| 題庫總數:24 | ||
| 是非題:0 | ||
| 選擇題:24 (A:8、B:6、C:5、D:5) | ||
| 多選題:0 | ||
| roddayeye整理,嚴禁抄襲 roddayeye.pixnet.net/blog | ||
| Q | r | 威脅建模(Threat Modeling)是一種用來識別及評估資通系統潛在威脅及風險的方法,下列哪一項是其主要目的? |
| o | 建立資通系統的防護需求分級 | |
| d | 建立資通系統的防護基準控制措施 | |
| d | 建立資通系統的營運持續計畫 | |
| v | a | 建立資通系統的安全設計及測試 |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 傳輸加密指在資通系統間傳輸資訊時,將資訊加密以保護其機密性與完整性,下列哪一項傳輸加密的方式是最正確的? |
| y | TCP/IP、UDP、ICMP、ARP | |
| e | HTTP、Telnet、FTP、SMTP | |
| . | AES、DES、RSA、SHA | |
| v | r | HTTPS、SSH、VPN、SFTP |
| o | r.o.d.d.a.y.e.y.e. | |
| Q | d | 最小權限原則之目的是什麼? |
| v | d | 確保使用者或程序運行的權限等級不高於完成業務功能之所需 |
| a | 確保使用者或程序運行的權限等級不低於完成業務功能之所需 | |
| y | 確保使用者或程序運行的權限等級與其他使用者或程序相同 | |
| e | 確保使用者或程序運行的權限等級與管理者帳號相同 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 有關身分驗證管理應禁止明文傳輸,以防止鑑別資訊在傳輸過程中被竊取或竄改,下列哪一種資通系統所使用的方法是正確的? |
| . | 資通系統應使用雜湊函數,如MD5、SHA-1等 | |
| v | r | 資通系統應使用加密機制,如HTTPS、SSH、VPN等 |
| o | 資通系統應使用隨機數產生器,如RNG、PRNG等 | |
| d | 資通系統應使用多因子驗證,如密碼、簡訊、生物辨識等 | |
| d | r.o.d.d.a.y.e.y.e. | |
| Q | a | 有關資通系統之防護需求等級之機密性構面,下列哪一項敘述是正確的? |
| y | 未確實遵循資通系統設置或運作涉及之資通安全相關法令 | |
| e | 造成對資訊、資通系統之存取或使用之中斷 | |
| v | y | 造成未經授權之資訊揭露 |
| e | 造成資訊錯誤或遭竄改等情事 | |
| . | r.o.d.d.a.y.e.y.e. | |
| Q | r | 機關應定義各系統之閒置時間或可使用期限與資通系統之使用情況及條件,其適用於下列哪一等級之資通系統? |
| o | 僅適用於中級之資通系統 | |
| v | d | 僅適用於高級之資通系統 |
| d | 僅適用於普級及中級之資通系統 | |
| a | 適用於普級、中級及高級之資通系統 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 下列哪一項不是系統備份之還原測試的目的? |
| y | 驗證備份資料的完整性 | |
| e | 驗證還原程序的正確性 | |
| . | 驗證備份媒體的可靠性 | |
| v | r | 驗證備份頻率的合理性 |
| o | r.o.d.d.a.y.e.y.e. | |
| Q | d | 存取控制應對閒置帳號應禁用,其適用於下列哪一等級之資通系統? |
| d | 適用於普級、中級及高級之資通系統 | |
| v | a | 僅適用於中級及高級之資通系統 |
| y | 僅適用於普級及中級之資通系統 | |
| e | 僅適用於高級之資通系統 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 有關密碼變更時,至少不可以與前幾次使用過之密碼相同? |
| v | . | 前3次 |
| r | 前4次 | |
| o | 前5次 | |
| d | 前6次 | |
| d | r.o.d.d.a.y.e.y.e. | |
| Q | a | 屬於高級之資通系統,於系統發展生命週期開發階段時,應執行下列哪一種測試? |
| y | 弱點掃描 | |
| v | e | 源碼掃描 |
| y | 滲透測試 | |
| e | 網站測試 | |
| . | r.o.d.d.a.y.e.y.e. | |
| Q | r | 有關CNS 27002:2023標準之控制措施,下列哪一項是其主類別? |
| v | o | 組織、人員、實體、技術之控制措施 |
| d | 組織、人員、通訊、技術之控制措施 | |
| d | 組織、人員、實體、存取之控制措施 | |
| a | 組織、人員、實體、運作之控制措施 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 若RPO訂定為4小時,則系統資料備份頻率至少需多久? |
| v | y | 每4小時1次 |
