【評論主題】18. OWASP Top 10:2021 所發布之 A04:2021-Insecure Design 主要是呈現出許多不同的弱點,代表著「缺乏或無效的控制設計」,試問下列對於預防 A04:2021-
【評論內容】
OWASP Top 10:2021 中的 A04:2021-Insecure Design 指向了由於缺乏或不適當的設計而造成的安全漏洞。
選項解釋如下:
(A) 建立和使用安全開發生命週期並且與應用程式安全的專家合作來評估和設計安全和隱私相關的控制措施。這是一個非常好的做法,因為它確保在開發過程中考慮到安全性。
(B) 建立和使用第三方的開源函式庫,或是使用已完成的元件。這可能是風險的,因為如果沒有對這些開源函式庫進行恰當的審核,可能會引入不安全的設計或漏洞。
(C) 使用威脅建模在關鍵的認證、存取控制、商業邏輯以及關鍵缺陷上。這是一個好的做法,因為它確保了在設計階段考慮到安全威脅。
(D) 撰寫單元測試與整合測試以確保所有的關鍵流程對威脅建模都有反應。這也是一個好的做法,因為這確保了設計的安全性。
因此,從上述的選項中,最不適當的控制措施為 (B) 建立和使用第三方的開源函式庫,或是使用已完成的元件。
【評論主題】35. ISO/IEC 27002 於 2022 年 2 月發布最新版本,該版本與 2013年版本的差異之一,是增加控制措施的屬性標籤,其中一項是「類別」,共有預防、偵測與矯正等 3 項,請問系統資料
【評論內容】
系統資料備份主要是用來在數據丟失或...
【評論主題】【題組】40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱點事件,發現公司內部的系統發包規範未有一個有效的管理規範,以導致本項問題,在公司組織內無設置 CIO/CISO 及資安專責人員的
【評論內容】
在此情境中,公司的問題主要集中在沒有明確的資訊安全管理制度和專責人員,導致內部系統發包時沒有適當的安全考量。針對提升資訊軟體取得之前的安全強度,我們可以進行以下分析:
(A) 建立合約範本,將相關檢測需求明文規範:這可以確保發包時,供應商了解其必須符合的資安標準和要求,並在專案完成前進行必要的安全檢測。因此,這是一個有效的方法。
(B) 定期執行已發包專案合約內容審查:雖然這可以確保合約的內容仍然是合適的,但它並不直接提升軟體取得之前的安全強度。
(C) 設立資安專責單位並將相關需求交由該專責單位查驗:這是一個有效的方法,因為該專責單位可以確保資安標準和需求得到適當的實施和監督。
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練:這項措施主要是在軟體取得後,不過,定期的檢測可以確保軟體在其生命週期中保持其安全性,而技術移轉教育訓練可以確保內部人員了解和維護這些系統。
綜上所述,能夠有效提升這些資訊軟體取得之前的安全強度的選項是:(A) 和 (C)。
【評論主題】【題組】39. 【題組 5 背景描述如附圖】CEO 所要求的風險處理原則,是在選擇控制措施前必須先考量到成本效益(Cost Effective),因此第一步就是金錢利益分析(Cost/Benefit
【評論內容】
當我們談到風險處理,特別是考慮成本效益,目的通常是找到一個平衡點,使風險降至可以接受的範圍,同時花費的資源是切實可行的。
對於上述選項的分析:
(A) 風險處理必須降到為零為止:這在實際的商業環境中是不可能的。風險無法完全消除,但可以管理和降低至可接受的程度。
(B) 透過一系列的控制措施,將衝擊降到可以被規避為止:這表示完全避免風險,但有時這可能不是成本效益最高的方法。
(C) 選擇投入最少花費的控制措施,將風險降至擁有者(Owner)可接受為止:這是最合乎成本效益原則的選擇。它強調在有限的資源下將風險降低到可接受的範圍。
(D) 投入降低風險比例最大的控制措施,將風險降至接近零為止:這也與(A)選項相似,旨在完全消除風險,這在大多數情況下是不實際的。
因此,最適當的答案是:(C) 選擇投入最少花費的控制措施,將風險降至擁有者(Owner)可接受為止。
【評論主題】36. 關於風險處理相關議題的敘述,下列哪些正確?(A) 制定資訊安全目標,可依據風險處理的實施狀況來量化其達成結果(B) 風險處理的計畫,需細部描述其內容,包含實施內容及相關負責人員等(C) 風險處
【評論內容】
根據風險管理和資訊安全的常識和最佳做法,我們可以分析以下選項:
(A) 制定資訊安全目標,可依據風險處理的實施狀況來量化其達成結果:這是正確的。資訊安全目標通常是具體和量化的,可以根據風險處理活動的成果來評估它們的達成情況。
(B) 風險處理的計畫,需細部描述其內容,包含實施內容及相關負責人員等:這也是正確的。為了確保風險處理活動的成功,需要有明確的計劃,其中包括具體的實施步驟、責任人員、時間表等。
(C) 風險處理的方式必須以修正風險的選項處理:這是不正確的。風險處理可以包括多種方法,例如避免、轉移、接受或減少風險。選擇哪種方法取決於特定的情境和組織的風險接受度。
(D) 風險分析結果可能性高、衝擊大的可考量選用避免風險:這是正確的。當風險的可能性和衝擊都很高時,組織可能會選擇避免該風險,例如不進行某項活動或採取其他策略。
因此,正確的選項是:(A), (B) 和 (D)。
【評論主題】19. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture,ZTA)的基本規則敘述,下列何項錯誤?(A) 所有的通訊都需被保護,無論其所在之網路位置(B)
【評論內容】
NIST SP 800-207 ★★★★★(...
【評論主題】17. 某公司新增了一業務型態,員工(20 員,每員配置筆電乙部以及隨身硬碟乙顆)必須至客戶端長期駐點處理有關受託業務,並於客戶端透過網際網路連線回公司內部網路處裡公司相關業務,為了降低此一新增業務型
【評論內容】
在此場景中,員工需要在客戶端使用筆...
