【評論主題】50. 下列何者「不」是因物聯網所衍生的安全問題？(A) 手機因故障送修，手機內的隱私照片遭維修人員竊取(B) 駭客入侵您的健身手環，用來追蹤您日常生活的路線與習慣(C) 交通號誌遭駭客入侵，數位顯示

【評論內容】(A) 手機因故障送修，手機內的隱私照片遭維修人員竊取，並不是因物聯網所衍生的安全問題，因為手機是傳統的行動裝置，並不屬於物聯網範疇。正確答案為 (B)、(C)、(D)。

【評論主題】49. 關於 WPA（Wi-Fi Protected Access），下列敘述何者「不」正確？(A) 初始向量（Initialization Vector，IV）長度：48位元(B) WPA 支援 T

【評論內容】關於 WPA（Wi-Fi Protect☆☆ ☆☆☆☆☆☆...

【評論主題】48. 下列何種對使用行動裝置的攻擊，主要是利用人與人的互動？(A) 中間人攻擊（Man in the Middle Attack）(B) 重送攻擊（Replaying Attack）(C) 阻斷式服

【評論內容】

社交工程（Social Engineering）攻擊是一種透過與人互動，誘使其在不知情的情況下進行某些危險行為的攻擊方式，例如釣魚郵件、詐騙電話等等。而使用行動裝置的攻擊主要是透過人與人的互動來達成目的，例如透過社交媒體或即時通訊軟體發送釣魚訊息，引誘使用者點擊惡意連結或下載危險應用程式，從而達成攻擊者的目的。因此，這種攻擊方式被稱為社交工程攻擊。

【評論主題】46. 為強化行動裝置（如手機）的資料安全，下列何者措施無法達到此一效果或目的？(A) 安裝手機防毒軟體(B) 將手機資料備份(C) 減少玩手機遊戲的時間(D) 不執行手機越獄（Jailbreak,

【評論內容】

選項C：減少玩手機遊戲的時間，並不是行動裝置的資料安全措施，不會直接影響資料安全。因此，選項C為正確答案。其他選項都可以有效增強行動裝置的資料安全，如安裝防毒軟體、備份資料，以及不執行越獄等措施。

【評論主題】44. 下列何者「不」是和雲端安全有關的國際標準？(A) ISO/IEC 27011(B) ISO/IEC 27017(C) ISO/IEC 27018(D) CSA STAR

【評論內容】是的，答案是A。ISO/IEC 27011★★★★★★...

【評論主題】47. 手機的使用者驗證方式，下列何項安全性最低？(A) 人臉辨識(B) 指紋辨識(C) 虹膜辨識(D) 4 位字元密碼

【評論內容】4 位字元密碼的安全性最低，因為只有數千種可能的組合，易於被猜測和破解。相較之下，人臉辨識、指紋辨識和虹膜辨識都採用生物特徵作為身份驗證，相對較難被模仿和破解。

【評論主題】45. 關於雲服務安全，下列敘述何者最為正確？(A) 資料先加密再儲存於雲服務中，可降低外洩之危害(B) 雲服務安全為供應商（CSP）之責任，非與使用者相關(C) 服務皆具備高可用特性與災難復原功能，

【評論內容】正確答案為A。資料在傳輸和儲存時若未經適當加密，則有可能被攻擊者竊取或修改，而資料先加密再儲存於雲服務中可以降低資料外洩的危害。

【評論主題】43. 關於「系統日誌」的敘述，下列何者錯誤？(A) 防止系統日誌被未經授權的存取(B) 防止侵害個人隱私，不儲存可識別使用者的資訊(C) 需防範日誌記錄檔被修改或刪除(D) 需留意不超過儲存媒體的最

【評論內容】

根據一般的系統日誌管理原則，下列敘述是錯誤的：

(B) 防止侵害個人隱私，不儲存可識別使用者的資訊

在系統日誌中，通常會紀錄使用者的活動，包括使用者的識別資訊、登入時間、登出時間、執行的操作等。這些資訊可以協助管理者或稽核員進行系統管理或安全事件調查。然而，為了保護使用者的個人隱私，應該確保系統日誌中的敏感資訊（如密碼）不會被明文紀錄，且限制系統日誌的存取權限，只有授權的人員才能存取系統日誌。

【評論主題】42. 關於 Syslog 的敘述，下列何者錯誤？(A)可以被以UDP協定及TCP協定來傳送(B) 通常被用於資訊系統管理及資安稽核(C) 無法透過SSL或 TLS方式加密(D) 是一種用來在TCP/

【評論內容】答案為 C。 解析： Syslog 是一★★★★ ...

【評論主題】40. 請問對公司內的不同網路、系統的時間同步（ClockSynchronization）機制，下列敘述何者最正確？(A) 系統才需進行時間同步，網路設備不需要(B) 由單一主機對外部時間源進行校正後

【評論內容】

正確答案為 (B) 由單一主機對外部時間源進行校正後，所有系統、設備與該主機同步。

進行時間同步的主要目的是確保公司內的不同網路、系統間具有一致的時間參考，避免發生因時間不一致而造成的錯誤或問題。一般而言，時間同步的方式是由單一主機對外部時間源進行校正，然後該主機會將正確時間分發到公司內的其他系統、設備，使得整個系統的時間保持一致。

因此，選項 (A) 系統才需進行時間同步，網路設備不需要，以及選項 (C) 同網段的所有系統設備，應向同一外部主機進行時間校正，不同網段則分別對外部不同時間源進行校正，以及選項 (D) 不同系統、設備，應分別向外部不同時間源進行時間校正，以分散風險並做比較，都不符合實務上的作法。

【評論主題】41. 請問存錄系統管理者或操作者操作系統的紀錄，並予以適當的保護，其主要的目的是要確保下列對於系統管理者或操作者的何項特性？(A) 機密性（Confidentiality）(B) 完整性（Integ

【評論內容】

答案是D，主要的目的是要確保系統管理者或操作者的可歸責性。存錄系統管理者或操作者操作系統的紀錄可以追蹤到系統管理者或操作者的行為，確定是否遵守了組織的安全政策和程序。這可以提高系統管理者或操作者的責任感，也可以作為調查和溯源的重要依據。而機密性、完整性和可用性則是保護系統和資料的目標。

【評論主題】39. 因應個人資料保護法之要求，許多公司在處理和個人資料有關的日誌時，會將敏感資訊進行處理，例如將姓名改成陳○○，請問這樣的處理，通常稱下列何項？(A) 正規化(B) 去識別化(C) 最佳化(D)

【評論內容】答案是B。這種處理方式通常稱為去識別化 (de-identification)，目的是為了保障個人資料的隱私和安全，並且符合個人資料保護法的相關要求。正規化 (normalization) 是關聯式資料庫中一種常見的資料結構設計方法；最佳化 (optimization) 則通常是指對系統或程式進行效能上的調整與改進；初始化 (initialization) 則是指將系統或程式的狀態恢復到最初的預設值。

【評論主題】37. 請問利用磁帶進行資料備份時，執行備份時耗時較久，但回復時需要的磁帶數通常最少的是下列何者？(A) 巨量備份（Bigdata Backup）(B) 完全備份（Full Backup）(C) 差異

【評論內容】通常回復時需要的磁帶數最少的是(B)完全...

