阿摩線上測驗
登入
首頁
>
iPAS◆資訊安全技術概論◆初級
> 108年 - 108 初級資訊安全工程師能力鑑定樣題02:資訊安全技術概論1-50#117055
108年 - 108 初級資訊安全工程師能力鑑定樣題02:資訊安全技術概論1-50#117055
科目:
iPAS◆資訊安全技術概論◆初級 |
年份:
108年 |
選擇題數:
50 |
申論題數:
0
試卷資訊
所屬科目:
iPAS◆資訊安全技術概論◆初級
選擇題 (50)
1. 下列何者非社交工程攻擊方式? (A) 利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼 (B) 利用程式設計缺陷,向程式寫入錯誤的內容 (C) 利用即時通訊軟體如 LINE,偽裝親友來訊,誘騙點選來訊中之連 結後中毒 (D) 利用電話佯裝資訊人員,騙取帳號及通行碼
2. 下列哪個協定較為安全? (A) HTTP (B) FTP (C) SSL (D) TELNET
3. 短時間內傳送大量的封包給另一部電腦的攻擊方式,稱之為? (A) 木馬程式或殭屍病毒 (B) 釣魚郵件攻擊 (C) 阻斷服務攻擊 (D) 中間人攻擊
4. 請問 SSH 常見的服務 Port 為? (A) 22 (B) 23 (C) 24(D) 25
5. 公司管理員打算利用 IPSec 來確保封包內容傳輸的私密性 (Confidentiality),請問管理員需要使用 IPsec 的哪項協定以達成目的? (A) AH (B) ESP (C) IKE (D) ISAKMP
6. 在未經授權的情況下取得網路傳輸資料,或者針對傳輸網路進行流量 分析,請問上述行為屬於下列何者常見的網路威脅? (A) 截斷(Interruption) (B) 竊取(Interception) (C) 偽造(Fabrication) (D) 篡改(Modification)
7. 網際網路中主要的通訊協定模式有兩種 OSI 7 層及 TCP/IP 協定組,請 問在這兩個通訊協定模式中,負責傳輸封包(Packet)及選擇路徑 (Routing),是那一層的工作? (A) 實體層(Physical Layer) (B) 資料鏈結層(Data-Link Layer) (C) 網路層(Network Layer) (D) 應用層(Application Layer)
8. 下列何者不是應用在「虛擬私有網路」(VPN)上的通訊協定? (A) TFTP (B) PPTP (C) IPSEC (D) SSL
9. 請問 TCP/IP 通訊協定中,負責提供分段排序、錯誤控制、流量控制等 工作是哪一層之任務? (A) 應用層 (B) 會議層 (C) 傳輸層 (D) 網路層
10. 關於跨站腳本攻擊(Cross-Site Scripting, XSS),下列敘述何者正確? (A) 過濾雙引號之符號 (B) 使用 URL Encode (C) 使用正規表達式 (D) 使用 HTML Encode
11. 請問下列何者非 SYN SCAN 的優點? (A) 快速及可靠 (B) 雜訊少 (C) 所有平台(不管 TCP 堆疊實作)皆準確 (D) 不會被偵測
12. 公司的資安人員想要安全性的監控網路上所有的交換器和路由器的狀 態,請問他需要在每個設備上設定哪個協定? (A) STP (B) VLAN (C) MPLS (D) SNMPv3
13. 下列何者不是資料外洩時,短期內所應採取的補救措施? (A) 評估造成傷害的風險 (B) 立即收集有關外洩事故的重要資料 (C) 採取適當措施,制止資料外洩 (D) 執行資訊事故安全教育訓練
14. 當某一作業系統中的兩個程式因互相搶用資源而造成兩個程式均無法 完成既定工作之結果,請問此現象稱為? (A) 碰撞(Collision) (B) 死結(Deadlock) (C) 佇列(Queue) (D) 欺騙(Spoof)
