複選題
12 關於中間人（Man-in-the-middle attack）攻擊的敘述，下列哪些正確？ (複選)
(A)主要原因是通訊的兩方缺乏互相認證的機制
(B)可以透過自行發行的數位簽章解決問題
(C)使用受信任的數位憑證，拿到通信兩方互相的私鑰可以解決問題
(D)通訊兩方預先建立安全通道，交換額外的訊息，可以避免中間人攻擊

13 關於資訊中心的安全防護措施，下列哪一項錯誤？ (A)機房應選用耐火、絕緣、散熱性良好的材質 (B)三份以上資料備份，並一起收妥以防遺失 (C)資訊中心的電源設備必須有穩壓器及不斷電系統 (D)需要資料管制室，作為原始資料的驗收、輸出報表的整理及其他相關資料保管

14 UPS 的主要功能為哪一項？ (A)防止電源中斷 (B)緊急滅火 (C)備份資料 (D)加密資料

15 強制使用高強度密碼是資安管理上的一環，現今的駭客可以使用彩虹表（rainbow tables）來加速破解密碼的過程。彩虹表預先將所有可能的 ASCII（共 255 字元）組合的雜湊值建立好，破解時再查表即可。請問若要建立一個密碼長度為 4 的彩虹表，並使用 MD5（128 bit）雜湊值，那麼需要多少 byte 來儲存此彩虹表？ (A)255*4*128 (B)(255^4)*128 (C)(255^4)*128/8 (D)(255^4)*128/1024

16 如附圖所示，為對稱式加密的概念模型，下列哪一項錯誤？ (A)在使用 session key 的狀況下，K 的值可能是亂數產生的才安全 (B)對稱式加解密演算中，加密演算法與解密演算法在數學概念上互為倒數（reverse） (C)解密演算法都具有 D(K, X) = Y 的性質 (D)金鑰 K 送給解密演算法時，該安全通道仍需要做認證

17 關於安全服務（Security service）的概念，下列哪一項正確？ (A)X.800 的安全服務包含認證（Authentication）、存取控制（Access control）、保密性（Confidentiality）、完整性（Integrity）以及不可否認性（Non-repudiation） (B)X.800 的資料原始性鑑別（Data Origin Authentication）可以保證資料不會被複製或修改 (C)X.800 的不可否認性（Non-repudiation）分為資料傳送的來源方（Origin）、中間方（Intermediator）以及目的方（Destination） (D)X.800 的存取控制（Access control）中，主體（Entity）必須進行識別（Identification）、認證（Authentication）以及保密（Confidentiality）後，才能進行存取控制

18 OSI 安全架構中，下列敘述哪一項錯誤？ (A)安全攻擊（Security attack）是指任何會危害組織中資訊安全的一種行動 (B)安全機制（Security mechanism）是指設計來偵測或防範安全攻擊，或是復原至未受攻擊前狀態的一種程序 (C)安全服務（Security service）是指可以加強資訊處理系統以及資訊傳輸安全的一種服務 (D)安全機制（Security mechanism）可能會受到安全攻擊，因此安全服務（Security service）應協助安全機制正常運作

19 下列哪一項管理政策是描述在一個組織中，員工如何使用公司的系統和資源，其中包含各種軟體和硬體的使用？ (A)權責區分（separation of duties） (B)合理使用（acceptable use） (C)最小權限（least privilege） (D)注意義務（due care）

複選題20 資安政策是將安全性原則套用於組織中以定義員工行為的標準。下列資安政策的管理概念哪些錯誤？(複選) (A)應強制採用最小權限（least privilege）政策，只允許給予使用者執行工作所需的權限即可 (B)僅知政策（need-to-know policy）讓組織可以規範其存取權限僅限於高階主管當中 (C)時間限制（time of day restriction）能確保資料存取的時間是受控制的，資料不允許在此設定時間以外的時間被存取 (D)預設不可存取權限（default to no access）是指資料的預設存取設定是開放為可存取的，再利用存取控制表（access control list）進行設定

21 關於 Cookie 的功能，下列哪一項正確？ (A)增加瀏覽器的相容性 (B)達到不可否認性的效果 (C)增加網路的連線速度，降低網頁伺服器的負載 (D)自動引用使用者儲存的帳號資料，不需再次輸入帳號

22 下列哪一項是 SOC（Security Operation Center）的功能？ (A)攻擊預警與通報機制 (B)對個人行動裝置行為監控與管理 (C)提供網路金鑰申請 (D)IP 發放與管理

113年 - ITE網路通訊專業人員證照-7#119738

113年 - ITE網路通訊專業人員證照-6#119737

113年 - ITE網路通訊專業人員證照-5#119736

113年 - ITE網路通訊專業人員證照-4#119735

113年 - ITE網路通訊專業人員證照-3#119734

113年 - ITE網路通訊專業人員證照-2#119733

113年 - ITE網路通訊專業人員證照-1#119731