【評論主題】【題組】40.【題組5背景描述如附圖】請問下列關於此種加密系統的敘述,哪些正確?(複選)(A)使用對稱金鑰(symmetrickey)對訊息(message)進行加解密(B)將對稱金鑰(symmetr
【評論內容】針對題目及選項解析,並進行相關補充:C錯...
【評論主題】【題組】39.【題組5背景描述如附圖】在步驟3.之中,接收者應使用何種Key來進行解密以獲得共享金鑰(symmetrickey)?(A)傳送者的公開金鑰(publickeyofsender)(B)傳送
【評論內容】呈第三十八題的解析,該圖最上方應該是使用...
【評論主題】【題組】38.【題組5背景描述如附圖】關於附圖中所標示的數字1.~6.之執行順序,下列排序何者最為合理?(A)2.→1.→5.→3.→4.→6.(B)3.→5.→6.→4.→1.→2.(C)6.→1.
【評論內容】依據圖片解析: 圖中的上方,sender...
【評論主題】【題組5】下圖為密碼學中常見的一種加密系統,請根據圖中資訊回答下列問題:【題組】37.【題組5背景描述如附圖】請問圖中所使用的架構是何種加密系統?(A)對稱式加密(SymmetricEncryptio
【評論內容】依據題目解析: 雜湊跟加密的差異:雜湊不...
【評論主題】【題組】36.【題組4背景描述如附圖】A企業在此一事件發生後,未發佈任何公開聲明,僅維持與受駭之消費者進行後續糾紛處理,但受駭消費者透訴媒體,以致眾媒體已大幅報導、相關檢警調單位亦已主動介入偵辦,另由
【評論內容】依據題目及選項解析:B資通安全管理法:第...
【評論主題】【題組】35.【題組4背景描述如附圖】由於該電商系統係該公司委外開發及維運,因應此一風險,進行了以下五種措施,下列哪些措施屬於風險分擔(RiskSharing)?(甲)新增使用者登入簡訊驗證功能。(乙
【評論內容】依據題目選項解析:風險分攤,又稱為風險轉移:將風險分攤至最有效管理特定風險的一方,例如交給保全公司等甲:題目沒有提及什麼風險需要增加驗證功能,只是說明了增加使用者登入簡訊驗證功能,故跟風險分攤無關乙:在公司官網公告資安情況,並有客服處理接到詐騙電話後續問題,風險還是在,並沒有將風險轉移給誰,所以不是風險分攤。丙:投保保險,如果發生資安事件,有資安保險可以理賠,減少公司損失,這很明顯就是風險分攤!丁:請委外廠商進行系統檢查,俗稱弱點掃描,發現弱點之後請廠商進行修補,這是在做風險處理。(補充:做完風險處理後會再回到風險評鑑對該弱點進行評鑑,風險評鑑流成:風險識別-風險分析-風險評估)戊:戊的意思是原本若因系統維運不當是公司自己承擔,但是現在跟委外廠商調整合約,如果有系統設計維運不當,造成公司損失,那該損失皆須由委外廠商負擔,這就是所謂的風險分擔,也稱為風險轉移!所以答案是丙跟戊~
【評論主題】【題組 4】A 企業為台灣50大之企業之一,且為股票上市企業,實收資本額達新台幣150 億元,主要營業項目為電商相關,該公司最近發現客服中心收到多筆客訴,內容主要都為消費者在公司電商網站購物後,就接到
【評論內容】依據題目及選項解析:題目說,駭客可能是利用「已知的資訊」試圖登入網路服務,所以是撞庫攻擊(詳細攻擊說明如下)A密碼撞庫攻擊:「密碼撞庫攻擊」是駭客常用的攻擊手法,不肖駭客利用漏洞竊取使用者的帳號、密碼,以自動化的方式不斷試圖登錄網路服務,直到某一組帳號密碼成功為止,再嘗試以竊取到的使用者的身分登錄網站或 APP 試圖進行證券下單B暴力密碼破解:尚未拿到密碼,沒有任何線索的情況下,使用隨機字串、常用密碼模式或常用密碼字典進行猜測去破解密碼。「撞庫與暴力破解的差別在於,撞庫已經有帳號密碼,但是不知道帳號跟密碼哪一組的配對是成功的;暴力破解是沒有任何資料,在各種嘗試想要登入成功。」C加密密文破解:對已加密的密文進行破解。D阻斷服務攻擊:利用大量的流量使攻擊目標的伺服器或基礎設施、設備不堪重負,從而阻斷目標伺服器、服務或網路的正常流量。
【評論主題】【題組】32.【題組3背景描述如附圖】總經理要求增加評估雲端服務的備援方案,在目前運作順暢的作業流程下,將優先以使用既有穩定軟體系統為前題下,除了與原軟體廠商連繫確認其軟體系統支援主機虛擬化、可移植性
【評論內容】依據題目及選項解析:題目問說:考量哪些「...
