114年 - 114 台灣電力公司_大學及研究所獎學金甄選試題_網路資通訊安全:網路安全#137058

科目:網路安全 | 年份:114年 | 選擇題數:50 | 申論題數:0

試卷資訊

所屬科目:網路安全

選擇題 (50)

1.使用加密技術,讓未經授權的人因沒有金鑰而無法解讀通訊內容,這是為了確保資訊安全中的哪一項基本需求? (A)完整性 (B)不可否認性 (C)可用性 (D)機密性

2.透過數位簽章與公開金鑰基礎建設(PKI),可以驗證使用者身份與訊息來源。經過驗證後,傳送方或接收方都不能否認自己曾傳送或接收過資料,這是為了確保哪一項基本需求? (A)完整性 (B)不可否認性 (C)可用性 (D)機密性

3.為了確保資訊系統能正常運作,不因惡意行為而癱瘓,合法使用者在需要時能及時使用服務 (例如收發電子郵件、遠端存取),這是為了確保哪一項基本需求? (A)完整性 (B)不可否認性 (C)可用性 (D)機密性

4.為了確保資料只能被授權者修改,而不會被未經授權的人竄改或偽造,這是為了符合哪一項基本需求? (A)完整性 (B)不可否認性 (C)可用性 (D)機密性

5. 有一種攻擊是利用 TCP 三向交握的弱點,攻擊者不斷送出連線請求,當伺服器回應後卻不送出最後的 ACK,導致連線無法完成。這些半開連線會一直佔據伺服器的佇列,最終使伺服器無法再接受新的連線,這種攻擊是屬於哪種攻擊? (A) TCP SYN Flood攻擊(B) Land Attack (C) UDP Flood 攻擊 (D) Smurf 攻擊

6.在網路祕密通訊過程中,若將機密訊息藏在影像中,以避免被攻擊者發現,此種技術稱為下列何者? (A)影像加密 (B)隱寫術 (C)秘密分享 (D)影像驗證

7.在網路祕密通訊中,若要達到同一個明文多次加密時能產生不同的密文,以提供語義安全性 (Semantic Security) 並抵抗已知明文攻擊,下列何者為適合的加密演算法? (A) AES 加密演算法 (B) Caesar 加密演算法 (C) ElGamal加密演算法(D)橢圓曲線加密演算法

8.在比特幣交易中,為了達成有效率的加密,主要採用哪一種加密演算法?(A) AES 加密演算法 (B) Caesar 加密演算法 (C) ElGamal加密演算法(D)橢圓曲線加密演算法

9.下列哪一項屬於非對稱式加密演算法?(A) AES 加密演算法 (B) RSA 加密演算法 (C) DES 加密演算法 (D) Caesar 加密演算法

10.密碼學時常使用到模運算的乘法反元素計算,請計算 5-1 mod 7 的結果為何?(A) 3 (B) 4 (C) 5 (D) 6

11.密碼學時常使用到模運算的負數計算,請計算 -17 mod 7 的結果為何?(A) 3 (B) 4 (C) 5 (D) 6

12.攻擊者偽裝成伺服器信任(Trusted)的 IP 位址,藉此發動攻擊,這種攻擊稱為下列何者?(A) TCP SYN Flood攻擊(B) Land Attack (C) UDP Flood 攻擊 (D) Smurf 攻擊

13.可以有任意網路位址(Prefix)長度的位址表示方式為何?(A) CIDR (B) DHCP (C) NAT (D) Classful Addressing

14.可以自動取得 IP 位址的通訊協定為何?(A) SNMP (B) DHCP (C) NAT (D) QUIC

15.下列關於 IPv6 的敘述,何者有誤?(A)標頭長度固定 (B) Router 不會執行 Fragmentation/Reassembly(C)標頭中有 Options 欄位 (D)不會做錯誤偵測(Checksum)

16.下列何者為 UDP 的特性?(A)流量控制(Flow Control) (B)壅塞控制(Congestion Control)(C)非連接式(Connectionless) (D)可靠資料傳輸(Reliable Data Transfer)