【評論主題】36. 關於 MS-SQL Server 內建備份方式的敘述，下列何者錯誤？(A) 完整備份會截斷交易記錄(B) 要做任何差異備份或交易記錄備份之前，一定要做一次完整備份(C) 差異備份不會備份任何交

【評論內容】答案A是錯誤的，因為完整備份不會截斷交易...

【評論主題】29. 請問 CWE（Common Weakness Enumeration）是指下列何項？(A) 常見漏洞和風險編號(B) 弱點種類(C) Exploit Code(D) 漏洞修補建議

【評論內容】正確答案為B，CWE（Common We☆☆☆☆☆☆ ...

【評論主題】35. 若公司營運系統伺服器內有三顆硬碟作 RAID 5，並且備份機制中規劃每週五 23:00 進行完整備份（FullBackup），其餘每天 23:00 進行增量備份（IncrementalBack

【評論內容】確答案為C，只需要更換有問題的硬碟即可。...

【評論主題】34. 關於儲存媒體管制作業的敘述，下列何者最正確？(A) 儲存設備維修應以就地維修為優先，無需將硬碟拔除以利維修測試(B) 儲存媒體如需送修，應填寫設備攜出單，並將存放機密性資料之硬碟予以拔除或徹底

【評論內容】我建議選擇B，儲存媒體如需送修，應填寫設備攜出單，並將存放機密性資料之硬碟予以拔除或徹底刪除其內容。若無法執行硬碟拔除或刪除其內容，則應取得維修人員之個人保密切結書。這是最正確的敘述，因為儲存媒體往往會保存機密性資料，若未經妥善處理，就可能造成資安風險。在送修時，應先將機密性資料之硬碟拔除或徹底刪除其內容，以免外洩。另外，填寫設備攜出單也是必要的，以確保整個送修流程能夠有跡可循。

【評論主題】32. 電腦主機的作業系統及應用程式，關於有效的弱點管理，下列敘述何者較正確？(A) 對外服務的商務主機，發現了作業系統及應用程式上的弱點，為了運作正常持續不中斷，不需更新修正其弱點(B) 關閉或是移

【評論內容】

正確答案為(B) 關閉或是移除不需要使用的服務，只提供最小使用權限給操作使用者。

對於主機上的作業系統及應用程式，弱點管理是十分重要的。對於發現的弱點，應儘速進行修補，以避免駭客利用弱點進行攻擊。此外，關閉或是移除不需要使用的服務可以減少攻擊面，只提供最小使用權限給操作使用者可以減少誤操作及惡意操作的風險。採用委外技術顧問的檢測報告可以提供額外的參考，但不應視為唯一的弱點管理方式。最高系統管理員權限應該僅提供給必要的人員，並限制其使用範圍，以減少誤操作及惡意操作的風險。

【評論主題】33. 防毒軟體使用「啟發/探索方法（Heuristic Method）」最主要優點為下列何項？(A) 偵測全新病毒(B) 偵測已知病毒(C) 避免誤隔離(D) 可更快速偵測已知惡意程式

【評論內容】

答案是A。啟發/探索方法是一種靜態分析技術，可用於檢測未知或全新的惡意程式，透過對程式碼進行分析，以推斷其可能的行為和意圖，從而判斷是否為惡意程式。相比之下，傳統的病毒庫技術只能偵測已知的病毒，因此啟發/探索方法的主要優點是能夠偵測到新的病毒和惡意程式。

【評論主題】31. 資安管理人員可以利用下列何種資訊來源來尋找設備裝置、作業系統與應用程式的弱點（Vulnerabilities）相關資訊？(A) OWASP（Open Web Application Secur

【評論內容】

答案是D，即Common Vulnerabilities and Exposures（CVE）。Bugtraq和Global Vulnerabilities List（GVL）都是提供漏洞資訊的資料庫，而OWASP則是針對網路應用程式的安全性提供資源與指南。而CVE則是一個提供公開漏洞與曝光（exposure）資訊的資料庫，可協助資安管理人員快速搜尋並辨識相關裝置、作業系統及應用程式的弱點。

【評論主題】30. 利用社交工程的概念，將惡意程式或是惡意連結等隱藏在電郵件中，看似好友所寄的，誘騙使用者打開郵件。下列何項「不」是有效防止惡意郵件社交工程的方案？(A) 定期舉辦資訊安全教育訓練，建立對惡意程式

【評論內容】答案是D。封包過濾防火牆主要是應對網絡攻擊，而無法完全防止社交工程攻擊。其他選項都是有效防止惡意郵件社交工程攻擊的方案。定期舉辦資訊安全教育訓練可以提高員工對惡意郵件的警覺性和防範意識；防毒及郵件過濾解決方案可以檢測和隔離惡意郵件；定期進行社交工程演練測試可以檢測和改進組織的防範社交工程攻擊的措施。

【評論主題】26. 下列何者為防禦跨站請求偽造（Cross-Site RequestForgery, CSRF）攻擊的最佳方式？(A) 使用驗證碼（CAPTCHA）(B) 輸入參數黑名單過濾(C) 輸入參數白名單

【評論內容】(A) 使用驗證碼（CAPTCHA）是防...

【評論主題】21. 針對資料庫要進行事前告警、及時發現，以及事後分析追查可能的異常存取資安事件，應導入下列何種資料庫安全防護措施？(A) 資料庫加密(B) 資料庫叢集(C) 資料庫稽核(D) 資料庫掃描

【評論內容】

資料庫稽核是最適合的防護措施，可以記錄所有敏感的操作，如登入、查詢、修改、刪除等，並通過檢查和監視來檢測和警告潛在的安全問題。

【評論主題】25. 下列何者「不」是因為開發過程中，未留意程式安全造成的問題？(A) 魚叉式網路釣魚（Spear Phishing）(B) SQL 資料隱碼攻擊（SQL Injection）(C) 跨站指令碼攻擊

【評論內容】答案是A。魚叉式網路釣魚不是因為開發過程中未留意程式安全造成的問題，而是因為社交工程或釣魚郵件等攻擊方式所造成的問題。B、C、D則是因為開發過程中未留意程式安全而造成的問題。

【評論主題】28. 針對網站常見的跨站指令碼攻擊（Cross-site scripting,XSS），請問攻擊成功的常見原因是資通系統未過濾或防範以下何種程式語言的注入攻擊？(A) Python(B) ASP.N

【評論內容】攻擊成功的原因是資通系統未過濾或防範 JavaScript 的注入攻擊。XSS 是一種利用網頁程式未能適當處理或過濾使用者輸入資料的漏洞，攻擊者透過注入 JavaScript 等語法，將惡意指令傳送至使用者瀏覽器，使其在受害者的瀏覽器上執行。因此，防止 JavaScript 注入攻擊是防範 XSS 攻擊的重要手段。

【評論主題】24. 如附圖所示，攻擊者透過修改查詢參數「account」為任意帳號即可存取資訊，關於此應用程式缺陷的敘述，下列何者正確? (A) 存取控制失效（Broken Access Control）(B)

【評論內容】此應用程式缺陷是存取控制失效，因為攻擊者...