| e | 每8小時1次 | |
| . | 每12小時1次 | |
| r | 每24小時1次 | |
| o | r.o.d.d.a.y.e.y.e. | |
| Q | d | 有關開發、測試及正式作業環境區隔,下列哪一項作法是正確的? |
| d | 應使用相同的帳號及密碼 | |
| v | a | 應使用不同的帳號及密碼,且不得互相存取 |
| y | 應使用不同的帳號及密碼,但可在必要時互相存取 | |
| e | 應使用相同的帳號及密碼,但可在必要時互相存取 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 遠端存取應使用加密機制建立安全通道,下列哪一種傳輸協定不具有加密功能? |
| . | HTTPS | |
| r | SSH | |
| v | o | FTP |
| d | VPN | |
| d | r.o.d.d.a.y.e.y.e. | |
| Q | a | 資通系統產生之日誌應至少保留多久? |
| y | 3個月 | |
| v | e | 6個月 |
| y | 9個月 | |
| e | 12個月 | |
| . | r.o.d.d.a.y.e.y.e. | |
| Q | r | 當資通系統日誌處理失效時,應採取適當的回應行動,下列哪一項不是適當的回應行動? |
| o | 資通系統應於機關規定之時效內,對特定人員提出警告 | |
| d | 檢查日誌處理設備或程式,排除故障原因 | |
| d | 保留日誌處理失效的證據,以利後續分析 | |
| v | a | 刪除日誌處理失效的部分,以節省儲存空間 |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 威脅建模可使用下列哪一種方法進行風險計算? |
| v | y | DREAD |
| e | OWASP | |
| . | CVSS | |
| r | VANS | |
| o | r.o.d.d.a.y.e.y.e. | |
| Q | d | 有關資通系統復原時間目標(RTO),下列哪一項敘述是錯誤的? |
| d | 資通系統可容忍備份資料損失之時間要求 | |
| a | 資通系統可容忍資料損失之時間要求 | |
| v | y | 資通系統從中斷後至重新恢復服務之可容忍時間要求 |
| e | 資通系統最大可容忍之中斷時間 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | A級機關對全部核心資通系統每年應辦理幾次弱點掃描? |
| . | 4次 | |
| r | 3次 | |
| v | o | 2次 |
| d | 1次 | |
| d | r.o.d.d.a.y.e.y.e. | |
| Q | a | 威脅建模可使用下列哪一種方法進行識別威脅? |
| y | OWASP | |
| e | CVSS | |
| v | y | STRIDE |
| e | VANS | |
| . | r.o.d.d.a.y.e.y.e. | |
| Q | r | 屬於高級之資通系統,於系統發展生命週期測試階段時,應執行下列哪一種測試? |
| v | o | 滲透測試 |
| d | 源碼掃描 | |
| d | 網站測試 | |
| a | 弱點掃描 | |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 為確保軟體及資訊之完整性,下列哪些完整性驗證工具是常見的? |
| v | y | 雜湊函數、數位簽章、目錄監控軟體 |
| e | 對稱加密、非對稱加密、金鑰交換 | |
| . | 防火牆、入侵偵測系統、入侵防禦系統 | |
| r | 身分驗證、授權、稽核 | |
| o | r.o.d.d.a.y.e.y.e. | |
| Q | d | 存取控制應建立帳號管理機制,其適用於下列哪一等級之資通系統? |
| d | 僅適用於中級之資通系統 | |
| a | 僅適用於高級之資通系統 | |
| y | 僅適用於普級及中級之資通系統 | |
| v | e | 適用於普級、中級及高級之資通系統 |
| y | r.o.d.d.a.y.e.y.e. | |
| Q | e | 為保護日誌資訊之完整性,應使用下列哪一種技術? |
| v | . | 使用雜湊或其他有效等技術 |
| r | 使用加密或壓縮等技術 | |
| o | 使用備份或複製等技術 | |
| d | 使用隱藏或刪除等技術 | |
| d | r.o.d.d.a.y.e.y.e. | |
| a | ||
| roddayeye整理,嚴禁抄襲 roddayeye.pixnet.net/blog |
文章標籤
全站熱搜
為確保軟體及資訊之完整性,使用者輸入資料合法性檢查方式,下列哪一項方式是正確的? 應於客戶端檢查 應於資料庫端檢查 V 應於應用系統伺服器端檢查 應於客戶端和伺服器端都檢查
機關應定義各系統之閒置時間或可使用期限與資通系統之使用情況及條件,其適用於下列哪一等級之資通系統? 僅適用於中級之資通系統 V 僅適用於高級之資通系統 僅適用於普級及中級之資通系統 適用於普級、中級及高級之資通系統