【評論主題】【題組】14. 【題組 2 背景描述如附圖】該管理人員安裝網路封包側錄器後,對該 SQL Server 持續側錄了一整晚的網路封包,隔天進公司針對所側錄下來的網路封包進行分析,發現在網路封包內容顯示了
【評論內容】
從題目描述中,我們知道外部IP地址210.34.1...
【評論主題】11. 在存取控制上,零信任(Zero Trust)是一個重要課題。關於零信任的敘述,下列何者較「不」適當?(A) 零信任依循「永不信任,一律驗證」的原則(B) 推動零信任,企業可能需要重新評估每項資
【評論內容】
(C) 零信任倚重於最大特權原則等★★★★
...
【評論主題】9. 組織擬採取「存取控制」構面之控制措施,確保組織所保有的資通系統之安全防護,請問關於控制措施的敘述,下列何項錯誤?(A) 遠端存取時使用者之權限檢查作業應於使用者端完成(B) 超過組織所許可之閒置
【評論內容】
(A) 遠端存取時使用者之權限檢查...
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】
下列標準中,(B) ISO 27701 和 (C) BS 10012 是特別針對個人資訊保護或隱私資訊管理設計的:
(A) ISO 27001 是一種資訊安全管理系統(ISMS)的標準,其主要目的是幫助組織建立和管理一個資訊安全管理系統。雖然它涵蓋了許多與個人資料保護相關的領域,但其主要目的不僅僅是個人資料保護。
(B) ISO 27701 是一個擴充自 ISO 27001 的標準,專門針對隱私資訊管理。這個標準提供了一個框架,幫助組織管理個人資料的隱私風險,並達到法規遵從。
(C) BS 10012 是英國標準協會發布的個人資訊管理系統(PIMS)的標準,與 GDPR 等法規相關。
(D) IEC 62443 是針對工業控制系統的資訊安全標準,不特別針對個人資訊保護或隱私資訊管理。
【評論主題】【題組 1】 A 公司為某先進產品的製造商,該公司主要據點 B 與 C 分散在國內兩地,距離約 20 km,其主要客戶位於歐洲地區,該公司十分重視資訊安全及品質管理,先前已通過 ISO 9
【評論內容】
(D) 印表機遭惡意濫用
由於題目說明業務部門的印表機被設定為使用公有IP,並且印表機突然印出勒索信,可以推測印表機最有可能被駭客組織入侵。使用公有IP會使印表機直接暴露在網際網路上,而印表機的安全控制通常不如電腦來得強大,因此較容易成為駭客的目標。尤其是當印表機沒有適當的安全設定(例如防火牆或強力的密碼)時,駭客可以較容易地入侵。另外,駭客一旦控制了印表機,就可能進一步攻擊連接到同一網路的其他裝置。
【評論主題】【題組】8. 【題組 1 背景描述如附圖】公司希望其服務提供商,亦具備相關的工業控制系統資訊安全能力。從流程(Process)認證而言,可以進行下列哪兩種標準的認證?(A) IEC 62443-2-4
【評論內容】
IEC 62443 是一套針對工業自動化和控制系統 (Industrial Automation and Control Systems, IACS) 的資訊安全標準。其中的子標準包括:
IEC 62443-2-4:專為整個 IACS 供應鏈,包含系統整合商和設備提供商提供實體的組織資訊安全設定標準。這項標準提供了用於確保 IACS 安全性的政策和程序。
IEC 62443-3-3:這項標準提供系統層級的技術要求,用於指定和設計自動化和控制系統的安全系統。
IEC 62443-2-3:這項標準提供了建立並維護一個 IACS 安全程式的指南,包括組織結構、策略和程序。
IEC 62443-4-2:這項標準提供了組件的技術安全要求,包括設備製造商的產品開發和維護的生命週期要求。
所以,從流程認證的角度,可以選擇 (A) IEC 62443-2-4 和 (C) IEC 62443-2-3 兩項標準來進行認證。這兩個標準都是針對組織層級的安全政策和程序,並非特定於技術或系統設計。
【評論主題】【題組】7. 【題組 1 背景描述如附圖】因該公司是某先進產品的製造商,若 要 進 一 步 強 化 該 公 司 製 造 場 域 部 分 的 資 訊 安 全(Operational Technology
【評論內容】
(A) BS 10012:這是英國標準協會 (BSI) 對於個人資訊管理系統的標準,這個標準為公司提供了一個框架,讓他們可以符合與個人資訊相關的法規要求,例如 GDPR。然而,這並不特別適合製造環境的操作技術安全。
(B) IEC 62443-2-1:這是 IEC 62443 標準系列的一部分,提供了工業自動化和控制系統的安全管理系統的需求,這對製造環境的操作技術安全尤其重要。
(C) IEC 62443-2-4:這也是 IEC 62443 標準系列的一部分,它提供了組織購買和應用安全系統元件時應遵守的要求和指南。雖然這對製造商也有用,但不如 IEC 62443-2-1 針對製造環境的安全性更具體。
(D) ISO/IEC 27001:這是一個全球認可的資訊安全管理系統標準,適用於所有類型的組織,並提供了一個框架讓組織能設計,實施,操作,監控,審查,維護和改進自身的資訊安全管理系統。然而,它並不特別針對製造環境的操作技術安全。
【評論主題】【題組】6. 【題組 1 背景描述如附圖】為符合業務部門員工從公司外部列印資料的需求,下列何種解決方案,可以不需在印表機設定公有 IP(Public Internet Protocol)的前提下達成此
【評論內容】
(C) VPN(Virtual Private Network)
VPN,即虛擬私人網路,可以建立一條安全的網路隧道,讓使用者在網際網路上進行加密通訊。使用VPN,員工可以安全地從公司外部訪問內部網路資源(如印表機),而不需要為印表機設定公有IP。同時,VPN也可以防止未經授權的使用者訪問公司內部網路,從而提供額外的安全保護。
【評論主題】32. 網路安全滲透測試的目標包括一切與網路相關的基礎設施,包含網路裝置、作業系統、實體安全、應用程式、管理制度等。下列敘述哪些錯誤?(A) 網路裝置是包含所有能夠連接到網路的各種實體,像是路由器、交
【評論內容】
選項 (B) "實體安全主要指的是機房環境、通訊設備等,是資訊安全中最重要的目標" 和 (C) "應用程式是管理與控制電腦軟硬體資源的電腦程式" 都是錯誤的。