【評論主題】【題組】31.【題組3背景描述如附圖】為了符合公司持續營業的需求,在本次業務持續管理中將考量增建異地備援的需求,以解決先經歷長時間營運中斷的窘境,針對評估小組提出的以下方案,請問在不考量建置成本的情況
【評論內容】題目及選項解析:A跟C:系統及所有資訊系統設備因為颱風豪雨的緣故已經全部都損壞,所以建置新的廠商無法拿來做備援用途,是接續原本損壞的廠商,故AC兩個選項先刪除B跟D:備援有分三種:冷備援、暖備援、熱備援冷備援:硬體設備及公司的數據資料都不齊全,只是空有一個可以當備援的地方,建置成本較低,但相對的遇到問題需要備援資料做還原的時候能還原的就比較少熱備援:硬體齊全、數據資料幾乎也跟正式環境的一樣,建置成本很高,但如果原本的機房遇到問題要啟動備援機房就不太需要擔心暖備援:冷備援及熱備援之間,設備可能沒有熱備援那麼齊全,但是沒有冷備援那麼不足,資料亦同。依據題組說明,總經理要求未來如果發生故障障礙時,不可大於四小時(意思:於四小時內)完成復原,四小時算是很短的時間,所以題目問說何者為最佳選項:答案應該選D全備援(也等於熱備援)
【評論主題】【題組3】常青公司主要的營運系統建置於北部的舊有廠房內,包含2百萬元的伺服器主機、儲存媒體、網路設備及先前採購的8百萬元可重覆安裝資訊系統軟體,提供公司辦公室、原廠房以及合作的供應商相關營運作業管理,
【評論內容】BIA(營運衝擊分析):是衡量如果發生意...
【評論主題】【題組】28.【題組2背景描述如附圖】小美和小明「無法」使用哪些方式來防止此類型的攻擊?(複選)(A)在交換訊息前必須先驗證對方身分(B)公開雙方的私鑰(a和b)(C)改採用RSA加密演算法(D)使用
【評論內容】在傳送訊息的過程,要防止中間人攻擊,或是...
【評論主題】19.關於資訊安全管理系統在決定驗證範圍時,須包含下列哪些考量議題?(複選)(A)組織內部與外部的議題(B)主管機關的要求(C)適用法令與法規的要求(D)組織與其他組織履行活動間的介面及相依性
【評論內容】4.組織全景 - 重點在於依領導要求訂範★! ...
【評論主題】18.網路安全框架(CybersecurityFramework,CSF)為美國國家標準暨技術研究院(NationalInstituteofStandardsandTechnology,NIST)彙整
【評論內容】針對CSF是由三個要素 分別是: ● 框★★★...
【評論主題】17.關於系統存取控制管理規劃與執行,下列哪些項目適當可行?(複選)(A)公司企業資源規劃系統(ERPSystem)的權限申請,依照不同部門業務面向,須先經由負責部門主管審核。(例如:採購類權限申請須
【評論內容】針對題目及選項解析:只要有人負責,有人確...
【評論主題】12.資訊單位導入新企業資源規劃系統(ERPSystem)進行系統安全評估時,應評估下列哪些項目?1.系統安全性評估、2.容量管制評估、3.實體環境安全、4.使用者功能性需求評估(A)13(B)123
【評論內容】依據題目及答案解析:第四個選項並非是「系...
【評論主題】10.下列何者「不」是提升服務可用性(Availability)的有效策略?(A)導入內容遞送網路(ContentDeliveryNetwork,CDN)服務(B)建置應用程式防火牆(C)設計自動擴展
【評論內容】何為可用性?A內容傳遞網路(CDN)是指...