17.下列哪個協定可以為 TCP 增加安全機制?(A) Telnet (B) SIP (C) RTP (D) TLS

18.下列何者非屬 IP 標頭中的欄位?(A) Identification (B) Sequence Number (C) Checksum (D) Time-To-Live (TTL)

19.路由協定(Routing Protocol) 屬於哪一層負責的工作?(A)網路層(Network Layer) (B)實體層(Physical Layer)(C)會談層(Session Layer) (D)應用層(Application Layer)

20.下列何者能夠主動偵測網路攻擊?(A)防毒軟體 (B)防火牆 (C)入侵偵測系統 (D)代理人伺服器

21.要達到數位簽章的功能,應該以下列哪一把金鑰進行簽章?(A)發訊端的私鑰 (B)發訊端的公鑰 (C)收訊端的私鑰 (D)收訊端的公鑰

22.下列何者可以建立 VPN 通訊?(A) SIP (B) P2P (C) VLAN (D) IPSec

23.下列哪個安全機制是針對電子郵件傳輸設計的?(A) IPSec (B) SSL (C) SET (D) S/MIME

24.下列何者非屬使用於無線區域網路(Wireless LAN)中的安全協定?(A) WEP (B) SSH (C) WPA (D) TKIP

25.下列哪個入侵偵測系統的偵測機制無法偵測到未知攻擊?(A) Signature Detection (B) Rule-based Heuristic Detection(C) Stateful Protocol Analysis(SPA) (D) Anomaly Detection

26.在同一個區域網路中,某些攻擊會向網路上的主機發送偽造的網路層與實體層對應資訊,使主機的對應快取被修改,進而讓流量被導向攻擊者的裝置以便監聽或竄改。請問此類攻擊通常稱為下列何者? (A) DNS Spoofing (B) ARP Spoofing (C) IP Fragmentation Attack(D) SYN Flood 

27.安全雜湊函數在資訊安全中常用於數位簽章與訊息驗證。請問下列哪一項非屬雜湊函數的必
要特性?(A)不可逆性 (B)保證所有不同輸入一定產生不同輸出(C)可接受任意長度輸入並輸出固定長度結果 (D)輸出結果具抗碰撞性

28.跨站腳本攻擊(XSS)屬於常見的 Web 弱點,下列哪一項對其影響描述最為正確?(A)主要導致資料庫效能下降(B)主要破壞伺服器作業系統核心(C)主要影響網路設備的路由運算(D)主要影響使用者端瀏覽器,可能導致資訊外洩或身分冒用

29.某政府單位的資訊系統遭到駭客入侵,攻擊者並未立即破壞或竊取資料,而是長期潛伏於內部網路,逐步蒐集情資並持續滲透,這種攻擊模式最符合下列哪一種描述? (A)進階持續性威脅(APT) (B)分散式阻斷服務攻擊(DDoS) (C)跨站腳本攻擊(XSS) (D) SQL 注入

30.關於黑箱測試,下列哪一項描述正確?(A)測試過程不依賴程式內部結構 (B)必須逐行檢查原始碼(C)僅適用於壓力測試 (D)僅能檢查變數是否正確初始化

31.某開發人員在撰寫程式時,針對一個計算利息的函式設計多組輸入案例,檢查其輸出是否符合預期,藉此確保該函式能正確執行。這種測試方式屬於哪一類? (A)驗收測試 (B)系統測試 (C)單元測試 (D)整合測試

32.在模擬演練中,攻擊者完成外部情資蒐集與弱點盤點後,開始利用特定弱點嘗試取得系統的第一個進入點。此步驟在典型入侵流程中屬於哪一階段? (A)初始存取 (B)資料外洩 (C)建立後門 (D)清除痕跡

33.企業遭入侵後,攻擊者在主機上部署可於重開機後自動啟動並回連的機制,以確保後續可再度存取。此行為屬於哪一階段? (A)情資蒐集 (B)持續性 (C)清除日誌 (D)機敏資料外傳

34.一名員工連上公共 Wi-Fi,卻未使用任何加密通道。攻擊者透過封包擷取工具攔截到未加密的帳號密碼。這種情境主要涉及何種威脅? (A)網路釣魚 (B)網路竊聽 (C)分散式阻斷服務 (D)應用層閃退