(B) 實體安全確實包括機房環境、通訊設備等的保護,但它並不是資訊安全中"最重要"的目標。資訊安全中最重要的目標通常是確保資訊的機密性、完整性和可用性。雖然實體安全對於確保這些目標是很重要的一部分,但還需要考慮到其他方面,如網路安全、身份和存取管理、資料保護等。
(C) 應用程式並不是用於"管理與控制電腦軟硬體資源的電腦程式"。應用程式通常指的是為了執行特定任務或工作流程而開發的軟體,例如文字處理軟體、電子郵件客戶端或Web瀏覽器。而管理和控制電腦軟硬體資源的是作業系統
【評論主題】30. 下面何項「不」是源碼檢測工具?(A) SonarQube(B) Checkmarx(C) Fortify(D) Nexpose
【評論內容】
(D) Nexpose
Nexpose是一款由Rapid7公司開發的漏洞管理和風險評估工具,而不是專門用於源碼檢查的工具。它能掃描網絡來識別潛在的安全漏洞和風險,包括操作系統、數據庫、Web應用程序、網絡設備等。
而SonarQube、Checkmarx和Fortify都是源碼檢測工具,用於檢查軟體代碼中的質量問題和安全漏洞。
【評論主題】11. 路由協定(Routing Protocol)是一種指定封包轉送方式的網路協定,請問關於路由協定之敘述,下列何者錯誤?(A) 路由資訊協定(Route Information Protocol,
【評論內容】選項(A)的敘述是不正確的。路由資訊協定(RIP)並不是每隔5秒廣播一次路由表,實際上,RIP協定預設每隔30秒會發送一次完整的路由更新。這個更新包含了路由器所知道的所有路由資訊,這也是RIP協定較為耗費網路頻寬的一個原因。因此,正確答案為(A)選項。
【評論主題】24. 在組織 ISMS 制度中之服務級別協定( Service-LevelAgreement, SLA)要求妥善率達到5個9的標準下,請問在一年中,下列哪些停機時間在容許的範圍內?(A) 30 秒(
【評論內容】
"五個九"的服務等級協議(SLA)規定了系統應該達到99.999%的正常運行時間。這意味著在一年的時間內,系統的總計劃外停機時間應少於5.26分鐘。
根據這個要求,選擇:
(A) 30秒 (B) 5分鐘
這兩個選項的停機時間都在服務等級協議的容許範圍內。選擇(C) 1小時和(D) 1天的停機時間超出了"五個九"SLA的要求。
【評論主題】【題組】34. 【題組 4】關於 Log4j 的功能或應用,下列敘述何者正確?(A) Log4j 是基於.NET 所開發的日誌工具(B) CVE-2021-44228 此漏洞遭開發的來源功能,主要為
【評論內容】
(A) Log4j 是基於.NET 所開發的日誌工具
這項敘述不正確。Log4j 是由 Apache Software Foundation 開發的 Java 日誌服務工具,並非基於 .NET 開發。
(C) JndiLookup.class 所支援的通訊協定僅限於輕型目錄存取協定 (LDAP)
這項敘述不正確。雖然在 Log4Shell 漏洞中,攻擊者常利用 LDAP 進行攻擊,但 Log4j 的 JndiLookup.class 也支援其他通訊協定,如 RMI、DNS 等。
(D) Log4j 工具僅能使用於 Web 伺服器
這項敘述不正確。Log4j 可以用於任何需要日誌記錄的 Java 應用程式,並非僅限於 Web 伺服器。包括各類企業應用、桌面應用、大數據應用等,都可能使用 Log4j 進行日誌記錄。
【評論主題】【題組】35. 【題組 4】當前述三個漏洞發生之後,資安工程師在監控這類攻擊時,發現疑似為 CVE-2021-44228 攻擊者所發送之攻擊嘗試,並由攻擊封包中解析出以下內容: ,下列敘述何者「不」正
【評論內容】
(D) 上述攻擊樣態,若將 jndi:ldap,改為 jndi:rms,也會是 jndi 所能支援的通訊協定。
這項敘述是不正確的。在 Log4j 的 JNDI Lookup 中,不支援 "rms" 作為一種通訊協定。JNDI 支援的協定包括 ldap、rmi、dns 等。所以,如果將 "jndi:ldap" 改為 "jndi:rms",該輸入將不會被識別為一個有效的 JNDI 引用,也就無法觸發 Log4Shell 漏洞。
【評論主題】【題組】31. 【題組 3 背景描述如附圖】請問關於通行碼鑑別協定和詢問握手認證協定認證過程中的安全性,下列敘述何者正確?(A) 通行碼鑑別協定和詢問握手認證協定密碼都不是明碼,都很安全(B) 通行碼
【評論內容】
(C) 通行碼鑑別協定是明碼,詢問握手認證協定不是明碼,後者較安全。
這項敘述是正確的。通行碼鑑別協定(PAP,Password Authentication Protocol)是一種非常基本的驗證協定,並且其將使用者名稱和密碼以明文的形式傳輸,因此較不安全。相反,詢問握手認證協定(CHAP,Challenge Handshake Authentication Protocol)則是一種更安全的協定。在 CHAP 中,伺服器會向客戶端發送一個挑戰,客戶端則回應一個根據挑戰和密碼計算出來的值,但不會直接傳輸密碼,從而提高了安全性。
【評論主題】【題組 4】Apache Log4j 是一套使用非常廣泛的開放源碼的工具,方便程式設計人員在程式中加入 log function,並能以多種方式將 Log 輸出到不同標的,是此類開源工具中,最受系統開
【評論內容】
(C) 上述三個漏洞都可以使駭客進行 RCE(Remote Code Execution)攻擊。
是不正確的。CVE-2021-44228(也被稱為 Log4Shell)和 CVE-2021-45046 是可以被利用來進行遠程代碼執行(RCE)的漏洞。然而,CVE-2021-45105 並不涉及 RCE,它是一個與 denial of service(DOS)相關的漏洞,該漏洞可能使攻擊者能夠讓系統資源耗盡,導致服務無法使用。
【評論主題】【題組】32. 【題組 3 背景描述如附圖】關於點對點協定、通行碼鑑別協定、詢問握手認證協定和擴展認證協定,下列敘述哪些正確?(複選)(A) 通行碼鑑別協定使用雙向交握(two-way handsha
【評論內容】
