113年第一次中級資訊安全工程師能力鑑定
考科一:資訊安全規劃實務
2. 智慧型物聯網( IoT)設備於進入歐盟市場之時,應該要遵循下列何項歐盟新發布的法案,以完成應遵循的安全責任及義務事項,以避
免高額的罰鍰 (如 1,500萬歐元
(A) NIS2 Directive(歐盟第 2022/2555號《於歐盟實施高度共通程度之資安措施指令》)
(B) Cybersecurity Resilience Act(《資通安全韌性法案》
(C) NIS Directive(《網路與資訊系統安全指令》
(D) Cybersecurity Act, Regulation 2019/881(《資通訊安全法案》)
答案為 Cyber Resilience Act,該題均給分
4. 某公司建置的測試區域遭受駭客入侵,導致重要客戶資料外流。以下哪些選項可作為前述資安問題的改善措施?
(A) 避免使用真實資料做為測試資料
(B) 強化防火測試區防火牆管理
(C) 在公司 測試 系統輸入重要客戶資料
(D) 將測試區與公司正式區實施安全、明確之區隔
答案為ABD或AD
23. 【題組 3】 情境如附圖所示。承上題,該公司最 「不」 可能會有下列何項法律問題?
(A) 資通安全管理法
(B) 個人資料保護法
(C) 公司法
(D) 上市上櫃公司資通安全管控指引
答案為C或A
33. 有關資訊安全之風險處理,下列何項敘述「有誤」?
(A) 應依據風險評估準則與導致該等風險之事故情境之關係,訂定優先序之風險清單
(B) 風險處理時若已選擇降低風險,則無需 進行 風險處理計畫
(C) 風險處理應由高風險項目優先處理
(D) 對於所識別出之風險,只要經過風險處理後所剩下來的殘餘風險即可
答案為B或D
36. 關於「風險」與「風險管理」的敘述,下列哪些正確?
(A) 風險是外部威脅利用弱點對內部資產造成衝擊的可能性
(B) 通常風險管理都會以 ISO/IEC 27005 風險管理指引作為參考
(C) 風險分析可依可用性、完整性、機密性加以質化後,決定風險等級
(D) 進行風險識別 須包含威脅識別與弱點識別
答案為BD
考科二:資訊安全防護實務
3. 關於在資訊安全中,威脅或攻擊具多種因素與手法的敘述,下列哪些正確?
(A) 基於 地緣政治 動機的威脅分類: 如 政治意識形態;社會報復 等 台灣近期有發生製造業遭勒索加密案例 ,就屬於這類型態
(B) 內部威脅( Insider threats):這種威脅來自組織內部的人員,可能無意或故意地 洩 漏敏感資訊,或損害系統及公司利益
(C) 零日攻擊( Zero-day attacks):這類攻擊利用尚未正式公開漏洞,在廠商還沒修補漏洞前,就被利用發動攻擊
(D) 惡意軟體( Malware):這包括了病毒、蠕蟲、特洛伊木馬、勒索軟體等,他們可以破壞系統,竊取數據,或無授權地使用系統資源
答案為BCD或ABCD
13. 近年來 MFA身份驗證機制遭攻擊者以網路釣魚攻擊破解之趨勢上升,因此 抵禦 網 路 釣 魚 多因素驗證( Phishing-resistant MFA)機制受到重視,因其可有效降低前述之攻擊成功機率。下列哪些身份驗證方式符合抵抗網路釣魚攻擊之特性?
(A) FIDO Auth
(B) MMS MFA
(C) PKI-based MFA
(D) 增加密碼長度
答案為AC或ABC
24. 【題組 3】 情境如附圖所示,廠商 A配合業務需求,開發新的Web訂票系統,請問如要進行弱點掃描,下列何項最為適合進行弱點掃描?
(A) Checkmarx
(B) OpenVAS
(C) Hydra
(D) Google
答案為B或A
40. 【題組 5】 情境如附圖所示。承上題參如本系統情境架構,XYZ公司為提升安全防護計劃建置防火牆,並且將網路分割為不同網段以管理網路通訊,同時提供維護廠商得以用VPN進行連線作業,參考附圖 中 的網路區塊規劃,請問依以下路由管理項目,防火牆應建立的基本資安政策組合有下列哪些項目?
(A) 丙庚壬
(B) 丁己辛
(C) 癸 丑 卯乙
(D) 戊子寅甲
答案為AD或AB或BD或ABD