【評論主題】9.某中小企業資訊部門之業務執掌包含程式開發、程式上線、應用程式管理以及資料庫管理等,該公司因故必須縮減資訊部門人力,若您是該企業之資訊部門主管,下列何種處理較無法降低資安風險的發生?(A)將部分資安
【評論內容】B增加監視紀錄,顧名思義就要增加監視器,有了監視器就會有物聯網設備,物聯網設備就是一種風險,需要多方控管才能避免各種風險。C增加稽核頻率,如果是透過系統拋出log進行稽核,就會有系統的風險,如果是人員稽核,就會有人員疏失的風險。D導入系統工具,就是一大風險,增加了設備就跟B選項一樣,且比B選項要顧慮的方面還要多!唯有A選項,他將風險轉移,使資訊部門主管減少了資安部門工作的風險。
【評論主題】8.下列何者為使用自動化風險分析工具主要的原因?(A)可將大量資訊收容於工具中(B)在審查期間收集的大部分數據不能重新用於後續分析(C)自動化方法對於風險分析訓練和知識的需要最少(D)大多數軟體工具有
【評論內容】題目的意思就是在說「自動化工具」針對題目...
【評論主題】7.「商業公司使用防毒和反垃圾郵件機制,以保護公司的電子郵件系統。」請問上述屬於下列何種風險處理對策?(A)風險避免(Riskavoidance)(B)風險保留(Riskretention)(C)風險
【評論內容】針對題目解析: 題目的意思表示郵件系統...
【評論主題】4.下列何者「不」屬於主動式攻擊(ActiveAttack)?(A)DDoSAttack(分散式阻斷服務攻擊)(B)BufferOverflow(緩衝區溢位)(C)TyposquattingAttac
【評論內容】攻擊定義*主動式攻擊企圖改變系統資源,或...
【評論主題】3.下列選項何者作為金鑰分配(KeyDistribution)的安全性較佳?(A)3DES(B)MD5(C)Blowfish(D)ECC
【評論內容】*訊息摘要演算法(MD5,Message-...
【評論主題】2.「M公司的資訊系統,每週均有進行系統與資料備份,且有異地備份,而近期公司增加了新多重加密機制,讓資料安全可以進一步確保。然近期進行系統之復原測試時,發現復原作業時間共需要6小時,與公司的規定4小時
【評論內容】RTO(Recovery Time Ob☆☆☆☆☆☆☆,...
【評論主題】1.在ISO27000系列標準中,下列何者為建置資訊安全管理系統的實作指引(Informationsecuritymanagementsystems—Guidance)?(A)ISO/IEC27001
【評論內容】ISO/IEC 27000 — 資訊安★★★★★ - ...
【評論主題】【題組】40.【題組5背景描述如附圖】請問下列關於此種加密系統的敘述,哪些正確?(複選)(A)使用對稱金鑰(symmetrickey)對訊息(message)進行加解密(B)將對稱金鑰(symmetr
【評論內容】針對題目及選項解析,並進行相關補充:C錯...
【評論主題】【題組】39.【題組5背景描述如附圖】在步驟3.之中,接收者應使用何種Key來進行解密以獲得共享金鑰(symmetrickey)?(A)傳送者的公開金鑰(publickeyofsender)(B)傳送
【評論內容】呈第三十八題的解析,該圖最上方應該是使用...
【評論主題】【題組】38.【題組5背景描述如附圖】關於附圖中所標示的數字1.~6.之執行順序,下列排序何者最為合理?(A)2.→1.→5.→3.→4.→6.(B)3.→5.→6.→4.→1.→2.(C)6.→1.
【評論內容】依據圖片解析: 圖中的上方,sender...
【評論主題】【題組5】下圖為密碼學中常見的一種加密系統,請根據圖中資訊回答下列問題:【題組】37.【題組5背景描述如附圖】請問圖中所使用的架構是何種加密系統?(A)對稱式加密(SymmetricEncryptio
【評論內容】依據題目解析: 雜湊跟加密的差異:雜湊不...
【評論主題】【題組】36.【題組4背景描述如附圖】A企業在此一事件發生後,未發佈任何公開聲明,僅維持與受駭之消費者進行後續糾紛處理,但受駭消費者透訴媒體,以致眾媒體已大幅報導、相關檢警調單位亦已主動介入偵辦,另由
【評論內容】依據題目及選項解析:B資通安全管理法:第...
