頁應用防火牆(Web Application Firewall, WAF):過濾和保護對公司網頁伺服器服務的外部連線流量。
資料外洩防護(Data Loss Prevention, DLP):監控數據傳輸,偵測和阻擋敏感資料外洩。
端點偵測與回應(Endpoint Detection and Response, EDR):收集端點日誌,監控異常行為並進行阻擋。
44. 下列何者可 從多種資料來源中即時收集或從歷史資安事件分析而產生的威脅偵測及資安事故應變 同時也提供合適的報表以及歷史資安事故的分析?�(109-2)
(A) 安全資訊與事件管理(Security Information & Event Management,SIEM)
(B) 入侵偵測系統(Intrusion Detection Systems, IDS)
(C) 入侵預防系統(Intrusion Prevention Systems, IPS)
(D) 網頁應用防火牆(Web Application Firewall, WAF)
OSINT(Open Source INTelligence)公開來源情報
39. 【題組 5背景描述如附圖】 身為一個滲透測試人員,必須善用網際網路有用資料庫或搜尋引擎,下列各類資料庫系統的敘述,何者錯誤?�(112-1防護)
(A) shodan.io是世界上用於聯網設備查找的搜索引擎
(B) censys.io是一個免費資料庫,累積許多無線網路重要刺探資訊
(C) pulsedive.com蒐集許多威脅情報
(D) intelx.io可處理加密貨幣搜尋與暗網搜尋
Virustotal網站
38. 【題組 5背景描述如附圖】 子網域資訊的取得是滲透前重要Footprint程序, 下列 何項「不」是子網域查找工具?�(112-1防護)
(A) subfinder
(B) SubDomainizer
(C) Virustotal
(D) SubBrute
零信任演進
零信任介紹
零信任介紹-續
零信任介紹-續
政府零信任架構身分鑑別與設備鑑別機制
導入建議 - 國家資通安全研究院
26. 關於零信任( Zero Trust)的敘述,下列何者正確?�(管理112-2)
(A) 零信任是不用始終驗證
(B) 僅提供必要的權限
(C) 不需保持網路可見性
(D) 非所有流量都是不安全的前提下進行零信任設計
35. 確保資料安全的防護措施,下列敘述何者錯誤?�(112-2技術)
(A) 手機上啟用雙因子身份驗證(2FA),這將減少駭客對工作相關系統與資料惡意存取
(B) 網路零信任設計主要強調在人對系統資料存取安全防護,例如帳號密碼可以不用考慮到何種裝置連線信任關係
(C) 加密軟體是一種安全程式,可在傳輸和 儲存 時 保護資料 的機密性
(D) 員工應該使用虛擬專用網路( VPN)來 存取 公司資料
36. 利用零信任( Zero Trust)來保護資料完整性,下列敘述何者錯誤?�(112-2技術)
(A) 在零信任設計上,存取決策不受加密控制
(B) 在零信任設計上,資料須能夠自動分類和標記
(C) 可以透過敏感度標籤和內容檢查的資料外洩防護(Data Loss Prevention, DLP)策略防止 資料 洩露
(D) 定期審核資料以瞭解用戶標籤、分類和保護活動
8. 關於零信任安全架構( Zero Trust Architecture),下列敘述何者「不」正確?�(110-1防護)
(A) 零信任基礎認知,也就是假設不信任任何人為前提的安全架構
(B) 從網路到裝置都是零信任控制點。換言之,不管是連接裝置、應用程式或是組件,都視為威脅向量,必須經過認可及驗證
(C) 零信任包含:網路、設備、使用者、資料,不包含Workloads
(D) 零信任安全架構四大支柱:身分可信、架構可信、存取可信、服務可信
11. 在存取控制上,零信任( Zero Trust)是一個重要課題。關於零信任的敘述,下列何者 較「不」適當?�(112-1規劃)
(A) 零信任依循「永不信任,一律驗證」的原則