15. 請問 ssh 公私鑰存在 Linux 哪個目錄? (A) /.ssh (B) /home (C) /etc (D) user
16. 下列何項 Windows 功能可以封鎖未經授權之應用程式的自動安裝,並 防止不小心變更系統的設定。即使系統管理員執行系統管理過程亦須 要由管理員主動同意或提供認證資訊才能執行? (A) 具有進階安全性的 Windows 防火牆 (B) 使用者帳戶控制(User Account Control;UAC) (C) 資源監視器(Resource Monitor) (D) Windows Secondary Logon
17. 下列何者非登入作業系統可使用的網路身分驗證服務? (A) Windows AD(Active Directory)服務 (B) LDAP(Lightweight Directory Access Protocol)服務 (C) NIS(Network Information Service)服務 (D) DHCP(Dynamic Host Configuration Protocol)服務
18. 關於資安組織 OWASP(開放 Web 軟體安全計畫—Open Web Application Security Project),下列敘述何者不正確? (A) 是一個開放社群、營利性組織 (B) 主要目標是研議協助解決 Web 軟體安全之標準、工具與技術文 件 (C) 長期協助政府或企業暸解並改善網頁應用程式與網頁服務的安全 性 (D) 美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循 OWASP 所發佈的十大 Web 弱點防護守則
19. 下列何者不是常見的 SQL Injection 自動化工具? (A) BEEF Framework (B) SQLMAP (C) BSQL (D) Bobcat
20. 下列何者不是 Server-side Injection 攻擊手法? (A) Blind SQL Injection (B) Hibernate Injection (C) Command Injection (D) XSS Injection
21. 請問針對作業系統訂定的資訊安全策略中,下列何種安全模式中「檔 案持有者」可授權決定「其他使用者」存取該檔案的權限? (A) 自由存取控制(Discretionary Access Control,DAC) (B) 強制性存取控制(Mandatory Access Control,MAC) (C) 角色存取控制(Role-based Access Control,RBAC) (D) 屬性存取控制(Attribute-based Access Control,ABAC)
22. 用在入侵和攻擊他人的電腦系統上,取得系統管理員的權限,具有隱 藏和遠端操控的能力;電腦病毒、間諜軟體等也常使用來隱藏蹤跡。 該工具軟體為? (A) Cookie (B) Rootkit (C) Backdoor (D) Phishing
23. 我們都知道要防止 XSS 跨網站指令碼攻擊必須過濾特殊字元,請問下 列何者不是我們應該過濾的特殊字元? (A) # (B) & (C) “ (D) ||
24. 請問防禦 SQL Injection 的最佳方式為下列何者? (A) 黑名單過濾 (B) 參數長度過濾 (C) 輸出過濾 (D) Prepared Statement
25. 下列哪種方法可讓開發人員發現其撰寫的網頁程式碼是否存有輸入驗證漏洞(Input Validation Weaknesses)? (A) 反組譯應用程式執行碼 (B) 迴歸測試(Regression Testing) (C) 模糊測試(Fuzz Testing) (D) 使用除錯器(Debugger)逐步執行檢視
26. 網頁中使用驗證碼(CAPTCHA)主要可防禦下列何種攻擊? (A) SQL 注入攻擊(Injection)。 (B) 跨站腳本攻擊(XSS)。 (C) 緩衝區易位攻擊(Buffer Overflow)。 (D) 跨站偽造請求攻擊(CSRF)。