【評論主題】27. 安全性測試人員可以使用反組譯器（Disassemblers）、除錯器（Debuggers）和反編譯器（Decompilers）來判斷與檢查，是否存在何種程式碼的弱點？(A) 缺乏逆向工程（Re

【評論內容】反組譯器、除錯器和反編譯器等工具都可以將...

【評論主題】22. 下列何者「不」是評估應用程式安全性的檢測方法？(A) Penetration Testing(B) Ransomware Testing(C) Threat Modeling(D) Sourc

【評論內容】正確答案為 (B) Ransomware ☆☆☆☆☆☆☆...

【評論主題】20. 下列何項駭客工具可以傾倒（dump）記憶體裡登入過的帳號密碼？(A) mimikatz(B) SQLmap(C) Burp Suite(D) AppScan

【評論內容】答案是 A) mimikatz。mimi☆☆☆☆...

【評論主題】19. 系統管理人員於網站日誌中看見大量訊息含有類似字串「 」，請問可能為以下何種攻擊？(A)SQL Injection(B) Directory Traversal(C)Cross-Site Scr

【評論內容】Directory Traversal（★★★★）...

【評論主題】18. 公司高階主管近日購買一部 Macbook Pro，內含新版的 MacOS，由於業務上的關係，此主管經常攜帶筆電外出商談開會，因此公司的資安顧問建議他啟用某一項功能以防範筆電遺失被偷時，仍能夠避

【評論內容】答案是 D) FileVault。Fil☆☆☆☆☆☆ ★ ...

【評論主題】17. 下列何者「不」是攻擊者常見用來下載外部後門的指令？(A) WGET(B) CURL(C) FTP(D) PING

【評論內容】答案是 D，PING。PING 指令通常...

【評論主題】12. 請問下列哪個SSL Cipher Suite「不」安全應停用？(A) RC4(B) AES256(C) AES512(D) AES128

【評論內容】

答案是A，RC4。RC4是一種對稱式加密演算法，由於其在設計上的漏洞和弱點，現在已不建議使用。實務上已經將其列為不安全的Cipher Suite，必須停用。其他選項中，AES128、AES256、AES512都是對稱式加密演算法，被廣泛使用，且安全性被廣泛認可。

【評論主題】11. 請問要重送 TCP 封包需要使用下列何項工具？(A) Wireshark(B) Tcpreplay(C) ngrep(D) hping

【評論內容】

Tcpreplay 是一個開放原始...

【評論主題】15. 關於 Linux 的權限設定敘述，下列何者錯誤？(A) R 權限對應的數值為 4(B) E 權限對應的數值為 3(C) W 權限對應的數值為 2(D) X 權限對應的數值為 1

【評論內容】正確答案是B，因為 Linux 權限設定★★★ ...

【評論主題】13. 某甲欲使用檔案傳輸軟體將一敏感檔案傳給某乙，某甲除了將敏感檔案加密之外，在傳輸過程中，某甲可以使用下列何種安全協定，而此安全協定的使用亦可防止哪一種攻擊？(A) 使用 SSH 協定、防止 DN

【評論內容】選項中，只有選項 (B) 使★ ☆☆☆ ...

【評論主題】12. 請問下列哪個SSL Cipher Suite「不」安全應停用？(A) RC4(B) AES256(C) AES512(D) AES128

【評論內容】正確答案是 (A) RC4。RC4 是一...

【評論主題】10. TCP 三向交握（Three-way Handshake）的順序為下列何項？(A) SYN，SYN/ACK，ACK(B) SYN，ACK，SYN(C) SYN，SYN，SYN(D) ACK，S

【評論內容】

正確答案為 (A) SYN，SYN/ACK，ACK。

TCP 三向交握是建立 TCP 連線的過程，該過程的順序為：

Client 發送 SYN 封包給 Server，詢問是否可以建立 TCP 連線。Server 回應 SYN/ACK 封包給 Client，表示同意建立 TCP 連線。Client 回應 ACK 封包給 Server，表示確認建立 TCP 連線。

在此過程中，Client 和 Server 分別發送一個封包和接收一個封包，經過三次通訊後建立 TCP 連線，確保通訊的可靠性。

【評論主題】9. 請問可以將網際網路封包加密的是下列何項通訊協定？(A) SMTP(B) HTTP(C) HTTPS(D) FTP

【評論內容】可以將網際網路封包加密的通訊協定是(C) HTTPS，HTTPS是在HTTP協定基礎上加入了SSL/TLS加密機制，能夠對網路傳輸的資料進行加密保護。SMTP、HTTP、FTP則都是未加密的通訊協定。

【評論主題】8. 面對組織化、多變化的駭客攻擊，建立資訊安全監控維運中心（Security Operation Center, SOC）以加強資訊安全系統安全，下列何者是 SOC 的較主要運作功能？(A) 決定風

【評論內容】SOC的較主要運作功能是「即時監看資安事件」（C）。SOC會不斷收集、分析、評估系統和應用程序的事件和日誌數據，以便快速發現和識別潛在的安全威脅和攻擊，進而能夠採取適當的對策。而雖然決定風險處理方法、進行資安弱點管理、處理資安事故原因等功能也非常重要，但相較於即時監看資安事件而言，並不是SOC的較主要運作功能。

【評論主題】7. 網路上有許多駭客組織，都會介紹不同的攻擊方式，每種方式都會有不同的攻擊效果。關於攻擊的敘述，下列何項錯誤？(A)阻斷服務攻擊：利用網路通訊協定的弱點，傳送大量的封包使系統負荷過重、發生錯誤或是系

【評論內容】

下列何項錯誤？ (B) 網路監看：利用人際關係上溝通疏誤，取得特殊的存取帳號密碼或是重要資訊

網路監看（Network Sniffing）是利用網路上的通訊傳輸協定，讓駭客能夠監聽到目標網路傳輸的資料，包含存取帳號密碼等敏感資訊。不一定是因為人際關係上溝通疏誤而取得資訊，也可能是因為傳輸過程中未加密或是使用弱加密方式，讓駭客能夠輕易地取得資訊。

【評論主題】6. 通訊埠（Port）是應用層每種服務皆有的唯一埠號碼，其範圍介於 0~65536。其中1024之前為公認通訊埠（Well-Known Port），關於通訊埠用途的敘述，下列何項錯誤？(A) Por

【評論內容】正確答案是B和C。Port 123/UD☆ ★★★ ...

【評論主題】5. 在網際網路的世界中，每台主機都需要使用 IP 位址協定，才能相互溝通並傳送資料。請問下列哪一個 IP 位址為公用 IP 位址（非私人 IP）？(A) 10.10.10.10(B) 100.100

【評論內容】答案為 (B) 100.100.100.100，★★★★ ...