(B) 推動零信任,企業可能需要重新評估每項資產的保護方式
(C) 零信任倚重於最大特權原則等治理政策
(D) 是 Forrester的 John Kindervag首次創造的一個名詞
17. 如附圖所示,關於 NIST SP 800-207零信任架構( Zero Trust Architecture)的抽象模型敘述,下列何項錯誤?�(112-2規劃)
19. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture, ZTA)的基本規則敘述,下列何項錯誤?�(112-1規劃)
(A) 所有的通訊都需被保護,無論其所在之網路位置
(B) 須觀察與量測所擁有資產與相關資產,其完整性與 安全態勢
(C) 運算服務(Computing Service)和資料來源(Data Sources)皆可視為資源
(D) 應先蒐集資產、網路架構等現狀,建立資產清冊
個人資料保護法
個人資料保護法-�直接識別、間接識別
【達文西法律事務所】個資法心智圖v3.7.pdf
個人資料保護法-�特種個資
【達文西法律事務所】個資法心智圖v3.7.pdf
個人資料保護法-�蒐集告知事項
【達文西法律事務所】個資法心智圖v3.7.pdf
46. 個人資料保護法之立法目的有二:一是 避免人格權受侵害、一是促進個人資料合理利用, 下列 何種資訊「不」 屬於個資法保護的個人資料?�(108-2管理)
(A) 自然人之姓名、出生年月日
(B) 國民身分證統一編號、護照號碼
(C) 公司電子信箱、員工編號
(D) 特徵、指紋
12. 在 個資法中,關於個資隱私損害賠償的規範,當被害人無法證明實際損害金額的時候,可以請求法院依傷害情節,以多少金額計算?�(109-2管理)
A) 每人一事件新台幣 100 以上, 30 000 元以下
(B) 每人一事件新台幣 200 以上, 20,000 元以下
(C) 每人一事件新台幣 500 以上, 20,000 元以下
(D) 每人一事件新台幣 1,000 以上, 30,000 元以下
13. 公務或非公務機關在進行個人資料蒐集時,應明確告知當事人事項,請問其告知內容 「不」 包含下列何者?�(109-2管理)
(A) 個人資料蒐集的目的
(B) 個人資料的類別
(C) 個人資料儲存方式
(D) 個人資料利用的期間與地區
46. 個人資料保護法主要管轄個人資料的蒐集、處理和利用行為,下列何種行為「不」屬於個人資料保護法管轄範圍?�(109-1管理)
(A) 以任何方式取得個人資料
(B) 建立或利用個人資料檔案所為資料之記錄、編輯、更正、輸出或內部傳送
(C) 蒐集之個人資料為處理以外之使用
(D) 陌生推銷壽險傳單
7. 畢業後返校申請在校成績單,是行使個資法的 何種權利?�(110-1管理)
(A) 請求刪除
(B) 請求製給複製本
(C) 請求補充
(D) 請求停止處理
10. 下列何者是我國個人資料保護法與歐盟一般資料保護規範( General Data Protection Regulation, GDPR)有較相同的規定?�(110-1管理)�
(A) 電子簽章法
(B) 妨害電腦使用罪
(C) 著作權法
(D) 個人資料保護法
12. 下列何者 「不」 是個人隱私保護需涵蓋的範圍?�(110-1管理)
(A) 個人資料
(B) 身體特徵
(C) 公司地址
(D) 通訊內容
11. 下列何者「不」是依個資法第 8條之規定,向當事人蒐集個人資料時,應明確告知當事人的事項?�(110-2管理)
(A) 個人資料類別
(B) 個人資料利用之期間、地區、對象及方式
(C) 個人資料數量
(D) 當事人得自由選擇提供個人資料時,不提供將對其權益之影響
15. 關於個人資料保護,下列何者為「不」可直接識別個人資料?�(111-1管理)
(A) 身分證統一編號
(B) 出生年月日
(C) 護照號碼
(D) 指紋
18. 下列何種為個人資料保護法中所定義的特種個人資料?�(111-1管理)
(A) 離婚身份
(B) 犯罪前科
(C) 住家電話