27. 下列何者屬於開發安全方面需注意的問題? (A) 部署時必須考量伺服器效能,避免導致應用程式效能低 (B) 應用程式設計必須設計多線程,用戶能對服務隨時存取 (C) 應用程式必須考量是否有 SQL 注入漏洞 (D) 應用程式必須考量 License 限制,避免出現無法部署其他伺服器
28. 請問 2017 流行的 wannacry 攻擊是攻擊哪個服務? (A) SMB (B) SMTP (C) HTTP (D) FTP
29. 下列何者不是常見的弱點掃描工具之一? (A) Open Vulnerability Assessment System (OpenVAS) (B) Nessus (C) MegaSploit (D) Nmap
30. 當系統或應用程式上被發現具有弱點,但是在修補程式未發佈之前,或是使用者更新前所進行的惡意攻擊行為,稱之為? (A) 釣魚(phising) (B) 零時差攻擊(zero day attack ) (C) 暴力攻擊(brute-force attack (D) 重送攻擊(replay attack)
31. 下列哪個檔案最可能內含巨集型病毒(Macro Virus)? (A)
(B)
(C)
(D)
32. 認識惡意程式,下列敘述何者不正確? (A) 邏輯炸彈被設定在特定條件下啟動破壞攻擊行為 (B) 特洛伊木馬會自我複製,也會主動散播到別的電腦裡面 (C) 病毒會感染寄生或附著在別的電腦程式或文件檔案裡面 (D) 蠕蟲的特性是快速的自我繁殖感染其他的主機,發送大量封包, 使網路癱瘓
33. 關於儲存媒體使用規範,下列敘述何者不正確? (A) 各式儲存媒體如識別卡、磁碟片、磁帶、光碟片及各式磁碟機等 初級資訊安全工程師 能力鑑定樣題 科目 2:資訊安全技術概論 第 6 頁,共 17 頁 6 如須報廢或不堪使用時,應將內含之資料加以清除,以確保資料 安全 (B) 儲存機密資料之儲存媒體,必須遵照組織訂定之作業方式進行標 示並妥善保存 (C) 機密資料變動時,媒體標示需即時更新 (D) 備份媒體無需定期更新,僅以抽檢方式驗證其有效性
34. 依據資訊安全管理系統 CNS27001、CNS27002 對資料備份的描述與要 求,下列敘述何者不正確? (A) 資料備份主要目的為防範資料漏失 (B) 組織宜建立備份政策,以定義組織對備份的相關要求 (C) 備份資料的存放地點宜於遠端,以避免主要場域發生災難時不被 波及 (D) 備份資料測試復原時,應覆寫回原始媒體或系統,以確保資料復 原之有效性
35. 關於保護公司內部機密性資料的備份,下列何者方式較佳? (A) 隱藏保護 (B) 防寫保護 (C) 加密保護 (D) 雜湊保護
36. 關於備份,下列敘述何者正確? (A) 差異備份係指與增量備份完成後之索引檔進行比對,只要發生過 變化之文件都會再備份一次 (B) 完全備份係指與差異備份完成後之索引檔進行比對,只要發生過 變化之文件都會再備份一次 (C) 差異備份係指與增量備份完成後之索引檔進行比對,只要發生過 變化之文件都會再備份一次 (D) 差異備份係指與完全備份完成後之索引檔進行比對,只要發生過 變化之文件都會再備份一次
37. 勒索軟體對於資料安全的傷害極大,請問下列敘述何者不正確? (A) 勒索軟體感染方式,利用加密方式將電腦資料加密勒索 (B) 勒索軟體是透過網頁瀏覽或郵件感染造成,與網路無關 (C) 勒索軟體會造成備份成本增加 (D) 勒索軟體會感染一般電腦也會感染到網路主機
38. 關於系統日誌的管理與分析,下列敘述何者不正確? (A) 每天不斷產生的日誌,資料量龐大,往往超出人力可以判讀的範 圍 (B) 預設的 Syslog 本身沒有加密,但是不會遭到偽冒攻擊 初級資訊安全工程師 能力鑑定樣題 科目 2:資訊安全技術概論 第 7 頁,共 17 頁 7 (C) 混合式攻擊手法普遍,很難從單一設備上解讀出攻擊手法的資訊 (D) 不同設備所產生的日誌格式可能不一樣,會造成彙整上的困難
