# iPAS 資訊安全工程師（初級）－114-2 總複習班筆記 > - **搭配筆記使用**：https://hackmd.io/@hiiii/BJYND6jE-g > - 114-1 初級總複習班影片 https://youtube.com/playlist?list=PLr1HiXzr31qydTHDXfyc3lnHSKFG5lHGI&si=3ly5-x9GqAcl9Mfh > - iPAS 初級統計資料 https://hiiiilin.github.io/ipas-mock-exam/ipas-truth.html > - 模擬考題 https://hiiiilin.github.io/ipas-mock-exam/ ## 歷屆試題難度統計 | 試卷／難度 | 非常簡單 | 簡單 | 適中 | 困難 | 非常困難 | |-----------|:------:|:---:|:---:|:---:|:------:| | 114-2 管理概論 | 18 | 22 | 6 | 4 | 0 | | 114-2 技術概論 | 21 | 16 | 11 | 2 | 0 | > 統計資料來源：阿摩線上測驗 yamol.tw > - 114-2 管理概論：https://app.yamol.tw/exam/133437 > - 114-2 技術概論：https://app.yamol.tw/exam/133436 --- ## 本次考試通過比例  --- ## 考試大綱 | 科目 | 評鑑主題 | 評鑑內容 | |------|----------|----------| | 1.資訊安全管理概論 | 資訊安全管理概念 | 資訊安全管理系統 | | | | 相關法規概論與遵循 | | | | 隱私權保護與智慧財產權 | | | 資產與風險管理 | 資產分類分級與盤點 | | | | 風險評鑑與風險處理 | | | 存取控制、加解密與金鑰管理 | 存取控制與身份認證 | | | | 加解密與金鑰生命週期 | | | 事故管理與營運持續 | 事件與事故管理 | | | | 備援與營運持續 | | 2.資訊安全技術概論 | 網路與通訊安全 | 網路安全 | | | | 通訊與行動安全 | | | 作業系統與應用程式安全 | 作業系統安全 | | | | 作業系統與應用程式（含資料庫與網頁）攻擊手法 | | | | 程式與開發安全 | | | 資安維運技術 | 惡意程式防護與弱點管理 | | | | 資料安全及備份管理 | | | | 日誌管理 | | | 新興科技安全 | 新興科技資安議題（包含但不限於新型運算機制、新型連網架構、智慧化資料處理與虛實整合特性的技術應用之安全議題） | --- ## 考試策略：70 分過關思維 考試每科 50 題，每題 2 分，只需答對 **35 題（70 分）** 即可通過，不必追求全對當狀元。 ### 題目難度五級分類 | 難度等級 | 特徵 | 策略 | |---------|------|------| | 非常簡單 | 不需資安知識、靠常識即可答對 | 顧穩，容許小失誤 | | 簡單 | 具基本資安知識即可 | 顧穩，容許小失誤 | | 適中 | 需具備部分進階概念 | 至少答對一半 | | 困難 | 多屬法規與標準內容 | 盡力作答 | | 非常困難 | 沒讀過通常難答對 | 盡力作答 | ### 過關數學（以 114-2 技術概論為例） **穩健版（正常發揮）** | 難度 | 題數 | 務實目標 | 預估得分 | |------|:----:|---------|:--------:| | 非常簡單 | 21 | 錯 2 題 | 19 | | 簡單 | 16 | 錯 3 題 | 13 | | 適中 | 11 | 錯 5 題 | 6 | | 困難＋非常困難 | 2 | 錯 2 題 | 0 | | **合計** | **50** | | **38 ✓** | **保守版（手感差的那天）** | 難度 | 題數 | 務實目標 | 預估得分 | |------|:----:|---------|:--------:| | 非常簡單 | 21 | 錯 3 題 | 18 | | 簡單 | 16 | 錯 4 題 | 12 | | 適中 | 11 | 錯 6 題 | 5 | | 困難＋非常困難 | 2 | 錯 2 題 | 0 | | **合計** | **50** | | **35 ✓** | > 邏輯：越難的題目，容許錯的**比例**越高（非常簡單錯 10%、簡單錯 19%、適中錯 45%～55%、困難全放掉）。即使是保守版，光靠非常簡單＋簡單就拿 30 分，適中再撿 5 題就剛好 35 分過關。**底盤策略的核心：把前 37 題簡單題顧穩，考試就沒壓力。** ### 讀題與作答技巧 1. **先判斷問法方向**：題幹是在問「最適切」或「最不適切」，這會直接影響作答邏輯。 2. **圈出否定詞與絕對詞**：「不是」、「不得」、「全部」、「僅」、「只要」、「即可」等詞往往是陷阱所在。遇到絕對用語要提高警覺，只要能舉出合理反例即可刪除該選項。 3. **界定對象與適用法規**：公司所在地與市場範圍是關鍵。在歐洲則適用 GDPR，在臺灣則依個資法；公部門適用資通安全管理法及子法，上市上櫃公司依資通安全管控指引。民間單位承作公部門案件時，防護等級通常需一併延伸。 4. **注意時間點與目的**：區分尚未發生、正在發生、事後復原，對應預防、偵測、復原三階段。 5. **刪去法收尾**：先排除明顯錯誤的選項，通常會剩下兩個，這時比較誰更貼近題幹、誰更符合情境。切勿腦補題幹未提的內容，以題幹為核心依據，選出最符合題意、可驗證的答案。 ### 名詞理解與關鍵字反應 關鍵名詞不需死背定義，但要能自圓其說、說出核心概念。機密性是「未授權者不得讀取」、完整性是「未授權者不得修改」、可用性是「需要時可正常使用」。對於具層級關係的角色，可用例子幫助理解，例如在人資系統中，資料擁有者為人資處處長負責權限規劃，資料管理者為資訊處負責維運與設定，資料使用者則依職責查詢資料。 同時要養成「**關鍵字 → 對應概念**」的快速聯想，看到關鍵字就能反射對應的知識點： - **法規類**：信用卡 → PCI DSS、歐洲個資 → GDPR、醫療 → HIPAA、財務內控 → SOX、臺灣公部門 → 資通安全管理法 - **攻擊手法類**：使用者輸入未過濾 → Injection、頁面載入外部腳本 → XSS、偽造使用者請求 → CSRF、伺服器代發請求 → SSRF、反序列化物件 → Insecure Deserialization - **防護技術類**：參數化查詢 → 防 SQL Injection、CSP → 防 XSS、CSRF Token → 防 CSRF、EDR → 端點偵測、SIEM → 日誌集中分析 - **框架與標準類**：六大功能（含治理） → NIST CSF 2.0、TTPs 知識庫 → MITRE ATT\&CK、風險管理流程 → ISO 27005/31000、AI 管理 → ISO 42001 用情境理解比背條文更有效，考場上反應速度也更快。 ### 時間控管與檢查節奏 - 考試時可先徵得監試人員同意，在草稿紙上記下容易混淆的重點（例如防護等級、通報與復原時限）。 - 遇到難題先標記、先選直覺答案再往下，避免在單題上卡太久。 - **交卷前必做檢查**：重新掃一遍否定詞是否看反；核對答案卡題號是否有漏填；確認整體思考邏輯一致。 --- ## 114-2 資訊安全管理概論 ### 非常簡單 **8. 有關個人資料保護法的立法目的之敘述，下列何者最為正確？** \(A\) 保障國家安全與社會秩序 \(B\) 促進電子商務發展 \(C\) 避免人格權受侵害，並促進個人資料之合理利用 \(D\) 管制資訊流通速度 > **答案：C** > 統計：A(5%), B(0%), C(93%), D(2%) > > 解析：個資法第 1 條開宗明義：「為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。」幾乎是送分題，背起來就好。 **9. 依個人資料保護法對於個人資料之定義，下列何者「不」屬於個人資料的範疇？** \(A\) 社群帳號 \(B\) 指紋 \(C\) 性生活 \(D\) 公司統一編號 > **答案：D** > 統計：A(1%), B(1%), C(12%), D(87%) > > 解析：個資法保護的是「自然人」的資料，公司統一編號屬於「法人」的識別碼，不在個資法保護範圍。A 社群帳號可識別個人、B 指紋是生物特徵、C 性生活屬特種個資，都是個資。12% 選 C 可能覺得「性生活」不算個資，但它明確列在個資法第 2 條的特種個資中。 **14. 下列何項「不」屬於資訊資產分類時需考量的依據？** \(A\) 鑑別性 \(B\) 可用性 \(C\) 完整性 \(D\) 機密性 > **答案：A** > 統計：A(85%), B(6%), C(5%), D(4%) > > 解析：資訊資產分類的依據是 CIA 三要素：機密性、完整性、可用性。「鑑別性」不是標準分類依據。85% 答對率，屬送分題。 **18. 在工控製造環境中，下列何者最適合被歸類為「關鍵資產」？** \(A\) 辦公室的印表機 \(B\) 控制廠區照明的智慧燈具 \(C\) 工廠生產線的 PLC（可程式邏輯控制器） \(D\) 公司員工帳號 > **答案：C** > 統計：A(1%), B(0%), C(90%), D(9%) > > 解析：PLC 直接控制生產線運作，一旦被攻擊或故障就停產，是工控環境中最核心的關鍵資產。A 印表機是辦公設備、B 智慧燈具影響有限、D 員工帳號是 IT 資產非 OT 關鍵資產。 **21. 下列何種「不」是風險處理的策略之一？** \(A\) 風險降低（Risk Reduction） \(B\) 風險避免（Risk Avoidance） \(C\) 風險轉移（Risk Transfer） \(D\) 風險拒絕（Risk Reject） > **答案：D** > 統計：A(3%), B(1%), C(2%), D(95%) > > 解析：風險處理四大策略是降低、避免、轉移、接受（或保留），沒有「風險拒絕」這個選項。95% 答對，送分題。 **24. 在工控資安的風險管理流程中，下列何者屬於風險處理（Risk Treatment）的措施？** \(A\) 識別 PLC 與 SCADA 系統清單 \(B\) 決定是否採取風險接受、風險降低、風險轉移或風險避免等措施 \(C\) 建立風險矩陣並評分 \(D\) 召開資產盤點會議 > **答案：B** > 統計：A(4%), B(83%), C(11%), D(2%) > > 解析：風險處理就是「決定怎麼處理風險」，B 描述的正是風險處理的核心行為。A 是資產識別階段、C 是風險分析/評估階段、D 是資產盤點階段，都在風險處理之前。 **25. 如附圖所示。你是一位電子商務公司的資安管理人員，經由外部資安廠商進行評估後發現其公司電子商務網站存在 SQL 注入（SQL Injection）漏洞。駭客可以利用此漏洞竊取大量客戶資料，導致企業形象及名譽的受損，也需要負責法律上的責任。請參考附圖 NIST 通用風險模型（The NIST Generic Risk Model），指出上述內容的「脆弱性」（Vulnerability）為下列何項？** >  \(A\) 網站存在 SQL 注入漏洞 \(B\) 客戶資料外洩 \(C\) 企業形象及名譽的受損任 \(D\) 駭客（惡意攻擊者） > **答案：A** > 統計：A(86%), B(7%), C(4%), D(3%) > > 解析：在 NIST 風險模型中，脆弱性（Vulnerability）是系統中被威脅利用的弱點——SQL 注入漏洞就是脆弱性。