allen>試卷(2020/08/14)

iPAS◆資訊安全規劃實務◆中級題庫 下載題庫

資訊安全規劃實務樣題#89908 

選擇:14題,非選:0題
立即測驗 
我要補題 回報試卷錯誤
1.1. 關於 MS-SQL 資料庫的存取控制設計,下列敘述何者較 符合安全設計?
(A) 資訊系統開發運作,使用 SA 做為資訊系統存取資料庫的帳號及密 碼,符合資料庫安全存取設計
(B) MS-SQL 系統可以建立多個資料庫,滿足不同資訊系統需求,所以 可以讓不同委外開發商之資訊系統,共用同一組帳號密碼來存取不 同資料庫,符合資料庫安全存取設計
(C) 某資訊系統有其前台系統(讀取)與後台管理系統(讀寫刪除)對 資料庫進行存取,前台管理系統與後台管理系統可以共用同一個 DBO 帳號與密碼
(D) 資訊系統所使用資料庫若採用 Microsoft Azure 上的 PaaS MS-SQL 資料庫服務 (非自建虛擬機再另行安裝的 MS-SQL 資料庫系統), 該雲端 PaaS MS-SQL 是無法使用 SA 帳號密碼

2.2. 在 OWASP 的最新 TOP10 IoT 資安威脅中,下列何者問 題最為嚴重?
(A) 不安全的網路服務
(B) 缺乏安全的更新機制
(C) 不安全的元件
(D) 預設或容易猜測的通行碼

3.3. (複選題) 某集團業務行政人員,收到外部訂單資料,未依據資安 規範,確認信寄來源,便開啟郵件 pdf 附件,以及點開信中 URL 連 結,以致該員工電腦感染蠕蟲,且被該員工電腦通訊錄名冊資料被 竊取或竄改,造成公司郵件資料外洩,進而偽造該員工郵件信箱寄 出相關惡意郵件給通訊錄成員,擴大資料外洩風險,請問下列敘述 何者為風險處理的程序?
(A) 該員工通報資資安事件,並由 IT 接手後續處理,並通知全公司
(B) 該員工的電腦,由該員自行進行掃毒,不另行通知資安人員
(C) IT 需確認該員資料,有進行符合公司規定之備份
(D) 需進行全公司資安教育宣導以及進行政策性全公司掃毒

4.【題組題】 
《情境說明》 王先生使用是網路購物已長達 10 年以上,ABC 線上購物是王先生最常使用的平 台,最近幾年,ABC 線上購物更把服務範圍擴展至全球,美國、加拿大和歐洲各 國都成立分公司,且這些國家的會員數,也佔 ABC 線上購物的 20%以上,王先生 常接到莫名其妙的推銷電話,也偶爾會接到一些詐騙電話,上網查詢後,才發現 ABC 線上購物的客戶資料庫個資外洩,共有 2 萬多名用戶,共計超過 10 萬筆的資 料受到影響。

【題組】(1) 在這次個資外洩事件中,王先生對自己的損失?
(A) 不能求償,因為就現況來說,並未造成具體損害
(B) 不能求償,因為網購公司不屬於八大行業
(C) 可以求償,並可以透過團體訴訟的方式提起損害賠償訴訟
(D) 可以求償,但必須自己尋找律師提起損害賠償訴訟

5.【題組】(2) ABC 線上購物查明資料外洩原因後,下列何項處 置較不適當?
(A) 先需再確認當事人是否有實質金錢損失,才能決定如何處置
(B) 於當事人來詢問時,由專人回答
(C) 依法,一定要以電話或信件通知當事人
(D) 依法,以適當方式通知當事人即可

6.【題組】(3) 若 ABC 公司為了業務分析,會將統計資料完全去 識別化之後,進行大數據分析,在接獲使用者以電話或信件通 知,要求刪資料,請問下列敘述何者正確?
(A) 當事人資料必須刪除,統計數據也須刪除
(B) 當事人資料必須刪除,統計數據無需刪除
(C) 當事人資料無需刪除,統計數據須刪除
(D) 當事人資料無需刪除,統計數據也無需刪除