(D) 銀行負債情形
39. 因應個人資料保護法之要求,許多公司在處理和個人資料有關的日誌時,會將敏感資訊進行處理,例如將姓名改成陳○○,請問這樣的處理,通常稱下列何項?�(111-1管理)
(A) 正規化
(B) 去識別化
(C) 最佳化
(D) 初始化
6.下列何者「不」屬於特種個資?�(111-2管理)
(A) 性生活
(B) 病歷
(C) 健康檢查
(D) 指紋
7. 關於公務員假借職務上之權力、機會或方法,犯個人資料保護法所訂之罪者,加重刑罰的比例為下列何項?�(111-2管理)
(A) 加重其刑至五分之一
(B) 加重其刑至四分之一
(C) 加重其刑至三分之一
(D) 加重其刑至二分之一
6.關於個人資料蒐集之特定目的消失或期限屆滿時之作為,下列何者錯誤?�(112-1管理)
(A) 應主動停止蒐集該個人資料
(B) 應主動停止處理該個人資料
(C) 應主動停止利用該個人資料
(D) 應主動刪除該個人資料
10. 下列何者「不」是個人資料保護法中,當事人對於個人資料的權利?�(112-1管理)
(A) 查詢或請求閱覽
(B) 請求補充或更正
(C) 請求刪除
(D) 請求永久保留
12. 下列何者屬於中華民國「個人資料保護法」第6條規範中的「特種個人資料」?�(112-1管理)
(A) 身分證統一編號
(B) 基因
(C) 生物特徵
(D) 血統
9. 我國個人資料保護法施行細則第 12條所稱適當安全維護措施,「不」包括下列何項?�(112-2管理)
(A) 個人資料之風險評估及管理機制
(B) 認知宣導及教育訓練
(C) 導入 ISO管理架構
(D) 資料安全稽核機制
11. 關於中華民國「個人資料保護法」之定義,下列何項錯誤?�(112-2管理)
(A) 蒐集:指以特定方式取得個人資料
(B) 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送
(C) 利用:指將蒐集之個人資料為處理以外之使用
(D) 個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合
資通安全事件通報及應變辦法
出處 https://hackmd.io/@Not/FindCert
資通安全事件通報及應變辦法-續
3.(單選題)依據我國《資通安全管理法施行細則》 條文中 規定,下列何者「 不 」 是資通安全維護計畫應(強制要求)包括的事項?�(108-1規劃)
(A) 核心業務及其重要性
(B) 資通安全政策及目標
(C) 實施安控的作業程序書
(D) 專責人力及經費之配置
5. 請問資通安全責任等級分級辦法,將適用機關的責任等級,共分幾級?�(110-2管理)
(A) 4
(B) 5
(C) 6
(D) 7
6. 依據資通安全責任等級分級辦法之規定,下列有關資通安全責任等級的敘述,下列何者正確?�(112-2管理)
(A) 業務涉及全國性民眾服務或跨特定非公務機關共用性資通系統之維運,其資通安全責任等級為 A級
(B) 業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理,其資通安全責任等級為B級
(C) 各機關維運自行或委外設置、開發且具權限區分及管理功能之資通系統者,其資通安全責任等級為 A級
(D) 無資通系統但提供資通服務,其資通安全責任等級為 E級
7. 關於資通安全管理法所定義「公務機關」的敘述,下列何者正確?�(112-1管理)
(A) 依法行使公權力之軍事機關
(B) 依法行使公權力之中央機關、地方機構
(C) 依法行使公權力之情報機關
(D) 政府捐助並依法行使公權力之財團法人
7. T通訊公司為我國政府依照資通安全法相關規定,列為資通安全責任等級 A級之特定非公務機關。假設其發生第三級資通安全事件時,應於下列何者時間內完成損害控制或復原作業,並依中央目的事業主管機關指定之方式辦理通知事�宜?�(112-2管理)
(A) 於知悉該事件後 24小時內
(B) 於知悉該事件後 36小時內
(C) 於知悉該事件後 48小時內