B 客戶資料外洩是「不利影響」（Adverse Impact）；C 企業形象受損也是影響；D 駭客是「威脅來源」（Threat Source）。 **30. 關於最小權限（Least Privilege）原則的描述，下列何項描述最為適切？** \(A\) 應授予所有使用者系統管理員權限，以提高效率 \(B\) 應根據使用者在組織階層中的級別來授予權限 \(C\) 所有使用者應享有相同的權限，以確保公平 \(D\) 僅授予使用者完成其工作所必需的最低權限 > **答案：D** > 統計：A(2%), B(11%), C(1%), D(87%) > > 解析：最小權限原則的定義就是「僅給予完成工作所需的最低限度權限」。A 全部給管理員權限違反最小權限；B 依組織層級給權限是依職級不是依需求；C 所有人相同權限也違反原則。11% 選 B 是把「組織層級」與「工作需求」搞混。 **31. 關於預設拒絕（Deny by Default）原則的描述，下列何項描述最為適切？** \(A\) 除非使用者明確要求，否則所有功能預設為啟用 \(B\) 應用程式應預設允許所有請求，除非有規則明確拒絕 \(C\) 當沒有任何存取控制規則明確符合時，應預設拒絕存取請求 \(D\) 只有被列入黑名單的使用者才被拒絕存取 > **答案：C** > 統計：A(2%), B(3%), C(94%), D(1%) > > 解析：Deny by Default 就是「沒有明確允許的就拒絕」。A 預設啟用是反過來；B 預設允許也是反過來（那是 Allow by Default）；D 黑名單機制不是預設拒絕。94% 答對，送分題。 **37. 關於金鑰管理生命週期的描述，下列何項正確？** \(A\) 金鑰管理的安全要求，必須包含從產生、儲存、分發、管理到銷毀整個生命週期 \(B\) 金鑰的使用因為內部資安預算分配考量，應以使用免費金鑰為優先 \(C\) 因為應用系統皆須使用金鑰考量，管理的權限可開放使用 \(D\) 因為金鑰有使用期限的設定，超過有效期限之金鑰可以不需要替換 > **答案：A** > 統計：A(97%), B(1%), C(2%), D(1%) > > 解析：金鑰管理涵蓋整個生命週期：產生→儲存→分發→使用→管理→銷毀。B 免費金鑰不是選擇依據；C 金鑰權限應嚴格管控不能開放；D 過期金鑰必須替換。97% 答對，最接近送分的題目。 **38. 關於金鑰管理之安全考量，下列敘述何者較「不」適當？** \(A\) 應確保金鑰品質（避免產生弱金鑰） \(B\) 金鑰之使用、儲存、傳送與銷毀，應確保金鑰之內容無洩露之虞 \(C\) 金鑰應儲存於通過 FIPS 140-2 Level3（含）以上之硬體安全模組內並可明文匯出 \(D\) 金鑰應備份，並妥適保管，以確保其可用性 > **答案：C** > 統計：A(0%), B(2%), C(86%), D(11%) > > 解析：金鑰存在 HSM 裡就是為了不讓金鑰離開安全模組，「可明文匯出」完全違反 HSM 的設計目的。A 避免弱金鑰正確；B 確保不洩露正確；D 金鑰備份確保可用性正確。11% 選 D 可能覺得備份金鑰有風險，但備份是必要的，重點在「妥適保管」。 **42. 下列何項「不」是資訊安全事故管理計畫需考量的程序？** \(A\) 制訂資訊安全事故準則 \(B\) 分析及通報資訊安全事故 \(C\) 損失與賠償 \(D\) 存錄事故管理活動 > **答案：C** > 統計：A(3%), B(2%), C(87%), D(8%) > > 解析：事故管理計畫涵蓋準則制訂、分析通報、存錄活動等，但「損失與賠償」是法務/保險範疇，不屬於事故管理計畫本身的程序。 **44. 在資安事故管理中，下列何項措施最能提升企業的資安韌性？** \(A\) 購買效能更好的資安設備 \(B\) 建立適合的資安架構，並定期進行演練 \(C\) 增加資安預算、招募專業的監控人員 \(D\) 將所有資安工作外包給第三方廠商 > **答案：B** > 統計：A(1%), B(98%), C(2%), D(0%) > > 解析：資安韌性的核心是「架構＋演練」——有好的架構才能應變，有演練才能驗證架構有效性。A 買設備只是工具層面；C 增加預算人力是資源投入非架構性提升；D 全部外包反而失去自主應變能力。98% 答對，送分題。 **45. 如附圖所示，在資安事件處理的偵測與分析階段中，下列哪一項行為最有助於快速辨識是否為資安事件？** > 附圖情境：X 公司資安監控中心（SOC）於尖峰時段收到多來源告警： > - 入侵偵測系統（IDS）出現可疑掃描行為 > - 端點偵測與回應（EDR）回報異常 PowerShell 程式啟動 > - 安全資訊與事件管理（SIEM）將多筆事件關聯後提升為高風險 \(A\) 立即關閉受影響系統以防止可能的擴散 \(B\) 對相關系統與網路設備進行日誌（Log）關聯分析，比對入侵指標（Indicators of Compromise, IOC）並確認事件是否成立 \(C\) 依內規直接向主管機關進行對外通報 \(D\) 優先套用廠商最新修補（Patch）以移除可能弱點 > **答案：B** > 統計：A(6%), B(92%), C(1%), D(2%) > > 解析：偵測與分析階段的重點是「確認事件是否成立」，透過日誌關聯分析與 IOC 比對是最直接有效的方法。A 立即關閉系統是應變階段的行為且可能影響營運；C 尚未確認事件就通報太急；D 套 Patch 是修補階段不是偵測階段。 **46. 下列何項是確保數據中心備援運作有效的最佳做法？** \(A\) 定期進行員工輪調 \(B\) 定期測試備份系統 \(C\) 定期進行財務審查 \(D\) 減少數據中心的外圍安全措施 > **答案：B** > 統計：A(2%), B(95%), C(4%), D(0%) > > 解析：備援系統有沒有效，唯一驗證方式就是「定期測試」。A 員工輪調是人資管理；C 財務審查跟備援無關；D 減少外圍安全措施更是反向操作。 **47. 關於營運持續管理之敘述，下列何者最「不」正確？** \(A\) 營運持續管理是資訊安全部門的權責，故無需其他部門人員參與 \(B\) 營運持續管理包含緊急災害復原計畫 \(C\) 營運持續管理應與公司目標、政策一致 \(D\) 營運持續管理應適時調整、更新 > **答案：A** > 統計：A(97%), B(2%), C(2%), D(0%) > > 解析：營運持續管理需要跨部門協作（業務、IT、法務、人資等），絕非資安部門單獨的事。B、C、D 都是正確描述。 **48. 工控環境中，營運持續管理規劃的首要目的為何？** \(A\) 確保公司網站維持最新設計 \(B\) 在事故發生後，確保關鍵工控系統能持續或迅速恢復運作 \(C\) 減少員工流動率 \(D\) 強化社群媒體行銷 > **答案：B** > 統計：A(0%), B(100%), C(0%), D(0%) > > 解析：全員答對的送分題。工控環境的營運持續管理就是要確保關鍵系統在事故後能持續或迅速恢復。其他選項都跟工控營運持續毫無關係。 **50. 下列何項敘述是資料備份的主要目的？** \(A\) 確保資料的機密性，防止未經授權的存取 \(B\) 對抗資料毀損的威脅與抵抗勒索攻擊，以保護資料的可用性 \(C\) 確保資料的機敏性，防止資料遭到竄改 \(D\) 降低營運成本，減少儲存需求 > **答案：B** > 統計：A(2%), B(95%), C(2%), D(1%) > > 解析：備份的核心目的是保護資料的「可用性」——當資料毀損或遭勒索加密時能還原。A 機密性靠加密和存取控制，不是備份；C 防竄改靠完整性控制；D 備份反而增加儲存需求不是減少。 ### 簡單 **3. 關於 CNS 27002:2023 國家標準，下列何項描述最為適切？** \(A\) 特定產業的資訊安全稽核標準 \(B\) 通用資訊安全控制措施的參考與實作指引 \(C\) 資訊安全事故的法律訴訟程序 \(D\) 雲端服務的防護模型 > **答案：B** > 統計：A(9%), B(80%), C(3%), D(7%) > > 解析：CNS 27002:2023 對應 ISO/IEC 27002:2022，是資訊安全控制措施的實作指引，提供組織選擇與實施控制措施的參考。A 不是特定產業、C 與法律訴訟無關、D 雲端防護模型是 ISO 27017 的範疇。 **4. 資訊安全管理系統（Information Security Management System, ISMS）的導入步驟中，稽核活動的主要目的為下列何項？** \(A\) 確保該管理系統的完整性 \(B\) 評估員工的績效表現 \(C\) 檢查環境硬體設備的完整程度 \(D\) 確保該管理系統內部控制的有效性 > **答案：D** > 統計：A(19%), B(2%), C(3%), D(77%) > > 解析：ISMS 稽核核心目的是驗證內部控制是否有效運作、符合政策與標準。A「完整性」太模糊；B 員工績效是人資範疇；C 硬體檢查是資產管理。19% 選 A 是把「系統完整性」與「控制有效性」搞混。 **6. 下列「資通安全管理法」的哪一項子法，有明確規範資通安全演練作業項目？** \(A\) 資通安全責任等級分級辦法 \(B\) 資通安全管理法施行細則 \(C\) 資通安全情資分享辦法 \(D\) 資通安全事件通報及應變辦法 > **答案：D** > 統計：A(11%), B(21%), C(1%), D(67%) > > 解析：《資通安全事件通報及應變辦法》明確規範演練作業項目，包括通報演練與應變演練。A 分級辦法管的是責任等級劃分；B 施行細則是母法的補充說明；C 情資分享辦法管情資交換機制。21% 選 B 是把「施行細則」與「應變辦法」搞混。 **10. 關於資通安全管理法對於委託機關於委外辦理資通系統之建置、維運或資通服務之提供，選任及監督受託者時，應注意「適任性查核」的敘述，下列何者錯誤？** \(A\) 應查核有無曾犯洩密罪，或於動員戡亂時期終止前，犯內亂罪、外患罪，經判刑確定，或通緝有案尚未結案 \(B\) 應查核有無曾犯洩密罪，或於動員戡亂時期終止後，犯內亂罪、外患罪，經判刑確定，或通緝有案尚未結案 \(C\) 應查核有無曾受到外國政府之利誘、脅迫，從事不利國家安全或重大利益情事 \(D\) 應查核有無曾受到大陸地區、香港或澳門政府之利誘、脅迫，從事不利國家安全或重大利益情事 > **答案：A** > 統計：A(73%), B(16%), C(4%), D(7%) > > 解析：關鍵字差異在「終止前」vs「終止後」。法條規定是「動員戡亂時期終止**後**」犯內亂罪、外患罪才需查核，A 寫的是「終止**前**」，所以錯誤。16% 選 B 可能是把前/後看反了，這題就是考細心度。 **11. 關於中華民國「資通安全管理法」中「特定非公務機關」之條文敘述，下列何項錯誤？** \(A\) 特定非公務機關為因應資通安全事件，應訂定通報及應變機制 \(B\) 特定非公務機關於知悉資通安全事件時，應向中央目的事業主管機關通報 \(C\) 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告；資通安全事件不分等級，皆應由資安長召開會議研商相關事宜 \(D\) 知悉重大資通安全事件時，主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施，並得提供相關協助 > **答案：C** > 統計：A(4%), B(8%), C(78%), D(11%) > > 解析：C 的錯誤在於「不分等級，皆應由資安長召開會議」——法條規定是依事件等級而定，並非所有事件都要資安長召開會議。