7.【題組】(4) (複選題)ABC 線上購物,若為了增加業績,開始增加實體 店面,請問,在實體店面,進行「告知」使用者個資法要求事 項,下列何者為符合個資法要求的方式?
(A) 言詞並留下相關紀錄
(B) 電子郵件
(C) 簡訊
(D) 紙本書面

8.1. 關於 SQL Injection 攻擊的防護,下列何者較佳?
(A) Https 安全連線
(B) ModSecurity
(C) 網路層防火牆
(D) 計算雜湊函數值

9.2. M 公司授權進行內部網路的安全活動,相關人員於過 程中使用 Nmap 進行掃描,發現有內部主機使用 vsftpd2.3.4,經判斷 後發現具備漏洞可利用,後續使用 Msfconsole 成功利用漏洞。請問 上述情境說明為進行下列何者?
(A) 弱點掃描
(B) 滲透測試
(C) 社交工程
(D) 封包竊聽

10.3. 為數位證據進行雜湊值(Hash)是為了下列哪些目的?
(A) 機密性
(B) 完整性
(C) 可用性
(D) 可歸責性

11.重新載圖

【題組題】 《情境說明》 XYZ 企業接獲大量員工通報:許多主從式架構 (Client-Server Mode) 之應用服務無 法正常使用。系統管理人員確認其應用程式伺服器皆正常,因此著手進行網路流量分析 期望能發現問題。 5f364c9d4de68.jpg5f364cb86c273.jpg5f364ce3a4187.jpg5f364d04a281c.jpg


【題組】(1) 本情境中,於下列何種資訊、網路設備進行流量分析能有效 發現問題?
(A) 網路設備,例如: 核心交換機 (Core Switch)
(B) 資訊設備,例如: 應用程式伺服器 (Application Server)
(C) 資訊設備,例如: 終端電腦
(D) 終端設備,例如:手機


12.【題組】(2) 本情境中,系統人員進行網路封包擷取後,使用分析軟體打 開其內容 (圖一), 下列敘述何者正確?
(A) 10.24.11.10 對 10.2.2.2 發起 SSH 連線
(B) SSH 封包無需進行解密即可查詢其傳輸資料
(C) 10.2.2.100 試圖對 10.24.11.101 發起 HTTP GET Request
(D) 10.2.2.100 為 HTTP 伺服器

13.【題組】(3) 本情境中,系統人員轉交相關資訊給資安人員分析, 發現 其中有可疑 HTTP Request (圖二)。下列敘述何者不正確?
(A) 此 HTTP Requst 使用 POST Method
(B) 來源用戶端所使用為常見網頁瀏覽器 (Web Browser)
(C) 目的應用程式為 PHP 所開發
(D) 目的網頁伺服器 (Web Server) 為 Apache

14.【題組】(4) 本情境中,資安人員觀察到該 HTTP Request 中可疑參數 (Parameter) (圖三) ,並綜合其他封包分析 (圖四) 可進行推 論。下列敘述何者正確?
(A) 校時伺服器 (NTP Server) 被攻陷 (Comprise) 並成為 C&C 伺服 器,嘗試控制用戶端
(B) 校時伺服器 (NTP Server) 被攻陷 (Comprise) 成為 C2 伺服器, 開始攻擊用戶端
(C) 攻擊者對校時伺服器 (NTP Server) 伺服器發起阻斷服務 (DoS) 攻 擊
(D) 應用程式伺服器 (Application Server) 對校時伺服器 (NTP Server) 發起阻斷服務 (DoS) 攻擊

懸賞詳解

國二自然下第一次

17. ( )某元素 X 的氧化物,其一個分子中含有 5 個氧原子,分子量為 220。已知氧的原子量為 16,則下列何者最可能為 X 的原子量?(A)22 (...

50 x

前往解題

資訊安全規劃實務樣題#89908-阿摩線上測驗

資訊安全規劃實務樣題#89908