【評論主題】4. 下列何者為遠端使用者撥入驗證服務（RemoteAuthentication Dial In User Service,RADIUS）常使用之通訊埠（Port）？(A) 1812(B) 123(C

【評論內容】遠端使用者撥入驗證服務（Remote A...

【評論主題】3. 下列何者攻擊是透過 UDP（User Datagram Protocol）協定送出假造來源的廣播封包至目標網路，以便產生擴大資料流量效果的阻絶服務攻擊？(A) Smurf(B) Fraggle(

【評論內容】答案是 (B) Fraggle。Frag☆☆☆ ...

【評論主題】2. 請問下列何者為常見的 SNMP（Simple NetworkManagement Protocol）安全問題？(A) 使用 public community string(B) 使用 SNMP

【評論內容】常見的 SNMP（Simple Netw☆☆☆ ...

【評論主題】1. 請問面對日益嚴重的「電腦犯罪」，下列預防措施何者較「不」正確？(A) 建立資安管理制度(B) 技術性管制(C) 拔掉網路線(D) 警衛、門禁

【評論內容】

選項 (C) 拔掉網路線較不正確，因為這樣做會導致資訊系統無法運作，影響正常業務運作。正確的做法是透過建立資安管理制度、技術性管制和實體安全措施等多重層面的防禦機制來預防電腦犯罪。警衛、門禁等實體安全措施可以協助防範未經授權的人員進入資訊系統相關區域，而技術性管制則可防止未經授權的人員進入系統，以及防範惡意程式等攻擊。建立資安管理制度可以協調資安相關措施，並強化資訊安全意識與培養資安文化。

【評論主題】41. 關於安全事件管理的敘述，下列何者錯誤？(A) 藉由完整的資安管理制度密切掌握重要服務的日誌現況(B) 良好的安全資訊與事件管理機制應達到法規遵循以及威脅管理兩個主要目標(C) 風險矩陣:定義事

【評論內容】

(D) OSSIM 是...

【評論主題】42. 依據「 資通安全事件通報及應變辦法」，主管機關於接獲通報後，若判定為 1 級或 2 級事件，應於幾小時內完成審核？(A) 2 小時(B) 4 小時(C) 8 小時(D) 12 小時

【評論內容】

正確答案是(C) 8 ★★，★★「...

【評論主題】43. 常常聽到不同設備集中管理的資安事件整合系統SIEM，SIEM 的原文為下列何項？(A) Security Information and Event Management(B) System

【評論內容】SIEM 的原文是 (A) Security Information and Event Management。

【評論主題】50. 下列何者「不」是營運持續性的相關用語？(A) 交叉錯誤率（Crossover Error Rate, CER）(B) 營運衝擊分析（Business Impact Analysis, BIA）

【評論內容】

(A) 交叉錯誤率（Crossover Error Rate, CER）不是營運持續性的相關用語，它通常與生物鑑識、身份認證等領域有關，表示在二元分類中誤判兩種情況的比率相等時所對應的辨識率。而其他三個選項都是與營運持續性相關的用語，分別表示：營運衝擊分析（Business Impact Analysis, BIA）是用來分析各項服務、流程、應用程式等在中斷時所帶來的影響及其重要性的程序；復原時間目標（Recovery Time Objective, RTO）是指組織預期復原營運中斷所需的時間；最大可容忍中斷時間（Maximum Tolerable Downtime, MTD）是指一個系統或服務可接受的最大停機時間。

【評論主題】49. 下列何者是組織建立備援機制的首要步驟？(A) 建立相關備援機制的政策(B) 建立多個位於不同地點的機房(C) 購置最新的網路安全設備(D) 購置最新的主機監視系統

【評論內容】(A) 建立相關備援機制的政策是組織建立備援機制的首要步驟。政策的建立需要考慮到組織的需求、風險評估、備援目標、備援策略等多個方面，並且需要經過相關單位的討論和批准。在建立政策的基礎上，組織才能進一步建立備援機制，包括建立多個位於不同地點的機房、購置最新的網路安全設備和主機監視系統等。

【評論主題】48. 營運持續的過程中，在（甲）備援中心將重要服務回復至最低可接受水準，與最後於（乙）原地重建之階段。其重啟服務順序應為下列何項？(A) （甲）（乙）都先回復最重要系統(B) （甲）最重要系統先回復

【評論內容】

根據營運持續計畫的要求，當發生災難事件時，應按照預先制定的優先順序進行系統的恢復，以最大限度地減少服務中斷時間。一般而言，系統恢復的優先順序可按照服務的重要性、相互依賴關係、復原時間等多種因素來定。因此，重啟服務的順序應該由營運持續計畫中事先規劃好的系統復原流程來決定。

根據題目所述，重啟服務的過程中，先在（甲）備援中心將服務回復至最低可接受水準，再最後於（乙）原地重建。因此，重啟服務的順序應該是先在（甲）備援中心回復最重要的系統，等到回復至最低可接受水準之後，再進行最後的重建工作，恢復其他系統。因此，答案應為選項 (B) （甲）最重要系統先回復（乙）最重要系統最後才回復。

【評論主題】46. 公司採單次租賃方式建立熱備援測試站點，並定期進行災害復原計畫測試，每次測試完成後，在離開測試的熱備援站點前，應先確定下列何項活動？(A) 執行管理審查會議，提供測試建議報告給供應商(B) 確定

【評論內容】

答案為 (C) 清理熱備援站點內公司的所有測試資料。

在離開測試的熱備援站點前，應先確定清理熱備援站點內公司的所有測試資料，以保障敏感資訊不外洩。避免敏感資訊在該站點被不當取得，而對公司資訊安全造成損害。其他選項也是重要的活動，但不是在離開熱備援站點前要先確定的活動。

【評論主題】45. 關於企業組織遭遇 DoS 或 DDoS 攻擊的常見特徵，下列何者錯誤？(A) 網路頻寬滿載(B) 網通設備或防火牆不堪負載(C) 電腦與伺服器作業系統或服務超載(D) 網站內容只有影片無法播放

【評論內容】答案為 (D) 網站內容只有影片無法播放，因為這並不是 DoS 或 DDoS 攻擊的常見特徵，而是可能與網站內容或系統本身有關的問題。常見的 DoS 或 DDoS 攻擊特徵包括網路頻寬滿載、網通設備或防火牆不堪負載、電腦與伺服器作業系統或服務超載等。

【評論主題】44. 若為重大資訊安全事件，於處理完畢且獲得妥善控制後，為落實預防管理及確保資訊安全事件不再重複發生，必須研析問題發生之原因，該由下列何者指派專人召集相關單位召開資訊安全事件檢討會議？(A) 資安事

【評論內容】答案為(C) 資訊安全長。資訊安全長是企...

【評論主題】39. 附圖為 Kerberos 的簡略認證過程，圖中使用者取得的二個票證（Tickets），依序分別為下列何種票證？ (A) Ticket-granting Ticket（TGT）、Service

【評論內容】

Ticket-☆☆☆☆☆☆☆☆ ...