(A) 正確 - 通行碼鑑別協定(PAP)的確是使用兩步驟的握手過程,並且明文傳輸使用者名稱和密碼。而詢問握手認證協定(CHAP)則使用三步驟的握手過程,具有更高的安全性。
(B) 不正確 - 點對點協定(PPP)是有偵錯能力的。PPP 有一個稱為 LCP(Link Control Protocol)的組件,其主要負責建立、配置和測試數據連結連接。
(C) 正確 - 擴展認證協定(EAP)是一種通用的認證框架,並且允許使用各種認證方法,包括憑證、智能卡、硬體令牌等。在某些 EAP 方法中,認證過程確實可能涉及到一個單獨的認證伺服器。
(D) 正確 - 點對點協定(PPP)是在 OSI 模型的第二層,也就是資料連結層上運行的。PPP 用於在直接連接的兩個節點之間建立一條數據連接,並提供資料封裝和傳輸的機制。
【評論主題】【題組】28. 【題組 2】駭客勒索集團針對各類系統漏洞進行攻擊,掌握全球駭客勒索集團相關技術資訊,取得駭客集團第一手攻擊手法,或是暗網的技術資料,並進行防護有效性驗證與分析,是身為專業資安人員應具備
【評論內容】
(A) 正確 - Cobalt Strike 是一種廣泛用於安全測試的工具,可以模擬各種網路攻擊來評估系統的安全性。然而,它也被一些不法集團如 Conti, Hello 等利用,用來進行網路攻擊,特別是在橫向移動(lateral movement)的過程中。
(B) 錯誤 - Mimikatz 是一種用於提取 Windows 註冊表中密碼、PIN 碼和 Kerberos 憑證等認證資料的工具。原本被用作安全研究和測試的工具,但也被像是 Doppelpaymer, Revil 這樣的勒索軟體集團用於攻擊,尤其是在橫向移動和執行命令的過程中。
(C) 正確 - ADFind 是一款用於查詢 Active Directory(AD)的工具,能夠用於查找和檢索網路中的各種資源和物件。雖然原本被設計為 IT 管理和網路維護工具,但它也被像是 ProLock, Revil 這樣的勒索軟體集團利用來進行橫向移動。
(D) 正確 - MegaSync 是 Mega 雲端儲存服務的一部分,用於同步和儲存文件。然而,它也被像是 RansomEXX, LockBit 這樣的勒索軟體集團利用來公開未付贖金的被加密資料,藉此對受害者施壓。
【評論主題】16. 開放式系統互聯模型(Open System Interconnection Model, OSI)中,下列哪些「不」是在傳輸層(Transport Layer)的攻擊手法?(複選)(A) Sm
【評論內容】
在 OSI 模型中,傳輸層的主要工作是提供端對端的通訊服務。不過,(A) Smurf Attack,(B) DNS Poisoning,和 (D) Ping of Death,都不是傳輸層(Transport Layer)的攻擊手法。
(A) Smurf Attack 是一種分散式阻斷服務攻擊 (DDoS),它主要利用網路層(Network Layer)的 IP 協定。
(B) DNS Poisoning 主要影響的是應用層(Application Layer),它透過欺騙 DNS 服務器,將用戶導向惡意網站。
(C) SYN Flood 是傳輸層的攻擊手法,它透過在 TCP 三次握手過程中發送大量的 SYN 請求,但不回應 ACK,使目標無法處理新的連接。
(D) Ping of Death 是一種利用 ICMP 協定(屬於網路層)進行的攻擊,它透過發送超過 IP 協定允許的最大封包大小的 Ping 封包,來使目標系統崩潰。
因此,選項(A)、(B)和(D)都不是在傳輸層(Transport Layer)的攻擊手法。
【評論主題】15. 關於軟體組成分析(Software Composition Analysis),下列敘述何者「不」正確?(A) 可透過分析來識別所使用第三方/開源軟體,其所存在的風險或威脅(B) 「軟體組成分
【評論內容】選項(B)「軟體組成分析」為源碼檢測其一類型,主要分析軟體是否存在開發語法缺陷」是不正確的。軟體組成分析(Software Composition Analysis, SCA)主要是用來識別並管理開源軟體與第三方元件的風險,而非專注於找出開發語法的缺陷。找出語法缺陷通常是靜態程式碼分析(Static Code Analysis)的範疇。
【評論主題】6. 在 Linux 系統環境下,關於 Apache 安全防護設定,下列敘述何者「不」正確?(A) 檢查是否有非權限用戶對 Apache 設定檔擁有存取權限,建議設定成:chmod 644 /usr/
【評論內容】
選項 (B) 不正確。原因是 <LimitExcept GET POST> Allow from all </LimitExcept> 這個配置並不是禁止 PUT、DELETE 等 HTTP 模式。它實際上是允許所有來源的 GET 和 POST 請求,而對於其他如 PUT、DELETE 等方法,並沒有明確的禁止規則。如果想要確實禁止這些方法,需要針對這些方法設置特定的限制規則。例如,可以這樣設置:
<Limit PUT DELETE> Deny from all </Limit>【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】35. ISO/IEC 27002 於 2022 年 2 月發布最新版本,該版本與 2013年版本的差異之一,是增加控制措施的屬性標籤,其中一項是「類別」,共有預防、偵測與矯正等 3 項,請問系統資料
【評論內容】
系統資料備份主要是用來在數據丟失或...
【評論主題】19. 關於 NIST SP 800-207 零信任架構(Zero Trust Architecture,ZTA)的基本規則敘述,下列何項錯誤?(A) 所有的通訊都需被保護,無論其所在之網路位置(B)
【評論內容】
NIST SP 800-207 ★★★★★(...
【評論主題】17. 某公司新增了一業務型態,員工(20 員,每員配置筆電乙部以及隨身硬碟乙顆)必須至客戶端長期駐點處理有關受託業務,並於客戶端透過網際網路連線回公司內部網路處裡公司相關業務,為了降低此一新增業務型
【評論內容】
在此場景中,員工需要在客戶端使用筆...