A、B、D 皆為正確條文內容。11% 選 D 可能是對「適當時機公告」的用語不確定。 **12. 請問下列何項個資當事人權利為歐盟 GDPR 賦予，但我國個人資料保護法卻未明確提及的權利？** \(A\) 個人資料的刪除權 \(B\) 個人資料的可攜權 \(C\) 個人資料的同意權 \(D\) 個人資料的更正權 > **答案：B** > 統計：A(19%), B(62%), C(15%), D(4%) > > 解析：GDPR 的「資料可攜權」（Right to Data Portability）允許當事人取得結構化、機器可讀格式的個資並轉移給其他組織，我國個資法沒有對應的明確規範。A 刪除權（個資法第 3 條有請求刪除權）、C 同意權、D 更正權在我國個資法都有規定。19% 選 A 是把「刪除」跟「被遺忘權」搞混，但我國個資法確實有刪除的權利。 **13. 如附圖所示，在能清楚識別當事人的情況下，下列何項組合可能會侵犯當事人的個人資料？** > 附圖情境： > 1. 參與車禍現場救援後，在臉書分享傷者照片 > 2. 公司內部通知全體員工某人升遷的消息，並附上姓名和照片 > 3. 里長在電線桿上張貼寵物主人放任狗隨地大小便的照片 > 4. 學校經當事人同意，在官網公開優秀學生的名字及獲獎成績 > 5. 新聞媒體報導某公眾人物參加公開活動的照片 > 6. 店家在網路上公告被竊盜的監控錄影影片 > 7. 學校在家長群組中傳播某學生的成績單以進行討論 \(A\) 1、2、3 \(B\) 3、4、7 \(C\) 1、3、7 \(D\) 5、6、7 > **答案：C** > 統計：A(15%), B(5%), C(78%), D(2%) > > 解析：1 分享傷者照片未經同意侵犯個資；3 張貼寵物主人照片公開羞辱涉及個資侵害；7 在家長群組傳播特定學生成績單侵犯學生個資。2 公司內部公告升遷屬正當人事管理；4 經當事人同意公開不算侵犯；5 公眾人物參加公開活動屬新聞報導合理範圍；6 公告竊盜監控影片屬正當防衛目的。 **15. 資訊資產管理中要求對每項資產指定一位「資產擁有者」，該人員指的是下列何項？** \(A\) 實際使用該資產的人或部門 \(B\) 對資產提供技術支援的人或部門 \(C\) 決定是否採購資產的人或部門 \(D\) 對資產負有管理責任的人或部門 > **答案：D** > 統計：A(17%), B(1%), C(2%), D(80%) > > 解析：Asset Owner 是對資產負有管理責任的人或部門，負責決定資產分類等級與存取控制。A 是使用者（User）、B 是管理者/維護者（Custodian）、C 是採購角色。17% 選 A 是把「使用」和「擁有」搞混。 **16. 在資訊資產盤點中，若發現某些資產因技術更新而變得不再具備相同的商業價值，最適合的後續處理方式為下列何項？** \(A\) 按重新對資產進行分類並降級，但保留原始存取控制 \(B\) 徹底移除該資產的分類與保護，轉交給資產報廢小組 \(C\) 根據風險評估，繼續保留該資產的現有分類與保護 \(D\) 降低資產保護等級，但仍需定期進行風險評估與監控 > **答案：D** > 統計：A(12%), B(5%), C(12%), D(71%) > > 解析：資產價值降低時，應降低保護等級以節省資源，但仍需定期風險評估確保不會產生新的風險。A 降級卻保留原始存取控制矛盾；B 直接移除所有保護太激進；C 價值已變卻不調整，浪費資源。 **19. 依據 CNS 27002：2023 資訊安全、網宇安全及隱私保護─資訊安全控制措施，所有對組織具價值的「資產」都可區分為下列哪兩大類別？** \(A\) 資訊及實體 \(B\) 主要資產及支援資產 \(C\) 硬體及軟體 \(D\) 內部資產及外部資產 > **答案：B** > 統計：A(6%), B(80%), C(5%), D(9%) > > 解析：CNS 27002:2023 將資產分為「主要資產」（Primary，如資訊、業務流程）和「支援資產」（Supporting，如硬體、軟體、網路）兩大類別。A、C、D 都不是標準的分類方式。 **22. 關於資通安全風險處理內容的描述，下列何者較為正確？** \(A\) 風險保留（Risk Retention）是組織避免接受任何風險的做法，確保避開所有可能對組織產生負面影響的風險 \(B\) 風險修改（Risk Modification）是指組織不對風險採取任何行動，接受風險的存在並準備承擔其後果 \(C\) 風險分擔（Risk Sharing）是透過與其他組織或他方分享風險來分散風險，例如透過保險或委外來達成 \(D\) 風險避免（Risk Avoidance）是指組織採取措施主動減少風險的可能性和影響，例如通過技術改進或政策更新 > **答案：C** > 統計：A(2%), B(2%), C(79%), D(17%) > > 解析：C 正確描述風險分擔——透過保險或委外將風險分散給第三方。A 把「風險保留」定義搞反了（保留 = 接受風險，不是避開）；B 把「風險修改」定義搞反了（修改 = 主動採取措施降低風險）；D 描述的其實是「風險修改」而非「風險避免」（避免 = 直接不做那件有風險的事）。17% 選 D 是把「風險避免」和「風險修改/降低」搞混。 **23. 風險處理活動是依照風險評鑑結果及實作風險處理方案之預期成本及預期利益等，選擇適當之行動方案，以使風險之不利後果能合理的降低，風險處理活動之選項主要有風險修改（Risk Modification）、風險保留（Risk Retention）、風險避免（Risk Avoidance）及風險分擔（Risk Sharing）等 4 種。請問下列何種情境最適合運用「風險分擔」來處理？** \(A\) 電腦機房的滅火設施老舊 \(B\) 座落於洪災頻繁區域的機房大樓 \(C\) 隨身碟遺失的可能性 \(D\) 滿腹牢騷的員工所造成蓄意破壞的威脅 > **答案：B** > 統計：A(9%), B(66%), C(16%), D(10%) > > 解析：洪災是天災、無法完全避免也難以自行修改，最適合透過「保險」將風險分擔出去。A 滅火設施老舊應該「風險修改」（更換設備）；C 隨身碟遺失可以透過加密或禁用來「風險修改/避免」；D 員工蓄意破壞應透過管理措施「風險修改」。16% 選 C 可能覺得隨身碟遺失也能用保險，但隨身碟遺失的風險用技術控制更直接有效。 **27. 在零信任架構（Zero Trust Architecture, ZTA）實作參考原則中，下列何者描述與應用程式的存取授權最直接相關？** \(A\) 以作業屬性及風險區隔角色，並依角色風險等級定義授權條件，採最小授權原則定義授權範圍；並針對特權作業採獨立角色授權（不混用於非特權作業），減少特權帳號之濫用及風險 \(B\) 對網路連線紀錄具有即時偵測及回應機制（如 NDR），可因應業務需求、偵測到入侵指標（IOC）或遭受攻擊時，動態調整網路設定或即時告警 \(C\) 具網段隔離機制，採最小需求原則限制存取資源之網路連線，防止攻擊者利用遭入侵的主機進行橫向擴散 \(D\) 具有效盤點且可唯一識別（如 TPM 等）納管設備機制，並對未納管設備具有即時偵測及風險控管（如強制隔離）機制 > **答案：A** > 統計：A(65%), B(11%), C(16%), D(8%) > > 解析：題目問「應用程式存取授權」，A 直接描述角色授權、最小授權原則、特權分離，完全對應。B 是網路偵測回應（NDR）；C 是網段隔離；D 是設備納管與識別。16% 選 C 是把「網路層隔離」與「應用層授權」搞混。 **28. 關於零信任（Zero Trust）的敘述，下列何者正確？** \(A\) 零信任是不用始終驗證 \(B\) 僅提供必要的權限 \(C\) 不需保持網路可見性 \(D\) 非所有流量都是不安全的前提下進行零信任設計 > **答案：B** > 統計：A(4%), B(74%), C(2%), D(20%) > > 解析：零信任核心原則之一就是「最小權限」——僅提供必要的權限。A 零信任恰恰要「始終驗證」（Never Trust, Always Verify）；C 零信任需要保持網路可見性才能持續監控；D 零信任的前提是「所有流量都不可信」。20% 選 D 可能是被雙重否定繞暈了。 **29. 當使用者主張自己的身分後，系統應該確認使用者是否為所宣稱的合法身分擁有者，這個證明使用者身分的過程就被稱為「身分驗證」（Authentication）。關於常見身分驗證方法中的所具之形（Something you Are），下列敘述何者最「不」適切？** \(A\) 指紋（Fingerprints） \(B\) 視網膜（Retina） \(C\) 掌形（Palm） \(D\) 個人密碼（Password） > **答案：D** > 統計：A(0%), B(5%), C(11%), D(84%) > > 解析：Something you Are 是生物特徵驗證。A 指紋、B 視網膜、C 掌形都是生物特徵；D 密碼是 Something you Know（所知之事），不是所具之形。11% 選 C 可能對「掌形」不熟悉，但掌形辨識確實是生物特徵。 **32. 下列何者「非」重要系統權限管理常見之安全管理措施？** \(A\) 系統權限申請必須經過權責主管核准 \(B\) 臨時權限到期即自動停用 \(C\) 每月備份重要系統 \(D\) 每半年定期檢視管理者及使用者權限是否異常 > **答案：C** > 統計：A(10%), B(9%), C(76%), D(5%) > > 解析：「每月備份重要系統」是備份管理措施，不是「權限管理」措施。A 權限申請需主管核准、B 臨時權限到期自動停用、D 定期檢視權限，都是標準的權限管理做法。10% 選 A 可能覺得「核准」不算管理措施，但權限審核正是權限管理的核心。 **34. 關於應用程式之授權檢查（Authorization Checks）最佳實務，下列何項描述最為適切？** \(A\) 僅在客戶端（Client-side）執行，以提升使用者體驗 \(B\) 僅在使用者首次登入時執行一次，以提升伺服器效能 \(C\) 必須在伺服器端（Server-side）執行，以提昇安全性 \(D\) 可由使用者自行選擇是否執行，以兼顧便利與安全性 > **答案：C** > 統計：A(8%), B(5%), C(79%), D(9%) > > 解析：授權檢查必須在伺服器端執行，因為客戶端可被繞過。A 僅客戶端執行不安全；B 只在登入時檢查一次無法防止後續越權；D 讓使用者選擇是否檢查等於沒有檢查。 **35. 如附圖所示，為有效強化身分認證機制，常會使用多因子（Multi-factor authentication, MFA）認證機制，下列哪一項應用組合屬於多因子認證類型？** > 附圖應用組合： > 1. 聲紋辨識＋帳號密碼（Password） > 2. 指紋辨識＋圖形驗證碼（Captcha） > 3. 臉型辨識＋指靜脈辨識＋虹膜 > 4. 帳號密碼＋自然人憑證 IC 卡 > 5. 帳號密碼＋虹膜＋自然人憑證 IC 卡 > 6. 帳號密碼＋指紋辨識＋圖形驗證碼（Captcha） \(A\) 1、2、3、5 \(B\) 1、4、5、6 \(C\) 1、2、3 \(D\) 2、3、5 > **答案：B** > 統計：A(12%), B(74%), C(6%), D(9%) > > 解析：MFA 要求使用「不同類別」的因子組合（所知 Know / 所有 Have / 所具 Are）。