【站僕】摩檸Morning>試卷(2019/09/10)

資訊安全及網路管理題庫 下載題庫

108 年 - 108 特種考試外交人員四等 資訊安全與網路管理概要#79031 

選擇:25題,非選:9題
立即測驗 
我要補題 回報試卷錯誤
1.1 有關密碼方法與協定的敘述,下列何者正確?
(A)以 SHA-1 計算雜湊,必須使用安全金鑰(secret key)
(B)為了避免相同的訊息,經由同一加密管道之後產生相同結果,我們通常會附加一組初始輸入值 (Initialization Vector)
(C)TLS 可抵擋 TCP RST 攻擊
(D)MD5 是一種加密演算法

2.2 SMTP 是一種收發電子郵件的網路協定,下列訊息何者正確?
(A)不可認證發信者
(B)傳送過程可保證訊息不被修改
(C)訊息有加密
(D)具有不可否認性

3.3 一條通訊連線的發送端傳送一個訊息 Q 給接收端時,若先以雜湊方式產生 Q 之訊息摘要(Message Digest),再和 Q 一起傳送給接收端,接收端可以此訊息摘要做什麼?
(A)從事 Q 的完整性驗證(Integrity Checking)
(B)了解 Q 的訊息內容
(C)知悉 Q 中是否攜帶解密金鑰
(D)檢視 Q 是否是駭客(Hacker)重送的訊息

4.4 下列那一選項不是 Advanced Encryption Standard(AES)之加密過程中用到的函式?
(A)回合金鑰加密(AddRound Key)函式
(B)位元組取代轉換(SubBytes)函式
(C)反移列轉換(InvShiftRows)函式
(D)混行轉換(MixColumn)函式

5.5 空間域(Spatial Domain)藏入法的數位浮水印技術(Digital Watermarking),通常是將浮水印 (Watermark)隱藏在創作品之數位資料的何處?
(A)MSB(Most Significant Bits)位置 LSB
(B) (Least Significant Bits)位置
(C)隨機挑選位元的位置
(D)依安全設定範圍內所隨機挑選的位置

6.6 以金鑰加/解密,下列選項何者錯誤?
(A)非對稱式加/解密以公鑰加密,以私鑰解密
(B)數位簽章以私鑰加密,以公鑰解密
(C)ElGamal 密碼系統所產生的加/解密金鑰為非對稱式
(D)橢圓曲線加/解密所用金鑰為對稱式

7.7 在 UNIX 或 UNIX-like(例如,Linux)作業系統中,一個檔案的存取權限為 765,請問下列對應 的顯示何者正確?
(A)rwxrw-r-x rw
(B) -rw-rw- rwx
(C) -w-rw- r
(D) -xrw-rwx

8.8 入侵偵測系統(Intrusion Detection System, IDS)的偵測方式,可以分成異常行為入侵偵測 (Anomaly Intrusion Detection)和錯誤行為入侵偵測(Misuse Intrusion Detection)兩種,下列何 者錯誤?
(A)以記錄檔(Profile)記錄正常行為可用以偵測網路異常行為
(B)錯誤行為入侵偵測須建立一個知識庫存放攻擊模式
(C)錯誤行為入侵偵測不會將合法網路行為誤判為異常行為
(D)門檻偵測是一種錯誤行為入侵偵測

9.9 Linux 作業系統安全機制由 Linux-PAM(Linux-Pluggable Authentication Modules)負責,使用者 可事先依安全政策為應用程式 A 設定驗證(Authentication,或稱認證)條件與程序。在必要時, Linux-PAM 會取出 A 之設定檔案,對 A 進行驗證。請問下列選項何者不是 Linux-PAM 的四種驗 證類別(Type)之一?
(A)鑑別(Authentication)
(B)帳戶(Account)
(C)通行密碼(Password)
(D)兩個處理(Processes)之間的隔絕(Isolation)方式