【評論主題】18. OWASP Top 10:2021 所發布之 A04:2021-Insecure Design 主要是呈現出許多不同的弱點,代表著「缺乏或無效的控制設計」,試問下列對於預防 A04:2021-
【評論內容】
OWASP Top 10:2021 中的 A04:2021-Insecure Design 指向了由於缺乏或不適當的設計而造成的安全漏洞。
選項解釋如下:
(A) 建立和使用安全開發生命週期並且與應用程式安全的專家合作來評估和設計安全和隱私相關的控制措施。這是一個非常好的做法,因為它確保在開發過程中考慮到安全性。
(B) 建立和使用第三方的開源函式庫,或是使用已完成的元件。這可能是風險的,因為如果沒有對這些開源函式庫進行恰當的審核,可能會引入不安全的設計或漏洞。
(C) 使用威脅建模在關鍵的認證、存取控制、商業邏輯以及關鍵缺陷上。這是一個好的做法,因為它確保了在設計階段考慮到安全威脅。
(D) 撰寫單元測試與整合測試以確保所有的關鍵流程對威脅建模都有反應。這也是一個好的做法,因為這確保了設計的安全性。
因此,從上述的選項中,最不適當的控制措施為 (B) 建立和使用第三方的開源函式庫,或是使用已完成的元件。
【評論主題】【題組】14. 【題組 2 背景描述如附圖】該管理人員安裝網路封包側錄器後,對該 SQL Server 持續側錄了一整晚的網路封包,隔天進公司針對所側錄下來的網路封包進行分析,發現在網路封包內容顯示了
【評論內容】
從題目描述中,我們知道外部IP地址210.34.1...
【評論主題】【題組】40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱點事件,發現公司內部的系統發包規範未有一個有效的管理規範,以導致本項問題,在公司組織內無設置 CIO/CISO 及資安專責人員的
【評論內容】
在此情境中,公司的問題主要集中在沒有明確的資訊安全管理制度和專責人員,導致內部系統發包時沒有適當的安全考量。針對提升資訊軟體取得之前的安全強度,我們可以進行以下分析:
(A) 建立合約範本,將相關檢測需求明文規範:這可以確保發包時,供應商了解其必須符合的資安標準和要求,並在專案完成前進行必要的安全檢測。因此,這是一個有效的方法。
(B) 定期執行已發包專案合約內容審查:雖然這可以確保合約的內容仍然是合適的,但它並不直接提升軟體取得之前的安全強度。
(C) 設立資安專責單位並將相關需求交由該專責單位查驗:這是一個有效的方法,因為該專責單位可以確保資安標準和需求得到適當的實施和監督。
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練:這項措施主要是在軟體取得後,不過,定期的檢測可以確保軟體在其生命週期中保持其安全性,而技術移轉教育訓練可以確保內部人員了解和維護這些系統。
綜上所述,能夠有效提升這些資訊軟體取得之前的安全強度的選項是:(A) 和 (C)。
【評論主題】【題組】39. 【題組 5 背景描述如附圖】CEO 所要求的風險處理原則,是在選擇控制措施前必須先考量到成本效益(Cost Effective),因此第一步就是金錢利益分析(Cost/Benefit
【評論內容】
當我們談到風險處理,特別是考慮成本效益,目的通常是找到一個平衡點,使風險降至可以接受的範圍,同時花費的資源是切實可行的。
對於上述選項的分析:
(A) 風險處理必須降到為零為止:這在實際的商業環境中是不可能的。風險無法完全消除,但可以管理和降低至可接受的程度。
(B) 透過一系列的控制措施,將衝擊降到可以被規避為止:這表示完全避免風險,但有時這可能不是成本效益最高的方法。
(C) 選擇投入最少花費的控制措施,將風險降至擁有者(Owner)可接受為止:這是最合乎成本效益原則的選擇。它強調在有限的資源下將風險降低到可接受的範圍。
(D) 投入降低風險比例最大的控制措施,將風險降至接近零為止:這也與(A)選項相似,旨在完全消除風險,這在大多數情況下是不實際的。
因此,最適當的答案是:(C) 選擇投入最少花費的控制措施,將風險降至擁有者(Owner)可接受為止。
【評論主題】9. 組織擬採取「存取控制」構面之控制措施,確保組織所保有的資通系統之安全防護,請問關於控制措施的敘述,下列何項錯誤?(A) 遠端存取時使用者之權限檢查作業應於使用者端完成(B) 超過組織所許可之閒置
【評論內容】
(A) 遠端存取時使用者之權限檢查...
【評論主題】11. 在存取控制上,零信任(Zero Trust)是一個重要課題。關於零信任的敘述,下列何者較「不」適當?(A) 零信任依循「永不信任,一律驗證」的原則(B) 推動零信任,企業可能需要重新評估每項資
【評論內容】
(C) 零信任倚重於最大特權原則等★★★★
...