1 聲紋（Are）＋密碼（Know）✓；4 密碼（Know）＋IC 卡（Have）✓；5 密碼（Know）＋虹膜（Are）＋IC 卡（Have）✓；6 密碼（Know）＋指紋（Are）＋Captcha（Know）✓。2 指紋＋Captcha 只有 Are＋Know 看似兩因子但 Captcha 是驗證人類不是身份因子；3 臉型＋指靜脈＋虹膜全是 Are 同類別，不算多因子。 **36. 加密與解密使用不同的金鑰，稱為公開金鑰演算法，或非對稱金鑰演算法，下列密碼演算法中，何者屬於此種加密演算法？** \(A\) RSA \(B\) DES \(C\) AES \(D\) Blowfish > **答案：A** > 統計：A(76%), B(10%), C(12%), D(2%) > > 解析：RSA 是經典的非對稱（公開金鑰）加密演算法。B DES、C AES、D Blowfish 都是對稱加密演算法（加解密用同一把金鑰）。12% 選 C 可能對 AES 不熟悉，但 AES 是取代 DES 的對稱加密標準。 **39. 請問下列何項其主要用途是用於解密資料？** \(A\) 公鑰 \(B\) 私鑰 \(C\) 數位簽章 \(D\) 訊息摘要 > **答案：B** > 統計：A(12%), B(82%), C(4%), D(2%) > > 解析：在非對稱加密中，公鑰加密、私鑰解密。A 公鑰是用來加密或驗證簽章；C 數位簽章用於驗證身分與完整性；D 訊息摘要是雜湊值，不能解密。12% 選 A 是把加密和解密的角色搞反了。 **41. 有關資安事件是否需要通報的判斷依據，下列何者較「不」適當？** \(A\) 根據事件的嚴重性等級 \(B\) 依據主管機關的法規要求 \(C\) 根據事故管理計畫的規定 \(D\) 依據事件鑑識人員的現場判斷 > **答案：D** > 統計：A(6%), B(6%), C(7%), D(80%) > > 解析：通報依據應有明確的標準與規範（嚴重性等級、法規要求、事故管理計畫），不能僅靠鑑識人員的「現場判斷」——個人判斷太主觀，缺乏一致性。 **43. 如附圖所示。美國「網路安全暨基礎設施安全局」（CISA）規範了用以識別及分類資通安全威脅情資（Cyber Threat Intelligence, CTI），並指定可以閱讀或共享 CTI 接收者的管理指導準則《Traffic Light Protocol 2.0 User Guide》，其中規範 CTI 敏感程度的 TLP（Traffic Light Protocol）標籤共有 4 種。請問是下列何項？** > 附圖顏色清單：1. RED、2. GREEN、3. BLACK、4. BLUE、5. WHITE、6. CLEAR、7. AMBER \(A\) 1、2、3、4 \(B\) 2、3、5、6 \(C\) 1、2、6、7 \(D\) 1、4、5、7 > **答案：C** > 統計：A(18%), B(4%), C(69%), D(9%) > > 解析：TLP 2.0 的四種標籤是 RED（僅限收件者）、AMBER（組織內＋需知客戶）、GREEN（社群內分享）、CLEAR（無限制）。對應清單中的 1(RED)、2(GREEN)、6(CLEAR)、7(AMBER)。3(BLACK)、4(BLUE)、5(WHITE) 不是 TLP 2.0 的標籤——WHITE 是 TLP 1.0 的用語，2.0 版改為 CLEAR。18% 選 A 是把 BLACK 和 BLUE 誤認為 TLP 標籤。 ### 適中 **5. 關於保護資料之機密性、完整性與可用性描述，下列何項正確？** \(A\) 應用系統的可用性對組織而言，皆為同等級重要 \(B\) 公司內部員工的個人資訊，不在機密性的保護範圍 \(C\) 保護資料之機密性、完整性與可用性而言，機密性最為重要 \(D\) 組織之公開資訊對外公布時，資料的完整性需審查後再開放 > **答案：D** > 統計：A(24%), B(0%), C(12%), D(64%) > > 解析：即使是公開資訊，對外發布前也要確保內容正確無誤（完整性），避免錯誤資訊造成信譽損害或法律問題。A 不同系統可用性等級不同（核心系統 vs 測試系統）；B 員工個資當然在機密性保護範圍；C CIA 三者沒有固定優先順序，依情境決定。24% 選 A 是忽略了不同系統有不同可用性需求。 **7. 甲公司擬以網路行銷為特定目的，透過其官方網站之會員註冊頁面向乙蒐集個人資料。依《個人資料保護》及其主管機關解釋規範，關於甲蒐集與行銷利用乙之個人資料，下列何者為錯誤的敘述？** \(A\) 乙應就同意甲蒐集其個人資料之事實負舉證責任 \(B\) 蒐集個人資料時，尊重當事人之權益，並依誠實及信用方法為之 \(C\) 向當事人蒐集個人資料時，明確告知當事人網路行銷之特定目的 \(D\) 甲於首次行銷時，應提供乙表示拒絕接受行銷之方式，並支付所需費用 > **答案：A** > 統計：A(55%), B(3%), C(3%), D(40%) > > 解析：依個資法，舉證責任在**蒐集者**（甲），不是當事人（乙）。A 說「乙應負舉證責任」顛倒了舉證義務，錯誤。B 誠信原則正確（第 5 條）；C 告知特定目的正確（第 8 條）；D 首次行銷提供拒絕方式並支付費用正確（第 20 條）。40% 選 D 是對「支付所需費用」感到懷疑，但法條確實規定行銷者應負擔拒絕管道的費用。 **20. 關於資訊資產盤點作業的描述，下列何者最「不」適當？** \(A\) 資訊資產盤點即是資訊設備盤點 \(B\) 資訊資產盤點在確認資產的殘值 \(C\) 資訊資產盤點應考量全面性 \(D\) 資訊資產盤點應確認資產的可用性 > **答案：B** > 統計：A(34%), B(59%), C(5%), D(2%) > > 解析：資訊資產盤點的目的是識別、分類與評估資產的安全需求，不是確認「殘值」——殘值是會計/財務概念。C 全面性、D 確認可用性都是盤點該做的事。34% 選 A 也有道理（資訊資產 ≠ 資訊設備，資產範圍更廣），但 A 的描述雖不精確卻不算最離譜，B「確認殘值」完全偏離資安盤點目的。 **33. 關於屬性存取控制（Attribute Based Access Control, ABAC）其中之「主體（subject）」，下列何項描述最為適切？** \(A\) 對物件執行操作的角色，如：使用者 \(B\) 需要被保護的系統資源，如；檔案、資料庫 \(C\) 規範存取規則的政策文件，如：防火牆規則 \(D\) 定義操作情境的環境條件，如：時間、地點 > **答案：A** > 統計：A(58%), B(26%), C(6%), D(10%) > > 解析：ABAC 四大元素：Subject（主體，發起存取的人或程式）、Object（物件，被存取的資源）、Action（動作）、Environment（環境條件）。B 描述的是 Object；C 是 Policy；D 是 Environment。26% 選 B 是把「主體」和「物件」搞反了。 **40. 關於雜湊函數（Hash function）的主要用途說明，下列何項描述最為適切？** \(A\) 對訊息進行加密以保護其隱私 \(B\) 生成訊息摘要（Message digest）來驗證完整性 \(C\) 建立秘密金鑰（Secret key）以用於對稱加密 \(D\) 在加密過程中隨機化明文 > **答案：B** > 統計：A(27%), B(52%), C(13%), D(8%) > > 解析：雜湊函數的核心用途是產生固定長度的訊息摘要（Hash Value）來驗證資料完整性。A 雜湊不是加密（不可逆）；C 雜湊不是用來建立金鑰；D 隨機化明文是加密演算法的工作。27% 選 A 是把「雜湊」跟「加密」搞混——雜湊是單向函數，不能解密還原。 **49. 在營運持續運作管理程序中，下列何項「不」是營運衝擊分析（Business Impact Analysis, BIA）的主要步驟？** \(A\) 識別機關的核心業務功能 \(B\) 計算核心業務可容許缺少資源的時間 \(C\) 制定詳細的災害復原技術操作手冊 \(D\) 確認業務功能與資源復原的先後順序 > **答案：C** > 統計：A(21%), B(13%), C(58%), D(8%) > > 解析：BIA 是分析「業務衝擊」的過程，包括識別核心業務、計算可容忍停機時間（RTO/RPO）、排定復原優先順序。C「制定災害復原技術操作手冊」是 DRP（災害復原計畫）的工作，不是 BIA 的步驟。21% 選 A 可能覺得「識別核心業務」太基本不算 BIA，但識別核心業務正是 BIA 的第一步。 ### 困難 **1. ISO/IEC 27001:2022 相較 ISO/IEC 27001:2013，主要新增控制措施「不」包括下列何項？** \(A\) 新增使用雲端服務之資訊安全 \(B\) 新增網頁過濾要求 \(C\) 新增技術漏洞管理要求 \(D\) 新增資料洩漏預防要求 > **答案：C** > 統計：A(19%), B(25%), C(40%), D(16%) > > 解析：ISO 27001:2022 附錄 A 新增 11 個控制措施，包含雲端服務安全（A.5.23）、網頁過濾（A.8.23）、資料洩漏預防（A.8.12）等。但「技術漏洞管理」在 2013 版就已存在（A.12.6.1），不算新增。25% 選 B 可能覺得「網頁過濾」太細節不像新增項目，但它確實是 2022 版才加入的。 **2. 貴公司是大型銀行的供應商之一，主要負責銀行客戶個資處理及利用；而最近因應數位轉型計劃，打算將相關基礎建設遷移至雲端服務，試問為滿足客戶需求及服務品質保證，公司導入下列何種標準最「不」適當？** \(A\) ISO 27006 \(B\) ISO 27001 \(C\) ISO 27701 \(D\) ISO 27018 > **答案：A（D 為送分選項，該次考試 A、D 皆給分）** > 統計：A(45%), B(7%), C(16%), D(32%) > > 解析：題目問「不適當」的標準。A ISO 27006 是給「驗證機構」用的稽核與驗證要求，公司自己導入沒有意義。B ISO 27001 是 ISMS 基礎必備；C ISO 27701 是隱私資訊管理延伸，處理個資的公司很適合導入；D ISO 27018 是針對公有雲服務提供者保護個資的規範，公司是雲端使用者而非提供者，嚴格來說也不適當，但該次考試官方將 D 列為送分。 **17. 如附圖所示。企業為確保資通系統及資產得以識別，進行資通資產分類時，其中定義資產種類包含主要性（primary）資產及支援性（supporting）資產等兩種類型。請問，下列何項資產及類型配對結果為正確？** > 附圖配對： > 1. 資訊（information）：主要性 > 2. 硬體（hardware）：主要性 > 3. 網路（network）：支援性 > 4. 人員（personnel）：主要性 > 5. 業務流程（business processes）：支援性 > 6. 企業活動（business activities）：主要性 \(A\) 1、4、6 \(B\) 1、3、6 \(C\) 2、3、5 \(D\) 2、4、5 > **答案：B** > 統計：A(26%), B(36%), C(14%), D(24%) > > 解析：依 ISO 27005 / CNS 27002，主要資產是「資訊」與「業務流程/企業活動」，支援資產是「硬體、軟體、網路、人員、場地」。所以正確配對是 1（資訊：主要性✓）、3（網路：支援性✓）、6（企業活動：主要性✓）。錯誤配對：2 硬體應為支援性、4 人員應為支援性、5 業務流程應為主要性。26% 選 A 是把「人員」誤歸為主要性。 **26. FIDO（Fast Identity Online）是無密碼登入解決方案，主要是透過公開金鑰加密的架構結合終端裝置的多重因素驗證（MFA）與生物辨識驗證進行登入動作，可以更嚴密地保護個資。請問下列關於 FIDO 的描述何者較「不」正確？** \(A\) FIDO 的三大認證協議分別為 FIDO UAF、FIDO U2F、FIDO2 \(B\) FIDO 的最大特色是所有協定都建立於公開金鑰加密上，讓伺服器端只保存公鑰，不再需要負責保管使用者個資 \(C\) 使用者於各家金融機構先進行身分驗證開通「金融 FIDO」的使用，就可以利用個人終端裝置而不需要攜帶金融卡進行各項金融服務的驗證 \(D\) 使用者可以在終端裝置上透過指紋辨識、聲音辨識、輸入個人識別碼 PIN 等方式進行線上登入 > **答案：C** > 統計：A(8%), B(48%), C(39%), D(5%) > > 解析：C 的問題在於金融 FIDO 開通後「不需要攜帶金融卡」的描述過於絕對——某些金融服務仍需金融卡搭配使用，且各機構規定不同，不能一概而論。A 三大協議正確；B 伺服器只存公鑰正確；D 多種驗證方式正確。48% 選 B 可能覺得「不需要保管使用者個資」的說法太誇張，但 FIDO 架構確實讓伺服器端只存公鑰，不存密碼或生物特徵。 --- ## 114-2 資訊安全技術概論 ### 非常簡單 **1. 下列何項攻擊手法的目的是要破解密碼？** \(A\) 阻斷服務攻擊 \(B\) 網路連線攻擊 \(C\) 後門攻擊 \(D\) 字典攻擊 > **答案：D** > 統計：A(1%), B(4%), C(2%), D(93%) > > 解析：字典攻擊（Dictionary Attack）是用預建的常見密碼清單逐一嘗試破解密碼。A 阻斷服務是癱瘓系統；B 網路連線攻擊是攔截/干擾連線；C 後門是繞過認證的隱藏入口。 **2. 下列何項是防火牆策略的最佳資安實踐？** \(A\) 允許所有的外部連入請求 \(B\) 預設拒絕所有連接，除非明確允許 \(C\) 預設允許所有連接，除非明確拒絕 \(D\) 不使用防火牆，以增加網路效能 > **答案：B** > 統計：A(1%), B(96%), C(3%), D(0%) > > 解析：防火牆最佳實踐是「預設拒絕，明確允許」（Default Deny），跟管理概論 Q31 的 Deny by Default 原則一致。C 是「預設允許」屬於寬鬆策略不安全。 **3. 關於 SQL 注入（SQL Injection）攻擊的描述，下列何者較為適當？** \(A\) 使網站無法訪問 \(B\) 竊取電腦重要檔案 \(C\) 在資料庫中執行惡意 SQL 語句 \(D\) 破壞網路設備 > **答案：C** > 統計：A(1%), B(6%), C(93%), D(0%) > > 解析：SQL Injection 的本質就是在資料庫中注入並執行惡意 SQL 語句。A 是 DoS 的效果；B 竊取檔案不是 SQL Injection 的直接行為；D 破壞網路設備跟 SQL 無關。 **4. 若希望在防火牆上設定，讓對外的所有連線預設為拒絕（Deny），只有經過許可的才允許通過，這種策略常被稱下列何項？** \(A\) 黑名單（Blacklist） \(B\) 白名單（Whitelist） \(C\) 預設通過（Default Allow） \(D\) 動態篩選（Dynamic Filter） > **答案：B** > 統計：A(5%), B(90%), C(3%), D(2%) > > 解析：「預設拒絕，只允許列表中的」就是白名單（Whitelist）策略。A 黑名單是「預設允許，只拒絕列表中的」；C 預設通過是反過來；D 動態篩選是另一種機制。 **7. 關於 VLAN（Virtual Local Area Network）與安全性的敘述，下列何者較為正確？** \(A\) 僅能提升效能，與安全性無關 \(B\) 可以減少廣播範圍並降低橫向攻擊風險 \(C\) 可取代防火牆的功能 \(D\) 僅能應用於無線網路環境 > **答案：B** > 統計：A(3%), B(94%), C(1%), D(2%) > > 解析：VLAN 透過邏輯隔離減少廣播域範圍，限制同網段的橫向移動。A VLAN 確實與安全性有關；C VLAN 無法取代防火牆（功能層次不同）；D VLAN 有線無線都能用。 **8. 在零信任架構下，若一個帳號憑證遭竊，下列何項機制最能降低駭客利用該憑證進行橫向移動？** \(A\) 使用靜態防火牆（Static Packet Filtering Firewall）規則 \(B\) 增加 DMZ（Demilitarized Zone）伺服器數量 \(C\) 啟用多因素驗證（Multi-factor authentication） \(D\) 啟用 NAT（Network Address Translation）對應 > **答案：C** > 統計：A(3%), B(9%), C(85%), D(4%) > > 解析：憑證被偷了，MFA 讓攻擊者光有密碼還是進不去（還需要第二因子）。A 靜態防火牆只管網路層；B 增加 DMZ 伺服器跟防橫向移動無關；D NAT 是位址轉換不是認證機制。 **10. 下列何種攻擊方式會利用大量偽造的網路流量，癱瘓目標伺服器？** \(A\) 分散式阻斷服務（DDoS） \(B\) 社交工程（Social Engineering） \(C\) 跨網站指令碼（XSS） \(D\) SQL 注入（SQL Injection） > **答案：A** > 統計：A(89%), B(5%), C(2%), D(4%) > > 解析：DDoS 的定義就是用大量偽造流量癱瘓目標。B 社交工程是騙人不是打流量；C XSS 是注入腳本到網頁；D SQL Injection 是注入資料庫查詢。 **15. 如附圖所示，某作業系統在同一天釋出四個安全更新。若資安團隊必須依照資安風險優先級安排安裝順序，最合理的順序是下列何項？** > 附圖更新項目： > 1. 修補 Kernel 本地提權漏洞（已公開 exploit 程式，CVSS 9.0，高風險） > 2. 修補 OpenSSL 資料外洩漏洞（尚未出現 exploit，但影響機敏資料，CVSS 7.5，中高風險） > 3. 修補 GUI 顯示錯誤（功能異常） > 4. 修補低風險應用程式錯誤（僅影響單一非關鍵應用，CVSS 3.0，低風險） \(A\) 3 → 2 → 1 → 4 \(B\) 1 → 2 → 4 → 3 \(C\) 2 → 1 → 3 → 4 \(D\) 2 → 1 → 4 → 3 > **答案：B** > 統計：A(4%), B(87%), C(6%), D(4%) > > 解析：按風險優先：1 已有 exploit 的 CVSS 9.0 最緊急先補→ 2 CVSS 7.5 影響機敏資料次之→ 4 CVSS 3.0 低風險第三→ 3 GUI 顯示錯誤只是功能問題無安全風險最後。關鍵判斷：有 exploit 的高 CVSS 優先於無 exploit 的中高 CVSS。 **19. 網路釣魚的常見手法，「不」包含下列何項？** \(A\) 中間人攻擊（Man-in-the-Middle） \(B\) 類似的網域名稱 \(C\) 吸引人的優惠 \(D\) 帳號鎖定通知 > **答案：A** > 統計：A(90%), B(2%), C(3%), D(5%) > > 解析：中間人攻擊是攔截通訊的技術手段，不是釣魚的「手法」。B 假冒網域名稱、C 優惠誘餌、D 帳號鎖定恐嚇，都是典型釣魚社交工程手法。 **20. 下列哪一種攻擊手法試圖利用作業系統對於記憶體存取的管理不當，透過將惡意程式碼注入到應用程式的記憶體空間中，從而執行未經授權的操作？** \(A\) 中間人攻擊（Man-in-the-Middle） \(B\) 緩衝區溢位攻擊（Buffer Overflow Attack） \(C\) 分散式拒絕服務攻擊（DDoS） \(D\) 旁通道攻擊（Side-channel Attack） > **答案：B** > 統計：A(5%), B(85%), C(4%), D(6%) > > 解析：題目描述的「記憶體管理不當、注入惡意程式碼到記憶體空間」就是緩衝區溢位的定義。A 中間人是攔截通訊；C DDoS 是流量癱瘓；D 旁通道是透過側面資訊（時間、功耗）推測資料。 **21. OWASP 所列出的 10 大弱點列表中，注入（Injection）一向是被關注的重點。下列何項攻擊方式較「不」屬於此項範疇？** \(A\) SQL 注入（SQL Injection） \(B\) 命令注入（Command Injection） \(C\) 跨站攻擊（Cross-Site Scripting） \(D\) 跨站偽造（Cross-Site Request Forgery） > **答案：D** > 統計：A(5%), B(4%), C(9%), D(82%) > > 解析：CSRF 是偽造使用者的合法請求讓伺服器執行非預期操作，屬於「存取控制」類問題，不是「注入」類。A SQL Injection、B Command Injection 都是典型注入攻擊。C XSS 雖然名稱帶 Cross-Site，但本質是把惡意腳本「注入」到網頁中，在 OWASP 2017 版歸在 Injection 大類。9% 選 C 可能覺得 XSS 名稱有「Cross-Site」就不算注入，但 XSS 的核心機制確實是注入腳本。 **29. 關於應用系統開發過程納入資訊安全要求的描述，下列何項正確？** \(A\) 各個程式設計皆有一套執行方式，較難書面記錄以套用於資訊系統撰寫流程 \(B\) 應用系統安全測試需於開發完成之後再進行，以免影響程式開發時間流程 \(C\) 應用系統委外第三方廠商開發，內部建立之開發安全工程原則不適用要求委外開發的活動 \(D\) 曾經發生常見導致資訊安全脆弱性之程式開發實務作法及缺陷，可納入文件做為開發遵守依據 > **答案：D** > 統計：A(2%), B(3%), C(5%), D(90%) > > 解析：把過去出過問題的程式開發實務（如未做輸入驗證、硬編碼密碼等）記錄成文件當作開發規範，是安全開發的基本做法。A 程式開發完全可以書面記錄成 SOP 或 Coding Standard；B 安全測試應該在開發過程中就進行（Shift Left），不是做完才測；C 委外開發一樣要遵守內部的安全開發原則，甚至要寫進合約。 **31. 當偵測到一個可疑的惡意程式在企業內部網路中傳播，下列哪一項是最適當的立即處理方式？** \(A\) 斷開受感染設備的網路連線 \(B\) 關閉所有防毒軟體以防止誤報 \(C\) 向所有員工發送通知，要求他們自行檢查電腦 \(D\) 重新安裝受感染設備的作業系統 > **答案：A** > 統計：A(98%), B(0%), C(0%), D(2%) > > 解析：發現惡意程式在內網傳播，第一步就是「斷網隔離」防止繼續擴散。B 關閉防毒是反向操作；C 發通知讓員工自己查太慢，而且一般員工不具備判斷能力；D 重裝系統是後續處理步驟，不是「立即」處理。這題 98% 正確率，幾乎是送分題。 **32. 在惡意程式的「預防與阻擋」策略中，下列何項技術的核心原則是在個人電腦「預設全部禁止，僅允許明確授權的應用程式執行」，以達到最高的安全性？** \(A\) CDR 內容解除與重建（Content Disarm and Reconstruction） \(B\) 應用程式黑名單（Application Blacklisting） \(C\) 網路防火牆（Network Firewall） \(D\) 應用程式白名單（Application Whitelisting） > **答案：D** > 統計：A(2%), B(5%), C(4%), D(89%) > > 解析：「預設全部禁止，僅允許明確授權的」就是白名單（Whitelist）的定義。