【評論主題】【題組】35.【題組4背景描述如附圖】由於該電商系統係該公司委外開發及維運,因應此一風險,進行了以下五種措施,下列哪些措施屬於風險分擔(RiskSharing)?(甲)新增使用者登入簡訊驗證功能。(乙
【評論內容】依據題目選項解析:風險分攤,又稱為風險轉移:將風險分攤至最有效管理特定風險的一方,例如交給保全公司等甲:題目沒有提及什麼風險需要增加驗證功能,只是說明了增加使用者登入簡訊驗證功能,故跟風險分攤無關乙:在公司官網公告資安情況,並有客服處理接到詐騙電話後續問題,風險還是在,並沒有將風險轉移給誰,所以不是風險分攤。丙:投保保險,如果發生資安事件,有資安保險可以理賠,減少公司損失,這很明顯就是風險分攤!丁:請委外廠商進行系統檢查,俗稱弱點掃描,發現弱點之後請廠商進行修補,這是在做風險處理。(補充:做完風險處理後會再回到風險評鑑對該弱點進行評鑑,風險評鑑流成:風險識別-風險分析-風險評估)戊:戊的意思是原本若因系統維運不當是公司自己承擔,但是現在跟委外廠商調整合約,如果有系統設計維運不當,造成公司損失,那該損失皆須由委外廠商負擔,這就是所謂的風險分擔,也稱為風險轉移!所以答案是丙跟戊~
【評論主題】【題組 4】A 企業為台灣50大之企業之一,且為股票上市企業,實收資本額達新台幣150 億元,主要營業項目為電商相關,該公司最近發現客服中心收到多筆客訴,內容主要都為消費者在公司電商網站購物後,就接到
【評論內容】依據題目及選項解析:題目說,駭客可能是利用「已知的資訊」試圖登入網路服務,所以是撞庫攻擊(詳細攻擊說明如下)A密碼撞庫攻擊:「密碼撞庫攻擊」是駭客常用的攻擊手法,不肖駭客利用漏洞竊取使用者的帳號、密碼,以自動化的方式不斷試圖登錄網路服務,直到某一組帳號密碼成功為止,再嘗試以竊取到的使用者的身分登錄網站或 APP 試圖進行證券下單B暴力密碼破解:尚未拿到密碼,沒有任何線索的情況下,使用隨機字串、常用密碼模式或常用密碼字典進行猜測去破解密碼。「撞庫與暴力破解的差別在於,撞庫已經有帳號密碼,但是不知道帳號跟密碼哪一組的配對是成功的;暴力破解是沒有任何資料,在各種嘗試想要登入成功。」C加密密文破解:對已加密的密文進行破解。D阻斷服務攻擊:利用大量的流量使攻擊目標的伺服器或基礎設施、設備不堪重負,從而阻斷目標伺服器、服務或網路的正常流量。
【評論主題】【題組】32.【題組3背景描述如附圖】總經理要求增加評估雲端服務的備援方案,在目前運作順暢的作業流程下,將優先以使用既有穩定軟體系統為前題下,除了與原軟體廠商連繫確認其軟體系統支援主機虛擬化、可移植性
【評論內容】依據題目及選項解析:題目問說:考量哪些「...
【評論主題】【題組】31.【題組3背景描述如附圖】為了符合公司持續營業的需求,在本次業務持續管理中將考量增建異地備援的需求,以解決先經歷長時間營運中斷的窘境,針對評估小組提出的以下方案,請問在不考量建置成本的情況
【評論內容】題目及選項解析:A跟C:系統及所有資訊系統設備因為颱風豪雨的緣故已經全部都損壞,所以建置新的廠商無法拿來做備援用途,是接續原本損壞的廠商,故AC兩個選項先刪除B跟D:備援有分三種:冷備援、暖備援、熱備援冷備援:硬體設備及公司的數據資料都不齊全,只是空有一個可以當備援的地方,建置成本較低,但相對的遇到問題需要備援資料做還原的時候能還原的就比較少熱備援:硬體齊全、數據資料幾乎也跟正式環境的一樣,建置成本很高,但如果原本的機房遇到問題要啟動備援機房就不太需要擔心暖備援:冷備援及熱備援之間,設備可能沒有熱備援那麼齊全,但是沒有冷備援那麼不足,資料亦同。依據題組說明,總經理要求未來如果發生故障障礙時,不可大於四小時(意思:於四小時內)完成復原,四小時算是很短的時間,所以題目問說何者為最佳選項:答案應該選D全備援(也等於熱備援)
【評論主題】【題組3】常青公司主要的營運系統建置於北部的舊有廠房內,包含2百萬元的伺服器主機、儲存媒體、網路設備及先前採購的8百萬元可重覆安裝資訊系統軟體,提供公司辦公室、原廠房以及合作的供應商相關營運作業管理,
【評論內容】BIA(營運衝擊分析):是衡量如果發生意...