【評論主題】36. 關於風險處理相關議題的敘述,下列哪些正確?(A) 制定資訊安全目標,可依據風險處理的實施狀況來量化其達成結果(B) 風險處理的計畫,需細部描述其內容,包含實施內容及相關負責人員等(C) 風險處
【評論內容】
根據風險管理和資訊安全的常識和最佳做法,我們可以分析以下選項:
(A) 制定資訊安全目標,可依據風險處理的實施狀況來量化其達成結果:這是正確的。資訊安全目標通常是具體和量化的,可以根據風險處理活動的成果來評估它們的達成情況。
(B) 風險處理的計畫,需細部描述其內容,包含實施內容及相關負責人員等:這也是正確的。為了確保風險處理活動的成功,需要有明確的計劃,其中包括具體的實施步驟、責任人員、時間表等。
(C) 風險處理的方式必須以修正風險的選項處理:這是不正確的。風險處理可以包括多種方法,例如避免、轉移、接受或減少風險。選擇哪種方法取決於特定的情境和組織的風險接受度。
(D) 風險分析結果可能性高、衝擊大的可考量選用避免風險:這是正確的。當風險的可能性和衝擊都很高時,組織可能會選擇避免該風險,例如不進行某項活動或採取其他策略。
因此,正確的選項是:(A), (B) 和 (D)。
【評論主題】【題組 1】 A 公司為某先進產品的製造商,該公司主要據點 B 與 C 分散在國內兩地,距離約 20 km,其主要客戶位於歐洲地區,該公司十分重視資訊安全及品質管理,先前已通過 ISO 9
【評論內容】
(D) 印表機遭惡意濫用
由於題目說明業務部門的印表機被設定為使用公有IP,並且印表機突然印出勒索信,可以推測印表機最有可能被駭客組織入侵。使用公有IP會使印表機直接暴露在網際網路上,而印表機的安全控制通常不如電腦來得強大,因此較容易成為駭客的目標。尤其是當印表機沒有適當的安全設定(例如防火牆或強力的密碼)時,駭客可以較容易地入侵。另外,駭客一旦控制了印表機,就可能進一步攻擊連接到同一網路的其他裝置。
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】
下列標準中,(B) ISO 27701 和 (C) BS 10012 是特別針對個人資訊保護或隱私資訊管理設計的:
(A) ISO 27001 是一種資訊安全管理系統(ISMS)的標準,其主要目的是幫助組織建立和管理一個資訊安全管理系統。雖然它涵蓋了許多與個人資料保護相關的領域,但其主要目的不僅僅是個人資料保護。
(B) ISO 27701 是一個擴充自 ISO 27001 的標準,專門針對隱私資訊管理。這個標準提供了一個框架,幫助組織管理個人資料的隱私風險,並達到法規遵從。
(C) BS 10012 是英國標準協會發布的個人資訊管理系統(PIMS)的標準,與 GDPR 等法規相關。
(D) IEC 62443 是針對工業控制系統的資訊安全標準,不特別針對個人資訊保護或隱私資訊管理。
【評論主題】【題組】8. 【題組 1 背景描述如附圖】公司希望其服務提供商,亦具備相關的工業控制系統資訊安全能力。從流程(Process)認證而言,可以進行下列哪兩種標準的認證?(A) IEC 62443-2-4
【評論內容】
IEC 62443 是一套針對工業自動化和控制系統 (Industrial Automation and Control Systems, IACS) 的資訊安全標準。其中的子標準包括:
IEC 62443-2-4:專為整個 IACS 供應鏈,包含系統整合商和設備提供商提供實體的組織資訊安全設定標準。這項標準提供了用於確保 IACS 安全性的政策和程序。
IEC 62443-3-3:這項標準提供系統層級的技術要求,用於指定和設計自動化和控制系統的安全系統。
IEC 62443-2-3:這項標準提供了建立並維護一個 IACS 安全程式的指南,包括組織結構、策略和程序。
IEC 62443-4-2:這項標準提供了組件的技術安全要求,包括設備製造商的產品開發和維護的生命週期要求。
所以,從流程認證的角度,可以選擇 (A) IEC 62443-2-4 和 (C) IEC 62443-2-3 兩項標準來進行認證。這兩個標準都是針對組織層級的安全政策和程序,並非特定於技術或系統設計。
【評論主題】【題組】7. 【題組 1 背景描述如附圖】因該公司是某先進產品的製造商,若 要 進 一 步 強 化 該 公 司 製 造 場 域 部 分 的 資 訊 安 全(Operational Technology
【評論內容】
(A) BS 10012:這是英國標準協會 (BSI) 對於個人資訊管理系統的標準,這個標準為公司提供了一個框架,讓他們可以符合與個人資訊相關的法規要求,例如 GDPR。然而,這並不特別適合製造環境的操作技術安全。
(B) IEC 62443-2-1:這是 IEC 62443 標準系列的一部分,提供了工業自動化和控制系統的安全管理系統的需求,這對製造環境的操作技術安全尤其重要。
(C) IEC 62443-2-4:這也是 IEC 62443 標準系列的一部分,它提供了組織購買和應用安全系統元件時應遵守的要求和指南。雖然這對製造商也有用,但不如 IEC 62443-2-1 針對製造環境的安全性更具體。
(D) ISO/IEC 27001:這是一個全球認可的資訊安全管理系統標準,適用於所有類型的組織,並提供了一個框架讓組織能設計,實施,操作,監控,審查,維護和改進自身的資訊安全管理系統。然而,它並不特別針對製造環境的操作技術安全。
【評論主題】【題組】6. 【題組 1 背景描述如附圖】為符合業務部門員工從公司外部列印資料的需求,下列何種解決方案,可以不需在印表機設定公有 IP(Public Internet Protocol)的前提下達成此
【評論內容】
(C) VPN(Virtual Private Network)
VPN,即虛擬私人網路,可以建立一條安全的網路隧道,讓使用者在網際網路上進行加密通訊。使用VPN,員工可以安全地從公司外部訪問內部網路資源(如印表機),而不需要為印表機設定公有IP。同時,VPN也可以防止未經授權的使用者訪問公司內部網路,從而提供額外的安全保護。
【評論主題】11. 路由協定(Routing Protocol)是一種指定封包轉送方式的網路協定,請問關於路由協定之敘述,下列何者錯誤?(A) 路由資訊協定(Route Information Protocol,
【評論內容】選項(A)的敘述是不正確的。路由資訊協定(RIP)並不是每隔5秒廣播一次路由表,實際上,RIP協定預設每隔30秒會發送一次完整的路由更新。這個更新包含了路由器所知道的所有路由資訊,這也是RIP協定較為耗費網路頻寬的一個原因。因此,正確答案為(A)選項。