跟 Q4 的防火牆白名單策略一樣的邏輯，只是這裡套用在應用程式執行控制上。A CDR 是把檔案拆解後去除潛在惡意內容再重建；B 黑名單是「預設允許，只擋名單上的」正好相反；C 防火牆是管網路流量不是管程式執行。 **37. 某企業採用「每日增量備份＋每週完整備份」的方式。這樣設計的主要目的為下列何項？** \(A\) 減少備份檔案加密強度 \(B\) 降低儲存空間與備份時間成本 \(C\) 提高應用系統效能優先度 \(D\) 防止惡意程式注入 > **答案：B** > 統計：A(4%), B(85%), C(4%), D(7%) > > 解析：每天做完整備份太耗時間和空間，所以用「增量備份」只備份當天變更的部分，每週再做一次完整備份當基礎。這樣既省空間又省時間。A 備份策略跟加密強度無關；C 備份不影響應用系統效能優先度；D 備份策略不是用來防惡意程式的。 **39. 請問下列日誌記錄相關的系統或標準，何項較「不」適合用於 Linux 環境？** \(A\) Windows Event Viewer \(B\) RFC 5424 \(C\) Syslog-NG \(D\) rsyslogd > **答案：A** > 統計：A(94%), B(3%), C(1%), D(2%) > > 解析：Windows Event Viewer 是 Windows 專用的日誌查看工具，當然不適合 Linux。B RFC 5424 是 Syslog 協定標準，跨平台通用；C Syslog-NG 是 Linux 常用的進階日誌管理工具；D rsyslogd 是大多數 Linux 發行版預設的 Syslog 服務。 **40. 在設計應用程式的日誌管理時，下列哪一種做法最能幫助快速偵測並回應潛在的安全事件？** \(A\) 只記錄應用程式的主要功能操作，可忽略登入及權限變更等活動 \(B\) 將日誌以純文字格式儲存在本地伺服器上，不需備份 \(C\) 設定日誌警報機制，在偵測到異常行為時即時通知管理員 \(D\) 定期刪除日誌，以避免佔用過多儲存空間 > **答案：C** > 統計：A(2%), B(0%), C(97%), D(1%) > > 解析：即時警報機制（Alerting）是快速偵測和回應安全事件的關鍵。A 忽略登入和權限變更等於放棄最重要的安全日誌；B 不備份日誌風險很大（被攻擊者刪除就沒了）；D 定期刪除日誌會丟失調查證據。 **41. 在設計「日誌輪替」（Log Rotation）機制時，其主要目標為下列何項？** \(A\) 永久保存所有日誌，以確保不遺漏任何資訊 \(B\) 只記錄特定類型的日誌，例如錯誤日誌或訪問日誌，忽略其他日誌 \(C\) 根據時間或檔案大小限制日誌，並自動歸檔或刪除舊日誌 \(D\) 定期手動刪除所有日誌檔案，以釋放存儲空間 > **答案：C** > 統計：A(9%), B(6%), C(84%), D(1%) > > 解析：Log Rotation 就是「按時間或大小自動切割日誌檔，舊的歸檔或刪除」，避免日誌無限增長吃光磁碟空間。Linux 的 logrotate 就是典型工具。A 永久保存不是輪替的目的（那叫歸檔）；B 只記錄特定類型是日誌過濾（Log Filtering）；D 手動刪除不是「機制」，而且刪除所有日誌太激進。 **42. 關於確保日誌的完整性，下列敘述何項最為適切？** \(A\) 禁止所有人存取日誌，僅允許管理員修改日誌內容，以確保記錄正確 \(B\) 記錄日誌變更歷史，並使用數位簽章或雜湊技術來驗證日誌的完整性 \(C\) 透過壓縮技術對日誌進行壓縮，確保儲存時間最大化 \(D\) 只保留最近七天的日誌，其他日誌自動刪除 > **答案：B** > 統計：A(10%), B(81%), C(9%), D(0%) > > 解析：日誌完整性的核心是「能驗證日誌沒被竄改」，數位簽章和雜湊（Hash）就是用來做這件事。A 的問題在「允許管理員修改」——日誌不該被任何人修改，管理員也不行；C 壓縮是節省空間不是確保完整性；D 只保留七天跟完整性無關。10% 選 A 忽略了「允許修改」這個致命描述。 **47. 使用者在手機上安裝了一個來源不明的 APK 檔案，結果裝置被惡意程式竊取聯絡人與簡訊內容。這種風險最主要源自下列何項？** \(A\) 使用越獄或 Root 後的裝置 \(B\) 啟用生物辨識登入 \(C\) 從不可信來源安裝應用程式 \(D\) 未設定螢幕自動鎖定 > **答案：C** > 統計：A(6%), B(1%), C(93%), D(0%) > > 解析：題目明確說「來源不明的 APK」，風險就是來自不可信來源的應用程式（Sideloading）。A 越獄/Root 會增加風險但不是這個案例的主因；B 生物辨識是保護措施跟這無關；D 螢幕鎖定也不影響 App 的行為。 **48. 在手機上，某惡意應用程式在背景持續存取麥克風與攝影機，導致個資外洩。防範此類攻擊最有效的方法為下列何項？** \(A\) 定期清理快取 \(B\) 啟用生物辨識登入 \(C\) 嚴格管理應用程式的權限 \(D\) 降低能耗 > **答案：C** > 統計：A(4%), B(2%), C(93%), D(1%) > > 解析：惡意 App 偷用麥克風和攝影機，最直接的防範就是嚴格控管 App 權限——不該給的權限就不給。A 清快取不影響 App 權限；B 生物辨識是登入保護跟 App 權限無關；D 降低能耗更不相關。iOS 和 Android 現在都有權限管理功能，可以設定「僅使用時允許」或「每次詢問」。 ### 簡單 **6. 若要在網路層面降低駭客橫向移動風險，最適合的設計是下列何項？** \(A\) 啟用 VPN（Virtual Private Network）加密流量 \(B\) 增加 DMZ（Demilitarized Zone）伺服器數量 \(C\) 使用 IDS（Intrusion Detection System）偵測可疑封包 \(D\) 採用網路分段（Network Segmentation）將整體網路劃分為多個較小的子網路或區域 > **答案：D** > 統計：A(8%), B(8%), C(10%), D(75%) > > 解析：網路分段直接限制不同區域之間的存取，有效防止橫向移動。A VPN 加密流量但不阻止內網橫移；B 增加 DMZ 伺服器數量跟橫向移動無關；C IDS 只偵測不阻擋。 **9. 在設定防火牆的規則時，下列哪一種策略可以有效減少誤報並提高安全性？** \(A\) 使用最小權限原則，僅允許必要的流量 \(B\) 設定所有流量為允許，然後逐步添加拒絕規則 \(C\) 僅依賴預設的防火牆規則 \(D\) 定期重置防火牆設定以清除舊規則 > **答案：A** > 統計：A(73%), B(6%), C(2%), D(19%) > > 解析：最小權限原則只開必要的流量，規則精確所以誤報少、安全性高。B 預設允許再逐步拒絕容易漏掉；C 預設規則太粗糙；D 重置設定會把所有規則清掉反而危險。19% 選 D 可能覺得「清除舊規則」聽起來合理，但重置不等於優化。 **11. 下列哪一項是防火牆的主要功能之一，能夠防止未經授權的存取？** \(A\) 加密資料傳輸 \(B\) 監控網路流量 \(C\) 檢查和過濾進出網路的封包 \(D\) 提供虛擬私人網路（Virtual Private Network, VPN）連接 > **答案：C** > 統計：A(3%), B(5%), C(76%), D(16%) > > 解析：防火牆的核心功能就是「檢查和過濾封包」來阻擋未授權存取。A 加密是 TLS/VPN 的工作；B 監控是 IDS/SIEM 的工作；D VPN 是附加功能非主要功能。16% 選 D 是把 VPN 功能當成防火牆的「主要」功能。 **12. 某公司內部郵件傳輸需要保護機密性，下列何者為最適當採用的安全通訊協定？** \(A\) SMTP 搭配 STARTTLS \(B\) HTTP 搭配 TLS \(C\) DNSSEC \(D\) Telnet > **答案：A** > 統計：A(77%), B(18%), C(3%), D(2%) > > 解析：郵件傳輸用 SMTP，加上 STARTTLS 加密就能保護機密性。B HTTP+TLS 是網頁用的（HTTPS）；C DNSSEC 是 DNS 安全擴充跟郵件無關；D Telnet 是明文傳輸完全不安全。18% 選 B 是沒注意到題目問的是「郵件」不是「網頁」。 **13. 在完成 HTTPS 網站設定後，瀏覽器仍顯示「憑證不被信任」的錯誤訊息，最可能的原因是下列何項？** \(A\) 使用的憑證尚未過期 \(B\) 使用了自簽憑證 \(C\) TLS 版本太新，瀏覽器不支援 \(D\) 加密演算法長度太長 > **答案：B** > 統計：A(7%), B(78%), C(15%), D(0%) > > 解析：自簽憑證（Self-signed Certificate）不在瀏覽器的受信任 CA 清單中，所以會顯示「不被信任」。A 未過期不會造成不信任；C TLS 太新通常不是信任問題；D 加密長度太長更不會。15% 選 C 是把「版本相容性」跟「信任問題」搞混。 **14. 依照 IP 的來源地區（GEOIP）限制連線，這種防火牆的運作，主要是針對開放式系統互聯模型（OSI Model）中哪一層來進行？** \(A\) 第 2 層 資料連結層（Data Link Layer） \(B\) 第 3 層 網路層（Network Layer） \(C\) 第 4 層 傳輸層（Transport Layer） \(D\) 第 5 層 會議層（Session Layer） > **答案：B** > 統計：A(5%), B(78%), C(12%), D(5%) > > 解析：IP 位址是第 3 層（網路層）的資訊，GEOIP 就是根據 IP 位址判斷地理位置來過濾，所以在網路層運作。12% 選 C 是把 IP（第 3 層）和 Port（第 4 層）搞混。 **16. 在 Windows 作業系統中，下列何項功能之主要目的用來限制某些應用程式的執行，以提升系統安全性？** \(A\) Microsoft IoT Defender \(B\) BitLocker \(C\) AppLocker \(D\) Task Scheduler > **答案：C** > 統計：A(29%), B(6%), C(62%), D(3%) > > 解析：AppLocker 是 Windows 內建的應用程式白名單控制工具，可限制哪些程式能執行。A IoT Defender 是物聯網安全方案；B BitLocker 是磁碟加密；D Task Scheduler 是排程工具。29% 選 A 可能被「Defender」這個字誤導。 **17. 若系統管理員採用「基於角色的存取控制（Role-Based Access Control, RBAC）」來管理伺服器，下列何項最能反映 RBAC 與傳統 DAC（Discretionary Access Control）的主要差異？** \(A\) RBAC 的存取決策依據使用者所屬角色，DAC 的存取決策依據資源擁有者的設定 \(B\) RBAC 屬於強制式存取控制的一種，DAC 屬於集中式管理模型 \(C\) DAC 無法支援多使用者環境，RBAC 則能依角色分派給多人 \(D\) 在 RBAC 中，使用者可直接修改自己資源的存取權限；在 DAC 中則需透過系統管理員 > **答案：A** > 統計：A(74%), B(12%), C(6%), D(8%) > > 解析：RBAC 依角色決定權限、DAC 由資源擁有者自行決定誰能存取，這是兩者最核心的差異。