【評論主題】【題組】28.【題組2背景描述如附圖】小美和小明「無法」使用哪些方式來防止此類型的攻擊?(複選)(A)在交換訊息前必須先驗證對方身分(B)公開雙方的私鑰(a和b)(C)改採用RSA加密演算法(D)使用
【評論內容】在傳送訊息的過程,要防止中間人攻擊,或是...
【評論主題】19.關於資訊安全管理系統在決定驗證範圍時,須包含下列哪些考量議題?(複選)(A)組織內部與外部的議題(B)主管機關的要求(C)適用法令與法規的要求(D)組織與其他組織履行活動間的介面及相依性
【評論內容】4.組織全景 - 重點在於依領導要求訂範★! ...
【評論主題】18.網路安全框架(CybersecurityFramework,CSF)為美國國家標準暨技術研究院(NationalInstituteofStandardsandTechnology,NIST)彙整
【評論內容】針對CSF是由三個要素 分別是: ● 框★★★...
【評論主題】17.關於系統存取控制管理規劃與執行,下列哪些項目適當可行?(複選)(A)公司企業資源規劃系統(ERPSystem)的權限申請,依照不同部門業務面向,須先經由負責部門主管審核。(例如:採購類權限申請須
【評論內容】針對題目及選項解析:只要有人負責,有人確...
【評論主題】12.資訊單位導入新企業資源規劃系統(ERPSystem)進行系統安全評估時,應評估下列哪些項目?1.系統安全性評估、2.容量管制評估、3.實體環境安全、4.使用者功能性需求評估(A)13(B)123
【評論內容】依據題目及答案解析:第四個選項並非是「系...
【評論主題】10.下列何者「不」是提升服務可用性(Availability)的有效策略?(A)導入內容遞送網路(ContentDeliveryNetwork,CDN)服務(B)建置應用程式防火牆(C)設計自動擴展
【評論內容】何為可用性?A內容傳遞網路(CDN)是指...
【評論主題】9.某中小企業資訊部門之業務執掌包含程式開發、程式上線、應用程式管理以及資料庫管理等,該公司因故必須縮減資訊部門人力,若您是該企業之資訊部門主管,下列何種處理較無法降低資安風險的發生?(A)將部分資安
【評論內容】B增加監視紀錄,顧名思義就要增加監視器,有了監視器就會有物聯網設備,物聯網設備就是一種風險,需要多方控管才能避免各種風險。C增加稽核頻率,如果是透過系統拋出log進行稽核,就會有系統的風險,如果是人員稽核,就會有人員疏失的風險。D導入系統工具,就是一大風險,增加了設備就跟B選項一樣,且比B選項要顧慮的方面還要多!唯有A選項,他將風險轉移,使資訊部門主管減少了資安部門工作的風險。
【評論主題】8.下列何者為使用自動化風險分析工具主要的原因?(A)可將大量資訊收容於工具中(B)在審查期間收集的大部分數據不能重新用於後續分析(C)自動化方法對於風險分析訓練和知識的需要最少(D)大多數軟體工具有
【評論內容】題目的意思就是在說「自動化工具」針對題目...
【評論主題】7.「商業公司使用防毒和反垃圾郵件機制,以保護公司的電子郵件系統。」請問上述屬於下列何種風險處理對策?(A)風險避免(Riskavoidance)(B)風險保留(Riskretention)(C)風險
【評論內容】針對題目解析: 題目的意思表示郵件系統...
【評論主題】4.下列何者「不」屬於主動式攻擊(ActiveAttack)?(A)DDoSAttack(分散式阻斷服務攻擊)(B)BufferOverflow(緩衝區溢位)(C)TyposquattingAttac
【評論內容】攻擊定義*主動式攻擊企圖改變系統資源,或...
【評論主題】3.下列選項何者作為金鑰分配(KeyDistribution)的安全性較佳?(A)3DES(B)MD5(C)Blowfish(D)ECC
【評論內容】*訊息摘要演算法(MD5,Message-...
【評論主題】2.「M公司的資訊系統,每週均有進行系統與資料備份,且有異地備份,而近期公司增加了新多重加密機制,讓資料安全可以進一步確保。然近期進行系統之復原測試時,發現復原作業時間共需要6小時,與公司的規定4小時
【評論內容】RTO(Recovery Time Ob☆☆☆☆☆☆☆,...
【評論主題】1.在ISO27000系列標準中,下列何者為建置資訊安全管理系統的實作指引(Informationsecuritymanagementsystems—Guidance)?(A)ISO/IEC27001
【評論內容】ISO/IEC 27000 — 資訊安★★★★★ - ...