(D) 於知悉該事件後 72小時內
8. 關於公務機關未遵守資通安全管理法規定的敘述,下列何者正確?�(111-2管理)
(A) 應按其情節輕重,依相關規定按次處新臺幣十萬元以上一百萬元以下罰鍰
(B) 應按其情節輕重,依相關規定按次處新臺幣三十萬元以上五百萬元以下罰鍰
(C) 應按其情節輕重,依相關規定予以懲戒或懲處
(D) 應按其情節輕重,依相關規定按次處新臺幣三萬元以上五十萬元以下罰鍰
9. 關於 「 資通安全事件通報及應變辦法 」 內容,下列敘述何者「不」正確?�(110-1管理)
(A) 資安事件共分四等級
(B) 資安事件等級中,第四級為最重大,第一級為最輕微
(C) 該辦法規定只有公務機關遇資安事件時需要通報
(D) 若為第一級資安事件,公務機關應於知悉後 72小時內完成通報�(答案有疑慮,應是完成損害控制或復原作業後)
9. 關於資通安全管理法對於委託機關於委外辦理資通系統之建置、維運或資通服務之提供,選任及監督受託者時,應注意「適任性查核」的敘述,下列何者錯誤?�(111-2管理)
(A) 應查核有無曾犯洩密罪,或於動員戡亂時期終止前,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案
(B) 應查核有無曾犯洩密罪,或於動員戡亂時期終止後,犯內亂罪、外患罪,經判刑確定,或通緝有案尚未結案
(C) 應查核有無曾受到外國政府之利誘、脅迫,從事不利國家安全或重大利益情事
(D) 應查核有無曾受到大陸地區、香港或澳門政府之利誘、脅迫,從事不利國家安全或重大利益情事
10. 當某關鍵基礎設施提供者之核心業務資訊遭受嚴重之洩漏時,該關鍵基礎設施提供者就該資通安全事件通報的敘述,下列何者錯誤?�(111-2管理)
(A) 知悉資通安全事件後應於一小時內進行資通安全事件之通報
(B) 通報內容應包含為因應該事件所採取之措施
(C) 應於知悉該事件後三十六小時內完成損害控制或復原作業
(D) 完成損害控制或復原作業候應持續進行事件之調查及處理並於二個月內送交調查處理及改善報告
10. 關於資通安全管理法子法所定義的防護基準中,要求密碼「不」得明文存放,是規範在下列何種控制構面中?�(110-2管理)
(A) 系統與通訊保護
(B) 系統與服務獲得
(C) 存取控制
(D) 識別與鑑別
12. 依據「資通安全事件通報及應變辦法」,主管機關於接獲通報後,若 判定為 3 級或 4 級事件,應於幾小時內完成審核?�(111-1管理)
(A) 2 小時
(B) 4 小時
(C) 8 小時
(D) 12 小時
19. (複選題)資通安全管理法通過後,對公務機關與特定非公務機關之資安�事件應變通報要求更為明確,搭配政府持續推動之資安資訊分享與分析中心 Information Sharing and Analysis Center, ISAC 機制設計, 關於資安事件應變通報與情資分享, 下列敘述 哪些正確?�(108-1防護)
(A) 資通安全管理法子法規定, 公務機關辦理資通安全事件之通報 ,應於事件發生後一小時內進行通報
(B) 資安事件通報屬 ISAC 之服務範圍之一
(C) 資通安全管理法子 法規定之事件嚴重等級共分四級,第一級為最嚴重,第四級為最輕微
(D) 我國 ISAC 機制設計,針對跨領域之資安情資分享,建議採用 STIX與 TAXII 之格式與機制
20. 關於資安事件應變通報與情資 分享,下列敘述哪些「不」正確?(複選)�(111-1防護)
(A) 資通安全管理法子法規定,公務機關辦理資通安全事件之通報,應於事件發生後一小時內進行通報
(B) 資安事件分享屬 ISAC服務範圍之一
(C) 資通安全管理法子法規定之事件嚴重等級共分四級,第一級為最嚴重,第四級為最輕微
(D) 我國 ISAC機制設計,針對跨領域之資安情資分享,建議採用STIX與 TAXII之格式與機制