【評論主題】34. 某位安全性分析師負責整合企業的單一登入（SingleSign-On, SSO）解決方案，解決方案需要採用開放性的標準，並且在許多不同網頁應用程式間交換認證及授權訊息，下列何者為分析師最應提出的

【評論內容】(B) SAML。SAML（Secur☆☆☆ ...

【評論主題】37. 關於金鑰生命週期管理（Key Management Lifecycle），於儲存階段之最佳實務的敘述，下列何項錯誤？(A) 金鑰不應以明文形式（Plaintext）進行儲存(B) 金鑰若留存於

【評論內容】(B) 金鑰若留存於系統記憶體（Memo☆☆）★...

【評論主題】36. 關於密碼學（Cryptography）所能達成之主要目的，下列何項錯誤？(A) 機密性（confidentiality）(B) 完整性（Integrity）(C) 可用性（Availabili

【評論內容】以上列出的四個選項中，錯誤的選項是 (C) ...

【評論主題】27. 公司 ERP（Enterprise Resource Planning）系統針對不同職務功能給予不同權限的目地，與下列何項關聯性較高？(A) 機密性、完整性(B) 可用性、完整性(C) 機密性

【評論內容】公司ERP系統針對不同職務功能給予不同權...

【評論主題】22. 關於風險評鑑管理程序，下列敘述何者「不」正確？(A) 建立全景係界定風險評鑑範圍(B) 詳細風險評鑑包括風險識別、風險分析與風險評估(C) 風險處理若合意，則進入風險接受階段(D) 風險評鑑若

【評論內容】選項 (D) 不正確，因為若風險評鑑不合★，...

【評論主題】20. 資訊安全管理系統（Information Security ManagementSystem, ISMS）中，電力供應是屬於下列何種資產類型？(A) 服務資產(B) 資訊資產(C) 硬體資產(

【評論內容】在資訊安全管理系統中，電力供應是屬於服務...

【評論主題】19. 關於資產盤點之執行方式，下列敘述何者最「不」正確？(A) 所有軟體類資產之盤點可藉由軟體掃描工具來輔助執行(B) 所有硬體類資產之盤點可藉由軟體掃描工具來輔助執行(C) 所有資訊類資產之盤點可

【評論內容】

(B) 所有硬體類資產...

【評論主題】28. 門禁卡與機房進出需要特定密碼控制實體出入，是下列哪一個目的？(A) 偵測性(B) 指導性(C) 預防性(D) 嚇阻性

【評論內容】答案是 C. 預防性。門禁卡與機房進出需...

【評論主題】26. 無人看守設備（Unattended Equipments），如系統主機、無人看管的通訊設備，皆存在著可能被錯誤使用、竊取的風險。下列何者較「無」關於無人看守設備應注意事項？(A) 若為封閉場所

【評論內容】

選項 (C) 加裝滅火器與無人看守設備應注意事項無關，因此較「無」。正確答案為 (C)。

對於無人看守設備，應注意加強相關措施以防止其被錯誤使用或竊取。如若為封閉場所，可考慮加裝門鎖保護；若為開放場所，可考慮加裝監視器加以監控。此外，也可設定螢幕保護或使用密碼，以增加其安全性。

【評論主題】5. 資訊安全管理系統遵照計畫（Plan）、執行（Do）、檢查（Check）及行動（Act）等四個程序，不斷的改進。請問「建立及執行管理程序」是屬於下列哪一個程序？(A) 計畫（Plan）(B) 執行

【評論內容】

答案是B。 "建立及執★★★★★"★★...

【評論主題】40. 下列何種加密技術，屬於「非對稱式金鑰加密技術」？(A) 國際資料加密演算法（International Data Encryption Algorithm,IDEA）(B) 進階加密標準（Ad

【評論內容】

正確答案是(D) 橢圓曲線密碼學（Elliptic Curve Cryptography, ECC）。橢圓曲線密碼學是一種非對稱式金鑰加密技術，它基於橢圓曲線數學問題的難解性。在橢圓曲線密碼學中，使用者擁有一對密鑰，包括公開金鑰和私密金鑰。公開金鑰用於加密資料，而私密金鑰用於解密資料。

其他選項中的加密技術屬於對稱式金鑰加密技術，其中國際資料加密演算法（IDEA）、進階加密標準（AES）和資料加密標準（DES）都是對稱式加密演算法，使用相同的金鑰進行加密和解密。

【評論主題】43. 關於資安事故（Security Incident），下列敘述何者「不」正確？(A) 指已經造成服務或營運中斷之資安事件（Security Event）(B) 指極可能造成服務或營運中斷之資安事

【評論內容】

在資安事故（Security Incident）方面，如果選項 (D) 提到通常會先觀察暫不處理，那麼這個敘述是不正確的。當發生資安事故時，通常需要立即處理，以減少損害和進一步的影響。因此，選項 (D) 不正確。

其他選項的敘述如下：

選項 (A) 正確描述了資安事故的定義，指已經造成服務或營運中斷的資安事件。選項 (B) 是錯誤的，因為資安事故已經發生，而非僅是極可能造成中斷的事件。選項 (C) 正確提到在中斷過久時，需啟動營運持續計畫，以確保營運能夠持續進行。

因此，正確答案應為 (D) 通常不會先觀察而暫不處理。

【評論主題】7. 請問資訊倫理常探討的四大議題（PAPA，學者 Mason 所提出）中，個人可保護自有資訊，具有決定是否公開或保密的權利，所指的是下列何者？(A) 隱私權(B) 正確性(C) 存取權(D) 廣泛性

【評論內容】

(A) 隱私權正確答案。

在資訊倫理中，隱私權是指個人對於其所擁有的資訊有決定是否公開或保密的權利。這意味著個人可以控制其個人資訊的蒐集、使用、存儲和分享方式。隱私權的尊重是資訊倫理中的一個重要議題，保護個人隱私權對於維護個人自主權和個人資訊安全至關重要。

其他選項的解釋如下： (B) 正確性（Accuracy）：關注資訊的準確性和真實性。(C) 存取權（Accessibility）：關注資訊的存取和可用性，即個人對於資訊的存取和使用。(D) 廣泛性（Ubiquity）：關注資訊科技的廣泛應用和普及程度。

因此，根據題目描述，正確答案是 (A) 隱私權。

【評論主題】30. 在挑選以生物辨識（Biometrics）為主的驗證設備時，下列何種評估要素「不」是常用來比較設備間的優劣性？(A) 錯誤接受率（False Acceptance Rate, FAR）(B) 正