B RBAC 不是 MAC；C DAC 可以支援多使用者；D 說反了——DAC 才是使用者可自行設定權限的。 **25. 在 Web 應用程式中，若未對使用者輸入進行適當的驗證與過濾，攻擊者可能利用下列何種攻擊方法，輸入惡意資料進而未經授權地存取或修改資料庫中的資料？** \(A\) 跨站腳本攻擊（Cross-Site Scripting, XSS） \(B\) SQL 注入攻擊（SQL Injection） \(C\) 跨站請求偽造（Cross-Site Request Forgery, CSRF） \(D\) 釣魚攻擊（Phishing） > **答案：B** > 統計：A(16%), B(70%), C(12%), D(3%) > > 解析：題目關鍵字「輸入惡意資料→未經授權存取或修改資料庫」，這就是 SQL Injection 的定義。A XSS 是注入腳本到網頁讓瀏覽器端執行，不是直接操作資料庫；C CSRF 是偽造使用者請求，跟輸入驗證無直接關係；D 釣魚是社交工程手法。16% 選 A 是把 XSS 和 SQLi 搞混——兩者都跟輸入驗證有關，但 XSS 影響的是瀏覽器端，SQLi 影響的是資料庫端。 **26. 下列何項措施最能有效防禦跨站請求偽造（Cross-Site Request Forgery, CSRF）攻擊？** \(A\) 在表單中加入隱藏的隨機令牌（Token） \(B\) 對使用者輸入的資料進行編碼 \(C\) 使用 HTTPS 協定傳輸資料 \(D\) 設置強密碼策略 > **答案：A** > 統計：A(67%), B(9%), C(19%), D(5%) > > 解析：CSRF Token（Anti-CSRF Token）是防禦 CSRF 最經典的方法——每次表單都帶一個伺服器產生的隨機令牌，攻擊者無法猜到這個令牌就無法偽造請求。B 輸入編碼是防 XSS 的；C HTTPS 保護傳輸加密但不防 CSRF（攻擊者不需要攔截封包）；D 強密碼跟 CSRF 完全無關。19% 選 C 是誤以為加密就能解決所有問題。 **27. 下列何種攻擊方法是利用網頁的輸入欄位或網址，插入惡意的腳本（Script），使其他使用者在瀏覽該網頁時執行該腳本？** \(A\) 跨站腳本攻擊（Cross-Site Scripting, XSS） \(B\) 跨站請求偽造（Cross-Site Request Forgery, CSRF） \(C\) 釣魚攻擊（Phishing） \(D\) 阻斷服務攻擊（Denial-of-Service, DoS） > **答案：A** > 統計：A(82%), B(12%), C(1%), D(5%) > > 解析：題目描述的「透過輸入欄位或網址插入惡意腳本，其他使用者瀏覽時執行」就是 XSS 的定義。B CSRF 是偽造使用者請求，不是注入腳本；C 釣魚是社交工程騙人點假連結；D DoS 是癱瘓服務。12% 選 B 是把 XSS 和 CSRF 搞混——記憶法：XSS 是「種腳本」（攻擊瀏覽器），CSRF 是「借刀殺人」（借用使用者身分發請求）。 **33. 遠端瀏覽器隔離（Remote Browser Isolation），是一種先進的網路安全技術，技術上主要是透過下列何種核心機制，以保護使用者免於遭受網頁惡意程式的攻擊？** \(A\) 在本機電腦的瀏覽器中直接掃描網頁程式碼，並比對已知的惡意軟體特徵碼資料庫 \(B\) 在網站伺服器前端部署一道防線，用以保護網站本身不被惡意流量（如 SQL Injection）攻擊 \(C\) 將所有網頁內容的載入與執行，都放在一個遠端的、隔離的雲端或伺服器環境中進行，僅將安全的視覺影像傳回給使用者 \(D\) 根據一份不斷更新的黑名單，禁止使用者存取已知的惡意或釣魚網站 > **答案：C** > 統計：A(2%), B(21%), C(71%), D(7%) > > 解析：RBI 的核心就是「遠端執行、本地只看畫面」——所有網頁在雲端的隔離環境中跑，使用者只收到安全的視覺串流（像遠端桌面看網頁）。A 本機掃描是傳統防毒的做法；B 前端防線是 WAF（Web Application Firewall）；D 黑名單是 URL 過濾。21% 選 B 是把「保護使用者瀏覽」跟「保護網站本身」搞混——RBI 保護的是使用者端，不是伺服器端。 **35. 某公司於每日的凌晨 1 點進行備份，每日皆進行完整備份（Full Backup），假設需要還原至週三晚上 9 點時的狀況，需要下列何項備份檔案才能完成上述工作？** \(A\) 該週日的備份即可 \(B\) 該週三的備份即可 \(C\) 該週四的備份即可 \(D\) 該週四前所有的備份檔案 > **答案：C** > 統計：A(3%), B(20%), C(63%), D(13%) > > 解析：每日凌晨 1 點做完整備份，要還原到週三晚上 9 點的狀態。週三凌晨 1 點的備份只涵蓋到週二晚上的狀態，週三白天到晚上 9 點的資料還沒被備份。要等到週四凌晨 1 點的備份才會包含週三整天（含晚上 9 點）的資料。20% 選 B 是忘了「週三的備份是凌晨 1 點做的」，那時候週三晚上 9 點還沒發生。記憶法：備份時間點在凌晨 1 點，所以「週 N 的備份」涵蓋的是「週 N-1 整天」的資料。 **38. 企業採用混合式備份策略：本地快照（Snapshot）＋雲端異地備份（Offsite Backup）。在一次大規模勒索軟體攻擊中，攻擊者利用被竊取的管理者帳號，刪除了雲端的備份檔案，導致資料無法復原。請問此案例最主要暴露了下列何項備份管理風險？** \(A\) 備份資料未經壓縮，導致空間不足 \(B\) 備份存放在與生產系統同一環境 \(C\) 備份缺乏不可變性（Immutable Backup）與良好的存取控管 \(D\) 備份採用增量模式，導致復原速度過慢 > **答案：C** > 統計：A(1%), B(24%), C(73%), D(2%) > > 解析：攻擊者用管理者帳號就能刪掉雲端備份，代表兩個問題：一是備份沒有設定不可變性（Immutable），二是存取權限控管不夠嚴格。Immutable Backup 一旦寫入就不能修改或刪除，即使管理者帳號被偷也動不了。A 壓縮跟這個案例無關；B 雲端備份已經是異地了，不是同一環境的問題；D 增量模式跟備份被刪除無關。24% 選 B 可能沒注意到題目已經說了是「雲端異地備份」。 **43. 在日誌管理（Log Management）流程中，「日誌收集」（Log Collection）階段最主要的目的為下列何項？** \(A\) 即時分析日誌以偵測威脅 \(B\) 對日誌進行加密以確保傳輸安全 \(C\) 將分散在不同來源的日誌資料，系統性地彙整集中存放 \(D\) 刪除不重要的日誌以節省儲存空間 > **答案：C** > 統計：A(22%), B(2%), C(76%), D(0%) > > 解析：Log Collection 的核心就是「把散落在各系統的日誌集中到一個地方」，像 SIEM 收集各設備的日誌就是這個階段。A 即時分析是「日誌分析」階段的工作；B 加密是傳輸安全措施不是收集的「主要目的」；D 刪除日誌不是收集階段該做的。22% 選 A 是把「收集」和「分析」兩個階段搞混了——要先收集才能分析。 **46. 某 Android 應用的 WebView 為方便除錯，沒有關閉「JavaScript 介面」，暴露 Java 物件給載入的網頁。攻擊者誘導使用者開啟惡意網頁，該網頁呼叫被暴露的 Java 方法以讀取本機檔案與敏感資料。這種攻擊方法稱之為下列何項？** \(A\) 預設憑證信任（Trust All Certificates） \(B\) WebView 注入攻擊（WebView Injection） \(C\) Session 攻擊 \(D\) NFC 重送攻擊 > **答案：B** > 統計：A(9%), B(81%), C(8%), D(1%) > > 解析：題目描述的就是 WebView Injection——透過 WebView 暴露的 JavaScript 介面呼叫 Java 方法，存取本機資源。A Trust All Certificates 是不驗證 SSL 憑證的問題；C Session 攻擊是偷 Session ID；D NFC 重送攻擊是近場通訊的問題。這題考行動安全開發的知識，開發者應該在正式版中移除 `addJavascriptInterface` 或限制其範圍。 ### 適中 **5. 公司部署的入侵偵測系統主要依靠簽章或特徵比對為偵測機制。當遭遇零時差（Zero-day）攻擊，入侵偵測系統的偵測結果最可能是下列何項？** \(A\) 大量正常流量被誤判為惡意，導致告警數量急遽上升 \(B\) 系統立即阻斷攻擊封包，並防止橫向擴散 \(C\) 入侵偵測系統因處理效率影響，造成封包轉送速度異常加快 \(D\) 攻擊流量未被標記為異常，直到後續分析才可能察覺 > **答案：D** > 統計：A(15%), B(14%), C(12%), D(60%) > > 解析：特徵比對型 IDS 只能偵測「已知」攻擊特徵，零時差攻擊沒有對應的特徵碼，所以會「漏報」——攻擊流量不會被標記。A 誤判增加是異常偵測型的問題；B IDS 只偵測不阻斷（IPS 才會）；C 封包加快沒有邏輯依據。15% 選 A 是把特徵比對型和異常偵測型搞混了。 **18. 為了讓作業系統變得更安全、更難以入侵，通常企業會對作業系統進行安全強化（Harden），下列何項不是 Linux 作業系統經常採用的安全強化機制？** \(A\) 設定密碼原則、登入錯誤次數限制，並且使用 fail2ban 服務將登入錯誤次數太多的使用者列入黑名單 \(B\) 關閉所有非必要的系統服務與通訊協定，但是保留 nmap，以便進行自我掃描跟檢測 \(C\) 禁止使用 root 帳號登入 SSH 服務，只能使用一般使用者的帳號，若要提升權限變成 root 則必須使用 sudo 指令 \(D\) 使用 iptables 防火牆功能限制存取來源，讓連線來源最小化 > **答案：B** > 統計：A(7%), B(63%), C(17%), D(13%) > > 解析：安全強化的原則是「關閉非必要服務」，但 B 說「保留 nmap」——nmap 是掃描工具，留在生產伺服器上反而給攻擊者可用的偵查工具，不是強化措施。A 密碼原則+fail2ban 正確；C 禁 root SSH+sudo 正確；D iptables 限制來源正確。17% 選 C 可能覺得禁 root 登入不方便，但這正是標準的 Linux 強化做法。 **22. 下列何項「不」屬於常見的資源存取控制模式？** \(A\) 以長效為基礎的安全模式（Permanent-based Access Control, PBAC） \(B\) 任意式安全模式（Discretionary Access Control, DAC） \(C\) 強制式安全模式（Mandatory Access Control, MAC） \(D\) 以角色為基礎的安全模式（Role-based Access Control, RBAC） > **答案：A** > 統計：A(52%), B(29%), C(10%), D(8%) > > 解析：DAC、MAC、RBAC 都是標準的存取控制模式，「PBAC（Permanent-based Access Control）」是虛構的名稱，不存在這種模式。