20. 依照我國「資通安全事件通報及應變辦法」的規定,當發現一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改之情事時,公務機關知悉資通安全事件後,應依規定在多少時間之內完成損害控制或復原作業,並依主管機關指定之方式及對象辦理通知事宜?�(112-2防護)
(A) 12 小時
(B) 24 小時
(C) 36 小時
(D) 72 小時
22. 依照我國「資通安全事件通報及應變辦法」的規定,公務機關知悉資通安全事件後,應於多少時間之內,依主管機關指定之方式及對象,進行資通安全事件之通報?�(112-1防護)
(A) 1小時內
(B) 8小時內
(C) 24小時內
(D) 72小時內
36. 依據國家資通安全通報 應變作業中所訂定的資安事件影響等級共分為幾種等級?�(108-1管理)
(A) 4 級
(B) 5 級
(C) 3 級
(D) 7 級
36. 依據資通安全事件通報及應變辦法所訂定的資安事件影響等級,共分為幾種等級?�(111-1管理)
(A) 3 級
(B) 4 級
(C) 5 級
(D) 6 級
37. 依據「行政院國家資通安全會報通報及應變作業流程」,各級政府機關 於通報並著手處理資安事件後,若判定為 1 級或 2 級事件,應於幾小 時內完成復原或損害管制?�(108技術)
(A) 24 小時
(B) 48 小時
(C) 72 小時
(D) 96 小時
37. 請問資通安全管理法的何項子法,有定義資通系統防護基準要求?�(111-1管理)
(A) 資通安全事件通報及應變辦法
(B) 資通安全情資分享辦法
(C) 公務機關所屬人員資通安全事項獎懲辦法
(D) 資通安全責任等級分級辦法
38. 依據「行政院國家資通安全會報通報及應變作業流程」,各級政府機關於通報並著手處理資安事件後,若判定為3級或4級事件,應於幾小時內完成復原或損害管制?�(109-1管理)
(A) 24小時
(B) 36小時
(C) 48小時
(D) 60小時
40. 題組背景描述如附圖。若未來ABC公司新的核心系統屬於「資通安全管理法」所定義之特定非公務機關,其未涉及關鍵基礎設施維運之核心資通系統遭輕微竄改,下列敘述何者正確?�(109-1規劃)
(A) 為第一級資通安全事件,應於知悉事件後72小時內完成損害控制,並於指定時間內送交改善報告
(B) 為第二級資通安全事件,應於知悉事件後48小時內完成復原作業,並於指定時間內送交改善報告
(C) 為第三級資通安全事件,應於知悉事件後36小時內完成損害控制或復原作業,並於指定時間內送交改善報告
(D) 為第四級資通安全事件,應於知悉事件後24小時內完成損害控制或復原作業,並於指定時間內送交改善報告
42. 依據「行政院國家資通安全會報通報及應變作業流程」,判定事故影響等級時,應評估資安事故造成之機密性、完整性以及可用性衝擊,下列何者 「不」是 1 級事件?�(109-2管理)
(A) 非核心業務一般資料遭洩漏
(B) 非核心業務系統或資料遭竄改
(C) 非核心業務運作遭影響或系統停頓,於可容忍中斷時間內回復正常運作
(D) 非核心業務系統且無系統或設備運作受影響
42. 依據「 資通安全事件通報及應變辦法」,主管機關於接獲通報後,若判定為1 級或2 級事件,應於幾小時內完成審核?�(111-2管理)
(A) 2 小時
(B) 4 小時
(C) 8 小時
(D) 12 小時
45. 關於資通安全管理法中之事件通報之要求,下列敘述何者正確?�(109管理)
(A) 資通安全管理法對資安事件嚴重等級共分三級
(B) 對於公務機關,應於知悉資安事件後一小時內進行通報
(C) 對於公務機關,應於資安事件發生後二小時內進行通報
(D) 對於資通安全法所納管之特定非公務機關,應於資安事件發生後 八小時內進行通報
45. 依據「行政院國家資通安全會報通報及應變作業流程」,判定事故影響等級時,應評估資安事故造成之機密性、完整性以及可用性衝擊,下列何者「不」是 4級事件?�(110-2管理)
(A) 國家機密資料遭洩漏
(B) 關鍵資訊基礎設施系統或資料遭嚴重竄改
(C) 關鍵資訊基礎設施運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作