【評論內容】

答案是：

(B) 正確拒絕率（True Rejection Rate, TRR）

在挑選以生物辨識為主的驗證設備時，常用的評估要素包括：

(A) 錯誤接受率（False Acceptance Rate, FAR）：指非授權使用者被誤認為合法使用者的機率，即系統誤認他人為正確身份的機率。

(B) 正確拒絕率（True Rejection Rate, TRR）：指合法使用者被正確拒絕的機率，即系統正確辨識非合法使用者的機率。

(C) 錯誤拒絕率（False Rejection Rate, FRR）：指合法使用者被誤認為非合法使用者的機率，即系統誤判合法使用者的機率。

這些評估要素用於比較不同驗證設備的性能，以確定其準確性和可靠性。在這些評估要素中，正確拒絕率（TRR）是指合法使用者被正確拒絕的機率，即系統能夠正確識別非合法使用者的能力。所以答案是(B) 正確拒絕率（TRR）。

【評論主題】34. 關於職務區隔（Segregation of Duties, SoD），下列敘述何者較為正確？(A) 只提供執行業務上所需知道的資訊(B) 定期審查權限(C) 權限開放時採用最低權限原則(D)

【評論內容】

正確答案是：

(D) 重要工作切分給多個人來執行。

職務區隔（Segregation of Duties, SoD）是一種內部控制原則，旨在確保組織中的職務和權限被適當地分離，以防止潛在的欺詐、錯誤或濫用。下面是對每個選項的解釋：

(A) 只提供執行業務上所需知道的資訊：這描述的是資訊原則中的最小授權原則，而不是職務區隔。最小授權原則是確保每個使用者只擁有執行其業務所需的最低權限。

(B) 定期審查權限：這是權限管理的一部分，但與職務區隔無直接關係。職務區隔著重於將關鍵工作分配給不同的人，以建立內部控制和防止欺詐。

(C) 權限開放時採用最低權限原則：這描述的是資訊安全中的原則，以確保使用者只被授予他們執行特定任務所需的最低權限。這也是一個重要的原則，但不是職務區隔的完整定義。

(D) 重要工作切分給多個人來執行：這是職務區隔的核心概念。它指的是將關鍵工作切分給多個人，以確保沒有單一人員具有足夠的權限和控制，以進行潛在的欺詐或濫用行為。這種分離可以提高內部控制的有效性和可靠性。

【評論主題】1. 下列 OSI 模型層次，何者定義 IPSec 協定？(A) 資料鏈結層（Data Link Layer）(B) 傳輸層（Transport Layer）(C) 會議層（Session Layer

【評論內容】答案是 D，網路層（Network Layer）。IPSec 協定是在網路層處理的，並提供加密、驗證和完整性保護的安全性服務。它通常被用來保護 IP 通訊，提供端對端的加密和認證。

【評論主題】1. 「有人假冒大學電算中心人員，打電話向你詢問，並騙取你的帳號密碼。」請問上述屬於下列何種攻擊法？(A) 社交工程（Social Engineering）(B) 垃圾桶攻擊法（Dumpster Di

【評論內容】

上述情況屬於社交工程（Social ...

【評論主題】40. 下列何種加密技術，屬於「非對稱式金鑰加密技術」？(A) 國際資料加密演算法（International Data Encryption Algorithm,IDEA）(B) 進階加密標準（Ad

【評論內容】

正確答案是(D) 橢圓曲線密碼學（Elliptic Curve Cryptography, ECC）。橢圓曲線密碼學是一種非對稱式金鑰加密技術，它基於橢圓曲線數學問題的難解性。在橢圓曲線密碼學中，使用者擁有一對密鑰，包括公開金鑰和私密金鑰。公開金鑰用於加密資料，而私密金鑰用於解密資料。

其他選項中的加密技術屬於對稱式金鑰加密技術，其中國際資料加密演算法（IDEA）、進階加密標準（AES）和資料加密標準（DES）都是對稱式加密演算法，使用相同的金鑰進行加密和解密。

【評論主題】43. 關於資安事故（Security Incident），下列敘述何者「不」正確？(A) 指已經造成服務或營運中斷之資安事件（Security Event）(B) 指極可能造成服務或營運中斷之資安事

【評論內容】

在資安事故（Security Incident）方面，如果選項 (D) 提到通常會先觀察暫不處理，那麼這個敘述是不正確的。當發生資安事故時，通常需要立即處理，以減少損害和進一步的影響。因此，選項 (D) 不正確。

其他選項的敘述如下：

選項 (A) 正確描述了資安事故的定義，指已經造成服務或營運中斷的資安事件。選項 (B) 是錯誤的，因為資安事故已經發生，而非僅是極可能造成中斷的事件。選項 (C) 正確提到在中斷過久時，需啟動營運持續計畫，以確保營運能夠持續進行。

因此，正確答案應為 (D) 通常不會先觀察而暫不處理。

【評論主題】34. 關於職務區隔（Segregation of Duties, SoD），下列敘述何者較為正確？(A) 只提供執行業務上所需知道的資訊(B) 定期審查權限(C) 權限開放時採用最低權限原則(D)

【評論內容】

正確答案是：

(D) 重要工作切分給多個人來執行。

職務區隔（Segregation of Duties, SoD）是一種內部控制原則，旨在確保組織中的職務和權限被適當地分離，以防止潛在的欺詐、錯誤或濫用。下面是對每個選項的解釋：

(A) 只提供執行業務上所需知道的資訊：這描述的是資訊原則中的最小授權原則，而不是職務區隔。最小授權原則是確保每個使用者只擁有執行其業務所需的最低權限。

(B) 定期審查權限：這是權限管理的一部分，但與職務區隔無直接關係。職務區隔著重於將關鍵工作分配給不同的人，以建立內部控制和防止欺詐。

(C) 權限開放時採用最低權限原則：這描述的是資訊安全中的原則，以確保使用者只被授予他們執行特定任務所需的最低權限。這也是一個重要的原則，但不是職務區隔的完整定義。

(D) 重要工作切分給多個人來執行：這是職務區隔的核心概念。它指的是將關鍵工作切分給多個人，以確保沒有單一人員具有足夠的權限和控制，以進行潛在的欺詐或濫用行為。這種分離可以提高內部控制的有效性和可靠性。

【評論主題】30. 在挑選以生物辨識（Biometrics）為主的驗證設備時，下列何種評估要素「不」是常用來比較設備間的優劣性？(A) 錯誤接受率（False Acceptance Rate, FAR）(B) 正

【評論內容】

答案是：

(B) 正確拒絕率（True Rejection Rate, TRR）

在挑選以生物辨識為主的驗證設備時，常用的評估要素包括：

(A) 錯誤接受率（False Acceptance Rate, FAR）：指非授權使用者被誤認為合法使用者的機率，即系統誤認他人為正確身份的機率。

(B) 正確拒絕率（True Rejection Rate, TRR）：指合法使用者被正確拒絕的機率，即系統正確辨識非合法使用者的機率。

(C) 錯誤拒絕率（False Rejection Rate, FRR）：指合法使用者被誤認為非合法使用者的機率，即系統誤判合法使用者的機率。

這些評估要素用於比較不同驗證設備的性能，以確定其準確性和可靠性。在這些評估要素中，正確拒絕率（TRR）是指合法使用者被正確拒絕的機率，即系統能夠正確識別非合法使用者的能力。所以答案是(B) 正確拒絕率（TRR）。