39. Windows 作業系統中的事件檢視器,有三個較為重要之日誌檔,請問 此三個日誌檔分別為下列何者? (A) 連結性日誌、系統日誌、應用程式日誌 (B) 安全性日誌、網路日誌、應用程式日誌 (C) 安全性日誌、系統日誌、本機防毒日誌 (D) 安全性日誌、系統日誌、應用程式日誌
40. Bob 過去兩週一直在試圖滲透一個遠端的生產系統。 某一次,他能夠進入系統,並使用該系統三週的時間。 殊不知,執法機構也正在記錄他的每一項活動,並在後來成為證據。 該組織使用一種虛擬環境來捕獲 Bob。 這種虛擬環境是什麼? (A) 一種用來困住駭客的蜜罐技術 (B) 一種使用特洛伊木馬的命令系統 (C) 一種用來困住登入後使用者的環境 (D) 一種用來困住登入前使用者的環境
41. 請問系統管理人員登入成功或失敗,是否需留存相關紀錄? (A) 登入成功不需要,登入失敗需要 (B) 登入成功需要,登入失敗不需要 (C) 登入成功和失敗都需要 (D) 登入成功和失敗都不需要
42. 下列哪種行為可能會威脅雲端帳號的安全? (A) 使用有公信力的服務 (B) 在不同網站使用不同帳號與密碼 (C) 避免使用陌生電腦登入雲端服務帳號 (D) 使用瀏覽器會記錄帳號密碼的便利功能
43. 雲端運算透過許多應用程式來提供服務,如果在身分驗證方面不夠嚴 謹或是應用程式存在安全漏洞,可能就會造成使用時的安全問題。下 列何者為所描述的安全威脅? (A) 惡意的內部員工 (B) 不安全的介面與 APIs (C) 資源共享的技術問題 (D) 濫用與非法使用
44. 隨雲端服務時代來臨,網路及系統架構逐漸擴張,安全控制議題也被 彰顯。請問下列何者不屬於安全控制中的認證方法? (A) 驗證(Authentication) 初級資訊安全工程師 能力鑑定樣題 科目 2:資訊安全技術概論 第 8 頁,共 17 頁 8 (B) 帳號管理(Accounting) (C) 授權(Authorization) (D) 加密(Encryption)
45. 行動裝置經常需要安裝新的 APP,如 Apple Store, Google Play 中下載。 請問下列何者不是下載 APP 應注意之安全事項? (A) 確認欲下載 APP 的評比與權限設定 (B) 只在信譽良好網站或官方 APP 市集中下載 (C) 該 APP 是否需要付費 (D) 觀察使用者對該 APP 之評論
46. 關於提高行動裝置(如手機)本身的安全性,下列敘述何者不正確? (A) 開啟並設定開機密碼 (B) 開啟並設定解鎖密碼 (C) 加大電池容量 (D) 開啟並設定手機自動鎖定功能
47. 關於行動裝置上的應用程式軟體安全,下列敘述何者不正確? (A) 僅安裝可信賴來源之軟體 (B) 定期更新軟體 (C) 安裝防毒軟體 (D) 可安裝破解版軟體節省荷包
48. 在物聯網裡,駭客可能會運用監聽程式(Sniffer),截取任何透過網路 傳送之未加密的資訊再加以竊取。這是屬於哪一類的攻擊手法? (A) 監聽攻擊(Sniffing Attack) (B) 密碼攻擊(Password-Based Attack) (C) 金鑰淪陷攻擊(Compromised-Key Attack) (D) 阻斷服務攻擊(Denial-of-Service Attack)
49. 在被認可的安全措施上,下列敘述何者不正確? (A) 建立 IoT 安全設計指導準則 (B) 建立深層防護措施,分層防禦,以及常規性檢測工具 (C) 建立 IoT 安全資訊分享平台 (D) 不同產業可以建立一致的 IoT 安全基礎規範
50. 當兩個物聯網裝置在通訊過程中,傳遞的憑證訊息遭攔截並透過此憑 證模擬合法身分達到存取特定服務。請問以上描述屬於下列哪種攻擊 手法? (A) 中間人攻擊 (B) 重送攻擊 (C) 冒充攻擊 (D) 監聽攻擊
申論題 (0)
阿摩線上測驗
登入
阿摩線上測驗
登入
(B)
(C)
(D)