(D) 機關業務系統或資料短暫停頓無法使用
45. 某一特定非公務機關知道所經管的一個核心資通系統發生異常,並判別為遭受嚴重竄改,故依據「資通安全事件通報及應變辦法」相關規定,須於 36小時內完成損害控制或復原作業(含通報中央目的事業主管機關) 。 收到通報的中央目的事業主管機關,應於接獲通報後幾小時內完成該事件之等級審核? �(112-2管理)�
(A) 2
(B) 4
(C) 6
(D) 8
經濟合作及發展組織( OECD )之個人資料保護原則
經濟合作及發展組織( OECD )之個人資料保護原則-續
經濟合作及發展組織( OECD )之個人資料保護原則-續
9. 下列何者 「 不 」 是經濟合作及發展組織( Organization for Economic�Cooperation and Development, OECD )之個人資料保護原則?�(109-2管理)
(A) 限制蒐集原則(Collection LimitationPrinciple)
(B) 分享原則(SharePrinciple)
(C) 公開原則(OpennessPrinciple)
(D) 個人參與原則(Individual ParticipationPrinciple)
風險評鑑
定性化(Qualitative)和定量化(Quantitative)分析是風險評估過程中常用的兩種方法,用來評估和管理風險。
定性化分析著重於描述風險的特性,將風險分類為不同的等級,如「低」、「中」、「高」。這種方法不依賴於具體數字,而是基於經驗、直覺或專業判斷。定性化分析適用於資訊不完全、難以量化的情況,或在初步風險評估階段,用以辨識和排列風險優先順序。
定量化分析則是通過具體的數據和計算來量化風險的損失及發生概率。這種分析能提供風險影響的數字估計,如金額損失、時間延誤等,幫助更精確地評估風險大小。定量化分析適用於需要精確風險評估的場景,尤其在資源分配和風險管理決策中。
風險評鑑-續
風險評鑑-續
風險評鑑-續
風險評鑑-續
風險評鑑-續
16. 在風險評鑑的過程,對於衝擊所造成的損失,不以金錢來 計算,而改採用「極小、較小、中等、較大、巨大」的方式來表達, 屬於 下列何種方法?�(108-2管理)
(A) 定性法
(B) 類比法
(C) 定量法
(D) 參數法
17. 執行定期風險評鑑進入尾聲時, 發現一項 新的 風險議題,下列何者較「不」 適當?�(108-2管理)
(A) 將該風險議題納入此次風險評鑑,一併完成評鑑
(B) 針對該風險議題額外執行風險評鑑並出具報告
(C) 因定期風險評鑑有完成期限,故對此風險議題不做處理
(D) 先初步評估該風險議題是否有重大影響,若無重大影響則於事後再進行完整評估
18. 關於風險評估(Risk Evaluation),下列敘述何者正確?�(108-2管理)
(A) 是識別風險來源、事件、發生的原因,與可能產生的後果
(B) 是組織進行風險評鑑、識別、分析的整體流程
(C) 是理解風險本質並且決定風險等級的流程
(D) 是比較風險分析結果與風險準則來決定風險或嚴重程度 是否為可接受的流程
24. 關於風險評鑑與風險處理, 下列敘述何者正確?�(109-2管理)
(A) 經過風險評鑑,低風險或處理成本過高的風險項目,可能會被組織選擇接受
(B) 風險評鑑可以百分百找出可能的風險項目,並且進行風險處置
(C) 風險處理可以百分百消除風險項目,確保資訊安全
(D) 風險處理後,組織就不再需要進行風險評鑑作業
23. 關於風險辨識(Risk Identification),下列敘述何者正確?�(110-1管理)
(A) 是發掘可能發生風險之事件及其發生之原因和方式
(B) 是組織進行風險評鑑、分析與評估的整體流程
(C) 是理解風險本質並且決定風險等級的流程
(D) 是比較風險分析結果與風險準則來決定風險或嚴重程度是否為可接受的流程
24. 若在執行定期風險評鑑進入尾聲時發現一項新的風險議題,下列何者較「不」適當?�(110-1管理)
A) 將該風險議題納入此次風險評鑑,一併完成評鑑
