資訊推薦

• 69. 為了降低風險，下列何者不是實施風險控制措施的考量因素？(A) 法規要求與限制(B) 組織的目標與規範(C) 實施的可能成本(D) 資訊資產類別
• 22. 用在入侵和攻擊他人的電腦系統上，取得系統管理員的權限，具有隱藏和遠端操控的能力；電腦病毒、間諜軟體等也常使用來隱藏蹤跡。該工具軟體為？(A) Cookie(B) Rootkit(C) Back
• 124. 您是資訊業務承辦人員，當您有特殊業務需求進行存取敏感性資料時，需要獲得存取許可，即使您有資料存取權限，還需要提出資料存取的理由。上述說明主要為？(A) 職務區隔（Segregation of
• 70. 關於風險管理，下列敘述何者不正確？(A) 管理組織風險，避免風險擴大(B)協助組織隱藏風險，避免驗證失效(C)協調實作控制風險，降低風險(D) 尋求備案，以避免意外發生
• 23. 我們都知道要防止 XSS 跨網站指令碼攻擊必須過濾特殊字元，請問下列何者不是我們應該過濾的特殊字元？(A) #(B) &(C) “(D) ||
• 125. 關於權限管理，下列敘述何項較不適？(A) 採購人員擁有採購系統新增、編修、存檔的權限，但無刪除權限(B) 總經理只擁有採購系統所有模組的查詢權限(C) 總經理將採購系統最高管理者的帳號密碼，
• 24. 請問防禦 SQL Injection 的最佳方式為下列何者？(A) 黑名單過濾(B) 參數長度過濾(C) 輸出過濾(D) Prepared Statement
• 71. 關於存取控制措施，下列敘述何者正確？(A) 組織建立無線存取資訊系統時，無需取得授權，以快速建立無線存取使用限制、組態/連線需求(B)採用最小權限原則時，只允許使用者依據任務和業務功能，完成所
• 126. 常見的密碼驗證攻擊中，以下何種方法「不是」透過反覆嘗試密碼的方式破解密碼？(A) 雜湊注入（Pass-the-Hash）(B) 暴力攻擊（Exhaustive Search Attack）(
• 25. 下列哪種方法可讓開發人員發現其撰寫的網頁程式碼是否存有輸入驗證漏洞（Input Validation Weaknesses）？(A) 反組譯應用程式執行碼(B) 迴歸測試（Regression
• 127. 使用者在選定密碼時需注意避免太容易被攻擊者破解，請比較下面四組密碼，指出何組密碼較不容易遭到攻擊者破解？(A) qwA$c&1!e(B) password(C) 12345678(D) ab
• 72. 特權（Privilege）是指使用者對資訊資產擁有特殊的權限。下列何者不是特權使用者？(A) 資料庫管理員(B) 帳號管理員(C) 文書處理員(D) 網路管理員
• 128. 我們常使用密碼來做為認證身份的主要方式，關於密碼強度，下列敘述何者不正確？(A) 符合密碼複雜性原則可增強密碼強度(B) 對於複雜程度相同的密碼而言，長度較長的密碼安全度較短密碼為高(C)
• 73. 「業務承辦人員，不能身兼業務稽核人員」為下列何者的說明？(A) 職務區隔（Segregation of Duties）(B) 最小權限原則（Principle of Least Privile
• 129. 為強化身份認證機制，我們常會使用雙因素認證機制，請問下列何種組合並不屬於雙因素認證的定義？(A) 密碼（Password） + RFID 感應卡（如悠遊卡）(B) RFID 感應卡 + 自然
• 74. 關於權限管理，下列做法何者較不適當？(A) 賦予新到任資訊人員系統權限前，應先經過考核(B) 由於系統權限設定時已經過核准，故不需定期審查系統權限(C) 採購助理申請查詢庫存數量權限時，應會簽
• 26. 網頁中使用驗證碼(CAPTCHA)主要可防禦下列何種攻擊？(A) SQL 注入攻擊(Injection)。(B) 跨站腳本攻擊(XSS)。(C) 緩衝區易位攻擊(Buffer Overflow
• 130. 下列何者非單一登入（Single Sign-On, SSO）的優點？(A)集中權限控管(B) 降低不同的帳號密碼組合的困擾(C) 減少重新輸入密碼的程序(D)簡訊認證
• 27. 下列何者屬於開發安全方面需注意的問題？(A) 部署時必須考量伺服器效能，避免導致應用程式效能低(B) 應用程式設計必須設計多線程，用戶能對服務隨時存取(C) 應用程式必須考量是否有 SQL 注
• 131. 關於 Kerberos，下列敘述何者不正確？(A) 針對個人通信安全，可進行身份認證(B) 是一種非對稱金鑰管理機制來進行金鑰管理的系統(C) 可採複合 Kerberos 伺服器和缺陷認證機
• 75. 下列何者不是資料存取控制的方法？(A) 強制存取控制（Mandatory Access Control, MAC）(B) 存取控制目錄（Access Control List , ACL）(C
• 132. 關於設計網際網路服務使用者身分驗證機制的考量因素，下列何者不正確？(A) What you know？使用者所記住的身分內容，如：個人識別名稱及對應的密碼(B) What you have？
• 28. 請問 2017 流行的 wannacry 攻擊是攻擊哪個服務？(A) SMB(B) SMTP(C) HTTP(D) FTP
• 133. 請問在系統服務裡，關於身分驗證，下列敘述何者正確？(A) 只要通過身分驗證，就可以暢行無阻。(B) 身分驗證後，即是擁有最高權限。(C) 身分驗證後，所有的使用行為都是適合理的，不需要軌跡。
• 76. 當遇到需設定密碼識別的情況時，下列何種做法可使密碼較不容易被破解？(A) 使用純數字(B) 英文名字加生日(C) 身分證字號(D) 參雜大小寫數字，越雜亂無章越好