35.駭客發送偽造的 IP 封包,使伺服器誤以為請求來自可信來源,導致系統誤判連線是否合法。 這種手法稱為下列何者? (A) MAC Flooding (B) IP Spoofing (C) Port Scanning (D) Domain Hijacking

36.某使用者登入網路銀行時,駭客攔截並轉發雙方資料,甚至在過程中竄改交易金額。這種手法稱為下列何者? (A)跨站請求偽造 (B)中間人攻擊 (C) DNS 重新綁定攻擊 (D)社交工程

37.攻擊者取得一份雜湊後的密碼資料庫並以預先計算的雜湊字典比對。若企業在雜湊前加入隨機且獨特的值並配合延展,主要是為了降低哪種攻擊效率? (A)暴力破解 (B)彩虹表攻擊 (C)緩衝區溢位 (D) SQL 注入

38.若使用者僅設定「12345678」作為密碼,駭客透過字典檔很快就能破解。此案例最能顯示哪種攻擊方式的危險性? (A)緩衝區溢位 (B)字典攻擊 (C)中間人攻擊 (D) ARP Spoofing

39.駭客冒充公司高層,要求會計立即轉帳,並聲稱延誤將導致公司受罰。這是何種社交工程策略? (A)權威與緊迫情境 (B)誘餌攻擊 (C)垃圾蒐集 (D) Shoulder Surfing

40.某企業同時導入周邊控管、偵測回應、端點保護與人員教育,以多層面抵禦單一控制失效風險。此設計符合哪項安全原則? (A)單點防禦 (B)縱深防禦 (C)零信任存取 (D)最小權限

41.現代端點防護系統除了比對病毒特徵碼外,還能偵測異常行為並回溯事件,以協助事件處理。
這種功能通常屬於下列何者?(A) EDR (B)防火牆 (C) IDS (D) NAT

42.在建置/開發階段以工具分析程式碼,找出如 SQL 注入、硬編碼憑證等風險,屬於哪種測試方式? (A)動態應用安全測試(DAST) (B)靜態原始碼檢測(SAST) (C)滲透測試 (D)模糊測試

43.資訊團隊以自動化工具盤點資產版本與設定,對照已知漏洞資料庫產出修補清單與建議。此流程稱為下列何者? (A)程式碼審查 (B)弱點掃描 (C)滲透測試 (D)社交工程測試

44.某公司聘請廠商檢測其線上購物網站,工具模擬攻擊行為並嘗試在表單中輸入惡意字串,以檢查系統是否易受 XSS 與 SQL 注入攻擊。這種測試屬於下列何者? (A)動態應用安全測試(DAST) (B)靜態原始碼檢測(SAST) (C)模糊測試 (D)端點檢測

45.研究人員對目標程式自動產生大量非預期或畸形輸入並監看崩潰、例外與資源異常,以發掘潛在缺陷。此法稱為下列何者? (A)負載測試 (B)模糊測試 (C)黑箱測試 (D)積極掃描

46.某企業除了執行弱點掃描外,還聘請測試團隊模擬駭客行為,實際驗證漏洞能否被利用並提供修補建議。此活動屬於下列何者? (A)滲透測試 (B)系統壓力測試 (C)單元測試 (D)程式碼審查

47.使用者在未驗證 HTTPS 憑證的情況下登入公共 Wi-Fi,駭客成功竊取帳密。此案例顯示應特別注意哪種威脅? (A)中間人攻擊 (B)社交工程 (C)弱點掃描 (D)模糊測試

48.一名駭客將 USB 隨身碟掉落在公司停車場,裡面藏有惡意程式。員工撿起後插入電腦,導致系統被入侵。這是哪種手法? (A)誘餌 (B)縱深防禦 (C)憑證竊取 (D)密碼暴力破解

49.若企業強制使用多因素驗證(MFA),即使密碼外洩仍能降低入侵風險。此作法屬於哪類安全措施? (A)身分驗證強化 (B)網路位址轉換 (C)日誌分析 (D)網頁掃描

50.資訊人員停用不必要的服務、限制管理員權限,並要求員工設備安裝補丁。這種作法屬於下列何者? (A)系統硬化 (B)動態測試 (C)模糊測試 (D)中間人攻擊

申論題 (0)