(B) 針對該風險議題額外執行風險評鑑並出具報告
(C) 因定期風險評鑑有完成期限,故對此風險議題不做處理
(D) 先初步評估該風險議題是否有重大影響,若無重大影響則於事後再進行完整評估
25. 關於風險評鑑( Risk Assessment),下列敘述何者較 「不」正確?�(110-1管理)
(A) 是一種風險管理的 機制
(B) 是將預估的風險和已知風險準則進行比較的過程
(C) 目的是決定可接受風險的程度
(D) 目的是將可接受的風險與主要風險分開,並 移除殘餘風險
23. 關於風險評鑑管理程序,下列敘述何者較「不」正確?�(110-2管理)
(A) 建立全景係界定風險評鑑範圍
(B) 詳細風險評鑑包括風險識別、風險分析與風險評估
(C) 風險處理若符合風險處理準則,則進入風險接受階段
(D) 風險評鑑若不符合風險評鑑準則,則進入風險溝通階段
4. 下列何者「不」是風險評鑑過程中主要的活動?�(111-1管理)
(A) 風險鑑別
(B) 風險分析
(C) 風險處理
(D) 風險評估
41. 下列何者「不」屬於風險評鑑之範圍及執行步驟?�(111-1管理)
(A) 風險分析
(B) 防護措施的選擇
(C) 風險接受
(D) 營運持續計畫
22. 關於風險評鑑管理程序,下列敘述何者「不」正確?�(111-2管理)
(A) 建立全景係界定風險評鑑範圍
(B) 詳細風險評鑑包括風險識別、風險分析與風險評估
(C) 風險處理若合意,則進入風險接受階段
(D) 風險評鑑若不合意,則進入風險溝通階段
9. 關於風險評 鑑 Risk Assessment),下列敘述何者「不」正確?�(110-1規劃)
(A) 風險評鑑可以參考 ISO/IEC 31010:2019
(B) 根據風險評鑑 的結果,可能有幾種決策 避免、 分擔 、降低、拒絕等四種處理風險方式
(C) 風險評鑑流程可以提供企業一套有系統、可量化的方式進行評估
(D) 風險評鑑結果可讓企業決定要對這樣的風險做什麼處置或防護來降低該風險,或降低該風險造成的影響
16. ISO/IEC 27001中所採用的風險評鑑(Risk Assessment)主要包含下列哪些 步驟?(複選)�(111-1規劃)
(A) 風險評估 Risk Evaluation
(B) 風險分析 Risk Analysis
(C) 風險分類 Risk Classification
(D) 風險識別 Risk Identification
26. 關於風險分析與評估之敘述,下列何者錯誤?�(112-1規劃)
(A) 公司最好至少每年定期執行一次風險評鑑
(B) 公司營運重大改變時,應進行風險評鑑
(C) 重大風險項目完成風險回應後,不需進行風險再評估
(D) 進行風險分析與評估前,應先了解相關背景資訊(例如:法規要求、技術環境…)
28. 關於 風險分析及風險評估議題的敘述 ,下列哪些正確?�(111-1規劃)
(A) 風險評估的過程,須將目前已實施的措施結果納入考量
(B) 風險分析時產出的後果與可能性的評估方式 應 定義清楚
(C) 風險識別僅需將與機密性有關風險識別清楚
(D) 以風險評鑑工具直接執行的過程與結果皆須留存紀錄
2. 下列何者「不」是 ISO/IEC 27001:2013標準中「資訊安全風險評鑑」所要求組織應進行的事項?�(112-1規劃)
(A) 建立風險接受準則
(B) 識別資訊安全風險
(C) 評估資訊安全風險
(D) 以最高標準處理 資訊安全 風險
25. 與資訊安全風險評估相關議題的敘述,下列何者 較為正確?�(112-2規劃)
(A) 需先進行風險評估,再將風險評鑑適用的準則予以建立
(B) 風險評估會依照風險分析的結果,安排其風險處理的優先順序
(C) 風險評鑑的順序,是先執行風險識別、再進行風險評估、風險分析
(D) 在風險評估的過程中 ,無需 識別風險的擁有者
紅隊、藍隊、紫隊
箱子類型
盲測
iPAS資安證照討論區
有任何問題麻煩聯繫�https://sites.google.com/view/lin0204/