29% 選 B 可能是對 DAC 不熟悉——DAC 是最常見的存取控制模式（像 Windows 檔案權限就是 DAC），不要因為它看起來不像「強制」就覺得不重要。記憶口訣：存取控制三兄弟就是 DAC（自主）、MAC（強制）、RBAC（角色），看到不是這三個的就是假的。 **23. 防火牆（Firewall）設備內通常擁有一整套網路安全規則，可以用來監控、篩選和控制進出特定範例的網路封包內容與流量。配置防火牆設備的主要目的，是在受信任的內部網路和不受信任的外部網路之間建立屏障。請問下一個世代防火牆 NGFW（Next-Generation Firewall）較「不」具備下列何項功能？** \(A\) 遠端 VPN 連線 \(B\) 資料外洩防護（Data Loss Prevention, DLP） \(C\) 程式源始碼掃瞄 \(D\) 沙箱（Sandbox）運作與程式分析 > **答案：C** > 統計：A(9%), B(15%), C(52%), D(24%) > > 解析：NGFW 的功能包括 VPN、DLP、沙箱分析、應用程式識別等，但「程式源始碼掃瞄」是 SAST（靜態應用程式安全測試）工具的工作，屬於開發階段的安全活動，不是防火牆的功能。24% 選 D 可能不知道現代 NGFW 已經整合沙箱功能（像 Palo Alto WildFire、FortiSandbox）。記憶法：NGFW 管的是「網路上跑的東西」，原始碼是開發人員桌上的東西，兩者場景完全不同。 **24. 下列何項措施最能有效防止阻斷服務攻擊（Denial-of-Service, DoS）？** \(A\) 隱藏伺服器的位置 \(B\) 使用內容傳遞網路（CDN） \(C\) 限制單個 IP 位址的請求速率 \(D\) 啟用伺服器的日誌記錄 > **答案：C** > 統計：A(13%), B(20%), C(64%), D(3%) > > 解析：Rate Limiting（速率限制）直接限制單一來源的請求頻率，是防止 DoS 最直接有效的措施。A 隱藏位置只是延遲被發現，不是防禦；B CDN 能分散流量緩解 DDoS，但題目問的是 DoS（單一來源），速率限制更直接；D 日誌記錄是事後分析用的，不能「防止」攻擊。20% 選 B 有道理但要注意題目問的是 DoS 不是 DDoS——CDN 對分散式攻擊幫助大，對單一來源的 DoS 不如直接限速。 **28. 如附圖所示，攻擊者透過修改查詢參數「account」為任意帳號即可存取資訊，關於此應用程式缺陷的敘述，下列何者正確？** > 附圖網址：`https://vulnerable.site/app/profile?account=victim` \(A\) 存取控制失效（Broken Access Control） \(B\) 密碼機制失效（Cryptographic Failures） \(C\) 注入攻擊（Injection） \(D\) 安全日誌與監控失效（Security Logging and Monitoring Failures） > **答案：A** > 統計：A(63%), B(13%), C(20%), D(4%) > > 解析：攻擊者只改了 URL 參數就能看到別人的資料，這就是 IDOR（Insecure Direct Object Reference），屬於 OWASP Top 10 的 A01: Broken Access Control。伺服器沒有驗證「你有沒有權限看這個帳號的資料」。B 密碼機制失效是加解密問題；C 注入攻擊是把惡意指令塞進去，這裡只是改參數值；D 日誌監控失效是事後偵測問題。20% 選 C 可能誤以為「修改參數」就是注入，但注入是把 SQL/指令塞進去讓系統執行，改帳號名稱不算注入。 **30. 下列何項「不」是常見的網站設計安全漏洞？** \(A\) 脆弱的身分識別控制，造成權限控制失效（Broken Access Control） \(B\) 缺乏有效的漏洞修補管理程序和安全設定（Security Configuration） \(C\) 雲端服務興起，缺乏資訊基礎設施（Information Infrastructure）並造成資安記錄及監控分散（Security Logging and Monitoring Spread） \(D\) 有效的商業電子郵件詐騙（BEC），並造成伺服端請求偽造（Server-Side Request Forgery, SSRF） > **答案：C** > 統計：A(1%), B(3%), C(55%), D(41%) > > 解析：C 把兩個無關的概念硬湊在一起——「缺乏資訊基礎設施」不是 OWASP 定義的網站安全漏洞，「監控分散（Spread）」也不是標準術語。A Broken Access Control 是 OWASP A01；B Security Misconfiguration 是 OWASP A05。D 雖然把 BEC 和 SSRF 放在一起看起來奇怪，但 SSRF 確實是 OWASP A10 的漏洞類型。41% 選 D 是因為 BEC 跟 SSRF 放一起看起來很不搭，但題目問的是「不是常見網站設計安全漏洞」，C 裡面的概念根本不存在於 OWASP 標準中。 **36. 在資訊安全領域，下列何種技術能夠確保即使攻擊者成功取得敏感資料，但無法直接解讀其內容？** \(A\) 數位簽章（Digital Signature） \(B\) 非破壞性資料壓縮（Lossless Compression） \(C\) 訊息摘要（Message Digest） \(D\) 隱寫術（Steganography） > **答案：D** > 統計：A(30%), B(6%), C(11%), D(53%) > > 解析：隱寫術把資料藏在看起來正常的媒體中（如圖片、音檔），攻擊者拿到檔案也不知道裡面藏了東西，更無法直接解讀隱藏的內容。A 數位簽章是驗證身分和完整性，不是隱藏內容；B 壓縮是縮小檔案大小，解壓就能讀；C 訊息摘要是單向雜湊，用來驗證完整性而非隱藏資料。30% 選 A 可能是把「簽章保護」跟「隱藏內容」搞混——數位簽章保護的是「不被竄改」，不是「不被解讀」。這題的關鍵字是「無法直接解讀」，隱寫術讓攻擊者連資料在哪都不知道。 **45. 下列何項驗證「不」是專門針對雲端機房的驗證制度？** \(A\) CSA STAR \(B\) SOC 2 \(C\) ISO/IEC 27017 \(D\) ISO/IEC 27018 > **答案：B** > 統計：A(30%), B(52%), C(8%), D(10%) > > 解析：SOC 2 是針對「服務組織」的內控報告，適用於所有類型的服務提供者（不限雲端），涵蓋安全性、可用性、處理完整性、機密性、隱私等五大信任原則。A CSA STAR 是雲端安全聯盟的雲端專用認證；C ISO 27017 是雲端服務的資安控制指引；D ISO 27018 是雲端個資保護標準。30% 選 A 可能不熟悉 CSA STAR，但它全名就是 Cloud Security Alliance，專門為雲端設計的。記憶法：看到「Cloud」或「27017/27018」就是雲端專用，SOC 2 則是通用型的服務組織稽核報告。 **49. 物聯網設備常用的遠端管理設定，包含 Telnet 與 SSH，請問下列何項敘述正確？** \(A\) Telnet 較安全，使用 Port 22 \(B\) SSH 較安全，使用 Port 22 \(C\) Telnet 較安全，使用 Port 23 \(D\) SSH 較安全，使用 Port 23 > **答案：B** > 統計：A(4%), B(65%), C(9%), D(22%) > > 解析：SSH 加密傳輸用 Port 22，Telnet 明文傳輸用 Port 23。正確組合是「SSH 較安全 + Port 22」。22% 選 D 知道 SSH 較安全但把 Port 搞錯了——記憶法：SSH = Secure Shell = 安全 = 22，Telnet = 明文 = 23。Port 號碼按順序：SSH(22) 在 Telnet(23) 前面，安全的排前面。 **50. 物聯網感知層主要作用是全面感知外界資訊，包括物體識別、資訊收集等功能。請問對於物聯網感知層的描述何者不正確？** \(A\) 物聯網的感知層主要由感測裝置和讀取與識別裝置組成 \(B\) 物聯網安全需求應包括判斷與阻斷惡意節點與其行為，並保證阻斷惡意節點後網路的連通性 \(C\) 感知層的資訊通常透過應用層與外界連通，才能作為應用層正確控制決策的主要依據 \(D\) 無線感測器是物聯網感知層重要的組成部分，由於無線感測器採用無線通訊，攻擊者可以輕易實施監聽訊號，並儲存監聽資料 > **答案：C** > 統計：A(11%), B(19%), C(49%), D(20%) > > 解析：IoT 三層架構是「感知層→網路層→應用層」，感知層的資訊是透過「網路層」（不是應用層）與外界連通。C 把網路層和應用層搞混了。A 感知層由感測器和識別裝置組成正確；B 安全需求包括阻斷惡意節點並維持連通性正確；D 無線感測器容易被監聽也正確。這題只有 49% 正確率，20% 選 D 可能覺得「輕易監聽」太絕對，但無線通訊確實比有線更容易被截聽。 ### 困難 **34. 企業在做備份計畫時，要考慮還原的正確性、完整性，下列何者描述較「不」適切？** \(A\) 系統的金鑰最好可以另外備份 \(B\) 還原僅限特權帳號可以執行 \(C\) 備份空間要至少兩成的緩衝 \(D\) 備份資料最好有一份可以離線 > **答案：B** > 統計：A(36%), B(42%), C(18%), D(4%) > > 解析：B 說「還原僅限特權帳號可以執行」聽起來像是安全做法，但問題在於「僅限」——如果特權帳號本身出問題（被鎖定、遭入侵、管理員離職），就沒人能還原了。正確做法是要有適當的權限控管但不能「僅限」單一類型帳號。A 金鑰另外備份是正確的（不然加密資料備份了也解不開）；C 備份空間留緩衝是好習慣；D 離線備份防勒索軟體。36% 選 A 可能覺得金鑰分開備份有安全風險，但其實金鑰不分開備份的風險更大——加密資料和金鑰一起丟了等於白備份。這題是本次考試的鑑別度題目。 **44. 下列哪一個漏洞未在 OWASP Cloud-Native Application Security Top 10 之中？** \(A\) Injection flaws \(B\) Improper authentication & authorization \(C\) Insecure secrets storage \(D\) Server-Side Request Forgery > **答案：D** > 統計：A(14%), B(21%), C(26%), D(40%) > > 解析：OWASP Cloud-Native Application Security Top 10 涵蓋 Injection flaws、Improper authentication & authorization、Insecure secrets storage 等雲原生應用常見問題，但 SSRF（Server-Side Request Forgery）是列在 OWASP Web Application Top 10（A10:2021），不在 Cloud-Native 版本中。這題考的是兩份不同 OWASP Top 10 清單的區分。26% 選 C 可能不熟悉雲原生環境中 secrets management 的重要性——在容器化/微服務架構中，密鑰管理（如 Kubernetes Secrets）是核心安全議題。這題正確率只有 40%，是全卷最難的題目之一。