【評論主題】7. 請問資訊倫理常探討的四大議題（PAPA，學者 Mason 所提出）中，個人可保護自有資訊，具有決定是否公開或保密的權利，所指的是下列何者？(A) 隱私權(B) 正確性(C) 存取權(D) 廣泛性

【評論內容】

(A) 隱私權正確答案。

在資訊倫理中，隱私權是指個人對於其所擁有的資訊有決定是否公開或保密的權利。這意味著個人可以控制其個人資訊的蒐集、使用、存儲和分享方式。隱私權的尊重是資訊倫理中的一個重要議題，保護個人隱私權對於維護個人自主權和個人資訊安全至關重要。

其他選項的解釋如下： (B) 正確性（Accuracy）：關注資訊的準確性和真實性。(C) 存取權（Accessibility）：關注資訊的存取和可用性，即個人對於資訊的存取和使用。(D) 廣泛性（Ubiquity）：關注資訊科技的廣泛應用和普及程度。

因此，根據題目描述，正確答案是 (A) 隱私權。

【評論主題】50. 下列何者「不」是因物聯網所衍生的安全問題？(A) 手機因故障送修，手機內的隱私照片遭維修人員竊取(B) 駭客入侵您的健身手環，用來追蹤您日常生活的路線與習慣(C) 交通號誌遭駭客入侵，數位顯示

【評論內容】(A) 手機因故障送修，手機內的隱私照片遭維修人員竊取，並不是因物聯網所衍生的安全問題，因為手機是傳統的行動裝置，並不屬於物聯網範疇。正確答案為 (B)、(C)、(D)。

【評論主題】49. 關於 WPA（Wi-Fi Protected Access），下列敘述何者「不」正確？(A) 初始向量（Initialization Vector，IV）長度：48位元(B) WPA 支援 T

【評論內容】關於 WPA（Wi-Fi Protect☆☆ ☆☆☆☆☆☆...

【評論主題】48. 下列何種對使用行動裝置的攻擊，主要是利用人與人的互動？(A) 中間人攻擊（Man in the Middle Attack）(B) 重送攻擊（Replaying Attack）(C) 阻斷式服

【評論內容】

社交工程（Social Engineering）攻擊是一種透過與人互動，誘使其在不知情的情況下進行某些危險行為的攻擊方式，例如釣魚郵件、詐騙電話等等。而使用行動裝置的攻擊主要是透過人與人的互動來達成目的，例如透過社交媒體或即時通訊軟體發送釣魚訊息，引誘使用者點擊惡意連結或下載危險應用程式，從而達成攻擊者的目的。因此，這種攻擊方式被稱為社交工程攻擊。

【評論主題】47. 手機的使用者驗證方式，下列何項安全性最低？(A) 人臉辨識(B) 指紋辨識(C) 虹膜辨識(D) 4 位字元密碼

【評論內容】4 位字元密碼的安全性最低，因為只有數千種可能的組合，易於被猜測和破解。相較之下，人臉辨識、指紋辨識和虹膜辨識都採用生物特徵作為身份驗證，相對較難被模仿和破解。

【評論主題】46. 為強化行動裝置（如手機）的資料安全，下列何者措施無法達到此一效果或目的？(A) 安裝手機防毒軟體(B) 將手機資料備份(C) 減少玩手機遊戲的時間(D) 不執行手機越獄（Jailbreak,

【評論內容】

選項C：減少玩手機遊戲的時間，並不是行動裝置的資料安全措施，不會直接影響資料安全。因此，選項C為正確答案。其他選項都可以有效增強行動裝置的資料安全，如安裝防毒軟體、備份資料，以及不執行越獄等措施。

【評論主題】45. 關於雲服務安全，下列敘述何者最為正確？(A) 資料先加密再儲存於雲服務中，可降低外洩之危害(B) 雲服務安全為供應商（CSP）之責任，非與使用者相關(C) 服務皆具備高可用特性與災難復原功能，

【評論內容】正確答案為A。資料在傳輸和儲存時若未經適當加密，則有可能被攻擊者竊取或修改，而資料先加密再儲存於雲服務中可以降低資料外洩的危害。

【評論主題】44. 下列何者「不」是和雲端安全有關的國際標準？(A) ISO/IEC 27011(B) ISO/IEC 27017(C) ISO/IEC 27018(D) CSA STAR

【評論內容】是的，答案是A。ISO/IEC 27011★★★★★★...

【評論主題】43. 關於「系統日誌」的敘述，下列何者錯誤？(A) 防止系統日誌被未經授權的存取(B) 防止侵害個人隱私，不儲存可識別使用者的資訊(C) 需防範日誌記錄檔被修改或刪除(D) 需留意不超過儲存媒體的最

【評論內容】

根據一般的系統日誌管理原則，下列敘述是錯誤的：

(B) 防止侵害個人隱私，不儲存可識別使用者的資訊

在系統日誌中，通常會紀錄使用者的活動，包括使用者的識別資訊、登入時間、登出時間、執行的操作等。這些資訊可以協助管理者或稽核員進行系統管理或安全事件調查。然而，為了保護使用者的個人隱私，應該確保系統日誌中的敏感資訊（如密碼）不會被明文紀錄，且限制系統日誌的存取權限，只有授權的人員才能存取系統日誌。

【評論主題】42. 關於 Syslog 的敘述，下列何者錯誤？(A)可以被以UDP協定及TCP協定來傳送(B) 通常被用於資訊系統管理及資安稽核(C) 無法透過SSL或 TLS方式加密(D) 是一種用來在TCP/

【評論內容】

答案為 C。

解析：

Syslog 是一種用來在 TCP/IP 網路中傳遞記錄檔訊息的標準。Syslog 通常被用於資訊系統管理及資安稽核，可以被以 UDP 協定及 TCP 協定來傳送。然而，Syslog 可以透過 SSL 或 TLS 方式加密來保護傳輸的訊息。因此，選項 C 的敘述錯誤。

【評論主題】41. 請問存錄系統管理者或操作者操作系統的紀錄，並予以適當的保護，其主要的目的是要確保下列對於系統管理者或操作者的何項特性？(A) 機密性（Confidentiality）(B) 完整性（Integ

【評論內容】

答案是D，主要的目的是要確保系統管理者或操作者的可歸責性。存錄系統管理者或操作者操作系統的紀錄可以追蹤到系統管理者或操作者的行為，確定是否遵守了組織的安全政策和程序。這可以提高系統管理者或操作者的責任感，也可以作為調查和溯源的重要依據。而機密性、完整性和可用性則是保護系統和資料的目標。

【評論主題】40. 請問對公司內的不同網路、系統的時間同步（ClockSynchronization）機制，下列敘述何者最正確？(A) 系統才需進行時間同步，網路設備不需要(B) 由單一主機對外部時間源進行校正後