【評論主題】32. 網路安全滲透測試的目標包括一切與網路相關的基礎設施,包含網路裝置、作業系統、實體安全、應用程式、管理制度等。下列敘述哪些錯誤?(A) 網路裝置是包含所有能夠連接到網路的各種實體,像是路由器、交
【評論內容】
選項 (B) "實體安全主要指的是機房環境、通訊設備等,是資訊安全中最重要的目標" 和 (C) "應用程式是管理與控制電腦軟硬體資源的電腦程式" 都是錯誤的。
(B) 實體安全確實包括機房環境、通訊設備等的保護,但它並不是資訊安全中"最重要"的目標。資訊安全中最重要的目標通常是確保資訊的機密性、完整性和可用性。雖然實體安全對於確保這些目標是很重要的一部分,但還需要考慮到其他方面,如網路安全、身份和存取管理、資料保護等。
(C) 應用程式並不是用於"管理與控制電腦軟硬體資源的電腦程式"。應用程式通常指的是為了執行特定任務或工作流程而開發的軟體,例如文字處理軟體、電子郵件客戶端或Web瀏覽器。而管理和控制電腦軟硬體資源的是作業系統
【評論主題】30. 下面何項「不」是源碼檢測工具?(A) SonarQube(B) Checkmarx(C) Fortify(D) Nexpose
【評論內容】
(D) Nexpose
Nexpose是一款由Rapid7公司開發的漏洞管理和風險評估工具,而不是專門用於源碼檢查的工具。它能掃描網絡來識別潛在的安全漏洞和風險,包括操作系統、數據庫、Web應用程序、網絡設備等。
而SonarQube、Checkmarx和Fortify都是源碼檢測工具,用於檢查軟體代碼中的質量問題和安全漏洞。
【評論主題】24. 在組織 ISMS 制度中之服務級別協定( Service-LevelAgreement, SLA)要求妥善率達到5個9的標準下,請問在一年中,下列哪些停機時間在容許的範圍內?(A) 30 秒(
【評論內容】
"五個九"的服務等級協議(SLA)規定了系統應該達到99.999%的正常運行時間。這意味著在一年的時間內,系統的總計劃外停機時間應少於5.26分鐘。
根據這個要求,選擇:
(A) 30秒 (B) 5分鐘
這兩個選項的停機時間都在服務等級協議的容許範圍內。選擇(C) 1小時和(D) 1天的停機時間超出了"五個九"SLA的要求。
【評論主題】【題組】35. 【題組 4】當前述三個漏洞發生之後,資安工程師在監控這類攻擊時,發現疑似為 CVE-2021-44228 攻擊者所發送之攻擊嘗試,並由攻擊封包中解析出以下內容: ,下列敘述何者「不」正
【評論內容】
(D) 上述攻擊樣態,若將 jndi:ldap,改為 jndi:rms,也會是 jndi 所能支援的通訊協定。
這項敘述是不正確的。在 Log4j 的 JNDI Lookup 中,不支援 "rms" 作為一種通訊協定。JNDI 支援的協定包括 ldap、rmi、dns 等。所以,如果將 "jndi:ldap" 改為 "jndi:rms",該輸入將不會被識別為一個有效的 JNDI 引用,也就無法觸發 Log4Shell 漏洞。
【評論主題】【題組】34. 【題組 4】關於 Log4j 的功能或應用,下列敘述何者正確?(A) Log4j 是基於.NET 所開發的日誌工具(B) CVE-2021-44228 此漏洞遭開發的來源功能,主要為
【評論內容】
(A) Log4j 是基於.NET 所開發的日誌工具
這項敘述不正確。Log4j 是由 Apache Software Foundation 開發的 Java 日誌服務工具,並非基於 .NET 開發。
(C) JndiLookup.class 所支援的通訊協定僅限於輕型目錄存取協定 (LDAP)
這項敘述不正確。雖然在 Log4Shell 漏洞中,攻擊者常利用 LDAP 進行攻擊,但 Log4j 的 JndiLookup.class 也支援其他通訊協定,如 RMI、DNS 等。
(D) Log4j 工具僅能使用於 Web 伺服器
這項敘述不正確。Log4j 可以用於任何需要日誌記錄的 Java 應用程式,並非僅限於 Web 伺服器。包括各類企業應用、桌面應用、大數據應用等,都可能使用 Log4j 進行日誌記錄。
【評論主題】【題組 4】Apache Log4j 是一套使用非常廣泛的開放源碼的工具,方便程式設計人員在程式中加入 log function,並能以多種方式將 Log 輸出到不同標的,是此類開源工具中,最受系統開
【評論內容】
(C) 上述三個漏洞都可以使駭客進行 RCE(Remote Code Execution)攻擊。
是不正確的。CVE-2021-44228(也被稱為 Log4Shell)和 CVE-2021-45046 是可以被利用來進行遠程代碼執行(RCE)的漏洞。然而,CVE-2021-45105 並不涉及 RCE,它是一個與 denial of service(DOS)相關的漏洞,該漏洞可能使攻擊者能夠讓系統資源耗盡,導致服務無法使用。
【評論主題】【題組】32. 【題組 3 背景描述如附圖】關於點對點協定、通行碼鑑別協定、詢問握手認證協定和擴展認證協定,下列敘述哪些正確?(複選)(A) 通行碼鑑別協定使用雙向交握(two-way handsha
【評論內容】
(A) 正確 - 通行碼鑑別協定(PAP)的確是使用兩步驟的握手過程,並且明文傳輸使用者名稱和密碼。而詢問握手認證協定(CHAP)則使用三步驟的握手過程,具有更高的安全性。
(B) 不正確 - 點對點協定(PPP)是有偵錯能力的。PPP 有一個稱為 LCP(Link Control Protocol)的組件,其主要負責建立、配置和測試數據連結連接。
(C) 正確 - 擴展認證協定(EAP)是一種通用的認證框架,並且允許使用各種認證方法,包括憑證、智能卡、硬體令牌等。在某些 EAP 方法中,認證過程確實可能涉及到一個單獨的認證伺服器。
(D) 正確 - 點對點協定(PPP)是在 OSI 模型的第二層,也就是資料連結層上運行的。PPP 用於在直接連接的兩個節點之間建立一條數據連接,並提供資料封裝和傳輸的機制。
【評論主題】【題組】31. 【題組 3 背景描述如附圖】請問關於通行碼鑑別協定和詢問握手認證協定認證過程中的安全性,下列敘述何者正確?(A) 通行碼鑑別協定和詢問握手認證協定密碼都不是明碼,都很安全(B) 通行碼
【評論內容】
(C) 通行碼鑑別協定是明碼,詢問握手認證協定不是明碼,後者較安全。