【評論主題】【題組】40. 題組背景描述如附圖。若要強化 A 公司的工控製造資通安全管理,應導入下列何種標準較為合適?(A) IEC 62443-2-1(B) IEC 62443-2-4(C) ISO/IEC 2
【評論內容】
選項解析:A:IEC 62443 工業自動化和控制系統的國際安全標準B:A跟B選項的區別請看下圖。C:ISO 27701 隱私資訊管理D:BS 10012 個人資料管理系統。
【評論主題】【題組】34. 題組背景描述如附圖。因應資通系統使用雲服務,資通系統開始面臨新的風險,請問下列何種風險與資通系統在雲端環境的關聯度最高?(A) Account hijacking(B) Insecur
【評論內容】依據選項解析:A帳戶劫持:是個人...
【評論主題】【題組】38. 題組背景描述如附圖。承上題,依據「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」新修訂的條文,第四條第一項第二十六款所述「發生災難、集體抗議、罷工、環境污染
【評論內容】
因為題目是「股票發行公司」,所以有相關的法令法規要求,重大事件、重大資訊等,或其他有規範的範疇,都要到公開觀測站進行揭露。選項A:依規定要進行揭露。選項B:資安事件不等於資安事故,再者資安事件每分鐘不只一件,所以並非所有資安事件都要揭露。選項C:對。選項D:重大訊息依法令規定需要進行資訊揭露。
【評論主題】(題組 5)A 公司為先進資通訊產品代工製造商,為台灣股票公開發行公司,接受美國知名大廠 B 公司委託代為生產 B 公司所研發與設計商品,為了保護 B 公司的產品設計的機密與安全,A 公司在與 B 公
【評論內容】依據選項解析:選項A revil 是俄羅...
【評論主題】【題組】36. 題組背景描述如附圖。若建議異地備援機制後,仍因相關風險事件發生,D 公司進行居家辦公時,提供客戶之存儲服務系統仍出現中斷超過 1 小時的現象。請問造成上述中斷 1 小時的原因可能為下列
【評論內容】依據題目解析:選項1:D公司提供的雲端儲...
【評論主題】【題組】35. 題組背景描述如附圖。若 D 公司決定要符合合約所述的系統維運規格,下列哪些備援模式及敘述為較可行之方案:1.Cold Site(冷備援)、2.Warm Site(暖備援)、3.Hot
【評論內容】依據題目解析:不論是導入居家辦公系統或是其他系統,導入系統的時要做的評估項目有如題目所述的234。選項1:跟「安全性」無相關,題目問的是「系統安全評估」,再者功能性需求應該是要在導入前就要評估,題組題目已說明現在確定有居家辦公的需求,所以不會有選項1本題為複選題所以選了B就要選D,如果只選D沒有選B,選項2的供應商評估也是在「安全評估」的項目中,供應商可能會提供軟體、設備、後續維運服務,這些都攸關到系統安全,所以供應商的評估也算是安全評估項目之一。
【評論主題】【題組】34. 題組背景描述如附圖。資訊單位負責導入居家辦公系統,進行系統安全評估時,評估考量項目應包括下列哪些評估事項:1.功能性需求評估、2.供應商評估、3.系統安全性評估、4.容量管制評估(A)
【評論內容】依據題目解析:不論是導入居家辦公系統或是...
【評論主題】(題組 4)D 公司主要業務為提供客戶雲端存儲服務,基於對客戶的保障,已通過ISO/IEC 27001 驗證,並訂定資安政策及資安目標,其中一項資安目標為提供客戶存儲服務系統,中斷服務不可超過 4 小
【評論內容】依據題目解析:iso 27001 只要通過之後,每三年才會重新驗證,而每年要做續評驗證,並不會因為導入一個系統就要「重新驗證」,在第一次要做iso 27001驗證的時候,都會先確認驗證的範圍(範圍包含,是要驗證整個公司,還是只要驗證某一個單位,假如只要驗證資訊部,那就會在確認說要驗證資訊部的哪些系統),若加入新系統,想要將該系統納入驗證範圍的話,會在三年後的重新驗證時,調整驗證範圍(驗證的系統、項目)。
【評論主題】【題組】31. 題組背景描述如附圖。依據行政院技術服務中心 109 年第 4 季資通安全技術報告,統計分析現況資安威脅發現,以「非法入侵」(占 56.39%)類型為主,排除綜合類型「其他」外,其次分別
【評論內容】C選項:電子商務軟體做完「軟體弱點掃描」...