【評論內容】

正確答案為 (B) 由單一主機對外部時間源進行校正後，所有系統、設備與該主機同步。

進行時間同步的主要目的是確保公司內的不同網路、系統間具有一致的時間參考，避免發生因時間不一致而造成的錯誤或問題。一般而言，時間同步的方式是由單一主機對外部時間源進行校正，然後該主機會將正確時間分發到公司內的其他系統、設備，使得整個系統的時間保持一致。

因此，選項 (A) 系統才需進行時間同步，網路設備不需要，以及選項 (C) 同網段的所有系統設備，應向同一外部主機進行時間校正，不同網段則分別對外部不同時間源進行校正，以及選項 (D) 不同系統、設備，應分別向外部不同時間源進行時間校正，以分散風險並做比較，都不符合實務上的作法。

【評論主題】39. 因應個人資料保護法之要求，許多公司在處理和個人資料有關的日誌時，會將敏感資訊進行處理，例如將姓名改成陳○○，請問這樣的處理，通常稱下列何項？(A) 正規化(B) 去識別化(C) 最佳化(D)

【評論內容】答案是B。這種處理方式通常稱為去識別化 (de-identification)，目的是為了保障個人資料的隱私和安全，並且符合個人資料保護法的相關要求。正規化 (normalization) 是關聯式資料庫中一種常見的資料結構設計方法；最佳化 (optimization) 則通常是指對系統或程式進行效能上的調整與改進；初始化 (initialization) 則是指將系統或程式的狀態恢復到最初的預設值。

【評論主題】37. 請問利用磁帶進行資料備份時，執行備份時耗時較久，但回復時需要的磁帶數通常最少的是下列何者？(A) 巨量備份（Bigdata Backup）(B) 完全備份（Full Backup）(C) 差異

【評論內容】通常回復時需要的磁帶數最少的是(B)完全備份，因為完全備份會備份所有資料，因此回復時只需要一個完整的備份即可。而其他的差異備份和增量備份則只會備份資料的更改部分，回復時需要先還原完整備份，再逐步還原後續的備份。而巨量備份通常是指大型資料集合的備份，和備份方式本身的耗時和磁帶數量沒有必然的關聯。

【評論主題】36. 關於 MS-SQL Server 內建備份方式的敘述，下列何者錯誤？(A) 完整備份會截斷交易記錄(B) 要做任何差異備份或交易記錄備份之前，一定要做一次完整備份(C) 差異備份不會備份任何交

【評論內容】答案A是錯誤的，因為完整備份不會截斷交易...

【評論主題】32. 電腦主機的作業系統及應用程式，關於有效的弱點管理，下列敘述何者較正確？(A) 對外服務的商務主機，發現了作業系統及應用程式上的弱點，為了運作正常持續不中斷，不需更新修正其弱點(B) 關閉或是移

【評論內容】

正確答案為(B) 關閉或是移除不需要使用的服務，只提供最小使用權限給操作使用者。

對於主機上的作業系統及應用程式，弱點管理是十分重要的。對於發現的弱點，應儘速進行修補，以避免駭客利用弱點進行攻擊。此外，關閉或是移除不需要使用的服務可以減少攻擊面，只提供最小使用權限給操作使用者可以減少誤操作及惡意操作的風險。採用委外技術顧問的檢測報告可以提供額外的參考，但不應視為唯一的弱點管理方式。最高系統管理員權限應該僅提供給必要的人員，並限制其使用範圍，以減少誤操作及惡意操作的風險。

【評論主題】35. 若公司營運系統伺服器內有三顆硬碟作 RAID 5，並且備份機制中規劃每週五 23:00 進行完整備份（FullBackup），其餘每天 23:00 進行增量備份（IncrementalBack

【評論內容】確答案為C，只需要更換有問題的硬碟即可。RAID 5 可以容忍單一硬碟故障，因此只要更換有問題的硬碟，系統就可以自動進行重建。如果有其他硬碟故障，則需要使用備份來還原數據。在此情況下，由於只有一顆硬碟故障，因此無需使用備份來還原數據。

【評論主題】34. 關於儲存媒體管制作業的敘述，下列何者最正確？(A) 儲存設備維修應以就地維修為優先，無需將硬碟拔除以利維修測試(B) 儲存媒體如需送修，應填寫設備攜出單，並將存放機密性資料之硬碟予以拔除或徹底

【評論內容】我建議選擇B，儲存媒體如需送修，應填寫設備攜出單，並將存放機密性資料之硬碟予以拔除或徹底刪除其內容。若無法執行硬碟拔除或刪除其內容，則應取得維修人員之個人保密切結書。這是最正確的敘述，因為儲存媒體往往會保存機密性資料，若未經妥善處理，就可能造成資安風險。在送修時，應先將機密性資料之硬碟拔除或徹底刪除其內容，以免外洩。另外，填寫設備攜出單也是必要的，以確保整個送修流程能夠有跡可循。

【評論主題】33. 防毒軟體使用「啟發/探索方法（Heuristic Method）」最主要優點為下列何項？(A) 偵測全新病毒(B) 偵測已知病毒(C) 避免誤隔離(D) 可更快速偵測已知惡意程式

【評論內容】

答案是A。啟發/探索方法是一種靜態分析技術，可用於檢測未知或全新的惡意程式，透過對程式碼進行分析，以推斷其可能的行為和意圖，從而判斷是否為惡意程式。相比之下，傳統的病毒庫技術只能偵測已知的病毒，因此啟發/探索方法的主要優點是能夠偵測到新的病毒和惡意程式。

【評論主題】31. 資安管理人員可以利用下列何種資訊來源來尋找設備裝置、作業系統與應用程式的弱點（Vulnerabilities）相關資訊？(A) OWASP（Open Web Application Secur

【評論內容】

答案是D，即Common Vulnerabilities and Exposures（CVE）。Bugtraq和Global Vulnerabilities List（GVL）都是提供漏洞資訊的資料庫，而OWASP則是針對網路應用程式的安全性提供資源與指南。而CVE則是一個提供公開漏洞與曝光（exposure）資訊的資料庫，可協助資安管理人員快速搜尋並辨識相關裝置、作業系統及應用程式的弱點。

【評論主題】30. 利用社交工程的概念，將惡意程式或是惡意連結等隱藏在電郵件中，看似好友所寄的，誘騙使用者打開郵件。下列何項「不」是有效防止惡意郵件社交工程的方案？(A) 定期舉辦資訊安全教育訓練，建立對惡意程式

【評論內容】答案是D。封包過濾防火牆主要是應對網絡攻擊，而無法完全防止社交工程攻擊。其他選項都是有效防止惡意郵件社交工程攻擊的方案。定期舉辦資訊安全教育訓練可以提高員工對惡意郵件的警覺性和防範意識；防毒及郵件過濾解決方案可以檢測和隔離惡意郵件；定期進行社交工程演練測試可以檢測和改進組織的防範社交工程攻擊的措施。

【評論主題】29. 請問 CWE（Common Weakness Enumeration）是指下列何項？(A) 常見漏洞和風險編號(B) 弱點種類(C) Exploit Code(D) 漏洞修補建議

【評論內容】正確答案為B，CWE（Common We☆☆☆☆☆☆ ...