10.10 有關防火牆 DMZ 網路的規劃,下列何者正確?
(A)DMZ 是內部網路,重要伺服器所在的網段
(B)DMZ 是外部公開的網路
(C)DMZ 可存取內部網路
(D)DMZ 位於內部與外部網路之間 

11.11 資訊隱碼攻擊(SQL Injection Attack)通常是利用 SQL 語言的什麼機制,來引發對資料庫系統的 攻擊?
(A)以註解(Comments)規避安全驗證
(B)在 HAVING 子句(Having clause)中設定資料過濾條件
(C)以省略 WHERE 子句的卡氏乘積(Cartesian product)擴展資料組合
(D)以 SELECT 子句中之 DISTINCT 功能整併資料

12.12 假亂數產生器(Pseudo Random Number Generator, PRNG)可用在資料加/解密,下列選項何者錯誤?
(A)加密和解密雙方需採用相同的種子(Seed)
(B)採用 PRNG 進行加/解密,是一種對稱式加/解密方式
(C)加密和解密雙方皆須準備一個 PRNG
(D)相同的種子可能產生不同的加/解密金鑰

13.13 在比特幣(Bitcoin)的交易和挖礦程序中,下列選項何者錯誤?
(A)比特幣電子錢的樣式是一個區塊鍊(Chain of Blocks)
(B)所有經確認的交易紀錄都會依序放在區塊上
(C)新區塊產生後,則挖礦成功
(D)比特幣挖礦就是為 SHA-256 雜湊函數找出一個讓雜湊值開頭是連續幾個 0 的 Nonce

14.14 下列何者與 SQL Injection 防禦方法無關?
(A)預置敘述(Prepared Statement)
(B)參數化查詢(Parameterized Query)
(C)輸入驗證(Input Validation)
(D)禁用 JavaScript

15.15 有關網頁應用防火牆(Web Application Firewall, WAF)的使用,下列何者正確?
(A)老舊應用程式易有相容性問題,不適合使用
(B)使用網路層的過濾機制
(C)若要過濾 SSL 連線,必須擁有保護伺服器的私密金鑰
(D)無法排除 SQL Injection 攻擊

16.16 網路服務狀況,若使用傳輸層的掃描方式,下列何者正確?
(A)TCP connection scan 掃描負擔重,必須完成三向交握程序
(B)SYN-scan 可掃描 UDP 的服務
(C)可使用 ICMP 進行傳輸層掃描
(D)PING 是一種傳輸層網路偵錯工具

17.17 社交攻擊採用的技術中,有關 Phishing 的說明,何者錯誤?
(A)Phishing 可透過 email 發送
(B)XSS 攻擊通常需要經由 Phishing,引誘用戶點擊連結
(C)可透過 Phishing 取得用戶的 http cookie 內容,攔截重要的交易過程
(D)SQL Injection 攻擊必須配合 Phishing 才能進行

18.18 有關 DDoS(Distributed Denial of Service)的敘述何者正確?
(A)頻寬放大攻擊可透過 TCP 達成
(B)攻擊者可偽造 TCP 來源 IP
(C)NTP 是網路時鐘對時的協定,常被不當利用進行頻寬放大攻擊
(D)DNS 伺服器常被當作 SYN Flood 的攻擊目標 

19.19 Microsoft Office CVE-2019-1111 發布的訊息摘要如下:An attacker can leverage this issue to execute arbitrary code in the context of the current user. 請問此訊息有何安全上的威脅?
(A)上述訊息說明為一種病毒程式,可感染 Office 軟體
(B)這是一種專門勒索 Office 的程式
(C)只要有上述 CVE 涵蓋的 Office 版本,打開 Office 文件,可能被安裝後門
(D)只要不上網,就不用擔心上述安全風險

20.20 在 4G/5G 網路中,使用者拿著手機 M 到國外(例如,A 國)的網路 N 漫遊,N 會請 M 的家網 路(Home Network)驗證(Authenticate,又稱認證)M 所提供的資料,才允許 M 使用 N 的設備 與服務,請問 M 向 N 提出服務連線時,至少需提供什麼資料,以進行驗證?
(A)International Mobile Subscriber Identity(IMSI)
(B)International Mobile Equipment Identity(IMEI)
(C)含行動裝置國家代碼(Mobile Country Code)之手機號碼
(D)以上三選項的陳述項目都需要