【評論主題】【題組】30. 題組背景描述如附圖。關於資訊安全管理系統(Information SecurityManagement System, ISMS)提供的風險評鑑方法,藉由資產分類,並判斷其價值與重要性
【評論內容】風險評鑑流程:風險識別-風險分析-風險評...
【評論主題】(題組 3)C 公司已投入電子商務 2 年,雖然疾情對既有傳統商務有些微影響,但是整體電子商務營運仍持續成長,並且已達到必須增建機房設施與系統容量之際,身為資訊部門的主管,您必須要在擴充資訊系統之際,
【評論內容】依據題目及選項解析:cns 27001 ★ ☆☆☆2...
【評論主題】24. 關於跨站指令碼攻擊(Cross-Site Scripting, XSS),請問攻擊成功的常見原因是資通系統未過濾或防範下列何種程式的注入攻擊?(A) Python(B) ASP.NET(C)
【評論內容】
跨站指令碼攻擊(XXS)是網站應用程式的漏洞攻擊,所以要選擇瀏覽器端可執行的程式語言
A選項:瀏覽器目前不支援python
B選項:偏server端
C選項:篇作業系統
D選項:網頁程式目前都是jaca script
所以答案選C
【評論主題】9. 為了確保資訊傳送的安全性,下列敘述何者正確?(1) 不要在答錄機上遺留敏感資訊的訊息(2) 機密公文可以使用傳真機傳送(3) 要注意電子郵件自動轉寄到外部郵件地址的使用規則(4) 公務往來書信或
【評論內容】
傳真並無加密,且傳真機並無設定權限,沒有驗證身份後才可以取件的機制,所以重要文件如果使用傳真機傳送,非常不安全喔
【評論主題】5. 下列何者「不」是 TCP/IP 連線劫持(Session Hijacking)攻擊成功的必要前提?(A) 取得要劫持連線的 TCP 序號(Sequence Number)(B) 入侵受害主機並奪
【評論內容】
TCP/IP攻擊是利用IP位址,並非出廠的時候與MAC固定在一起的,攻擊者通過自封包和修改網路節點的IP位址,冒充某個可信節點的IP位址,進行攻擊。
TCP欺騙攻擊(TCP Sequence Number Spoofing and Attack),基本有三種:
1. 偽造TCP序號,構造一個偽裝的TCP封包,對網路上可信主機進行攻擊;
2. SYN攻擊(SYN Attack)。這類攻擊手法花樣很多,但是其原理基本一致,讓TCP協定無法完成三次握手協定;
3. Teardrop攻擊(Teardrop Attack)和Land攻擊(Land Attack)。原理:利用系統接收IP數據包,對數據包長度和不嚴謹漏洞去進行攻擊。
如果還是不懂TCP/IP攻擊,就把它想成本來女友傳訊息給男友,但是現在出現第三者,第三者接收女友的信,在用第三者身份將信件發給男...
【評論主題】14. 下列何種作業系統透過終端機或是工作站登入,可以供多人共同使用並執行多個程式?(A) 多人單工系統(B) 多人多工系統(C) 單人單工系統(D) 單人多工系統
【評論內容】
題目說 提供「多人」共同使用,並執行「多個」程式,所以答案選「多人多工」。
【評論主題】9. 為了確保資訊傳送的安全性,下列敘述何者正確?(1) 不要在答錄機上遺留敏感資訊的訊息(2) 機密公文可以使用傳真機傳送(3) 要注意電子郵件自動轉寄到外部郵件地址的使用規則(4) 公務往來書信或
【評論內容】
傳真並無加密,且傳真機並無設定權限,沒有驗證身份後才可以取件的機制,所以重要文件如果使用傳真機傳送,非常不安全喔
【評論主題】45. 關於資通安全管理法中之事件通報之要求,下列敘述何者正確?(A) 資通安全管理法對資安事件嚴重等級共分三級(B) 對於公務機關,應於知悉資安事件後一小時內進行通報(C) 對於公務機關,應於資安事
【評論內容】* 知悉資通安全事件後,應於「一小時內」依主管機關指定方式及對象,進行資通安全事件通報。
【評論主題】9. 下列何者「不」是經濟合作及發展組織(Organization for EconomicCooperation and Development, OECD)之個人資料保護原則?(A) 限制蒐集原則
【評論內容】
OECD(經濟合作發展組織)發表「個人資料隱私和跨境流動保護指南」,這是歐盟和美國批准的一系列建議,旨在保護個人資料和隱私的基本人權。(共八項,如下)
取得限制 (Collection Limitation Principle)
個人資料的收集應存在適當的限制,進而以合法且公平的方式取得,並且透過適當的方法知會資料來源或者主體,再進一步取得同意。
