問題詳情

37. 關於金鑰與憑證管理,下列敘述何者「不」正確?
(A) 金鑰都應受保護不被修改和破壞,並應使用實體安全來保護用於產生、儲存和歸檔金鑰的設備,以避免金鑰遭受不當修改、不慎遺失或銷毀等情況
(B) 基於業務需要,須自行建置、委託建置或選用憑證機構(CertificateAuthority)時,應綜合考量憑證機構之技術、管理、人員及財務
(C) 憑證機構資訊系統(含應用系統、密碼模組等)之安全驗證,應遵照權責主管機關訂定之規範作業,以確保其安全性
(D) 憑證機構使用之電子簽章或加密金鑰長度,視系統的安全需求,由組織自行決定

參考答案

答案:D
難度:計算中-1
書單:沒有書單,新增

用户評論

Chia-Pei Lee】評論

D憑證機構使用之電子簽章或加密金鑰長度不是由組織自行決定,而是應參考國際標準與業界最佳實務,經由風險評估與管理後再作決策。長度過短可能會被破解,而長度過長則可能影響效能。因此,應該適當地平衡安全性和效能。

加冰】評論

答案是:(D) 憑證機構使用之電子簽章或加密金鑰長度,視系統的安全需求,由組織自行決定。以下是對每個選項的解釋:(A) 金鑰都應受保護不被修改和破壞,並應使用實體安全來保護用於產生、儲存和歸檔金鑰的設備,以避免金鑰遭受不當修改、不慎遺失或銷毀等情況:這是正確的敘述。金鑰是敏感資訊,應該受到保護,並使用適當的實體安全措施來防止未授權的存取和損害。(B) 基於業務需要,須自行建置、委託建置或選用憑證機構(Certificate Authority)時,應綜合考量憑證機構之技術、管理、人員及財務:這是正確的敘述。在選擇建置或委託憑證機構時,應綜合考慮憑證機構的技術能力、管理制度、人員素質和財務狀況,以確保其能夠提供安全可靠的憑證服務。(C) 憑證機構資訊系統(含應用系統、密碼模組等)之安全驗證,應遵照權責主管機關訂定之規範作業,以確保其安全性:這是正確的敘述。憑證機構資訊系統的安全驗證應遵循權責主管機關制定的規範作業,以確保其安全性和可信度。(D) 憑證機構使用之電子簽章或加密金鑰長度,視系統的安全需求,由組織自行決定:這是不正確的敘述。憑證機構使用的電子簽章或加密金鑰長度應該遵循安全標準和最佳實踐,而不僅僅是由組織自行決定。長度應該根據系統的安全需求和相應的加密演算法來選擇。