這項敘述是正確的。通行碼鑑別協定(PAP,Password Authentication Protocol)是一種非常基本的驗證協定,並且其將使用者名稱和密碼以明文的形式傳輸,因此較不安全。相反,詢問握手認證協定(CHAP,Challenge Handshake Authentication Protocol)則是一種更安全的協定。在 CHAP 中,伺服器會向客戶端發送一個挑戰,客戶端則回應一個根據挑戰和密碼計算出來的值,但不會直接傳輸密碼,從而提高了安全性。
【評論主題】【題組】28. 【題組 2】駭客勒索集團針對各類系統漏洞進行攻擊,掌握全球駭客勒索集團相關技術資訊,取得駭客集團第一手攻擊手法,或是暗網的技術資料,並進行防護有效性驗證與分析,是身為專業資安人員應具備
【評論內容】
(A) 正確 - Cobalt Strike 是一種廣泛用於安全測試的工具,可以模擬各種網路攻擊來評估系統的安全性。然而,它也被一些不法集團如 Conti, Hello 等利用,用來進行網路攻擊,特別是在橫向移動(lateral movement)的過程中。
(B) 錯誤 - Mimikatz 是一種用於提取 Windows 註冊表中密碼、PIN 碼和 Kerberos 憑證等認證資料的工具。原本被用作安全研究和測試的工具,但也被像是 Doppelpaymer, Revil 這樣的勒索軟體集團用於攻擊,尤其是在橫向移動和執行命令的過程中。
(C) 正確 - ADFind 是一款用於查詢 Active Directory(AD)的工具,能夠用於查找和檢索網路中的各種資源和物件。雖然原本被設計為 IT 管理和網路維護工具,但它也被像是 ProLock, Revil 這樣的勒索軟體集團利用來進行橫向移動。
(D) 正確 - MegaSync 是 Mega 雲端儲存服務的一部分,用於同步和儲存文件。然而,它也被像是 RansomEXX, LockBit 這樣的勒索軟體集團利用來公開未付贖金的被加密資料,藉此對受害者施壓。
【評論主題】16. 開放式系統互聯模型(Open System Interconnection Model, OSI)中,下列哪些「不」是在傳輸層(Transport Layer)的攻擊手法?(複選)(A) Sm
【評論內容】
在 OSI 模型中,傳輸層的主要工作是提供端對端的通訊服務。不過,(A) Smurf Attack,(B) DNS Poisoning,和 (D) Ping of Death,都不是傳輸層(Transport Layer)的攻擊手法。
(A) Smurf Attack 是一種分散式阻斷服務攻擊 (DDoS),它主要利用網路層(Network Layer)的 IP 協定。
(B) DNS Poisoning 主要影響的是應用層(Application Layer),它透過欺騙 DNS 服務器,將用戶導向惡意網站。
(C) SYN Flood 是傳輸層的攻擊手法,它透過在 TCP 三次握手過程中發送大量的 SYN 請求,但不回應 ACK,使目標無法處理新的連接。
(D) Ping of Death 是一種利用 ICMP 協定(屬於網路層)進行的攻擊,它透過發送超過 IP 協定允許的最大封包大小的 Ping 封包,來使目標系統崩潰。
因此,選項(A)、(B)和(D)都不是在傳輸層(Transport Layer)的攻擊手法。
【評論主題】15. 關於軟體組成分析(Software Composition Analysis),下列敘述何者「不」正確?(A) 可透過分析來識別所使用第三方/開源軟體,其所存在的風險或威脅(B) 「軟體組成分
【評論內容】選項(B)「軟體組成分析」為源碼檢測其一類型,主要分析軟體是否存在開發語法缺陷」是不正確的。軟體組成分析(Software Composition Analysis, SCA)主要是用來識別並管理開源軟體與第三方元件的風險,而非專注於找出開發語法的缺陷。找出語法缺陷通常是靜態程式碼分析(Static Code Analysis)的範疇。
【評論主題】6. 在 Linux 系統環境下,關於 Apache 安全防護設定,下列敘述何者「不」正確?(A) 檢查是否有非權限用戶對 Apache 設定檔擁有存取權限,建議設定成:chmod 644 /usr/
【評論內容】
選項 (B) 不正確。原因是 <LimitExcept GET POST> Allow from all </LimitExcept> 這個配置並不是禁止 PUT、DELETE 等 HTTP 模式。它實際上是允許所有來源的 GET 和 POST 請求,而對於其他如 PUT、DELETE 等方法,並沒有明確的禁止規則。如果想要確實禁止這些方法,需要針對這些方法設置特定的限制規則。例如,可以這樣設置:
<Limit PUT DELETE> Deny from all </Limit>【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】6. 在資訊安全模型(Security Models)中,關於自主存取控制(DiscretionaryAccess Control, DAC),下列敘述何者「不」正確?(A) 定義於可信任計算機系統評
【評論內容】
在資訊安全模型中,自主存取控制(Discretionary Access Control, DAC)主要由資料的擁有者(或創建者)來確定哪些主體可以訪問特定的資料物件。以下是選項的分析:
(A) 定義於可信任計算機系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC):這是正確的,TCSEC有包含 DAC 的定義。
(B) 依據事前定義(Pre-defined)主體(Subject)的安全等級和被存取 物件(Object)機敏等級來決定是否可以存取:這不正確。這個描述是強制性存取控制(Mandatory Access Control, MAC),其中基於安全標籤和主體/物件的安全等級來做存取控制。
(C) 傳統 Unix 系統的使用者(Users)、群組(Groups)以及其它使用 者(Other)的讀-寫-執行(Re...
【評論主題】19. 公司在協助客戶建置客制化應用軟體系統時,為方便進行遠端維護,下列哪些措施可以增加「系統維護」的安全性?(複選)(A) 在公司政策允許下建立VPN機制,提供作業人員可以進行遠端安全連線(B) 建
【評論內容】ACD都是正確選項選項 (B) "建立單一登入(Single Sign-On, SSO)作業,統一連線帳密管理",雖然可以提高使用者的便利性,但如果不配合其他安全措施,可能會增加被駭風險,因為一旦 SSO 的賬戶密碼被洩露,攻擊者將能夠存取所有與該 SSO 賬戶相關聯的系統和資源。