資料品質 (Data Quality Principle)
個人資料應與其使用目的相關,並且在必要的範圍內,確保資料的準確性以及完整性,並隨時更新。
目的明確 (Purpose Specification Principle)
資料取得的目的應於收集資料時就清楚說明,並且在使用資料時,如果沒有通知來源主體,不得應用在和當初目的不相關的用途上
使用限制 (Use Limitation Principle)
除非經資料主體或法律授權,否則不得將個人資料用於原始或者特定目的以外之目的
安全防護 (Security Safeguards Principle)
個人資料應受到合理的安全保護措施之保障,以防止丟失或未經授權的訪問,破壞,使用,修改或披露資料等風險。
開放原則 (Openness Principle)
關於個人資料開發、應用方法,應有一個通用的開放政策去規範。並且資料主體可以輕鬆得取得關於其本身資料的細節,例如資料使用者的身份以及目的等等。
個體參與 (Individual Participation Principle)
資料主體擁有資料的取用權,也有資料的拒絕被使用權。此外也能夠質疑資料的正確性,並作出合理的處置(刪除、修改等)。
責任原則 (Accountability Principle)
資料持有者應對上述原則負責。
(以上資訊,選自於維基百科)
【評論主題】5. 下列何種網路攻擊手法,主要目的是在破壞資料的「可用性或完整性」?(1)社交工程(Social Engineering)、(2)Google 駭客(Google-Hacking)、(3)拒絕服務(
【評論內容】
社交工程:
利用人性弱點,應用簡單的溝通和欺騙技倆,來獲取帳號、通行碼、身分證號碼或其他機敏資料冷,去突破公司、校園等的資通安全防護,進而進行非法存取、破壞等行為。
Google Search又稱為Google Hacking:
使用Google的搜尋功能針對關鍵資訊進行查找,例如曾經出現過的漏洞、名單、密碼表或原始碼等資訊。利Google強大的搜尋引擎來找弱點。
拒絕服務:
也稱阻斷服務攻擊(denial-of-service attack,簡稱DoS攻擊),是一種網路攻擊手法,其目的在於使目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止,導致其正常使用者無法存取。
(拒絕服務說明選自維基百科)
駭客入侵銀行資料庫竄改存款金額:
這個很明顯破壞資料的完整性。
【評論主題】4. 在進行資安內部稽核時,下列何者「不」是組織應該採取的做法?(A) 由稽核小組規劃和建立內部稽核的計畫(B) 在稽核計畫中定義稽核的範圍和準則(C) 為確保稽核專業度,由資訊人員稽核其所負責的資訊
【評論內容】
針對C選項解析:資訊人員負責管理、維運資訊系統,「稽核」不應由當事者(資訊人員)來擔任稽核的角色。
【評論主題】3. 關於資訊安全管理系統(Information Security Management System,ISMS),下列敘述何者較「不」正確?(A) 瞭解組織資訊安全要求,建立資訊安全之政策與目標的
【評論內容】
針對B選項解析:ISMS是有規範依循,不會「主觀」的量測
【評論主題】2. 在建置與運作資安系統時,常用戴明循環(Deming Cycle)協助管理,下列何項是戴明循環(Deming Cycle)正確的順序?(A) Plan – Act – Do – Check(B)
【評論內容】
戴明循環 PDCA原則
【評論主題】1. 下列何者為「公司網路系統必須 24 小時運作」的主要原因?(A) 機密性(B) 可用性(C) 完整性(D) 不可否認性
【評論內容】
所以公司必須二十四小時運作的話是CIA裡面的A可用性
【評論主題】36.各機關開放外界連線作業之資訊系統,必要時應以下列何種方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料?(A)路由器 (B)資料加密 (C)網路芳鄰 (D)代理伺服器
【評論內容】該題題目為:行政院及所屬各機關資訊安全管...
【評論主題】36.各機關開放外界連線作業之資訊系統,必要時應以下列何種方式提供外界存取資料,避免外界直接進入資訊系統或資料庫存取資料?(A)路由器 (B)資料加密 (C)網路芳鄰 (D)代理伺服器
【評論內容】該題題目為:行政院及所屬各機關資訊安全管...