21.21 線上信用卡付款若採用安全電子交易 SET(Secure Electronic Transaction),其安全需求大致上有 五項,下列何者不是這五項安全需求之一?
(A)交易資料的機密性(Confidentiality)
(B)交易資料的完整性(Integrity)
(C)身分鑑別(Authentication)
(D)交易資料的合法性(Validity)

22.22 頻域(Frequency Domain)藏入法的數位浮水印技術(Digital Watermarking),通常是先將被保 護之創作品的影像,利用離散餘弦轉換(Discrete Cosine Transformation)或小波轉換(Wavelet Transformation)轉至頻域中,其次,再以頻域係數將浮水印(Watermark)隱藏在何處?
(A)低頻部分
(B)高頻部分
(C)任意挑選的頻率,但須記載,以便後續驗證
(D)間隔式地挑選的頻率

23.23 當使用者分別給予一個 ElGamal 加密演算法兩個明文,P1 和 P2,而 P1=P2;在使用相同 ElGamal 演算法細節與相同金鑰條件下,分別產生密文 E1 和 E2。其次,使用者又將 P1 和 P2 分別輸入到 RSA 加密演算法,在 RSA 相同演算法細節與金鑰條件下,分別產生密文 R1 和 R2,請問下列選 項何者正確?
(A)E1=E2 且 R1≠R2
(B)E1≠E2 且 R1=R2 E1=E2
(C) 且 R1=R2
(D)E1≠E2 且 R1≠R2

24.24 Alice 和 Bob 欲進行安全通訊,首先雙方各自選擇一個亂數當私鑰(Private Key),再各自依其 私鑰產生一公鑰(Public Key),然後傳送該公鑰給對方,由接收方配合自己的私鑰產生一個加 密金鑰,請問在此之後,Alice 和 Bob 各自傳送訊息給對方的加/解密方式是:
(A)非對稱式
(B)對稱式
(C)雜湊方式
(D)半對稱式

25.25 手機 M 和基地台 B 之間所建立的存取層(Access Stratum)無線連線會產生二金鑰,一金鑰從事 M 和 B 之間所傳遞訊息 P 之加/解密,另一金鑰的任務為:
(A)P 的完整性驗證(Integrity Checking)
(B)偵測駭客(Hacker)重送 P 所引發之重送攻擊(Replay Attack)
(C)建立 M 和 B 之間的 IPSec 通道
(D)建立 M 和 B 之間的虛擬私有網路(Virtual Private Network, VPN)

【非選題】
26.
一、下列有關網路攻擊方式,請詳細說明:(每小題 5 分,共 10 分)

【題組】 ⑴SSL Flood

【非選題】
27.【題組】⑵DNS Reflection 攻擊

【非選題】
28.
二、對抗假新聞是社群網路安全的重要議題,請回答:

【題組】 ⑴misinformation 與 disinformation 的差異是什麼?(5 分)

【非選題】
29.【題組】⑵構成 disinformation 的基本要件是什麼?(10 分)

【非選題】
30.
三、請試述下列名詞之意涵:(每小題 5 分,共 25 分)

【題組】 ⑴searchable encryption

【非選題】
31.【題組】⑵privacy by design

【非選題】
32.【題組】⑶unified threat management

【非選題】
33.【題組】⑷granular access control

【非選題】
34.【題組】⑸biometric authentication

懸賞詳解

國一公民下第三次

10. 關於下列敘述何者錯誤?(5.6章) (A)社會福利的消極目的是為因應社會變遷所引發的衝擊;積極則在增進人民福祉(B)社會問題是指與社會大眾價值...

50 x

前往解題

108 年 - 108 特種考試外交人員四等 資訊安全與網路管理概要#79031-阿摩線上測驗

108 年 - 108 特種考試外交人員四等 資訊安全與網路管理概要#79031